Junipernetscreen防火墙培训基础篇.ppt

Junipernetscreen防火墙培训王庆生juniper认证工程师 课程目标 NS防火墙部署方式介绍 部署方式主要有以下几种1 路由模式2 透明模式3 混合模式 1 2两种模式的结合 内网各种应用服务器 WEB ERP EMAIL 的发布1 MIP VIP DIP2 访问应用服务器的安全策略 路由模式防火墙最常用的一种部署方式 主要是取代原有网络中的网关路由器 如图 防火墙部署方式一 路由模式 原网络环境 架墙之后的拓扑 路由模式的配置步骤 第一步 配置防火墙的接口地址第二步 配置防火墙的缺省路由第三步 配置防火墙安全策略下面以截图具体说明 网络拓扑 E0 0 E0 2 192 168 1 1 24 接口地址一览表 初始 编辑缺省外网接口 配置缺省外网接口IP及管理项 配置静态公网IP 公网远程管理开关 选择管理项 外网口为ROUTE内网口为NAT 内外网接口配置完成后一览表 路由一览表 添加路由条目按键 添加缺省路由 缺省路由配置格式 防火墙互联网网关地址 选择外网接口 添加缺省路由后路由表 创建Trust Untrust区域策略 源区域目的区域创建 创建Trust Untrust区域策略 自定义策略名称 内网的所有地址可以访问外网的所有地址 开启LOG 并把该策略置顶执行 创建Trust Untrust区域策略 完成策略配置 点击此处可以查看策略日志 路由模式配置完成 配置完成后 Ping测试 使用内网PC用Ping192 168 1 1地址进行连通测试 Ping测试 使用内网PC用Ping外网地址进行互联网测试 透明模式的部署环境分两种1 标准包下的透明模式2 TRUNK模式下的透明模式下面结合具体环境说明一下 防火墙部署方式二 透明模式 架墙之后的拓扑 原网络环境 标准包下的透明模式 标准包下的透明模式配置步骤 第一步 配置防火墙的接口为二层模式第二步 配置防火墙的VLAN1的地址第三步 配置防火墙安全策略下面以截图具体说明 网络拓扑 VLAN1IP192 168 2 1 24 192 168 1 1 24 Router 透明模式步骤外网接口配置 初始未配置页面 透明模式步骤外网接口配置 改变Untrust V1 Untrust 透明模式 外网接口配置 设置VLAN1管理地址 配置用于管理的VLAN1IP地址 配置与缺省地址的不同私有地址用于管理 透明模式 内网接口配置 删除原有IP 透明模式 内网接口配置 更改Trust V1 Trust 透明配置完成后再次登陆 使用配置的VALN1IP地址登录WEB界面 创建V1 Trust V1 Untrust区域策略 源区域目的区域创建 透明模式配置完成 配置完成后 Ping测试 使用内网PC用Ping 路由器内网接口地址 进行连通测试 Ping测试 使用内网PC用Ping外网地址进行互联网测试 TRUNK模式下的透明模式下面结合具体环境说明一下 防火墙部署方式二 透明模式 架墙之后的拓扑 ROUTE 内网PC FW 原网络环境 TRUNK模式下的透明模式 SW TRUNK ROUTE 内网PC SW TRUNK TRUNK TRUNK模式下的典型应用 TRUNK透传 透明模式支持VLAN透传 VLAN需终结于FW TRUNK模式下的典型应用 内网访问控制 VLAN3用户 vlan2用户 Firewall 192 168 2 2 24 VLAN2 Cisco3550 应用1 聚合端口 中继端口 Trustzone Vlan2 gw192 168 2 1 24 Untrustzone Vlan3 gw192 168 3 1 24 VLAN3 Vlan4 gw192 168 4 1 24 192 168 3 2 24 192 168 4 2 24 Vlan5 gw192 168 5 1 24 VLAN5 192 168 5 2 24 VLAN4 应用2 互连VLAN Vlan10192 168 10 0 30 TRUNK下的透明模式配置步骤 第一步 配置防火墙的接口为二层模式第二步 配置防火墙的VLAN1的地址第三步 配置防火墙的VLAN1接口支持TRUNK第三步 配置防火墙安全策略 混合模式是前两种模式的结合 是针对两条外网线路环境下而设计的 防火墙部署方式三 混合模式 架墙之后的拓扑 ROUTE1 内网PC FW 原网络环境 SW ROUTE1 内网PC SW ROUTE2 透明模式 路由模式 混合模式配置步骤 第一步 配置防火墙的两个接口为二层模式第二步 配置防火墙的另外两个接口为路由模式第三步 配置防火墙的VLAN1接口地址第三步 配置防火墙安全策略 企业内部有各种应用服务器 需要对外发布或外部办公人员访问 在此种情况下 就需设置NS墙的MIP VIP DIP 防火墙部署方式需路由 内网各种应用服务器 WEB ERP EMAIL 的发布 内网PC FW SW WEB MIP VIP DIP之间的区别 1 MIP是一对一的地址映射 即一个公网地址只对应一台内网服务器 公网所有端口都映射到内部服务器 2 VIP是一对多地址转换 即一个公网地址的不同端口 可以转换到对应多台内部服务器 如外网80可转换到服务器1上 而外网的21 或其它端口 同时可转换到服务器2上 而MIP要么映射到服务器1 要么映射到服务器2上 两者不能同时存在 3 DIP是一组公网地址 让内网机器随机地转换成组内任意一个公网地址 MIP VIP配置步骤 第一步 选择做MIP VIP对应的外网口第二步 确定是用MIP还是VIP发布服务器第三步 设置MIP或VIP与内网服务器对应关系第三步 配置与MIP VIP对应的安全策略下面以最常用的VIP发布WEB服务为例具体说明 MIP的设置方法与之基本相同 VIP配置 网络拓扑 192 168 1 1 24 WEBServer 192 168 1 254 24 安全网关VIP配置 当网络只有一个公网IP时选择 添加VIP的公网服务器IP 当网络有多个公网IP时选择并输入公网IP 选择外网口 安全网关VIP配置 内网服务器地址 此时和外网WEBUI管理的端口 80 冲突 解决方式见下图 安全网关VIP配置 更改远程管理端口 自定义更改 更改WEBUI的管理端口 安全网关VIP配置 VIP配置完成 安全网关VIP安全策略配置 选择VIP接口 安全网关VIP安全策略配置 VIP安全策略配置完成 感谢大家