《junipernetscreen防火墙培训基础篇》由会员分享,可在线阅读,更多相关《junipernetscreen防火墙培训基础篇(45页珍藏版)》请在金锄头文库上搜索。
1、Juniper netscreen 防火墙培训 王庆生 juniper 认证工程师,课程目标,NS防火墙部署方式介绍,部署方式主要有以下几种 1、路由模式 2、透明模式 3、混合模式(1、2两种模式的结合),内网各种应用服务器(WEB、ERP、EMAIL)的发布 1、MIP、VIP、DIP 2、访问应用服务器的安全策略,路由模式防火墙最常用的一种部署方式,主要是取代原有网络中的网关路由器。如图:,防火墙部署方式一、路由模式,原网络环境,架墙之后的拓扑,路由模式的配置步骤,第一步、配置防火墙的接口地址 第二步、配置防火墙的缺省路由 第三步、配置防火墙安全策略 下面以截图具体说明,网络拓扑,E 0
2、/0,E 0/2,192.168.1.1/24,接口地址一览表(初始),编辑缺省 外网接口,配置缺省外网接口IP及管理项,配置静态公网IP,公网远程管理开关,选择管理项,外网口为ROUTE 内网口为NAT,内外网接口配置完成后一览表,路由一览表,添加路由 条目按键,添加缺省路由,缺省路由配置格式,防火墙互联网网关地址,选择外网接口,添加缺省路由后路由表,创建Trust-Untrust区域策略,源区域 目的区域 创建,创建TrustUntrust区域策略,自定义策略名称,内网的所有地址可以访问外网的所有地址,开启LOG; 并把该策略置顶执行,创建Trust-Untrust区域策略,完成策略配置,
3、点击此处可以查看策略日志,路由模式配置完成,配置完成后: Ping测试,使用内网PC用Ping192.168.1.1地址进行连通测试. Ping测试,使用内网PC用Ping外网地址进行互联网测试.,透明模式的部署环境分两种 1、标准包下的透明模式 2、TRUNK模式下的透明模式 下面结合具体环境说明一下,防火墙部署方式二、透明模式,架墙之后的拓扑,原网络环境,标准包下的透明模式,标准包下的透明模式配置步骤,第一步、配置防火墙的接口为二层模式 第二步、配置防火墙的VLAN1的地址 第三步、配置防火墙安全策略 下面以截图具体说明,网络拓扑,VLAN1 IP 192.168.2.1/24,192.1
4、68.1.1/24,Router,透明模式步骤外网接口配置,初始未配置页面,透明模式步骤外网接口配置,改变 Untrust-V1-Untrust,透明模式-外网接口配置,设置VLAN1管理地址,配置用于管理的VLAN 1 IP地址,配置与缺省地址的不同私有地址用于管理,透明模式-内网接口配置,删除原有IP,透明模式-内网接口配置,更改Trust V1-Trust,透明配置完成后再次登陆,使用配置的 VALN 1 IP 地址 登录WEB界面,创建V1-Trust-V1-Untrust区域策略,源区域 目的区域 创建,透明模式配置完成,配置完成后: Ping测试,使用内网PC用Ping “路由器内
5、网接口地址”进行连通测试. Ping测试,使用内网PC用Ping外网地址进行互联网测试.,TRUNK模式下的透明模式 下面结合具体环境说明一下,防火墙部署方式二、透明模式,架墙之后的拓扑,ROUTE,内网PC,FW,原网络环境,TRUNK模式下的透明模式,SW,TRUNK,ROUTE,内网PC,SW,TRUNK,TRUNK,TRUNK模式下的典型应用-TRUNK透传,透明模式支持VLAN透传,VLAN需终结于FW,TRUNK模式下的典型应用-内网访问控制,VLAN3用户,vlan2用户,Firewall,192.168.2.2/24,VLAN 2,Cisco 3550,应用1,聚合端口+中继端
6、口,Trust zone:Vlan2.gw 192.168.2.1/24,Untrust zone:Vlan3.gw 192.168.3.1/24,VLAN 3,Vlan4.gw 192.168.4.1/24,192.168.3.2/24,192.168.4.2/24,Vlan5.gw 192.168.5.1/24,VLAN5,192.168.5.2/24,VLAN4,应用2,互连VLAN:Vlan10 192.168.10.0/30,TRUNK下的透明模式配置步骤,第一步、配置防火墙的接口为二层模式 第二步、配置防火墙的VLAN1的地址 第三步、配置防火墙的VLAN1接口支持TRUNK 第三
7、步、配置防火墙安全策略,混合模式是前两种模式的结合,是针对两条外网线路环境下而设计的,防火墙部署方式三、混合模式,架墙之后的拓扑,ROUTE1,内网PC,FW,原网络环境,SW,ROUTE1,内网PC,SW,ROUTE2,透明模式,路由模式,混合模式配置步骤,第一步、配置防火墙的两个接口为二层模式 第二步、配置防火墙的另外两个接口为路由模式 第三步、配置防火墙的VLAN1接口地址 第三步、配置防火墙安全策略,企业内部有各种应用服务器,需要对外发布或外部办公人员访问,在此种情况下,就需设置NS墙的MIP、VIP、DIP(防火墙部署方式需路由),内网各种应用服务器(WEB、ERP、EMAIL)的发
8、布,内网PC,FW,SW,WEB,MIP、VIP、DIP之间的区别,1、MIP是一对一的地址映射,即一个公网地址只对应一台内网服务器,公网所有端口都映射到内部服务器。 2、VIP是一对多地址转换,即一个公网地址的不同端口,可以转换到对应多台内部服务器,如外网80可转换到服务器1上,而外网的21(或其它端口)同时可转换到服务器2上;而MIP要么映射到服务器1,要么映射到服务器2上,两者不能同时存在。 3、DIP是一组公网地址,让内网机器随机地转换成组内任意一个公网地址。,MIP、VIP配置步骤,第一步、选择做MIP、VIP对应的外网口 第二步、确定是用MIP还是VIP发布服务器 第三步、设置MI
9、P或VIP与内网服务器对应关系 第三步、配置与MIP、VIP对应的安全策略 下面以最常用的VIP发布WEB服务为例具体说明,MIP的设置方法与之基本相同。,VIP 配置,网络拓扑,192.168.1.1/24,WEB Server:192.168.1.254/24,安全网关VIP 配置,当网络只有一个 公网IP时选择,添加VIP的公网服务器IP,当网络有多个 公网IP时选择并输入公网IP,选择外网口,安全网关VIP 配置,内网服务器地址,此时和外网WEBUI管理的端口(80)冲突, 解决方式见下图,安全网关VIP 配置,更改远程管理端口,自定义更改,更改WEBUI的管理端口,安全网关VIP 配置,VIP配置完成,安全网关VIP 安全策略配置,选择VIP 接口,安全网关VIP 安全策略配置,VIP 安全策略配置完成,感谢大家,
