收藏
下载资源

Juniper_netscreen防火墙培训进阶篇

上传人:飞*** 文档编号:54254634 上传时间:2018-09-10 格式:PPT 页数:58 大小:1.83MB
返回 下载 相关 举报
Juniper_netscreen防火墙培训进阶篇_第1页
第1页 / 共58页
Juniper_netscreen防火墙培训进阶篇_第2页
第2页 / 共58页
Juniper_netscreen防火墙培训进阶篇_第3页
第3页 / 共58页
Juniper_netscreen防火墙培训进阶篇_第4页
第4页 / 共58页
Juniper_netscreen防火墙培训进阶篇_第5页
第5页 / 共58页
点击查看更多>>
资源描述

《Juniper_netscreen防火墙培训进阶篇》由会员分享,可在线阅读,更多相关《Juniper_netscreen防火墙培训进阶篇(58页珍藏版)》请在金锄头文库上搜索。

1、Juniper netscreen 防火墙培训 王启龙 Juniper 认证工程师,课程目标,规范公司员工合理有效的上网策略 :地址、服务、时间、流量监控、认证、会话控制、日志 地址绑定,分支机构、移动办公, 安全连入总部VPN(L2TP、IPSEC、SSL VPN)分公司为星型VPN冗余,策略的组成,源地址目的地址 地址 地址群 服务 预定义服务 定制服务 定制服务群,动作 会话控制 日志 高级选项时间、流量控制/统计、认证,一、安全策略,创建策略 WebUI模式,组成 选择From与To的安全区源目的地址 通过下拉菜单选取前面设定的地址服务 通过下拉菜单选取前面设定的服务行动 允许, 拒绝

2、, 安全隧道日志,认证,流量控制、统计,认证,流量控制,流量统计,重点:流量控制,认证。,针对不同的服务或者部门,可以制定不同的流量策略,保证其带宽。重要资源要求身份认证,安全策略的顺序,新策略加载在最后 在所有策略的末尾有隐含的deny all的策略 顺序非常重要,改变策略的顺序会影响到实际应用效果,公司内部员工随意更改IP地址,导致地址冲突 外来人员随意接入,影响公司网络安全,利用防火墙实现地址绑定,实现MAC绑定功能需要三个步骤,1、强迫执行ARP目地IP扫描:set arp always-on-dest 2、作ARP静态绑定:set arp 10.0.0.250 0002b34896f

3、c trust 3、设置一个地址组group,它只包含做MAC地址绑定的那些IP地址。然后设置一个策略,只让这个地址组group通过。,注:此功能只能通过命令行来实现。,IP MAC绑定图示,telnet 到防火墙接口,二 VPN 应用,VPN的应用说明:Juniper的网络安全防火墙设备的VPN应用模式较多,包括:基于策略的VPN、基于路由的VPN,集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:策略VPN。首先,如何配置两种策略VPN,一种是点对点的VPN应用,一种是拨号VPN应用。其中点对点包括静态/动态对静态,拨号包括L2TP和IPSCE客户端两种。 其次, 介

4、绍SSL VPN 和VPN冗余。,静态对静态VPN配置,地址对象 服务对象 VPN网关 IKE 对象 安全策略,10.1.0.5,Trust 10.1.0.1,Untrust 3.3.3.1,Untrust 1.1.1.1,Trust 10.50.0.1,ERP 10.50.0.5,总部,分部,13,总部A与分部C之间的Site to Site VPN,总部A部分的Site to Site VPN设置 VPN Gateway的设置 VPN 的设置 VPN策略设置 分部C部分的Site to Site VPN设置 VPN Gateway的设置 VPN的设置 VPN策略设置,14,总部A Gate

5、way的设置,对方VPN设备的网关,15,选择VPN通道的出口,总部A Gateway的设置,共享密钥双方必须一致,16,总部A Gateway的设置 高级选项,VPN双方的模式必须一致,17,总部A IKE VPN配置,在下拉菜单选取前面定义的IKE Gateway,18,总部A IKE VPN配置 高级选项,19,总部A VPN策略的设置,Action选择Tunnel,选择A到C的VPN,20,分部C Gateway的设置,对方VPN设备的网关,21,分部C Gateway的设置,选择VPN通道的出口,共享密钥双方必须一致,22,分部C Gateway的设置 高级选项,VPN双方的模式必须

6、一致,23,分部C IKE VPN配置,在下拉菜单选取前面定义的IKE Gateway,24,分部C IKE VPN配置 高级选项,25,分部C VPN策略的设置,Action选择Tunnel,选择C到A的VPN,动态对静态 VPN配置一,基本与静态对静态 VPN设置内容一致 地址对象 服务对象 VPN网关(动态方 LOCAL ID) IKE 对象 安全策略,192.168.10.5,Trust 192.168.10.1,Untrust 192.168.1.1,Untrust 1.1.1.1,Trust 10.50.0.1,总部,分部,ERP 10.50.0.5,动态对静态 VPN配置二 移动

7、用户,拨号用户 地址对象+拨号用户地址池 服务对象 VPN网关+L2TP IKE 对象 安全策略,Untrust 1.1.1.1,Trust 10.50.0.1,总部,ERP 10.50.0.5,28,L2TP 客户端 访问总部A的ERP服务器,L2TP Tunnel的设置 VPN 安全策略 Windows客户端的设置,L2TP User 设定部分 设定L2TP用户名/密码,29,配置L2TP用户,设定用户名,分配给L2TP用户的地址,设定密码,30,配置L2TP Tunnel,选择Tunnel的接口,选择L2TP用户,31,L2TP Tunnel策略的设置,Action选择Tunnel,选择

8、L2TP Tunnel,源地址选择Dial-Up VPN(系统自定义),32,Windows 客户端的配置 01,33,Windows 客户端的配置 02,34,Windows 客户端的配置 03,35,Windows 客户端的配置 04,36,Windows 客户端的配置 05,37,Windows 客户端的配置 06,38,Windows 客户端的配置 07,注意:,远程用户所在的内部网络不能与VPN Gateway内部网络相同的子网。在Windows XP/2003创建一条L2TP vpn tunnel在windows XP下面要修改注册表: 开始/运行/regedit.exe,找到下面

9、这个路径 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters, 新增或修改ProhibitIpSec的值为1。重启计算机。,40,IPsec 软件客户端 访问总部A的ERP服务器,VPN Gateway设置 VPN 设置 VPN 安全策略 Netscreen Remote 客户端的设置,Dial-up User 设定部分 设定用户的IKE ID,41,配置Dial-up用户,设置IKE ID,设定其它值会导致异常,客户端也须配置两者须一致,42,配置dialup VPN Gateway,IKE Phase 1,选择

10、dialup user,并在对应下拉菜单选择我们刚才设定的用户,设置共享密钥,客户端也须设置相同的值(最少8位),43,配置dialup VPN Gateway 高级选项,IKE Phase 1,注意dial-up VPN使用Aggressive模式,如果VPN连接中有NAT存在,请勾选此项,开启穿透功能;并做UDP Checksum检查,44,配置 dialup VPN,IKE Phase 2,在下拉菜单选取前面定义的IKE Gateway,45,配置dialup VPN 高级选项,IKE Phase 2,46,总部A VPN策略的设置,Action选择Tunnel,选择dialup VPN

11、,源地址选择Dial-Up VPN(系统自定义),47,Netscreen Remote远程客户端的配置 01,新建一个连接,取名后,点中它,出现右方基本配置界面。,在该选项中输入我们的目标地址,即安全网关后面的内部子网/主机的地址。,选中该选项,并在ID中选取IP Address,输入安全网关的外网口地址。,48,Netscreen Remote远程客户端的配置 02,点击新建连接的加号键,点中My Identity进行设置,在Select中选择None;在Pre-Shared Key中输入与前面安全网关Gateway配置中一致的值。,在ID选项中选择E-mail Address,然后输入与

12、前面安全网关Dial-up 用户配置中一致的值。,49,Netscreen Remote远程客户端的配置 03,选中Security Policy进行设置。,在Select Phase 1 Negotiation Mode中选择Aggressive Mode。,根据前面在安全网关中IKE VPN中Phase 2 Proposal选择的不同,选择是否使用PFS。,50,Netscreen Remote远程客户端的配置 04,选中Proposal 1,进行Phase 1的设置。,根据前面在安全网关中IKE Gateway中Phase 1Proposal的选择,选择一致的选项。,51,Netscre

13、en Remote远程客户端的配置 05,选中Proposal 2,进行Phase 2的设置。,根据前面在安全网关中IKE VPN中Phase 2Proposal的选择,选择一致的选项。,SSL VPN介绍,SSL VPN网关首先它是一种基于B/S架构的远程访问方式,作为一种新兴的VPN技术,与传统的IPSec VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。,SSL VPN与IPsec VPN区别,1、 IPsec VPN多用于“网网”连接,SSL VPN用于

14、“移动客户网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。 2、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。,4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、

15、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP五元组对用户进行访问控制。,SSL VPN与IPsec VPN区别,VPN速度偏慢解决方案 RAS 远程接入,RAS应用 企业部门数据比较集中,随着商务模式的不断变化,远程办公、移动办公越来越多,但对于VPN来说相对速度较慢,不能完美地解决此问题。RAS远程接入不需要对原有的网络有变更,只需在单位局域网内放置一台RAS服务器,移动办公客户端无需安装任何的客户端软件,实现零客户端安装,通过WEB方式即可访问。使用轻松简洁,十分人性化。员工无论何时何地快速接入体验远程、移动办公。,改变从解决问题开始(RAS技术原理),应用系统服务器端,安装应用系统客户端和RAS系统,他们通过浏览器远程登陆,完 感谢大家!,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号