收藏
下载资源

Juniper防火墙培训进阶篇

上传人:人*** 文档编号:588541437 上传时间:2024-09-08 格式:PPT 页数:58 大小:1.57MB
返回 下载 相关 举报
Juniper防火墙培训进阶篇_第1页
第1页 / 共58页
Juniper防火墙培训进阶篇_第2页
第2页 / 共58页
Juniper防火墙培训进阶篇_第3页
第3页 / 共58页
Juniper防火墙培训进阶篇_第4页
第4页 / 共58页
Juniper防火墙培训进阶篇_第5页
第5页 / 共58页
点击查看更多>>
资源描述

《Juniper防火墙培训进阶篇》由会员分享,可在线阅读,更多相关《Juniper防火墙培训进阶篇(58页珍藏版)》请在金锄头文库上搜索。

1、Copyright 2008 Juniper Networks, Inc. Proprietary and C1Juniper netscreen 防火墙培训防火墙培训 Juniper 认证工程师认证工程师Copyright 2008 Juniper Networks, Inc. Proprietary and C2课程目标课程目标规范公司员工合理有效的上网规范公司员工合理有效的上网 策略 :地址、服务、时间、流量监控、认证、 会话控制、日志 地址绑定分支机构分支机构、移动办公移动办公, 安全连入总部安全连入总部 VPN(L2TP、IPSEC、SSL VPN) 分公司为星型VPN冗余Copyr

2、ight 2008 Juniper Networks, Inc. Proprietary and C3策略的组成策略的组成源地址目的地址源地址目的地址地址地址群服务服务预定义服务定制服务定制服务群动作动作会话控制会话控制日志日志高级选项高级选项时间、流量控制/统计、认证地址地址服务服务动作动作日志日志流量统计流量统计认证认证一、安全策略一、安全策略Copyright 2008 Juniper Networks, Inc. Proprietary and C4创建策略创建策略 WebUI模式模式 组成组成选择From与To的安全区源目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设

3、定的服务行动允许, 拒绝, 安全隧道日志Copyright 2008 Juniper Networks, Inc. Proprietary and C5认证,流量控制、统计认证,流量控制、统计认证认证流量控制流量控制流量统计流量统计Copyright 2008 Juniper Networks, Inc. Proprietary and C6重点:流量控制,认证。重点:流量控制,认证。针对不同的服务或者部门,可以制定不同的流量策略,针对不同的服务或者部门,可以制定不同的流量策略,保证其带宽。保证其带宽。重要资源要求身份认证重要资源要求身份认证Copyright 2008 Juniper Net

4、works, Inc. Proprietary and C7安全策略的顺序安全策略的顺序新策略加载在最后新策略加载在最后在所有策略的末尾有隐含的在所有策略的末尾有隐含的deny all的策略的策略顺序非常重要,改变策略的顺序会影响到实际应用效果顺序非常重要,改变策略的顺序会影响到实际应用效果Copyright 2008 Juniper Networks, Inc. Proprietary and C8公司内部员工随意更改公司内部员工随意更改IP地址,导致地址冲突地址,导致地址冲突外来人员随意接入,影响公司网络安全外来人员随意接入,影响公司网络安全利用防火墙实现地址绑定利用防火墙实现地址绑定Co

5、pyright 2008 Juniper Networks, Inc. Proprietary and C9实现实现MAC绑定功能需要三个步骤绑定功能需要三个步骤1、强迫执行、强迫执行ARP目地目地IP扫描:扫描:set arp always-on-dest2、作、作ARP静态绑定:静态绑定:set arp 10.0.0.250 0002b34896fc trust3、设置一个地址组、设置一个地址组group,它只包含做,它只包含做MAC地址绑定地址绑定的那些的那些IP地址。然后设置一个策略,只让这个地址组地址。然后设置一个策略,只让这个地址组group通过。通过。 注:此功能只能通过命令行来

6、实现。注:此功能只能通过命令行来实现。Copyright 2008 Juniper Networks, Inc. Proprietary and C10IP MAC绑定图示绑定图示telnet 到防火墙接口到防火墙接口Copyright 2008 Juniper Networks, Inc. Proprietary and C11二二 VPN 应用应用VPN的应用说明:的应用说明:Juniper的网络安全防火墙设备的的网络安全防火墙设备的VPN应用模式应用模式较多,包括:基于策略的较多,包括:基于策略的VPN、基于路由的、基于路由的VPN,集,集中星形中星形VPN和背靠背和背靠背VPN等。在这

7、里,我们主要介绍等。在这里,我们主要介绍最常用的最常用的VPN模式:策略模式:策略VPN。首先,如何配置两种策略首先,如何配置两种策略VPN,一种是点对点的,一种是点对点的VPN应用,一种是拨号应用,一种是拨号VPN应用。其中点对点包括静态应用。其中点对点包括静态/动动态对静态,拨号包括态对静态,拨号包括L2TP和和IPSCE客户端两种。客户端两种。其次,其次, 介绍介绍SSL VPN 和和VPN冗余。冗余。Copyright 2008 Juniper Networks, Inc. Proprietary and C12静态对静态静态对静态VPN配置配置地址对象地址对象服务对象服务对象VPN网

8、关网关IKE 对象对象安全策略安全策略10.1.0.5Trust 10.1.0.1Untrust3.3.3.1Untrust 1.1.1.1Trust 10.50.0.1ERP10.50.0.5总部总部分部分部Copyright 2008 Juniper Networks, Inc. Proprietary and C1313总部总部A与分部与分部C之间的之间的Site to Site VPN 总部总部A部分的部分的Site to Site VPN设置设置VPN Gateway的设置VPN 的设置VPN策略设置分部分部C部分的部分的Site to Site VPN设置设置VPN Gateway

9、的设置VPN的设置VPN策略设置 Copyright 2008 Juniper Networks, Inc. Proprietary and C1414总部总部A Gateway的设置的设置对方对方对方对方VPNVPN设备的网关设备的网关设备的网关设备的网关Copyright 2008 Juniper Networks, Inc. Proprietary and C1515选择选择选择选择VPNVPN通道的出口通道的出口通道的出口通道的出口总部总部A Gateway的设置的设置共享密钥双方必须一致共享密钥双方必须一致共享密钥双方必须一致共享密钥双方必须一致Copyright 2008 Juni

10、per Networks, Inc. Proprietary and C1616总部总部A Gateway的设置的设置 高级选项高级选项VPNVPN双方的模式必须一致双方的模式必须一致双方的模式必须一致双方的模式必须一致Copyright 2008 Juniper Networks, Inc. Proprietary and C1717总部总部A IKE VPN配置配置在下拉菜单选取前面定义在下拉菜单选取前面定义在下拉菜单选取前面定义在下拉菜单选取前面定义的的的的IKE GatewayIKE GatewayCopyright 2008 Juniper Networks, Inc. Propri

11、etary and C1818总部总部A IKE VPN配置配置 高级选项高级选项Copyright 2008 Juniper Networks, Inc. Proprietary and C1919总部总部A VPN策略的设置策略的设置ActionAction选择选择选择选择Tunnel Tunnel 选择选择选择选择A A到到到到C C的的的的VPNVPNCopyright 2008 Juniper Networks, Inc. Proprietary and C2020分部分部C Gateway的设置的设置对方对方对方对方VPNVPN设备的网关设备的网关设备的网关设备的网关Copyrig

12、ht 2008 Juniper Networks, Inc. Proprietary and C2121分部分部C Gateway的设置的设置选择选择选择选择VPNVPN通道的出口通道的出口通道的出口通道的出口共享密钥双方必须一致共享密钥双方必须一致共享密钥双方必须一致共享密钥双方必须一致Copyright 2008 Juniper Networks, Inc. Proprietary and C2222分部分部C Gateway的设置的设置 高级选项高级选项VPNVPN双方的模式必须一致双方的模式必须一致双方的模式必须一致双方的模式必须一致Copyright 2008 Juniper Net

13、works, Inc. Proprietary and C2323分部分部C IKE VPN配置配置在下拉菜单选取前面定义在下拉菜单选取前面定义在下拉菜单选取前面定义在下拉菜单选取前面定义的的的的IKE GatewayIKE GatewayCopyright 2008 Juniper Networks, Inc. Proprietary and C2424分部分部C IKE VPN配置配置 高级选项高级选项Copyright 2008 Juniper Networks, Inc. Proprietary and C2525分部分部C VPN策略的设置策略的设置ActionAction选择选择选

14、择选择Tunnel Tunnel 选择选择选择选择C C到到到到A A的的的的VPNVPNCopyright 2008 Juniper Networks, Inc. Proprietary and C26动态对静态动态对静态 VPN配置一配置一基本与静态对静态基本与静态对静态 VPN设置内容一致设置内容一致地址对象地址对象服务对象服务对象VPN网关(动态方网关(动态方 LOCAL ID)IKE 对象对象安全策略安全策略192.168.10.5Trust 192.168.10.1Untrust192.168.1.1Untrust 1.1.1.1Trust 10.50.0.1总部总部分部分部ERP

15、10.50.0.5Copyright 2008 Juniper Networks, Inc. Proprietary and C27动态对静态动态对静态 VPN配置二配置二 移动用户移动用户拨号用户拨号用户地址对象地址对象+拨号用户地址池拨号用户地址池服务对象服务对象VPN网关网关+L2TPIKE 对象对象安全策略安全策略Untrust 1.1.1.1Trust 10.50.0.1总部总部ERP10.50.0.5Copyright 2008 Juniper Networks, Inc. Proprietary and C2828L2TP 客户端客户端访问总部访问总部A的的ERP服务器服务器L2

16、TP Tunnel的设置的设置 VPN 安全策略安全策略Windows客户端的设置客户端的设置 L2TP User 设定部分设定部分 设定设定L2TP用户名用户名/密码密码Copyright 2008 Juniper Networks, Inc. Proprietary and C2929配置配置L2TP用户用户设定用户名设定用户名设定用户名设定用户名分配给分配给分配给分配给L2TPL2TP用户的地址用户的地址用户的地址用户的地址设定密码设定密码设定密码设定密码Copyright 2008 Juniper Networks, Inc. Proprietary and C3030配置配置L2TP

17、 Tunnel选择选择选择选择TunnelTunnel的接口的接口的接口的接口选择选择选择选择L2TPL2TP用户用户用户用户Copyright 2008 Juniper Networks, Inc. Proprietary and C3131L2TP Tunnel策略的设置策略的设置ActionAction选择选择选择选择Tunnel Tunnel 选择选择选择选择L2TP TunnelL2TP Tunnel源地址选择源地址选择源地址选择源地址选择Dial-Up Dial-Up VPNVPN(系统自定义)(系统自定义)(系统自定义)(系统自定义)Copyright 2008 Juniper

18、Networks, Inc. Proprietary and C3232Windows 客户端的配置客户端的配置 01Copyright 2008 Juniper Networks, Inc. Proprietary and C3333Windows 客户端的配置客户端的配置 02Copyright 2008 Juniper Networks, Inc. Proprietary and C3434Windows 客户端的配置客户端的配置 03Copyright 2008 Juniper Networks, Inc. Proprietary and C3535Windows 客户端的配置客户端的

19、配置 04Copyright 2008 Juniper Networks, Inc. Proprietary and C3636Windows 客户端的配置客户端的配置 05Copyright 2008 Juniper Networks, Inc. Proprietary and C3737Windows 客户端的配置客户端的配置 06Copyright 2008 Juniper Networks, Inc. Proprietary and C3838Windows 客户端的配置客户端的配置 07Copyright 2008 Juniper Networks, Inc. Proprietary

20、 and C39注意:注意:远程用户所在的内部网络不能与远程用户所在的内部网络不能与VPN Gateway内部网络内部网络相同的子网。相同的子网。在在Windows XP/2003创建一条创建一条L2TP vpn tunnel在在windows XP下面要修改注册表:下面要修改注册表:开始开始/运行运行/regedit.exe,找到下面这个路径,找到下面这个路径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters,新增或修改新增或修改ProhibitIpSec的值为的值为1。重启计算机。重启计算机。 Copyrigh

21、t 2008 Juniper Networks, Inc. Proprietary and C40IPsec 软件客户端软件客户端访问总部访问总部A的的ERP服务器服务器VPN Gateway设置设置VPN 设置设置VPN 安全策略安全策略Netscreen Remote 客户端的设置客户端的设置Dial-up User 设定部分设定部分 设定用户的设定用户的IKE IDCopyright 2008 Juniper Networks, Inc. Proprietary and C41配置配置Dial-up用户用户设置设置IKE ID设定其它值会导致异常设定其它值会导致异常设定其它值会导致异常设

22、定其它值会导致异常客户端也须配置两者须客户端也须配置两者须客户端也须配置两者须客户端也须配置两者须一致一致一致一致Copyright 2008 Juniper Networks, Inc. Proprietary and C42配置配置dialup VPN GatewayIKE Phase 1 选择选择选择选择dialup userdialup user,并在对应下,并在对应下,并在对应下,并在对应下拉菜单选择我们刚才设定的用户拉菜单选择我们刚才设定的用户拉菜单选择我们刚才设定的用户拉菜单选择我们刚才设定的用户设置共享密钥,客户端也须设置共享密钥,客户端也须设置共享密钥,客户端也须设置共享密钥

23、,客户端也须设置相同的值(最少设置相同的值(最少设置相同的值(最少设置相同的值(最少8 8位)位)位)位)Copyright 2008 Juniper Networks, Inc. Proprietary and C43配置配置dialup VPN Gateway 高级选项高级选项IKE Phase 1 注意注意注意注意dial-up VPNdial-up VPN使用使用使用使用AggressiveAggressive模式模式模式模式如果如果如果如果VPNVPN连接中有连接中有连接中有连接中有NATNAT存在,存在,存在,存在,请勾选此项,开启穿透功能;请勾选此项,开启穿透功能;请勾选此项,开

24、启穿透功能;请勾选此项,开启穿透功能;并做并做并做并做UDP ChecksumUDP Checksum检查检查检查检查Copyright 2008 Juniper Networks, Inc. Proprietary and C44配置配置 dialup VPNIKE Phase 2在下拉菜单选取前面在下拉菜单选取前面在下拉菜单选取前面在下拉菜单选取前面定义的定义的定义的定义的IKE GatewayIKE GatewayCopyright 2008 Juniper Networks, Inc. Proprietary and C45配置配置dialup VPN 高级选项高级选项IKE Phas

25、e 2Copyright 2008 Juniper Networks, Inc. Proprietary and C46总部总部A VPN策略的设置策略的设置ActionAction选择选择选择选择Tunnel Tunnel 选择选择选择选择dialup VPNdialup VPN源地址选择源地址选择源地址选择源地址选择Dial-Up Dial-Up VPNVPN(系统自定义)(系统自定义)(系统自定义)(系统自定义)Copyright 2008 Juniper Networks, Inc. Proprietary and C47Netscreen Remote远程客户端的配置远程客户端的配置

26、 01新建一个连接,新建一个连接,新建一个连接,新建一个连接,取名后,点中它,取名后,点中它,取名后,点中它,取名后,点中它,出现右方基本配出现右方基本配出现右方基本配出现右方基本配置界面。置界面。置界面。置界面。在该选项中输入我们的目在该选项中输入我们的目在该选项中输入我们的目在该选项中输入我们的目标地址,即安全网关后面标地址,即安全网关后面标地址,即安全网关后面标地址,即安全网关后面的内部子网的内部子网的内部子网的内部子网/ /主机的地址。主机的地址。主机的地址。主机的地址。选中该选项,并在选中该选项,并在选中该选项,并在选中该选项,并在IDID中选中选中选中选取取取取IP Address

27、IP Address,输入安,输入安,输入安,输入安全网关的外网口地址。全网关的外网口地址。全网关的外网口地址。全网关的外网口地址。Copyright 2008 Juniper Networks, Inc. Proprietary and C48Netscreen Remote远程客户端的配置远程客户端的配置 02点击新建连接的点击新建连接的点击新建连接的点击新建连接的加号键,点中加号键,点中加号键,点中加号键,点中My My IdentityIdentity进行设置进行设置进行设置进行设置在在在在SelectSelect中选择中选择中选择中选择NoneNone;在在在在Pre-Shared

28、KeyPre-Shared Key中输中输中输中输入与前面安全网关入与前面安全网关入与前面安全网关入与前面安全网关GatewayGateway配置中一致的配置中一致的配置中一致的配置中一致的值。值。值。值。在在在在IDID选项中选择选项中选择选项中选择选项中选择E-mail E-mail AddressAddress,然后输入与前,然后输入与前,然后输入与前,然后输入与前面安全网关面安全网关面安全网关面安全网关Dial-up Dial-up 用户用户用户用户配置中一致的值。配置中一致的值。配置中一致的值。配置中一致的值。Copyright 2008 Juniper Networks, Inc.

29、 Proprietary and C49Netscreen Remote远程客户端的配置远程客户端的配置 03选中选中选中选中Security Security PolicyPolicy进行设置。进行设置。进行设置。进行设置。在在在在Select Phase 1 Select Phase 1 Negotiation ModeNegotiation Mode中选中选中选中选择择择择Aggressive ModeAggressive Mode。根据前面在安全网关中根据前面在安全网关中根据前面在安全网关中根据前面在安全网关中IKE IKE VPNVPN中中中中Phase 2 ProposalPhas

30、e 2 Proposal选择的不同,选择是否使用选择的不同,选择是否使用选择的不同,选择是否使用选择的不同,选择是否使用PFSPFS。Copyright 2008 Juniper Networks, Inc. Proprietary and C50Netscreen Remote远程客户端的配置远程客户端的配置 04选中选中选中选中Proposal 1,Proposal 1,进行进行进行进行Phase 1Phase 1的设的设的设的设置。置。置。置。根据前面在安全网关中根据前面在安全网关中根据前面在安全网关中根据前面在安全网关中IKE IKE GatewayGateway中中中中Phase P

31、hase 1Proposal1Proposal的选择,选择一的选择,选择一的选择,选择一的选择,选择一致的选项。致的选项。致的选项。致的选项。Copyright 2008 Juniper Networks, Inc. Proprietary and C51Netscreen Remote远程客户端的配置远程客户端的配置 05选中选中选中选中Proposal 2,Proposal 2,进行进行进行进行Phase 2Phase 2的设的设的设的设置。置。置。置。根据前面在安全网关中根据前面在安全网关中根据前面在安全网关中根据前面在安全网关中IKE IKE VPNVPN中中中中Phase 2Prop

32、osalPhase 2Proposal的的的的选择,选择一致的选项。选择,选择一致的选项。选择,选择一致的选项。选择,选择一致的选项。Copyright 2008 Juniper Networks, Inc. Proprietary and C52SSL VPN介绍介绍SSL VPN网关首先它是一种基于网关首先它是一种基于B/S架构的远程访问架构的远程访问方式,作为一种新兴的方式,作为一种新兴的VPN技术,与传统的技术,与传统的IPSec VPN技术各具特色,各有千秋。技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入比较适合用于移动用户的远程接入(Client-Site),

33、而,而IPSec VPN则在网对网则在网对网(Site-Site)的的VPN连连接中具备先天优势。接中具备先天优势。 Copyright 2008 Juniper Networks, Inc. Proprietary and C53SSL VPN与与IPsec VPN区别区别1、 IPsec VPN多用于多用于“网网网网”连接,连接,SSL VPN用于用于“移动客户移动客户网网”连接。连接。SSL VPN的移动用户的移动用户使用标准的浏览器,无需安装客户端程序,即可通过使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络隧道接入内部网络;而而IPSec VPN的移动用的

34、移动用户需要安装专门的户需要安装专门的IPSec客户端软件。客户端软件。 2、SSL VPN用户不受上网方式限制,用户不受上网方式限制,SSL VPN隧隧道可以穿透道可以穿透Firewall;而而IPSec客户端需要支持客户端需要支持“NAT穿透穿透”功能才能穿透功能才能穿透Firewall,而且需要,而且需要Firewall打打开开UDP500端口。端口。 Copyright 2008 Juniper Networks, Inc. Proprietary and C544、SSL VPN只需要维护中心节点的网关设备,客户只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而端免

35、维护,降低了部署和支持费用。而IPSec VPN需需要管理通讯的每个节点,网管专业性较强。要管理通讯的每个节点,网管专业性较强。5、SSL VPN 更容易提供细粒度访问控制,可以对用更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统与第三方认证系统(如如:radius、AD等等)结合更加便捷。结合更加便捷。而而IPSec VPN主要基于主要基于IP五元组对用户进行访问控制。五元组对用户进行访问控制。SSL VPN与与IPsec VPN区别区别Copyright 2008 Juniper Networks

36、, Inc. Proprietary and C55VPN速度偏慢解决方案速度偏慢解决方案RAS 远程接入远程接入RAS应用应用企业部门数据比较集中,随着商务模式的不断变化,远程企业部门数据比较集中,随着商务模式的不断变化,远程办公、移动办公越来越多,但对于办公、移动办公越来越多,但对于VPN来说相对速度较慢,不来说相对速度较慢,不能完美地解决此问题。能完美地解决此问题。RAS远程接入不需要对原有的网络有变更,只需在单位局远程接入不需要对原有的网络有变更,只需在单位局域网内放置一台域网内放置一台RAS服务器,移动办公客户端无需安装任何的服务器,移动办公客户端无需安装任何的客户端软件,实现零客户

37、端安装,通过客户端软件,实现零客户端安装,通过WEB方式即可访问。使方式即可访问。使用轻松简洁,十分人性化。员工无论何时何地快速接入体验远用轻松简洁,十分人性化。员工无论何时何地快速接入体验远程、移动办公。程、移动办公。Copyright 2008 Juniper Networks, Inc. Proprietary and C56 改变从解决问题开始改变从解决问题开始改变从解决问题开始改变从解决问题开始(RASRAS技术原理技术原理技术原理技术原理)Copyright 2008 Juniper Networks, Inc. Proprietary and C57应用系统服务器端应用系统服务器端 安装应用系统客户端安装应用系统客户端和和RASRAS系统系统他他们们通通过过浏浏览览器器远远程登陆程登陆Copyright 2008 Juniper Networks, Inc. Proprietary and C58完完感谢大家感谢大家!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号