JuniperFWtrainingNXPowerLite.pptx
《JuniperFWtrainingNXPowerLite.pptx》由会员分享,可在线阅读,更多相关《JuniperFWtrainingNXPowerLite.pptx(244页珍藏版)》请在咨信网上搜索。
1、Juniper 防火墙产品技术培训防火墙产品技术培训Juniper防火墙概述防火墙概述01 Juniper 防火墙基本概念防火墙基本概念4Copyright 2009 Juniper Networks,I 目标目标 防火墙部署的必要性 构成防火墙安全特性和功能的组建包括以下的内容:Virtual Systems(VSYS)ZonesPoliciesVirtual RoutersInterfaces 了解和分析数据包是如何通过防火墙的 如何正确部署防火墙设备,为企业的网络保驾护航。5Copyright 2009 Juniper Networks,I 安全设备的必备条件安全设备的必备条件 数据包的
2、转发:Bridging(Layer 2)Routing(Layer 3)防火墙基于 IP,TCP/UDP,的内容过滤,以及针对应用层的内容过滤。NAT 网络地址翻译私网到公网的地址翻译 Virtual Private Networks(虚拟专用网络)封装、认证、加密主要通过IPSec来实现6Copyright 2009 Juniper Networks,I Layer 2 Frame Forwarding(Bridging/Switching)透明模式的功能Learning(based on Source MAC address)Forward/Flood/Filter(based on De
3、stination MAC address)Loop prevention(Spanning Tree protocol)MAC Address Table00c0.01cd.5120 E1E8 00e0.01ab.cd10Destination AddressPort00c0.01cd.5120E100e0.01ab.cd10E87Copyright 2009 Juniper Networks,I Layer 3 Packet Forwarding(Routing)根据目的地址转发数据包 主要的路由协议Static routesDynamic routes(RIP,OSPF,BGP)Defa
4、ult routes10.1.1.110.3.3.10E8 10.2.2.1/24NetworkInt.Gateway10.1.1.0/24E10.0.0.010.2.2.0/24E80.0.0.010.3.3.0/24E810.2.2.2208 Route TableE1 10.1.1.1/2410.2.2.2/2410.3.3.1/248Copyright 2009 Juniper Networks,I Firewall 根据包头进行过滤 IP(SA,DA,Protocol)TCP/UDP(Port#)实现安全策略的方法:10.1.10.5SRC-IP1.1.70.250DST-IP360
5、33SRC-Port80DST-Port6Protocol9Copyright 2009 Juniper Networks,I 网络网络/端口端口 地址翻译地址翻译 把私网地址转换为公网的地址NAT/PAT10.1.1.5Trust 10.1.1.1Untrust201.1.8.110.1.1.5SRC-IP221.1.8.5DST-IP36033SRC-Port80DST-Port6Protocol201.1.8.1SRC-IP221.1.8.5DST-IP1025SRC-Port80DST-Port6Protocol10Copyright 2009 Juniper Networks,I 虚
6、拟专用网络(虚拟专用网络(VPN)在Internet 中传输的数据提供加密的隧道封装加密认证Trust 10.0.0.25410.1.20.310.1.20.4Untrust1.1.1.1Untrust 2.2.2.1Trust20.1.20.1IP PacketIP PacketEncrypted PacketEncrypted PacketIP PacketIP Packet10.0.0.5 10.0.0.611Copyright 2009 Juniper Networks,I 传统防火墙的特点传统防火墙的特点 外网Internet or another public networkNo
7、control 内网Our private networkWe have controlUntrustZoneTrustZone10.0.0.5 10.0.0.612Copyright 2009 Juniper Networks,I Web ServerFTP ServerMail Server停火区(停火区(DMZ)能够为Internet 提供访问服务。DMZ区可能遭受到黑客的入侵提供WEB,邮件,FTP 等服务10.0.0.5 10.0.0.6UntrustZoneTrustZoneDMZZone13Copyright 2009 Juniper Networks,I UntrustZone
8、Next Step:No Trusted Networks 内部网络中的安全需求 企业网络面临的新的挑战部署 更加灵活可以对企业网络进行预测Web ServerFTP ServerMail ServerDMZZoneAdministrationZoneMarketing ZoneEngineering Zone14Copyright 2009 Juniper Networks,I Juniper 防火墙的安全特点防火墙的安全特点 Juniper的解决方案是针对新的安全挑战 提供更加灵活部署、可以预测的性能、更加安全的保证。构成:InterfacesZonesVirtual RoutersPol
9、icyVirtual Systems15Copyright 2009 Juniper Networks,I NetScreen DeviceVSYSVirtual System安全体系的组成安全体系的组成Virtual Router 1Virtual Router 2Virtual RouterR.T.R.T.R.T.R.T.Forwarding TableZone AZone BZone CZone DZonesE1E2E3E4E5E6E7E8InterfacesFlow1.2.3.4SRC-IP5.6.7.8DST-IP1234SRC-Port80DST-Port6ProtocolSess
10、ion5.6.7.8SRC-IP1.2.3.4DST-IP80SRC-Port1234DST-Port6ProtocolPolicy CheckPolicy CheckA-CA-CPolicy16Copyright 2009 Juniper Networks,I 安全的概念安全的概念功能功能 防火墙的主要作用是阻止企业不希望通过防火墙的流量从防火墙通过。防火墙有以下的分类:包过滤应用代理状态检测应用网关攻击防御17Copyright 2009 Juniper Networks,I 包过滤包过滤 对数据包头进行安全过滤Source/Destination IPProtocol NumberSou
11、rce/Destination PortTCP Ack Flag 大多数的路由器可以实现这个功能 不能了解数据包通过防火墙时候的状态 容易造成地址欺骗的发生18Copyright 2009 Juniper Networks,I 应用代理应用代理 对特定的应用程序做代理服务器。防火墙充当代理服务器的作用实现对流量的访问控制HTTP and FTP are two commonly used proxies 防火墙可以直接检查应用层的数据,同时根据管理员的需要决定是否允许数据包通过。实现第七层(OSI模型)的内容过滤 性能比包过滤防火墙要差19Copyright 2009 Juniper Netw
12、orks,I 状态检测状态检测 根据数据包的状态以及我们的访问控制规则决定是否允许数据包通过。通过多项指标保持IP数据包的连接状态(3-7)层新的连接被检查后添加到状态表中只有已经建立session 的数据包和被防火墙允许通过的数据包才能够通过防火墙系统。提供比包过滤防火墙更高级别的防火墙安全体系 比代理网关型防火墙速度更快,但是可能无法提供像代理网关那样细度的访问控制。20Copyright 2009 Juniper Networks,I 应用层网关应用层网关(ALGs)特殊协议的特点特殊的命令动态打开的端口例如:FTPH.323 ALGs 的开发使得防火墙能够满足更加复杂的应用环境,支持协
13、议中的多端口,端口重定向支持每个会话中动态打开/关闭的端口21Copyright 2009 Juniper Networks,I 攻击防御攻击防御 拒绝服务攻击SCREEN functions 病毒Anti-Virus scanning 恶意数据攻击通过DI中的攻击签名进行防御22Copyright 2009 Juniper Networks,I Juniper FW Decision Process/Packet Flow24Copyright 2009 Juniper Networks,I ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.1
14、0.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.1Packet Flow Example25Copyright 2009 Juniper Networks,I Packet Flow Example10.1.20.5SRC-IP200.5.5.5DST-IP1042SRC-Port80DST-Port6Protocol1.Existing Session?NoAddress PairProtocol
15、 Port Pair(no match)Session Table2.Destination Reachable?YesNetInt NHR10.1.1.0/24E1(connected)10.1.2.0/24E2(connected)10.1.10.0/24 E110.1.1.510.1.20.0/24 E210.1.2.50.0.0.0/0E81.1.8.254Routing Table3.Inter-Zone Traffic?YesIntZoneE1Inside-PrivateE2Inside-PrivateE7Inside-PublicE8OutsideZone Table26Copy
16、right 2009 Juniper Networks,I Packet Flow Example(cont.)4.Permitted by Policy?YesFrom Private to ExternalSADAServiceAction10.1.0.0/16anyFTPpermit 10.1.0.0/16anyHTTPpermit10.1.0.0/16anypingpermitanyanyanydenyAction:Forward Packet10.1.20.5SRC-IP200.5.5.5DST-IP1042SRC-Port80DST-Port6ProtocolAction:Add
17、to Session TableAddress PairProtocol Port Pair10.1.20.5 200.5.5.5 61042 80Session Table27Copyright 2009 Juniper Networks,I 部署部署Juniper防火墙设备防火墙设备 专业设计的安全网关设备单一防火墙系统应用:Small office/Home Office,small enterprise系统支持多个虚拟防火墙应用:large enterprise,service provider28Copyright 2009 Juniper Networks,I 设备的部署设备的部署
18、 Engineering ZoneBBBAdmin ZoneMarketingZoneRemote Client29Copyright 2009 Juniper Networks,I 系统部署系统部署Service ProviderVSYS AVSYS BPhysicalNetworkLogicalNetwork30Copyright 2009 Juniper Networks,I 总结总结 在本章我们应该掌握:Juniper 安全网关的功能Juniper 安全设备的优势和特点Juniper防火墙设备对数据包进行处理的步骤Juniper防火墙产品的部署02对防火墙的管理对防火墙的管理32Cop
19、yright 2009 Juniper Networks,I 目标目标 介绍防火墙的管理 通过控制线和网络实现对防火墙的管理 配置管理员设置和选项 配置防火墙与第三方设备之间的管理通信 License 的管理 对防火墙的配置文件和软件升级的管理 灾难恢复的管理33Copyright 2009 Juniper Networks,I 系统组成系统组成 所有关键的系统功能都在内存中运行。可以通过控制线和webu对防火墙的配置进行修改。TablesBuffersRunningConfigScreenOS(active)ScreenOSImageSaved ConfigCerts,etc.RAMFlas
20、hInterf.Interf.Interf.TFTPPwrUp/ResetAux.StorageWebUIJuniperAux.Mgt.ServersDNS/SyslogConsole“Get”“Set”34Copyright 2009 Juniper Networks,I 建立控制台的连接建立控制台的连接 可以通过物理的控制线来连接防火墙设备。用控制线连接的好处直接连接到防火墙安全性好完成配置不需要网络连接不需要IP地址可以看到启动的信息可以看到时事的 debug or snoop 信息Juniper FWDeviceConsolePort35Copyright 2009 Juniper N
21、etworks,I 命令行界面命令行界面 使用终端登录防火墙,用默认的口令登录防火墙login:netscreen password:netscreen Command line interface(CLI)是默认的模式Use Up and Down Arrow keys to recall previous commands Use CTL-A to move to the beginning of a command lineUse CTL-E to move to the end of a command lineUse Left and Right Arrow keys to posi
22、tion cursor editing commandsUse TAB for command completionHelp facility availableUse?to display optionsUse at the prompt for commandsUse within a command for parameters36Copyright 2009 Juniper Networks,I 提供命令使用的帮助提供命令使用的帮助 CLIns208-?clear clear dynamic system infoexec exec system commandsexit exit c
23、ommand consoleget get system informationping ping other hostreset reset systemsave save commandset configure system parameterstrace-route trace routeunset unconfigure system parameters 输入问号可以提供时事的帮助信息:左列显示该命令的使用右列显示该命令的帮助信息。37Copyright 2009 Juniper Networks,I ns208-get systemProduct Name:NS208Serial
24、 Number:0043042002000034,Control Number:00000000Hardware Version:0110(0)-(11),FPGA checksum:00000000,VLAN1 IP(0.0.0.0)Software Version:5.0.0.0,Type:Firewall+VPNBase Mac:0010.db1d.1c30File Name:n200-LAS0z0ad,Checksum:00000000Date 04/15/2003 22:06:53,Daylight Saving Time enabledThe Network Time Protoc
25、ol is DisabledUp 2 hours 31 minutes 14 seconds Since 15 Apr 2003 19:35:39Total Device Resets:0System in NAT/route mode.Use interface IP,Config Port:80User Name:netscreenInterface ethernet1:number 0,if_info 0,if_index 0,mode nat link up,phy-link up/full-duplex vsys Root,zone Trust,vr trust-vr dhcp di
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JuniperFWtrainingNXPowerLite
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。