Juniper防火墙连网端口映射.pptx

《Juniper防火墙连网端口映射.pptx》由会员分享，可在线阅读，更多相关《Juniper防火墙连网端口映射.pptx（44页珍藏版）》请在咨信网上搜索。

Copyright 2008 Juniper Networks,Inc.Proprietary and C1课程目标课程目标NS防火墙部署方式介绍，部署方式主要有以下几种防火墙部署方式介绍，部署方式主要有以下几种1、路由模式、路由模式2、透明模式、透明模式3、混合模式（、混合模式（1、2两种模式的结合）两种模式的结合）内网各种应用服务器（内网各种应用服务器（WEB、ERP、EMAIL）的发布）的发布1、MIP、VIP、DIP2、访问应用服务器的安全策略、访问应用服务器的安全策略Copyright 2008 Juniper Networks,Inc.Proprietary and C2路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由器。如图：路由器。如图：防火墙部署方式一、路由模式防火墙部署方式一、路由模式原网络环境架墙之后的拓扑SWROUTE内网内网PCFWSW内网内网PCNAT转换转换Copyright 2008 Juniper Networks,Inc.Proprietary and C3路由模式的配置步骤路由模式的配置步骤第一步、配置防火墙的接口地址第一步、配置防火墙的接口地址第二步、配置防火墙的缺省路由第二步、配置防火墙的缺省路由第三步、配置防火墙安全策略第三步、配置防火墙安全策略下面以截图具体说明下面以截图具体说明Copyright 2008 Juniper Networks,Inc.Proprietary and C4网络拓扑网络拓扑E 0/0E 0/2192.168.1.1/24Copyright 2008 Juniper Networks,Inc.Proprietary and C5接口地址一览表接口地址一览表(初始初始)编辑缺省外网接口Copyright 2008 Juniper Networks,Inc.Proprietary and C6配置缺省外网接口配置缺省外网接口IP及管理项及管理项配置静态公网IP公网远程管理开关选择管理项外网口为ROUTE内网口为NATCopyright 2008 Juniper Networks,Inc.Proprietary and C7内外网接口配置完成后一览表内外网接口配置完成后一览表Copyright 2008 Juniper Networks,Inc.Proprietary and C8路由一览表路由一览表添加路由条目按键Copyright 2008 Juniper Networks,Inc.Proprietary and C9添加缺省路由添加缺省路由缺省路由配置格式防火墙互联网网关地址选择外网接口Copyright 2008 Juniper Networks,Inc.Proprietary and C10添加缺省路由后路由表添加缺省路由后路由表Copyright 2008 Juniper Networks,Inc.Proprietary and C11创建创建Trust-Untrust区域策略区域策略源区域源区域 目的区域目的区域 创建创建Copyright 2008 Juniper Networks,Inc.Proprietary and C12创建创建TrustUntrust区域策略区域策略自定义策略名称内网的所有地址可以访问外网的所有地址开启LOG;并把该策略置顶执行Copyright 2008 Juniper Networks,Inc.Proprietary and C13创建创建Trust-Untrust区域策略区域策略完成策略配置完成策略配置点击此处可以查看策略日志Copyright 2008 Juniper Networks,Inc.Proprietary and C14路由模式配置完成路由模式配置完成配置完成后:1.Ping测试,使用内网PC用Ping192.168.1.1地址进行连通测试.2.Ping测试,使用内网PC用Ping外网地址进行互联网测试.Copyright 2008 Juniper Networks,Inc.Proprietary and C15透明模式的部署环境分两种透明模式的部署环境分两种1、标准包下的透明模式、标准包下的透明模式2、TRUNK模式下的透明模式模式下的透明模式下面结合具体环境说明一下下面结合具体环境说明一下防火墙部署方式二、透明模式防火墙部署方式二、透明模式架墙之后的拓扑原网络环境标准包下的透明模式标准包下的透明模式SWROUTE内网内网PCFWSW内网内网PCROUTECopyright 2008 Juniper Networks,Inc.Proprietary and C16标准包下的透明模式配置步骤标准包下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第一步、配置防火墙的接口为二层模式第二步、配置防火墙的第二步、配置防火墙的VLAN1的地址的地址第三步、配置防火墙安全策略第三步、配置防火墙安全策略下面以截图具体说明下面以截图具体说明Copyright 2008 Juniper Networks,Inc.Proprietary and C17网络拓扑网络拓扑VLAN1IP 192.168.2.1/24192.168.1.1/24RouterCopyright 2008 Juniper Networks,Inc.Proprietary and C18透明模式步骤外网接口配置透明模式步骤外网接口配置初始未配置页面初始未配置页面Copyright 2008 Juniper Networks,Inc.Proprietary and C19透明模式步骤外网接口配置透明模式步骤外网接口配置改变Untrust-V1-UntrustCopyright 2008 Juniper Networks,Inc.Proprietary and C20透明模式透明模式-外网接口配置外网接口配置设置VLAN1管理地址Copyright 2008 Juniper Networks,Inc.Proprietary and C21配置用于管理的配置用于管理的VLAN 1 IP地址地址配置与缺省地址的不同私有地址用于管理Copyright 2008 Juniper Networks,Inc.Proprietary and C22透明模式透明模式-内网接口配置内网接口配置删除原有IPCopyright 2008 Juniper Networks,Inc.Proprietary and C23透明模式透明模式-内网接口配置内网接口配置更改TrustV1-TrustCopyright 2008 Juniper Networks,Inc.Proprietary and C24透明配置完成后再次登陆透明配置完成后再次登陆使用配置的VALN 1 IP 地址登录WEB界面Copyright 2008 Juniper Networks,Inc.Proprietary and C25创建创建V1-Trust-V1-Untrust区域策略区域策略源区域源区域 目的区域目的区域 创建创建Copyright 2008 Juniper Networks,Inc.Proprietary and C26透明模式配置完成透明模式配置完成配置完成后:Ping测试,使用内网PC用Ping“路由器内网接口地址”进行连通测试.Ping测试,使用内网PC用Ping外网地址进行互联网测试.Copyright 2008 Juniper Networks,Inc.Proprietary and C27TRUNK模式下的透明模式模式下的透明模式下面结合具体环境说明一下下面结合具体环境说明一下防火墙部署方式二、透明模式防火墙部署方式二、透明模式架墙之后的拓扑ROUTE内网内网PCFW原网络环境TRUNK模式下的透明模式模式下的透明模式SWTRUNKROUTE内网内网PCSWTRUNKTRUNKCopyright 2008 Juniper Networks,Inc.Proprietary and C28TRUNK模式下的典型应用模式下的典型应用-TRUNK透传VLAN2/3ROUTERSWVLAN4/5SWFWFWTrunkTrunkTrunkTrunkVLAN2ROUTERSWVLAN3FWSWTrunkTrunkTrunk192.168.1.0192.168.1.0/24192.168.2.0/24192.168.1.1192.168.1.1 192.168.2.1192.168.2.1透明模式支持VLAN透传VLAN需终结于FWCopyright 2008 Juniper Networks,Inc.Proprietary and C29TRUNK模式下的典型应用模式下的典型应用-内网访问控制VLAN3VLAN3用户用户vlan2vlan2用户用户Firewall192.168.2.2/24VLAN 2VLAN 2Cisco 3550应用应用1 1聚合端口聚合端口+中继端口中继端口Trust zone:Vlan2.gw192.168.2.1/24Untrust zone:Vlan3.gw192.168.3.1/24VLAN 3VLAN 3Vlan4.gw192.168.4.1/24192.168.3.2/24192.168.4.2/24 Vlan5.gw192.168.5.1/24VLAN5VLAN5192.168.5.2/24VLAN4VLAN4应用应用2 2互连互连VLAN:Vlan10192.168.10.0/30Copyright 2008 Juniper Networks,Inc.Proprietary and C30TRUNK下的透明模式配置步骤下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第一步、配置防火墙的接口为二层模式第二步、配置防火墙的第二步、配置防火墙的VLAN1的地址的地址第三步、配置防火墙的第三步、配置防火墙的VLAN1接口支持接口支持TRUNK第三步、配置防火墙安全策略第三步、配置防火墙安全策略Copyright 2008 Juniper Networks,Inc.Proprietary and C31混合模式是前两种模式的结合，是针对两条外网线路环境下而设计的混合模式是前两种模式的结合，是针对两条外网线路环境下而设计的防火墙部署方式三、混合模式防火墙部署方式三、混合模式架墙之后的拓扑ROUTE1内网内网PCFW原网络环境SWROUTE1内网内网PCSWROUTE2透明透明模式模式路由路由模式模式Copyright 2008 Juniper Networks,Inc.Proprietary and C32混合模式配置步骤混合模式配置步骤第一步、配置防火墙的两个接口为二层模式第一步、配置防火墙的两个接口为二层模式第二步、配置防火墙的另外两个接口为路由模式第二步、配置防火墙的另外两个接口为路由模式第三步、配置防火墙的第三步、配置防火墙的VLAN1接口地址接口地址第三步、配置防火墙安全策略第三步、配置防火墙安全策略Copyright 2008 Juniper Networks,Inc.Proprietary and C33企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此种情况下，就需设置种情况下，就需设置NS墙的墙的MIP、VIP、DIP（防火墙部署方式需路由）（防火墙部署方式需路由）内网各种应用服务器（内网各种应用服务器（WEB、ERP、EMAIL）的发布）的发布内网内网PCFWSWWEBCopyright 2008 Juniper Networks,Inc.Proprietary and C34MIP、VIP、DIP之间的区别之间的区别1、MIP是一对一的地址映射，即一个公网地址只对应一是一对一的地址映射，即一个公网地址只对应一台内网服务器，公网所有端口都映射到内部服务器。台内网服务器，公网所有端口都映射到内部服务器。2、VIP是一对多地址转换，即一个公网地址的不同端口，是一对多地址转换，即一个公网地址的不同端口，可以转换到对应多台内部服务器，如外网可以转换到对应多台内部服务器，如外网80可转换到可转换到服务器服务器1上，而外网的上，而外网的21(或其它端口或其它端口)同时可转换到服同时可转换到服务器务器2上；而上；而MIP要么映射到服务器要么映射到服务器1，要么映射到服，要么映射到服务器务器2上，两者不能同时存在。上，两者不能同时存在。3、DIP是一组公网地址，让内网机器随机地转换成组内是一组公网地址，让内网机器随机地转换成组内任意一个公网地址。任意一个公网地址。Copyright 2008 Juniper Networks,Inc.Proprietary and C35MIP、VIP配置步骤配置步骤第一步、选择做第一步、选择做MIP、VIP对应的外网口对应的外网口第二步、确定是用第二步、确定是用MIP还是还是VIP发布服务器发布服务器第三步、设置第三步、设置MIP或或VIP与内网服务器对应关系与内网服务器对应关系第三步、配置与第三步、配置与MIP、VIP对应的安全策略对应的安全策略下面以最常用的下面以最常用的VIP发布发布WEB服务为例具体说明，服务为例具体说明，MIP的设置方法与之基本相同。的设置方法与之基本相同。Copyright 2008 Juniper Networks,Inc.Proprietary and C36 VIP 配置配置 网络拓扑网络拓扑192.168.1.1/24 WEB Server:192.168.1.254/24Copyright 2008 Juniper Networks,Inc.Proprietary and C37安全网关安全网关VIP 配置配置当网络只有一个公网IP时选择添加VIP的公网服务器IP当网络有多个公网IP时选择并输入公网IP选择外网口Copyright 2008 Juniper Networks,Inc.Proprietary and C38安全网关安全网关VIP 配置配置Copyright 2008 Juniper Networks,Inc.Proprietary and C39内网服务器地址此时和外网WEBUI管理的端口(80)冲突,解决方式见下图安全网关安全网关VIP 配置配置Copyright 2008 Juniper Networks,Inc.Proprietary and C40更改远程管理端口,自定义更改更改更改WEBUI的管理端口的管理端口Copyright 2008 Juniper Networks,Inc.Proprietary and C41安全网关安全网关VIP 配置配置VIP配置完成配置完成Copyright 2008 Juniper Networks,Inc.Proprietary and C42安全网关安全网关VIP 安全策略配置安全策略配置选择VIP 接口Copyright 2008 Juniper Networks,Inc.Proprietary and C43安全网关安全网关VIP 安全策略配置安全策略配置VIP 安全策略配置完成安全策略配置完成Copyright 2008 Juniper Networks,Inc.Proprietary and C44感谢大家感谢大家