Juniper防火墙配置.ppt

《Juniper防火墙配置.ppt》由会员分享，可在线阅读，更多相关《Juniper防火墙配置.ppt（67页珍藏版）》请在咨信网上搜索。

Copyright 2007 Juniper Networks,Inc.Proprietary and Confidential,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Juniper,防火墙基础,1,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,2,防火墙应用场景,1,3,防火墙应用场景,2,DMZ,区,安全区,2,“,供访客使用 只能上网,安全区,1,供员工使用,Web,email,关键应用,4,企业总部,/,数据中心,性能容量,Juniper,防火墙型号对应,远程办公室,/,中小企业,/,中小分支机构,中大企业,/,大型分支机构,30 Gbps,1,0 Gbps,NS5400,NS5200,4,Gbps,1,Gbps,600Mbps,300Mbps,ISG2000,ISG1000,SSG550,SSG520,SSG140,SSG5,SSG20,总部,/,数据中心,省级,/,地市核心,分支机构,SSG320/350,5,SSG,系列型号,SSG 5&SSG20(ssg20,有,2,个,Mini,插槽的）,160 Mbps FW/40 Mbps VPN,会话数：,8000,，加,license,可扩展到,16000,SSG 140,350+Mbps FW/100 Mbps VPN,8 FE+2 GE Interfaces+4 PIM slots,会话数：,48000,SSG 320M/350M,450+Mbps FW/175 Mbps VPN;550+Mbps FW/225 Mbps VPN;,4 GE+3 or 5 PIM slots,会话数：,48000;,SSG 520M/550M,2Gbps FW/300 Mbps VPN,；,4 Gbps FW/500 Mbps VPN,4GE+6 PIM slots,会话数：,128000,；,256000,SSG 5,SSG 20,SSG 140,SSG 550M,SSG 520M,SSG 320M,SSG 350M,6,规格对照之SSG 5,防火墙性能（大型数据包）160 Mbps,防火墙性能(IMIX)90 Mbps,每秒处理的防火墙数据包数量 30,000PPS,3DES+SHA-1 VPN性能 40 Mbps,并发VPN隧道数 25/40 ，最大并发会话数 8,000/16,000,新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8,最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50,固定I/O 7x10/100 802.11 a/b/g 可选,需要购买扩展许可,7,规格对照之SSG 20,防火墙性能（大型数据包）160 Mbps,防火墙性能(IMIX)90 Mbps,每秒处理的防火墙数据包数量 30,000,PPS3DES+SHA-1 VPN性能 40 Mbps,并发VPN隧道数 25/40 ，最大并发会话数 8,000/16,000,新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8,最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50,固定I/O 5x10/100,微型物理接口模块(Mini-PIM)扩展插槽（I/O）2,802.11 a/b/g 可选,需要购买扩展许可,8,规格对照之SSG 140,防火墙性能（大型数据包）350+Mbps,防火墙性能(IMIX)300Mbps,每秒处理的防火墙数据包数量 100,000PPS,3DES+SHA-1 VPN性能 100 Mbps,并发VPN隧道数 500 ，最大并发会话数 48,000,新会话/秒 8,000 最大安全策略数1,000 最大安全区数量 40,最大虚拟路由器数量 6 最大虚拟局域网数量 100,固定I/O 8x10/100,2x10/100/1000,物理接口模块(PIM)扩展插槽（I/O）4,无802.11 a/b/g,9,规格对照之SSG 350,防火墙性能（大型数据包）550+Mbps,防火墙性能(IMIX)500Mbps,每秒处理的防火墙数据包数量 225,000PPS,3DES+SHA-1 VPN性能 225 Mbps,并发VPN隧道数 500 ，最大并发会话数 128,000,新会话/秒 12,500 最大安全策略数2,000 最大安全区数量 40,最大虚拟路由器数量 8 最大虚拟局域网数量 125,固定I/O 4x10/100/1000,物理接口模块(PIM)扩展插槽（I/O）5,无802.11 a/b/g,可转换为junos软件,10,产品特点与效益列表,特点一：提供完整的统一威胁管理(UTM)功能,效益,状态防火墙，可执行接入控制并阻止网络层攻击,整合入侵检测解决方案(IPS)，有效阻止应用层的攻击,提供 Site-to-site IPSec VPN，以确保各分支机构之间能够安全通信,阻止拒绝服务(DoS)攻击,支持 H.323、SIP、SCCP和MGCP的应用层网关，以检测和保护VoIP流量,整合卡巴斯基防病毒技术，防止病毒、间谍软件、广告软件和其它恶意软件的 入侵,整合SOPHOS防垃圾邮件技术，有效阻止不知名的垃圾邮件和钓鱼邮件,整合Websense技术，有效控制和阻止对恶意网站的访问,11,特点与效益,特点二：防火墙整合路由功能,效益,结合安全防御和 LAN/WAN路由功能，并能够阻止内部网络与应用层中出现的攻击，以保护企业内部网络，降低 IT的费用支出,特点三：提供各种不同的LAN和WAN 接口选项,效益,包括T1/E1,Serial,DS3/E3,ADSL,Ethernet,SFP等,12,特点与效益,特点四：提供稳定的路由协议,效益,提供最好的路由协议，包括OSPF、BGP和RIP v1/2，而且兼容于Frame Relay、Multilink Frame Relay、PPP、Multilink PPP和HDLC,特点五：支持自动联机VPN(AC VPN),效益,可自动完成设置，并且以集中星型(hub-and-spoke)拓扑在远程分支机构之间自动建立VPN隧道，以提供高扩展性支持,13,特点与效益,特点六：支持多种高可用性选项,效益,支持接口或设备之间的故障切换机制，使服务不中断,特点七：多种管理方式,效益,可通过图形化Web接口、CLI或Network and Security Manager中央管理系统加以管理,14,特点与效益,特点八：整合统一接入控制(UAC),效益,可作为统一接入控制(UAC)的执行端，验证用户身份、设备安全状态等,特点九：支持基于路由/策略的VPN,效益,为企业在VPN环境里提供网络流量的负载平衡与备份功能,15,特点与效益,特点十：网络分段,效益,SSG系列提供一组高级网络分段功能，如桥接群组、安全区、虚拟LAN和虚拟路由器，让网管人员能够针对不同用户群组、无线网络和区域服务器，部署不同等级的安全防护机制。强大的网络安全管理和控制能力，能防止未经授权就接入网络的内、外部和DMZ子群组。,16,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,17,Juniper,管理方式,Web UI,默认的管理地址是,默认用户名密码是,netscreen,CLI,console,连接,18,设置主机名,CLI,SSG5-Serial-set hostname,Z-Pai-FW,Web UI,Network-DNS-Host-Host Name,19,20,设置管理员账号、密码,CLI,SSG5-Serial-set admin user,zpai,password,*,privilege all,Web UI,Configuration-administratrs-NEW,21,22,Zone,（区段）,区段是由一个或者多个网段组成的集合，需要通过策略来对入站和出站数据流进行调整。区段是绑定了一个或者多个端口的逻辑实体。,可以设置,3,层区段和,2,层区段。,查看,Zone,CLI,Get zone,Web UI,Network-Zone,23,创建,Zone,设置,2,层,zone,，名字前必须加上,l2,CLI,set zone name,l2,*,L2,Web UI,Network-Zone-NEW,24,25,配置端口,zone,CLI,set interface ethernet0/0 zone untrust,Web UI,network-interfaces-list-,选择端口,EDIT,在,zone name,中选取，点击,OK,26,27,配置端口管理方式及设置管理地址,CLI,set interface eth0/0 ip 192.168.1.1 255.255.255.0,set interface eth0/0 manage-ip 192.168.1.1,set interface eth0/0 manage web,set interface eth0/0 manage telnet,Web UI,network-interfaces-list-,选择端口,EDIT,设置地址类型,DHCP,、,PPPoE,或者是静态地址,可以设置此端口的管理功能,web,管理、,telent,、等功能,28,29,设置,DHCP,及,DHCP,地址范围,CLI,set interface bgroup0 dhcp server enable,set interface bgroup0 dhcp server option gateway 192.168.1.1,set interface bgroup0 dhcp server option netmask 255.255.255.0,set interface bgroup0 dhcp server ip 192.168.1.10 to 192.168.1.100,Web UI,network-DHCP-,选择端口,Edit,设置,DHCP,模式，,DHCP,网关、掩码，,DHCP,的,DNS,Networ-DHCP-,选择端口,address,设置,DHCP,地址范围,30,31,32,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,33,防火墙的接口模式,接口的连接模式,动态地址,静态地址,PPPoE,接口的传输模式,路由模式,NAT,模式,透明模式,34,透明模式,路由模式,VS,透明模式,路由模式，防火墙扮演一个三层设备，基于目的,IP,地址转发数据包。透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的,MAC,地址转发以太帧,透明模式与交换机,防火墙同交换机一样使用,MAC,地址表，智能地基于帧的目的,MAC,地址进行转发；但是，防火墙不会泛洪,MAC,地址表不存在的未知的目的单播,MAC,地址。,防火墙不参与生成树（,STP,）。因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。如果有环路，你会很快的该设备和交换机的,CPU,利用率会增加到,100,。,交换机在第一层和第二层处理流量，透明模式防火墙可以在第一层到第七层处理流量。因为，透明模式防火墙既可以基于第二层信息转发流量，又可以基于,ACLs,、甚至应用层策略来转发流量。,透明模式默认的策略是出站全部允许，进站全部禁止,35,设置接口的连接模式,CLI,set interface ethernet0/6 dhcp client enable,set interface ethernet0/6 ip 192.168.1.10,set pppoe name pppoe,set pppoe name pppoe username 123 password 123,set pppoe name pppoe interface ethernet0/6,Web UI,Network-Interfaces-,选择端口,-edit,选择,Obtain IP Using DHCP,、,Obtain IP Using PPPoE,或者,Static IP,36,37,38,设置接口的传输模式,设置路由模式或,NAT,模式,CLI,set interface e0/0 nat,set interface e0/0 route,Web UI,Network-Interfaces-,选择端口,-edit,在,interface mode,中选择,NAT,或者,Route,39,40,设置接口的传输模式,设置透明模式,CLI,set interface vlan1 ip 192.168.10.1 255.255.255.0,set interface eth0/5 zone v1-trust,set interface eth0/6 zone v1-untrust,Web UI,Network-interface-vlan1 edit,设置管理地址,Network-interface-eth0/5 edit,更改,zone name,为,v1-trust,Network-interface-eth0/6 edit,更改,zone name,为,v1-untrust,41,42,43,44,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,45,策略的组成（,1,）,ID,是策略的序号，但不是策略匹配的顺序,Name,是策略的名称，可以通过名称来标识策略的作用,Zone,区段，在之前以及讲过,Address name/group,设置策略的源地址和目的地址，一定要先创建地址名称或者地址组。在策略中只能引用地址名称,/,地址组。,46,策略的组成（,2,）,Service name,服务的名称，系统中有定义好的服务，可以通过,get service,来查看服务的名称及使用的端口号。如果策略中要使用的服务不在列表中，需要自己来创建。同地址一样，在策略中只能引用策略名称。,动作,允许,permit/,禁止,deny/,拒绝,reject,47,创建地址名称和地址组,CLI,set address trust,address-name,192.168.10,.10,255.255.255,.255,set group address trust,group-name,add,address-name,Web UI,Policy-Policy Elements-address-list,点击,new,新建地址,Policy-Policy Elements-address-group,点击,new,新建组,48,49,50,创建服务,CLI,set service,service-name,protocol tcp src-port,11-11,Web UI,Policy-Policy Elements-services-custom,点击,New,来新建,在,transport protocol,中选择,IP,协议,选择,source prot,或者,destination port,，填写端口号,51,52,策略的结构,ID Name From,zone,to,zone,source-address-name destination-address-name service-name,permit/deny,CLI,Set policy from trust to untrust aa any http deny,添加多个服务,Set policy id 10,Set service dns,Set service ftp,exit,Web UI,Policy-policies,选择,From,（,zone,）,To,（,zone,）点击,New,新建策略,Name,是可选项，在源地址和目的地址中可选取在,address list,中建立的地址池，也可在,new address,中直接添加。,Service,中也可以添加多个服务，点击,multiple,中选择,53,54,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,55,防火墙端口映射的步骤,1,创建要映射的服务端口名称,CLI,set service,service-name,protocol tcp dst-port,8080-8080,Web UI,Policy-Policy Elements-services-custom,点击,New,来新建,在,transport protocol,中选择,IP,协议,选择,destination port,，填写要映射的端口号,56,57,防火墙端口映射的步骤,2,创建要映射的端口地址及映射,CLI,set interface e0/0 vip interface-ip,port-number,service-name,映射地址,Web UI,Network-interface-list,选择端口,edit,，点击,VIP,页面,选择,same as the interface IP address,点击,add,然后点击,new VIP,Service,选择,map to service,服务，填写映射地址,58,59,60,61,防火墙端口映射的步骤,3,创建映射策略,CLI,set policy from untrust to trust any vip any permit,Web UI,Policy-policies,选择,From,（,untrust,）,To,（,trust,）点击,New,新建策略,在,destination address,中选择,VIP,在,Action,中选择,Permit,62,63,64,65,THE END,66,