《NetScreen培训资料(基础篇).ppt》由会员分享,可在线阅读,更多相关《NetScreen培训资料(基础篇).ppt(57页珍藏版)》请在三一办公上搜索。
1、,第1页,2023/7/7,朝华软件应用服务有限公司,NetScreen防火墙应用培训,Juniper-NetScreen,培训内容,基础部分 1、防火墙的概念 2、具有代表性的netscreen产品(NS-204)防火墙的基础应用部分 1、应用模式的选择和实现 2、访问控制的实现(策略的设置)3、安全域的自定义 4、一些特殊应用的实现(MIP、DIP、VIP)5、配置文件的保存,基础部分的培训,基础部分 1、防火墙的概念、特点 2、具有代表性的netscreen产品(NS-204),防火墙的基本概念,是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障,也可称之为控制进/出两个方
2、向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部信任网络和外部非信任网络,以阻档外部网络的侵入、窃取和破坏。,防火墙的作用,是基于TCP/IP七层协议中的24层协议开发的。可以防止和缓解基于TCP/IP协议24层的攻击行为所造成的影响。,防火墙设备的特点,当前的防火墙是边界类网络安全设备.防火墙通常部署在网络的边界位置.作用是:隔离信任网络(内部网络)和非信任网络(外部网络,Internet)。防火墙作为进出网络的唯一节点,对进出网络的数据流进行检测和控制。,一般网络拓扑,部署防火墙的网络拓扑,防火墙的分类,防火墙的分类:软件防火墙产品(天网防火墙)PC架构的防火墙产品(
3、Cisco PIX)纯硬件设计的产品(NETSCREEN),NetScreen-204,集成的防火墙,VPN和流量管理.状态监控防火墙NAT,PPPoE 和 DHCP client,server&relayVPNSite to Site&Client to SiteSupports IPSec 3DES,DES&AES encryption standards支持 L2TP for Windows带宽管理和DiffServ标记支持 ScreenOS 5.0,性能和处理能力 400 Mbps 防火墙 128,000 同时的会话200Mbps VPN1000 IPSec VPN通道 4 个 10/
4、100 自适应以太网口目前支持3 ports第4口2002年1季度支持第4口将用于HA或第二个DMZAC 电源;DC电源可选,防火墙的基础应用部分 1、应用模式的选择和实现 2、访问控制的实现(策略的设置)3、安全域的应用和自定义 4、一些特殊应用的实现(MIP、DIP、VIP)5、配置文件的保存,基础应用,设备调试思路,1、了解网络状况。2、确定防火墙的部署位置。3、选择防火墙的应用模式,规划路由信息。4、确定策略方向、地址、服务信息。5、合理设定访问策略。,1、应用模式的选择,NETSCREEN防火墙有三种主要的应用模式 透明模式 NAT模式 路由模式 特殊模式:二层模式与三层模式混合部署
5、(需要一些条件支持),1、透明模式,透明模式:看上去与基于TCP/IP协议二层的设备类似,防火墙的端口上没有IP地址,只有一个用于管理的VLAN IP。适用的环境:一般用于处于相同网段的不同网络之间的安全隔离。优点:不需要重新配置路由器或受保护服务器的 IP 设置 不需要为到达受保护服务器的内向信息流创建映射或虚拟 IP 地址,1、基于透明模式的拓扑图,1、NAT模式,类似于基于TCP/IP第三层协议的设备,通过协议端口或IP头替换的方式实现地址转发和共享访问应用。适用的网络环境:客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公共IP地址的情况下。优点:针对内网对互联网的访问,可以
6、大量节省公共IP地址,路由结构清晰。,1、路由模式,与NAT模式类似,也是基于TCP/IP第三层协议的设备,数据流在通过防火墙设备时,IP地址信息不发生替换,以源地址的方式访问互联网或进入网络访问。适用的网络环境:拥有足够多的公网IP地址,可以满足网络中的所有设备全部使用和拥有公网IP地址的情况。优点:路由关系清晰,系统资源损耗较小。,1、网络拓扑图(NAT/ROUTE),1、对防火墙进行调试的准备工作,计算机需要有超级终端程序,提供串口。利用设备提供的控制线连接防火墙的控制口和计算机的串口。利用网线,连接防火墙的第一个网络接口和计算机的网卡;配置计算机的IP地址,使该地址与防火墙将要设置的地
7、址保持在相同的网段。观察防火墙的物理端口灯的状态,确认网络连接是否正常。,1、对防火墙进行调试的准备工作,建立控制台在计算机中的开始=程序=附件=超级终端选择连接的串口设置端口参数:每秒位数:9600数据位:8奇偶校验:无停止位:1数据流控制:无,1、防火墙的默认状态,当前出厂的防火墙的默认配置如下:在5.0系列的OS下,防火墙默认为NAT/路由混合模式的。防火墙的默认IP地址为:,该IP地址在防火墙的ethernet1上。防火墙默认启用DHCP功能,可以给连接到防火墙的计算机分配与端口地址在相同网段的IP地址。防火墙的默认用户名、密码:netscreen(用户名、密码相同)防火墙的三个接口的
8、安全区域是(指NS-25NS-208防火墙的设置)ethernet1:trust ethernet2:dmz ethernet3:untrust ethernet4:null,1、透明模式的实现(命令行),因为防火墙在默认情况下,不是透明模式的,因此需要进行调试,更改防火墙的应用模式为透明模式 命令实现:unset internet ethernet1 ip set interface ethernet1 zone v1-trust set interface ethernet2 zone v1-dmz set interface ethernet3 zone v1-untrust set i
9、nterface vlan1 ip save 在命令行下进行调试,需要进行手动保存。,1、NAT模式的实现(命令行),命令实现:set interface ethernet1 zone trust set interface ethernet2 zone dmz set interface ethernet3 zone untrust set interface ethernet1 ip set interface ethernet2 ip set interface ethernet3 ip set interface ethernet1 nat save,1、路由模式的实现(命令行),命令
10、实现:set interface ethernet1 zone trust set interface ethernet2 zone dmz set interface ethernet3 zone untrust set interface ethernet1 ip set interface ethernet2 ip set interface ethernet3 ip set interface ethernet1 route save,1、WEB方式的调试方式,计算机通过与防火墙连接的网线与防火墙保持连接。计算机设置本机IP地址,使该地址与防火墙保持在相同的网段,通过WEB浏览器,在地
11、址栏中输入防火墙的IP地址,登陆防火墙的WEB页面。防火墙拥有一个默认的IP地址:,在透明模式下,该IP为:vlan1的IP地址,在NAT的模式下,该地址为trust的IP地址,默认在eth1接口上。,1、NS防火墙的WEB界面,1、WEB下的基本设置,设置路由网关:NetworkRoutingRoutingEntries,2、访问控制的实现,防火墙的访问控制是依靠防火墙的访问控制策略(policy)实现的;所有的访问控制由防火墙的访问列表中的策略实现。访问控制策略包含五的最基本的必要信息:策略的方向 源地址信息 目标地址信息 网络服务信息 策略动作信息 其它非必要信息:日志、流量控制、认证、
12、实时流量记录、,2、策略设置,2、关于策略设置的建议,关于防火墙策略设置的建议;1、合理安排策略顺序:具体策略在上,非具体策略在下;拒绝策略在上,允许策略在下;VPN策略在上,非VPN策略在下;2、优化策略内容:合理利用地址组、服务组功能,2、自定义服务,在访问策略的定制过程中,个别的用户会使用到非标准的自定义服务,对于这些特殊的服务,就需要进行自定义服务的设置。设置的位置为:Objects Services Custom,2、自定义服务的设置,2、自定义服务组,在通过防火墙的访问中,通常会出现,内部对外的访问不止一种的情况,如:普通的上网应用,除了需要打开HTTP应用之外,还要开放DNS服务
13、,否则,对于网络域名的解析就无法实现。在上面的情况中,我们可以通过两种方法解决问题:第一种是,针对每种具体的应用,设置单独的策略。第二种是,针对几个应用同时使用的情况,定制一组应用,再针对这一组应用设置一条策略。,2、服务组的设置,3、安全域的设置和自定义,安全域的概念,由NETSCREEN首先提出。NETSCREEN认为:对于接入防火墙设备的每个网络,它们全部都是非信任的,针对每个安全域,全部可以自定义它的安全检测项目,即:安全级别。最常用的的安全域为:trust、dmz、untrust三层的安全域;v1-trust、v1-dmz、v1-untrust二层的安全域;以上的名称都是防火墙的保留
14、字。,3、安全域的自定义,为什么需要新定义安全域?防火墙的多端口特性,如:NS-208有8个物理端口,默认的保留域不足以保证每个端口都有一个安全域。管理员需要个性化的安全域。设置的位置:Network Zones New,3、基于二层协议的安全域,在Network Zones New设置名称:L2_任意选择协议层为第二层,3、基于三层的安全域,在Network Zones New设置名称:任意选择协议层为第三层,3、防火墙的安全区域,4、一些特殊的应用MIP(图),4、一些特殊应用的实现MIP,一对一的地址映射,是在防火墙三层的工作模式下实现的。通常这种设置的需求是:防火墙内部有一台或几台服务
15、器对Internet的计算机网络用户提供网络服务。同时,网络内部又拥有大量的一般用户;注册地址的数量超过不能满足内部用户的要求。,4、一些特殊应用的实现MIP,设置位置:network=interface=ethernet3=edit=MIP=NEW,4、MIP列表,4、MIP的策略设置,4、一些特殊的应用DIP(图),4、一些特殊应用的实现DIP,DIP,动态地址池,与CISCO的IP POOL功能类似。主要是提供对内部地址外出访问时的地址翻译。通常利用在,拥有大量的注册IP地址,同时,又拥有大量非注册地址的网络用户。理论上,一个注册IP地址可以代理60000多台主机外出。,4、DIP的设置
16、,设置位置:Network Interface Edit DIP 将一段连续的IP地址输入的对应的位置中,保存为一段地址池;通过访问控制策略调用IP地址池,使内部外出的用户可以动态的获得一个注册的IP。,4、DIP的设置,4、一些特殊的应用VIP(图),4、一些特殊应用的实现VIP,VIP,端口地址映射;作用是提供一个注册IP地址,对内部多个服务器或计算机提供的基于协议端口方式的地址影射。通常使用的情况是,网内有多个服务器对Internet提供网络服务,每个服务器调用的服务端口都不同。客户拥有的注册IP地址的数量不足以满足每个服务器一个IP地址的需要。,4、一些特殊应用的实现VIP,VIP的实
17、现方式:设置位置:Network Interface Edit VIP/VIP Services 首先,添加一个注册的IP地址。然后,增加一个内部的私有地址与该地址对应,并提供对应的协议端口。最后,设置访问控制策略。,4、VIP的设置,4、VIP的设置,4、VIP的设置,5、配置文件的保存,防火墙的配置文件支持导入、导出功能。通过导入、导出功能对于因调试原因导致的问题,可以实现快速的恢复。配置文件的导出:Configuration Update Config Filesave to file 保存到具体的位置配置文件的导入:Configuration Update Config File 浏览找到配置文件Apply,5、配置文件的导入、导出,培训结束,再见,
