juniper防火墙技术和实践操作培训.ppt

* Transparent Mode * * * * * * * * * * * * * 步骤3: 创建策略 - WebUI Select zone pairs, then click “New” Policies * 创建策略 - WebUI Components Source & Destination Zone Source & Destination Address Use pull-down menu to display address book entries Service Use pull-down menu to display service entries Action Permit, deny, reject, or tunnel * 查看策略条目 – WebUI Policies * 步骤4: 策略排序 新策略添加后自动到最下面 默认条件是拒绝所有策略 顺序非常重要! * 策略重新排序 - WebUI 根据号码来排序 根据位置来排序 Move Button Move Arrow * 策略重新排序 使用按钮 使用箭头 4、一些特殊应用的实现MIP 一对一的地址映射，是在防火墙三层的工作模式下实现的。 通常这种设置的需求是： 防火墙内部有一台或几台服务器对Internet的计算机网络用户提供网络服务。同时，网络内部又拥有大量的一般用户；注册地址的数量超过不能满足内部用户的要求。 4、一些特殊应用的实现MIP 设置位置： network=>interface=>ethernet3=>edit=> MIP=>NEW 4、MIP列表 基于MIP应用的访问策略 一般应用： 主要的应用是公网IP与内部IP的一对一映射 策略方向：由untrust到trust或DMZ 源地址为：ANY 目标地址：MIP(IP) 4、MIP的策略设置 4、一些特殊的应用DIP（图） 4、一些特殊应用的实现DIP DIP，动态地址池，与CISCO的IP POOL功能类似。 主要是提供对内部地址外出访问时的地址翻译。 通常利用在，拥有大量的注册IP地址，同时，又拥有大量非注册地址的网络用户。 理论上，一个注册IP地址可以代理60000多台主机外出。 4、DIP的设置 设置位置：Network > Interface > Edit > DIP 将一段连续的IP地址输入的对应的位置中，保存为一段地址池；通过访问控制策略调用IP地址池，使内部外出的用户可以动态的获得一个注册的IP。 4、DIP的设置 4、一些特殊的应用VIP（图） 4、一些特殊应用的实现VIP VIP，端口地址映射 作用是提供一个注册IP地址，对内部多个服务器或计算机提供的基于协议端口方式的地址影射。 通常使用的情况是，网内有多个服务器对Internet提供网络服务，每个服务器调用的服务端口都不同。 客户拥有的注册IP地址的数量不足以满足每个服务器一个IP地址的需要。 4、一些特殊应用的实现VIP VIP的实现方式： 设置位置：Network > Interface > Edit > VIP/VIP Services 首先，添加一个注册的IP地址。 然后，增加一个内部的私有地址与该地址对应，并提供对应的协议端口。 最后，设置访问控制策略。 4、VIP的设置 4、VIP的设置 4、VIP的设置 * * * * * * * * * * Transparent Mode 运行模式 1. 透明模式 * 什么是透明模式? 防火墙接口工作在2层模式下，类似于交换机，桥接模式 Learning, Flooding, Forwarding, Filtering 透明模式允许在2层安全域之间通过策略控制流量 10.1.0.0/16 E1 E3 zone V1-Trust zone V1-DMZ zone V1-Untrust E2 * V1-Untrust 透明模式的作用 可以简单快速的部署防火墙到现有网络中 不需要改变现有网络拓扑结构 “Drop it in” 和IP地址设计为隐藏 策略没有限制到直连的子网 增强的安全 VPNs 能够终结到netscreen设备 在基于路由的ACLs上安全域提供流量控制 V1-Trust 10.1.0.0/16 V1-DMZ B B D A B C 10.100.1.0/16 10.200.1.0/16 E * 第二层安全域 Pre-defined - “V1” zones V1-Trust V1-Untrust V1-DMZ User-defined Layer-2 (L2) zones When creating a L2