Juniper网络安全设备应用文档.docx
- 文档编号:27404365
- 上传时间:2023-06-30
- 格式:DOCX
- 页数:30
- 大小:1.22MB
Juniper网络安全设备应用文档.docx
《Juniper网络安全设备应用文档.docx》由会员分享,可在线阅读,更多相关《Juniper网络安全设备应用文档.docx(30页珍藏版)》请在冰豆网上搜索。
Juniper网络安全设备应用文档
研发服务中心
网络文档
Juniper网络安全设备应用文档
(防火墙)
2011-4-25发布
目录
一、学习内容5
1.概念部分5
2.应用部分5
二、基础部分的学习5
三、防火墙的作用6
四、防火墙设备的特点6
五、无安全设备的网络拓扑6
六、部署防火墙的网络拓扑7
七、防火墙的分类7
八、SSG系列安全业务网关7
九、基础应用8
十、设备调试思路9
十一、防火墙设备的设置步骤9
十二、对防火墙进行调试的准备工作10
十三、防火墙的默认状态10
十四、部署模式的选择11
1.Junipernetscreen防火墙有三种的应用模式11
2.特殊模式:
11
十五、透明模式11
1.透明模式:
11
2.适用用的环境:
11
3.优点:
11
4基于透明模式的拓扑图11
5.透明模式的实现(命令行)12
十六、NAT模式12
1.适用的网络环境:
12
2.优点:
12
3.网络拓扑图(NAT/ROUTE)12
4.NAT模式的实现(命令行)13
十七、路由模式13
1.适用的网络环境13
2.优点:
13
3.网络拓扑图(NAT/ROUTE)13
4.路由模式的实现(命令行)14
十八、登录防火墙WEB界面14
十九、NS防火墙的WEB界面15
二十、WEB下的基本设置15
1.设置路由网关15
二十一、访问控制的实现16
1.访问控制策略包括六个最基本的必要信息16
2.其它非必要信息16
二十二、策略设置16
二十三、自定义服务17
二十四、安全域的设置和自定义18
二十五、特殊应用的实现MIP20
1.特殊的应用MIP(图)20
2.特殊的应用MIP20
3.MIP定义20
4.MIP列表21
5.基于MIP应用的访问策略21
6.MIP的策略设置21
二十六、特殊应用的实现DIP22
1.特殊的应用DIP(图)22
2.DIP的设置22
3.DIP的地址池设置23
4.DIP在策略中的应用23
5.应用了DIP的策略现象24
二十七、特殊应用的实现VIP24
1.特殊的应用VIP(图)24
2.特殊应用的实现VIP25
3.VIP的地址定义25
4.VIP的端口映射关系25
5.VIP的映射列表25
6.VIP的策略26
二十八、配置文件的保存26
1.配置文件的导入、导出27
二十九、防火墙设备恢复出厂状态27
文档修改记录
序号
操作
文档版本
文档更新日期
文档撰写人
文档审核人
1
C
V1.0
2011-4-25
卜红素
说明:
创建:
C修改:
M删除D重命名:
R
一、学习内容
1.概念部分
1.防火墙的概念
2.具有代表性的Juniper产品(SSG系列)
2.应用部分
1.部署模式的选择和实现
2.访问控制的实现(策略的设置)
3.安全域的自定义
4.一些特殊应用的实现(MIP\DIP\VIP)
5.配置文件的保存
二、基础部分的学习
1.概念部分
1.防火墙的概念、特点
2.具有代表性的Juniper产品(SSG)
2.防火墙的基本概念
1.是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的阀门。
2.部署在网络边界位置,通过防火墙设备的检测、过滤、拦截手段,隔离内部信任网络和外部非信任网络,以阻挡非信任网络对可信任网络的入侵,窃取和破坏,由此实现保护网络的安全。
三、防火墙的作用
1.是基于TCP/IP七层协议中的2~4层协议开发的。
2.可以防止和缓解基于TCP/IP协议2~4层的攻击行为所造成的安全方面的影响。
3.部分防火墙设备可以提供有限的应用层防护功能。
四、防火墙设备的特点
1.部署位置:
当前的防火墙是边界类网络安全设备。
2.作用:
隔离信任网络(内部网络)和非信任网络(外部网络,Intcrnct)。
3.唯一性:
作为进出网络的唯一节点,对进出网络的数据流进行检测、过滤和控制。
五、无安全设备的网络拓扑
六、部署防火墙的网络拓扑
七、防火墙的分类
1.防火的分类:
1.软件防火墙的产品(Checkpoint)
2.PC架构的防火墙产品(诺基亚)
3.一体化软件设计及纯硬件体系的防火墙产品(Juniper)
八、SSG系列安全业务网关
如:
●Juniper网络公司SSG550Juniper网络公司SSG140
-1Gbps的FWIMIX@660Kpps-300Mbps的FWIMIX@100Kpps
-500Mbps的VPN/500MbpsIPS-100Mbps的VPN
-6个I/O插槽-4个可插LAN口模块-8个10/100以太网或2个
-双电源,DC为可选,NEBS为选项10/100/1000LAN口模块
-12.8万个会话,1000条VPN隧道-单一电源
-3.2万个会话,175条VPN隧道
九、基础应用
1.防火墙的应用部分
1.应用模式的选择和实现
2.访问控制的实现(策略的设置)
3.安全域的应用和自定义
4.一些基础应用(MIP\DIP\VIP)
5.配置文件的保存
一十、设备调试思路
1.了解网络状况。
2.确定防火墙的部署位置。
3.选择防火墙的部署模式,规划网络路由信息。
4.确定策略方向、地址、服务信息。
5.合理设定访问策略。
一十一、防火墙设备的设置步骤
1.确定设置防火墙的部署模式
2.设置防火墙设备的IP地址信息(接口地址或管理地址)
3.设置防火墙设备的路由信息
4.确定经过防火墙设备的IP地址信息(基于策略的源、目标地址)
5.确定网络应用
6.配置访问控制策略
一十二、对防火墙进行调试的准备工作
1.计算机需要有超级终端程序,提供串口。
2.利用设备提供的控制线连接防火墙的控制口和计算机的串口。
3.利用网线,连接防火墙的第一个网络接口和计算机的网卡;配置计算机的IP地址,使该地址与防火墙将要设置的地址保持在相同的网段。
4.观察防火墙的物理端口灯的状态,确认网络连接是否正常。
5.建立控制台
在计算机中的开始=》程序=》附件=》超级终端
6.选择连接的串口
设置端口参数:
每秒位数:
9600
数据位:
8
奇偶校验:
无
停止位:
1
数据流控制:
无
一十三、防火墙的默认状态
1.当前出厂的防火墙的默认配置基础如下:
在5.0系列以上的OS中,中低端防火墙设备默认工作在NAT/路由混合模式下;高端设备通常提供独立的管理端口并设置默认IP地址,防火墙所有的基于网络流量转发的端口配置为空。
防火墙的默认IP地址为:
192.168.1.1/24,该IP地址在防火墙的Ethernet1或MGT上。
防火墙的默认用户名、密码:
Netscreen(用户名、密码相同)
防火墙的三个接口的安全区域是(指NS-25~NS-208防火墙的配置)
Ethernet1:
trunst
Ethernet2:
dmz
Ethernet3:
untrust
Ethernet4:
null
一十四、部署模式的选择
1.Junipernetscreen防火墙有三种的应用模式:
1.透明模式
2.NAT模式
3.路由模式
2.特殊模式:
二层模式与三层模式混合部署
(需要一些条件的支持)
一十五、透明模式
1.透明模式:
看上去于基于TCP/ip协议二层的设备类似,防火墙的端口上没有IP地址,只有一个用于管理的全局IP。
2.适用用的环境:
一般用于处于相同网段的不同网络之间的安全隔离。
3.优点:
不需要重新配置路由器或受保护服务器的IP设置。
不需要为到达受保护服务器的内向信息流创建地址映射或端口映射。
4.基于透明模式的拓扑图
5.透明模式的实现(命令行)
因为防火墙在默认情况下,不是透明模式的,因此需要进行调试,更改防火墙的应用模式为透明模式。
命令实现:
Unsetinterfaceethernet1ip
Setinterfaceethernet1zonev1-trust
Setinterfaceethernet2zonev1-dmz
Setinterfaceethernet3zonev1-untrust
Setinterfacevlan1ip192.168.1.1/24
Save
在命令行下进行调试,需要进行手动保存。
一十六、NAT模式
类似于基于TCP/IP第三层协议的设备,通过协议端口或IP头替换的方式实现地址转发和共享访问互联网的应用。
(源自JuniperOS手册)
1.适用的网络环境:
客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公网IP地址的情况。
2.优点:
针对内网对互联网的访问,可以大量节省公网IP地址,路由结构清晰。
3.网络拓扑图(NAT/ROUTE)
4.NAT模式的实现(命令行)
命令实现:
Setinterfaceethernet1zonetrust
Setinterfaceethernet2zonedmz
Setinterfaceethernet3zoneuntrust
Setinterfaceethernet1ip192.168.1.1/24
Setinterfaceethernet2ip172.16.1.1/24
Setinterfaceethernet3ip10.10.1.1/24
SetinterfaceEthernet3ipgateway10.10.0.251
Setinterfaceethernet1nat
Save
一十七、路由模式
与NAT模式类似,也是基于TCP/IP第三层协议的设备,数据流在通过防火墙设备时,IP地址信息部发生替换,以源地址的方式访问互联网或进入网络访问。
(源自JuniperOS手册)
1.适用的网络环境:
拥有足够多的公网IP地址,可以满足网络中的所有设备全部适用和拥有公网IP地址的情况。
2.优点:
路由关系清晰,系统资源损耗较小。
3.网络拓扑图(NAT/ROUTE)
4.路由模式的实现(命令行)
命令实现:
Setinterfaceethernet1zonetrust
Setinterfaceethernet2zonedmz
Setinterfaceethernet3zoneuntrust
Setinterfaceethernet1ip192.168.1.1/24
Setinterfaceethernet2ip172.16.1.1/24
Setinterfaceethernet3ip10.10.1.1/24
Setinterfaceethernet3gateway10.10.0.251
SetinterfaceEthernet1route
Save
一十八、登录防火墙WEB界面
1.通过微软IE浏览器,在地址栏中输入防火墙的IP地址,登录防火墙的WEB管理页面,获得管理权限。
2.防火墙拥有一个默认的IP地址:
192.168.1.1,在透明模式下,该IP为:
VLAN1的ip地址,在NAT的模式下,该地址为trust的ip地址,默认在eth1接口上。
一十九、NS防火墙的WEB界面
二十、WEB下的基本设置
1.设置路由网关:
Network>Routing>RoutingEntries
二十一、访问控制的实现
防火墙的访问控制是依靠防火墙的访问控制策略(Policy)实现的;所有的访问控制由防火墙的访问列表中的策略实现。
1.访问控制策略包括六个最基本的必要信息:
1.策略的方向
2.源地址信息
3.目标地址信息
4.网络服务信息
5.策略动作信息
6.策略的排列位置
2.其它非必要信息:
日志、流量控制、认证、实时流量记录、
二十二、策略设置
关于策略设置的建议
1.关于防火墙策略设置的建议;
1.合理安排策略顺序:
具体策略在上,非具体策略在下;
拒绝策略在上,允许策略在下;
VPN策略在上,非VPN策略在下;
2.优化策略内容:
合理利用地址组、服务组功能
二十三、自定义服务
在访问策略的定制过程中,个别的用户会使用到非标准的自定义服务,对于这些特殊的服务,就需要进行自定义服务的设置。
设置的位置为:
Objects>Services>Custom
1.自定义服务的设置
2.自定义服务组
1)在通过防火墙的访问中,通常会出现,内部对外的访问不止一种的情况,如:
普通的上网应用,除了需要打开HTTP应用之外,还要开放DNS服务,否则,对于网络域名的解析就无法实现。
2)在上面的情况中,我们可以通过两种方法解决问题:
第一种是,针对每种具体的应用,设置单独的策略。
第二种是,针对几个应用同时使用的情况,定制一组应用,再针对这一组应用设置一条策略。
服务组的定义位置:
Objects>services>groups>configuration
3.服务组的设置
二十四、安全域的设置和自定义
1.安全域的概念,由NetScreen首先提出
1)NetScreen认为:
对于接入防火墙设备的每个网络,它们全部都是非信任的,针对每个安全域,全部可以自定义它的安全检测项目,即:
安全级别。
2)最常用的安全域为:
trust、dmz、untrust三层的安全域;V1-trust、V1-dmz、V1-untrust二层的安全域;以上的名称都是防火墙的保留字。
2.安全域的自定义
为什么需要新定义安全域?
1)防火墙的多端口特征,如:
NS-208有8个物理端口,默认的保留域不足以保证每个端口都是一个安全域。
2)管理员需要个性化的安全域。
设置的位置:
Network>zones>New
3.基于二层协议的安全域
1)在Network>Zones>New
2)设置名称:
L2-任意
3)选择协议层为第二层
4.基于三层的安全域
1)在Network>Zones>New
2)设置名称:
任意
3)选择协议层为第三层
4)选择该安全域所在的虚拟路由
5.防火墙的安全区域
二十五、特殊应用的实现MIP
1.一对一的地址映射,是在防火墙三层的工作模式下实现的。
2.通常这种设置的需求是:
防火墙内部有一台或几台服务器对inernet的计算机网络用户提供网络服务。
同时,网络内部又拥有大量的一般用户;注册地址的数量超过不能满足内部用户的要求。
1.特殊的应用MIP(图)
2.特殊的应用MIP
设置位置:
Network=>interface=>ethernet3=>edit=>MIP=>new
3.MIP定义
4.MIP列表
5.基于MIP应用的访问策略
1)一般应用:
主要的应用是公网IP与内部IP的一对一映射
2)策略方向:
由Untrust到Trust或DMZ
3)源地址为:
ANY
4)目标地址:
MIP(IP)
5)服务类型:
按需可选
6.MIP的策略设置
二十六、特殊应用的实现DIP
1.DIP,动态地址池,与Cisco的IPpool功能类似。
2.主要是提供对内部地址外出访问时的地址翻译。
3.通常利用在,拥有大量的注册IP地址,同时,拥有大量非注册地址的网络用户。
4.理论上,一个注册IP地址可以代理60000多台主机外出。
1.特殊的应用DIP(图)
2.DIP的设置
设置位置:
Network>interface>Edit>DIP
将一段连续的IP地址输入的对应的位置中,保存为一段地址池;通过访问控制策略调用IP地址池,使内部外出的用户可以动态的获得一个注册的IP。
3.DIP的地址池设置
4.DIP在策略中的应用
5.应用了DIP的策略现象
二十七、特殊应用的实现VIP
1.VIP,端口地址映射
2.作用是提供一个注册IP地址,对内部多个服务器或计算机提供的基于协议端口方式的地址映射。
3.通常使用的情况是,网内有多个服务器对internet提供网络服务,每个服务器调用的服务端口都不同。
4.客户拥有的注册IP地址的数量不足以满足每个服务器一个IP地址的需要。
1.一些特殊的应用VIP(图)
2.一些特殊应用的实现VIP
1)VIP的实现方式:
设置位置:
Network>interface>Edit>VIP/VIPServices
2)首先,添加一个注册的IP地址。
3)然后,增加一个内部的私有地址与该地址对应,并提供对应的协议端口。
4)最后,设置访问控制策略。
3.VIP的地址定义
4.VIP的端口映射关系
5.VIP的映射列表
6.VIP的策略
二十八、配置文件的保存
1.防火墙的配置文件支持导入、导出功能。
通过导入、导出功能对于因调试原因导致的问题,可以实现快速的恢复。
2.配置文件的导出:
Configuration>Update>ConfigFile>savetofile>保存到具体的位置
3.配置文件的导入:
Configuration>Update>ConfigFile>浏览>找到配置文件>Apply
1.配置文件的导入、导出
二十九、防火墙设备恢复出厂状态
1.在知道防火墙的根用户名和密码的前提下:
可以通过命令行的方式对防火墙进行初始化的操作,不论是通过何种方式的命令行登陆都可以实现初始化。
在登陆命令行之后,输入:
Unsetall回车确认,并断电重启动设备,完成启动后,则此时防火墙处于出厂状态。
2.在忘记防火墙的根用户名和密码饿前提下:
可以通过超级终端连接防火墙的控制台,并利用防火墙设备的SN作为用户名和密码使用登陆防火墙,根据提示,一路YES,即可完成防火墙的初始化操作,待防火墙重新启动之后,即可利用防火墙的默认配置登陆防火墙的管理界面了。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper 网络安全 设备 应用 文档