《Juniper安全相关设置及MIPVIP课件.pptx》由会员分享,可在线阅读,更多相关《Juniper安全相关设置及MIPVIP课件.pptx(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Juniper FWV基础售后培训基础售后培训 IIEDU-JUNIP-FWV-BEG EDU-JUNIP-FWV-BEG 2目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置3目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置4Policy基本概念基本概念-策略的作用策略的作用策略的作用策略的作用Juniper防火墙对流量的检测、控制(防火墙对流量的检测、控制(包括包括NAT)都是通过策略来实现的。)都是通过策略来实现的。策略可以通过源策略可以通过源/目的地址,源目的地址,源/
2、目的端口,协议来控制流量。目的端口,协议来控制流量。5Policy基本概念基本概念-安全区与策略的关系安全区与策略的关系安全区与策略的关系安全区与策略的关系默认情况下,数据流在本区内通信,不受策略限制(默认情况下,数据流在本区内通信,不受策略限制(Untrust Zone除外)。除外)。当数据流跨区时,可以通过策略进行控制。当数据流跨区时,可以通过策略进行控制。策略可以通过源策略可以通过源/目的地址,源目的地址,源/目的端口,协议来影响流量。目的端口,协议来影响流量。UntrustZoneTrustZone1.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/2
3、4DMZZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.16Policy基本概念基本概念-PolicyPolicy的组成的组成的组成的组成Source:经过防火墙的数据的源经过防火墙的数据的源IP地址。地址。Destination:经过防火墙的数据的目的:经过防火墙的数据的目的IP地址。地址。Service:指经过防火墙的数据流的协议类型,比如:指经过防火墙的数据流的协议类型,比如HTTP、FTP、ICMP等流量。等流量。通过对通过对Source、Destinati
4、on、Service的设定,限定需要做控制的数据流。的设定,限定需要做控制的数据流。Action:指防火墙对该数据采取的行动,比如:指防火墙对该数据采取的行动,比如permit,deny、tunnel等。等。Options:指系统针对该数据流的做得一些附加设置,比如:指系统针对该数据流的做得一些附加设置,比如Logging(日志功能)。(日志功能)。7目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置8Policy基本设置基本设置-创建步骤创建步骤创建步骤创建步骤为策略创建特定的地址对象(源为策略创建特定的地址对象(源/目的地址对象)。
5、目的地址对象)。为特定的服务为特定的服务/应用类型创建特定的服务类型。应用类型创建特定的服务类型。根据数据的走向,创建策略项目,并设置相应的根据数据的走向,创建策略项目,并设置相应的Action。调整策略的顺序,以满足应用的需求。调整策略的顺序,以满足应用的需求。通过通过Options来增强或改善对该策略的控制。来增强或改善对该策略的控制。9Policy基本设置基本设置-地址对象的创建地址对象的创建地址对象的创建地址对象的创建I IPolicy Policy Elements Addresses List 地址对象是基于地址对象是基于Zone的,要查询某个地址对象,必须选择给地址从属的的,要查
6、询某个地址对象,必须选择给地址从属的Zone。如果你知道该地址对象的首字母,还可以通过如果你知道该地址对象的首字母,还可以通过Filter进行过滤显示。进行过滤显示。点击点击“New”按钮可以创建新的地址对象。按钮可以创建新的地址对象。10Policy基本设置基本设置-地址对象的创建地址对象的创建地址对象的创建地址对象的创建IIIIAddress Name栏填写地址对象的名称。栏填写地址对象的名称。Comment栏填写对地址对象的备注。栏填写对地址对象的备注。IP Address栏填写栏填写I地址对象所对应的地址对象所对应的IP地址以及匹配符。要表现主机地址的时候,写法应该地址以及匹配符。要表
7、现主机地址的时候,写法应该是是X.X.X.X/32。最后,在最后,在Zone旁边的下拉菜单选择相应的旁边的下拉菜单选择相应的Zone。11Policy基本设置基本设置-地址与地址组地址与地址组地址与地址组地址与地址组IIII在在Available Members选择合适的地址对象,通过选择合适的地址对象,通过“”按钮,将不需要的地址对象移出该地址组。按钮,将不需要的地址对象移出该地址组。Policy Policy Elements Addresses Groups Configuration12Policy基本设置基本设置-地址与地址组地址与地址组地址与地址组地址与地址组IVIV可以通过可以通
8、过Address Summary来查看系统每个来查看系统每个Zone可配置的地址数量及已配置的地址数量。可配置的地址数量及已配置的地址数量。Policy Policy Elements Addresses Summary 13Policy基本设置基本设置-服务对象的创建服务对象的创建服务对象的创建服务对象的创建I I系统已经预置了许多常用的应用系统已经预置了许多常用的应用/服务。如果实际需要一些特定的服务,可以自行创建。服务。如果实际需要一些特定的服务,可以自行创建。Policy Policy Elements Services Custom 14Policy基本设置基本设置-服务对象的创建服
9、务对象的创建服务对象的创建服务对象的创建IIIIService Name栏填入服务对象的名称。栏填入服务对象的名称。Transport protocol栏选择服务对象的协议类型,一般为栏选择服务对象的协议类型,一般为TCP或或UDP。在在Source Port和和Destination Port栏填入端口号;一般的服务对象仅限制栏填入端口号;一般的服务对象仅限制Destination Port。15Policy基本设置基本设置-服务与服务组服务与服务组服务与服务组服务与服务组I I当一条策略需要同时用到多个服务对象时,可以通过设定服务组来统一代表相关的服务对象。当一条策略需要同时用到多个服务对
10、象时,可以通过设定服务组来统一代表相关的服务对象。同服务对象一样,系统也预置了一些服务组:这些服务组主要针对某些特定的应用而设置。同服务对象一样,系统也预置了一些服务组:这些服务组主要针对某些特定的应用而设置。Policy Policy Elements Services Groups 16Policy基本设置基本设置-服务与服务组服务与服务组服务与服务组服务与服务组IIII在在Available Members选择合适的服务对象,通过选择合适的服务对象,通过“”按钮,将不需要的服务对象移出该地址组。按钮,将不需要的服务对象移出该地址组。17Policy基本设置基本设置-创建策略项创建策略项创
11、建策略项创建策略项I I像前面所提到的一样,在创建策略项之前,必须选择数据的走向:从像前面所提到的一样,在创建策略项之前,必须选择数据的走向:从 什么什么Zone 去去 什么什么Zone。再选择好再选择好“From”与与“To”的下拉菜单后,点击的下拉菜单后,点击“New”进入策略项创建菜单。进入策略项创建菜单。查找策略项,也同样在该页面。如果策略条目众多,可以通过查找策略项,也同样在该页面。如果策略条目众多,可以通过“List”下拉菜单选择合适的页下拉菜单选择合适的页面显示条目数;比如面显示条目数;比如“List 20”表示在这个页面中最大的同时显示策略条目为表示在这个页面中最大的同时显示策
12、略条目为20条。条。Policy Policies18Policy基本设置基本设置-创建策略项创建策略项创建策略项创建策略项IIII在在Source Address和和Destination Address的的Address Book Entry选择前面创建好的地址对像。选择前面创建好的地址对像。在在Service的下拉菜单选取前面设定好的服务对象。的下拉菜单选取前面设定好的服务对象。在在Action栏选择相应的处理行为,如栏选择相应的处理行为,如permit等。等。19Policy基本设置基本设置-策略的顺序策略的顺序策略的顺序策略的顺序策略的执行按照先后顺序,即从上而下的寻找,直到遇到匹配
13、的策略项为止。策略的执行按照先后顺序,即从上而下的寻找,直到遇到匹配的策略项为止。正常情况下,新的策略永远加在整个策略序列的尾端。正常情况下,新的策略永远加在整个策略序列的尾端。在策略序列的尾端,有一条隐含的在策略序列的尾端,有一条隐含的“deny all”的策略项。的策略项。策略序列的基本排列原则:将影响范围越小的策略项放在越前面。策略序列的基本排列原则:将影响范围越小的策略项放在越前面。策略的调整通过策略的调整通过Move的两个按钮来实现。建议使用的两个按钮来实现。建议使用“”。合理安排策略的顺序合理安排策略的顺序 具体策略在上,非具体策略在下具体策略在上,非具体策略在下 拒绝策略在上,允
14、许策略在下拒绝策略在上,允许策略在下 默认最后都是默认最后都是Deny20Policy基本设置基本设置21Policy基本设置基本设置-策略的策略的策略的策略的Logging ILogging ILogging选项将提供匹配该策略条目的流量的日志信息。选项将提供匹配该策略条目的流量的日志信息。Logging选项被选择后,该策略条目的选项被选择后,该策略条目的Options栏会有相应的条目产生。栏会有相应的条目产生。点击该条目可以看到相关的日志内容。点击该条目可以看到相关的日志内容。22Policy基本设置基本设置-策略的策略的策略的策略的Logging IILogging II23Policy
15、基本设置基本设置-策略的策略的策略的策略的Counting ICounting ICounting选项将提供匹配该策略条目的流量的实时统计图表。选项将提供匹配该策略条目的流量的实时统计图表。Counting选项被选择后,该策略条目的选项被选择后,该策略条目的Options栏会有相应的条目产生。栏会有相应的条目产生。点击该条目可以看到相关的日志内容。点击该条目可以看到相关的日志内容。24Policy基本设置基本设置-策略的策略的策略的策略的Counting IICounting II25Policy基本设置基本设置-策略的策略的策略的策略的Schedule ISchedule IPolicy P
16、olicy Elements Schedules 26目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置27NAT基本概念基本概念-NAT的种类的种类MIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADAVIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:80Juniper
17、Firewall引进了两种额外的引进了两种额外的NAT形式形式:MIP和和VIP。MIP是是Mapped IP的意思,其特点是提供了双向的的意思,其特点是提供了双向的NAT功能,相当于功能,相当于NAT-src与与NAT-dst的组合;的组合;尤其适合于用户需要把内部的服务器映射到一个公网地址,供尤其适合于用户需要把内部的服务器映射到一个公网地址,供Internet访问的需求。访问的需求。VIP是是Virtual IP的意思,其特点是可以将同个目的地址的不同端口翻译到不同的地址上去;尤的意思,其特点是可以将同个目的地址的不同端口翻译到不同的地址上去;尤其适合于用户地址资源有限,许多不同的服务器
18、需要共用同一个公网地址(不同的端口)的情其适合于用户地址资源有限,许多不同的服务器需要共用同一个公网地址(不同的端口)的情况。况。28NAT基本配置基本配置-配置配置MIP I首先,要创建一个首先,要创建一个MIP,定义好,定义好Mapped IP与与Host IP。然后,我们要通过一条然后,我们要通过一条Policy条目来完成这个条目来完成这个NAT。MIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADA29NAT基本配置基本配置-配置配置MIP II在创建在创建MIP时,请选
19、择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。Mapped IP填写该接口处于同填写该接口处于同Zone的虚拟地址。的虚拟地址。Host IP填写真实的主机的地址。填写真实的主机的地址。30NAT基本配置基本配置-配置配置MIP III在在Destination Address栏选择预先设置的栏选择预先设置的MIP条目。条目。配置了配置了MIP的策略条目的颜色与其它策略没有不同。的策略条目的颜色与其它策略没有不同。31NAT基本配置基本配置-配置配置VIP I首先,要创建一个首先,要创建一个VIP,定义好,定义好V
20、irtual IP Address以及以及Port。然后,我们要通过一条然后,我们要通过一条Policy条目来完成这个条目来完成这个NAT。VIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:8032NAT基本配置基本配置-配置配置VIP II在创建在创建VIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击“Add”按钮,添加新的按钮,添加新的Virt
21、ual IP Address。点击点击“New VIP Service”按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的服务。选项选择真实提供的服务。Map to IP项填写真实的主机地址。项填写真实的主机地址。33NAT基本配置基本配置-配置配置VIP III在创建在创建VIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击“Add”按钮,添加新
22、的按钮,添加新的Virtual IP Address。点击点击“New VIP Service”按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的服务。选项选择真实提供的服务。Map to IP项填写真实的主机地址。项填写真实的主机地址。34NAT基本配置基本配置-配置配置VIP IV在创建在创建MIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击
23、“Add”按钮,添加新的按钮,添加新的Virtual IP Address。点击点击“New VIP Service”按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的服务。选项选择真实提供的服务。Map to IP项填写真实的主机地址。项填写真实的主机地址。35NAT基本配置基本配置-配置配置VIP V在创建在创建VIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Inte
24、rface。点击点击“Add”按钮,添加新的按钮,添加新的Virtual IP Address。点击点击“New VIP Service”按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的服务。选项选择真实提供的服务。Map to IP项填写真实的主机地址。项填写真实的主机地址。36NAT基本配置基本配置-配置配置VIP VI在在Destination Address栏选择预先设置的栏选择预先设置的VIP条目。条目。配置了配置了VIP的策略条
25、目的颜色与其它策略没有不同。的策略条目的颜色与其它策略没有不同。1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Monday,March 6,20232、阅读一切好书如同和过去最杰出的人谈话。13:22:1313:22:1313:223/6/2023 1:22:13 PM3、越是没有本领的就越加自命不凡。3月-2313:22:1313:22Mar-2306-Mar-234、越是无能的人,越喜欢挑剔别人的错儿。13:22:1313:22:1313:22Monday,March 6,20235、知人者智,自知者明。胜人者有力,自胜者强。3月-233月-2313:22:1313:22:
26、13March 6,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。06三月20231:22:13下午13:22:133月-237、最具挑战性的挑战莫过于提升自我。三月231:22下午3月-2313:22March 6,20238、业余生活要有意义,不要越轨。2023/3/613:22:1313:22:1306 March 20239、一个人即使已登上顶峰,也仍要自强不息。1:22:13下午1:22下午13:22:133月-2310、你要做多大的事情,就该承受多大的压力。3/6/2023 1:22:13 PM13:22:1306-3月-2311、自己要先看得起自己,别人才会看得起你。3/6/2023 1:22 PM3/6/2023 1:22 PM3月-233月-2312、这一秒不放弃,下一秒就会有希望。06-Mar-2306 March 20233月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Monday,March 6,202306-Mar-233月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。3月-2313:22:1306 March 202313:22谢谢大家谢谢大家