《Juniper防火墙连网端口映射.pptx》由会员分享,可在线阅读,更多相关《Juniper防火墙连网端口映射.pptx(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、课程目标课程目标NS防火墙部署方式介绍,部署方式主要有以下几种1、路由模式2、透明模式3、混合模式(1、2两种模式的结合)内网各种应用服务器(WEB、ERP、EMAIL)的发布1、MIP、VIP、DIP2、访问应用服务器的安全策略第1页/共45页路由模式防火墙最常用的一种部署方式,主要是取代原有网络中路由模式防火墙最常用的一种部署方式,主要是取代原有网络中的网关路由器。如图:的网关路由器。如图:防火墙部署方式一、路由模式防火墙部署方式一、路由模式原网络环境架墙之后的拓扑SWSWROUTEROUTE内网内网PCPCFWFWSWSW内网内网PCPCNATNAT转换转换第2页/共45页路由模式的配置
2、步骤路由模式的配置步骤第一步、配置防火墙的接口地址第二步、配置防火墙的缺省路由第三步、配置防火墙安全策略下面以截图具体说明第3页/共45页网络拓扑网络拓扑E 0/0E 0/2192.168.1.1/24第4页/共45页接口地址一览表接口地址一览表(初始初始)编辑缺省外网接口第5页/共45页配置缺省外网接口配置缺省外网接口IP及管理项及管理项配置静态公网IP公网远程管理开关选择管理项外网口为ROUTE内网口为NAT第6页/共45页内外网接口配置完成后一览表内外网接口配置完成后一览表第7页/共45页路由一览表路由一览表添加路由条目按键第8页/共45页添加缺省路由添加缺省路由缺省路由配置格式防火墙互
3、联网网关地址选择外网接口第9页/共45页添加缺省路由后路由表添加缺省路由后路由表第10页/共45页创建创建Trust-Untrust区域策略区域策略源区域源区域 目的区域目的区域 创建创建第11页/共45页创建创建TrustUntrust区域策略区域策略自定义策略名称内网的所有地址可以访问外网的所有地址开启LOG;并把该策略置顶执行第12页/共45页创建创建Trust-Untrust区域策略区域策略完成策略配置完成策略配置点击此处可以查看策略日志第13页/共45页路由模式配置完成路由模式配置完成配置完成后:1.Ping测试,使用内网PC用Ping192.168.1.1地址进行连通测试.2.Pi
4、ng测试,使用内网PC用Ping外网地址进行互联网测试.第14页/共45页透明模式的部署环境分两种透明模式的部署环境分两种1、标准包下的透明模式、标准包下的透明模式2、TRUNK模式下的透明模式模式下的透明模式下面结合具体环境说明一下下面结合具体环境说明一下防火墙部署方式二、透明模式防火墙部署方式二、透明模式架墙之后的拓扑原网络环境标准包下的透明模式SWSWROUTEROUTE内网内网PCPCFWFWSWSW内网内网PCPCROUTEROUTE第15页/共45页标准包下的透明模式配置步骤标准包下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第二步、配置防火墙的VLAN1的地址第三步、配置
5、防火墙安全策略下面以截图具体说明第16页/共45页网络拓扑网络拓扑VLAN1IP 192.168.2.1/24192.168.1.1/24Router第17页/共45页透明模式步骤外网接口配置透明模式步骤外网接口配置初始未配置页面初始未配置页面第18页/共45页透明模式步骤外网接口配置透明模式步骤外网接口配置改变Untrust-V1-Untrust第19页/共45页透明模式透明模式-外网接口配置外网接口配置设置VLAN1管理地址第20页/共45页配置用于管理的配置用于管理的VLAN 1 IP地址地址配置与缺省地址的不同私有地址用于管理第21页/共45页透明模式透明模式-内网接口配置内网接口配置
6、删除原有IP第22页/共45页透明模式透明模式-内网接口配置内网接口配置更改TrustV1-Trust第23页/共45页透明配置完成后再次登陆透明配置完成后再次登陆使用配置的VALN 1 IP 地址登录WEB界面第24页/共45页创建创建V1-Trust-V1-Untrust区域策略区域策略源区域源区域 目的区域目的区域 创建创建第25页/共45页透明模式配置完成透明模式配置完成配置完成后:Ping测试,使用内网PC用Ping“路由器内网接口地址”进行连通测试.Ping测试,使用内网PC用Ping外网地址进行互联网测试.第26页/共45页TRUNK模式下的透明模式模式下的透明模式下面结合具体环
7、境说明一下下面结合具体环境说明一下防火墙部署方式二、透明模式防火墙部署方式二、透明模式架墙之后的拓扑ROUTEROUTE内网内网PCPCFWFW原网络环境TRUNK模式下的透明模式SWSWTRUNKTRUNKROUTEROUTE内网内网PCPCSWSWTRUNKTRUNKTRUNKTRUNK第27页/共45页TRUNK模式下的典型应用模式下的典型应用-TRUNK透传VLAN2/3VLAN2/3ROUTERROUTERSWSWVLAN4/5VLAN4/5SWSWFWFWFWFWTrunkTrunkTrunkTrunkTrunkTrunkTrunkTrunkVLAN2VLAN2ROUTERROUT
8、ERSWSWVLAN3VLAN3FWFWSWSWTrunkTrunkTrunkTrunkTrunkTrunk192.168.1.0192.168.1.0/24/24192.168.2.0/24192.168.2.0/24192.168.1.1 192.168.2.1透明模式支持VLAN透传VLAN需终结于FW第28页/共45页TRUNK模式下的典型应用模式下的典型应用-内网访问控制VLAN3VLAN3用户用户vlan2vlan2用户用户FirewallFirewall192.168.2.2/24192.168.2.2/24VLAN 2VLAN 2Cisco 3550Cisco 3550应用应用
9、1 1聚合端口+中继端口Trust zone:Vlan2.gw192.168.2.1/24Untrust zone:Vlan3.gw192.168.3.1/24VLAN 3VLAN 3Vlan4.gw192.168.4.1/24192.168.3.2/24192.168.3.2/24192.168.4.2/24192.168.4.2/24 Vlan5.gw192.168.5.1/24VLAN5VLAN5192.168.5.2/24192.168.5.2/24VLAN4VLAN4应用应用2 2互连VLAN:Vlan10192.168.10.0/30第29页/共45页TRUNK下的透明模式配置步骤
10、下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第二步、配置防火墙的VLAN1的地址第三步、配置防火墙的VLAN1接口支持TRUNK第三步、配置防火墙安全策略第30页/共45页混合模式是前两种模式的结合,是针对两条外网线路环境下而设混合模式是前两种模式的结合,是针对两条外网线路环境下而设计的计的防火墙部署方式三、混合模式防火墙部署方式三、混合模式架墙之后的拓扑ROUTE1ROUTE1内网内网PCPCFWFW原网络环境SWSWROUTE1ROUTE1内网内网PCPCSWSWROUTE2ROUTE2透明透明模式模式路由路由模式模式第31页/共45页混合模式配置步骤混合模式配置步骤第一步、配置
11、防火墙的两个接口为二层模式第二步、配置防火墙的另外两个接口为路由模式第三步、配置防火墙的VLAN1接口地址第三步、配置防火墙安全策略第32页/共45页企业内部有各种应用服务器,需要对外发布或外部办公人员访问,企业内部有各种应用服务器,需要对外发布或外部办公人员访问,在此种情况下,就需设置在此种情况下,就需设置NS墙的墙的MIP、VIP、DIP(防火墙部(防火墙部署方式需路由)署方式需路由)内网各种应用服务器(内网各种应用服务器(WEB、ERP、EMAIL)的发布)的发布内网内网PCPCFWFWSWSWWEBWEB第33页/共45页MIP、VIP、DIP之间的区别之间的区别1、MIP是一对一的地
12、址映射,即一个公网地址只对应一台内网服务器,公网所有端口都映射到内部服务器。2、VIP是一对多地址转换,即一个公网地址的不同端口,可以转换到对应多台内部服务器,如外网80可转换到服务器1上,而外网的21(或其它端口)同时可转换到服务器2上;而MIP要么映射到服务器1,要么映射到服务器2上,两者不能同时存在。3、DIP是一组公网地址,让内网机器随机地转换成组内任意一个公网地址。第34页/共45页MIP、VIP配置步骤配置步骤第一步、选择做MIP、VIP对应的外网口第二步、确定是用MIP还是VIP发布服务器第三步、设置MIP或VIP与内网服务器对应关系第三步、配置与MIP、VIP对应的安全策略下面
13、以最常用的VIP发布WEB服务为例具体说明,MIP的设置方法与之基本相同。第35页/共45页 VIP 配置配置 网络拓扑192.168.1.1/24 WEB Server:192.168.1.254/24第36页/共45页安全网关安全网关VIP 配置配置当网络只有一个公网IP时选择添加VIP的公网服务器IP当网络有多个公网IP时选择并输入公网IP选择外网口第37页/共45页安全网关安全网关VIP 配置配置第38页/共45页内网服务器地址此时和外网WEBUI管理的端口(80)冲突,解决方式见下图安全网关安全网关VIP 配置配置第39页/共45页更改远程管理端口,自定义更改更改更改WEBUI的管理端口的管理端口第40页/共45页安全网关安全网关VIP 配置配置VIP配置完成配置完成第41页/共45页安全网关安全网关VIP 安全策略配置安全策略配置选择VIP 接口第42页/共45页安全网关安全网关VIP 安全策略配置安全策略配置VIP 安全策略配置完成安全策略配置完成第43页/共45页感谢大家感谢大家第44页/共45页感谢您的观看!第45页/共45页