《[精选]Juniper安全相关设置及MIPVIP.pptx》由会员分享,可在线阅读,更多相关《[精选]Juniper安全相关设置及MIPVIP.pptx(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Juniper FWV基础售后培训基础售后培训 IIEDU-JUNIP-FWV-BEG EDU-JUNIP-FWV-BEG 2目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置3目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置4Policy基本概念基本概念-策略的作用策略的作用策略的作用策略的作用Juniper防火墙对流量的检测、控制包括防火墙对流量的检测、控制包括NAT都是通过策略来实现的。都是通过策略来实现的。策略可以通过源策略可以通过源/目的地址,源目的地址,源/目的端口
2、,协议来控制流量。目的端口,协议来控制流量。5Policy基本概念基本概念-平安区与策略的关系平安区与策略的关系平安区与策略的关系平安区与策略的关系默认情况下,数据流在本区内通信,不受策略限制默认情况下,数据流在本区内通信,不受策略限制Untrust Zone除外。除外。当数据流跨区时,可以通过策略进行控制。当数据流跨区时,可以通过策略进行控制。策略可以通过源策略可以通过源/目的地址,源目的地址,源/目的端口,协议来影响流量。目的端口,协议来影响流量。UntrustZoneTrustZone1.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24DMZZone
3、10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.16Policy基本概念基本概念-PolicyPolicy的组成的组成的组成的组成Source:经过防火墙的数据的源经过防火墙的数据的源IP地址。地址。Destination:经过防火墙的数据的目的:经过防火墙的数据的目的IP地址。地址。Service:指经过防火墙的数据流的协议类型,比方:指经过防火墙的数据流的协议类型,比方 、FTP、ICMP等流量。等流量。通过对通过对Source、Destination、Service的
4、设定,限定需要做控制的数据流。的设定,限定需要做控制的数据流。Action:指防火墙对该数据采取的行动,比方:指防火墙对该数据采取的行动,比方permit,deny、tunnel等。等。Options:指系统针对该数据流的做得一些附加设置,比方:指系统针对该数据流的做得一些附加设置,比方Logging日志功能。日志功能。7目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置8Policy基本设置基本设置-创立步骤创立步骤创立步骤创立步骤为策略创立特定的地址对象源为策略创立特定的地址对象源/目的地址对象。目的地址对象。为特定的效劳为特定的效
5、劳/应用类型创立特定的效劳类型。应用类型创立特定的效劳类型。根据数据的走向,创立策略工程,并设置相应的根据数据的走向,创立策略工程,并设置相应的Action。调整策略的顺序,以满足应用的需求。调整策略的顺序,以满足应用的需求。通过通过Options来增强或改善对该策略的控制。来增强或改善对该策略的控制。9Policy基本设置基本设置-地址对象的创立地址对象的创立地址对象的创立地址对象的创立I IPolicy Policy Elements Addresses List 地址对象是基于地址对象是基于Zone的,要查询某个地址对象,必须选择给地址附属的的,要查询某个地址对象,必须选择给地址附属的Z
6、one。如果你知道该地址对象的首字母,还可以通过如果你知道该地址对象的首字母,还可以通过Filter进行过滤显示。进行过滤显示。点击点击“New按钮可以创立新的地址对象。按钮可以创立新的地址对象。10Policy基本设置基本设置-地址对象的创立地址对象的创立地址对象的创立地址对象的创立IIIIAddress Name栏填写地址对象的名称。栏填写地址对象的名称。ment栏填写对地址对象的备注。栏填写对地址对象的备注。IP Address栏填写栏填写I地址对象所对应的地址对象所对应的IP地址以及匹配符。要表现主机地址的时候,写法应该地址以及匹配符。要表现主机地址的时候,写法应该是是X.X.X.X/
7、32。最后,在最后,在Zone旁边的下拉菜单项选择择相应的旁边的下拉菜单项选择择相应的Zone。11Policy基本设置基本设置-地址与地址组地址与地址组地址与地址组地址与地址组IIII在在Available Members选择适宜的地址对象,通过选择适宜的地址对象,通过“按钮,将不需要的地址对象移出该地址组。按钮,将不需要的地址对象移出该地址组。Policy Policy Elements Addresses Groups Configuration12Policy基本设置基本设置-地址与地址组地址与地址组地址与地址组地址与地址组IVIV可以通过可以通过Address Summary来查看系
8、统每个来查看系统每个Zone可配置的地址数量及已配置的地址数量。可配置的地址数量及已配置的地址数量。Policy Policy Elements Addresses Summary 13Policy基本设置基本设置-效劳对象的创立效劳对象的创立效劳对象的创立效劳对象的创立I I系统已经预置了许多常用的应用系统已经预置了许多常用的应用/效劳。如果实际需要一些特定的效劳,可以自行创立。效劳。如果实际需要一些特定的效劳,可以自行创立。Policy Policy Elements Services Custom 14Policy基本设置基本设置-效劳对象的创立效劳对象的创立效劳对象的创立效劳对象的创立
9、IIIIService Name栏填入效劳对象的名称。栏填入效劳对象的名称。Transport protocol栏选择效劳对象的协议类型,一般为栏选择效劳对象的协议类型,一般为TCP或或UDP。在在Source Port和和Destination Port栏填入端口号;一般的效劳对象仅限制栏填入端口号;一般的效劳对象仅限制Destination Port。15Policy基本设置基本设置-效劳与效劳组效劳与效劳组效劳与效劳组效劳与效劳组I I当一条策略需要同时用到多个效劳对象时,可以通过设定效劳组来统一代表相关的效劳对象。当一条策略需要同时用到多个效劳对象时,可以通过设定效劳组来统一代表相关的
10、效劳对象。同效劳对象一样,系统也预置了一些效劳组:这些效劳组主要针对某些特定的应用而设置。同效劳对象一样,系统也预置了一些效劳组:这些效劳组主要针对某些特定的应用而设置。Policy Policy Elements Services Groups 16Policy基本设置基本设置-效劳与效劳组效劳与效劳组效劳与效劳组效劳与效劳组IIII在在Available Members选择适宜的效劳对象,通过选择适宜的效劳对象,通过“按钮,将不需要的效劳对象移出该地址组。按钮,将不需要的效劳对象移出该地址组。17Policy基本设置基本设置-创立策略项创立策略项创立策略项创立策略项I I像前面所提到的一样
11、,在创立策略项之前,必须选择数据的走向:从像前面所提到的一样,在创立策略项之前,必须选择数据的走向:从 什么什么Zone 去去 什么什么Zone。再选择好再选择好“From与与“To的下拉菜单后,点击的下拉菜单后,点击“New进入策略项创立菜单。进入策略项创立菜单。查找策略项,也同样在该页面。如果策略条目众多,可以通过查找策略项,也同样在该页面。如果策略条目众多,可以通过“List下拉菜单项选择择适宜下拉菜单项选择择适宜的页面显示条目数;比方的页面显示条目数;比方“List 20表示在这个页面中最大的同时显示策略条目为表示在这个页面中最大的同时显示策略条目为20条。条。Policy Polic
12、ies18Policy基本设置基本设置-创立策略项创立策略项创立策略项创立策略项IIII在在Source Address和和Destination Address的的Address Book Entry选择前面创立好的地址对像。选择前面创立好的地址对像。在在Service的下拉菜单项选择取前面设定好的效劳对象。的下拉菜单项选择取前面设定好的效劳对象。在在Action栏选择相应的处理行为,如栏选择相应的处理行为,如permit等。等。19Policy基本设置基本设置-策略的顺序策略的顺序策略的顺序策略的顺序策略的执行按照先后顺序,即从上而下的寻找,直到遇到匹配的策略项为止。策略的执行按照先后顺序
13、,即从上而下的寻找,直到遇到匹配的策略项为止。正常情况下,新的策略永远加在整个策略序列的尾端。正常情况下,新的策略永远加在整个策略序列的尾端。在策略序列的尾端,有一条隐含的在策略序列的尾端,有一条隐含的“deny all的策略项。的策略项。策略序列的基本排列原则:将影响范围越小的策略项放在越前面。策略序列的基本排列原则:将影响范围越小的策略项放在越前面。策略的调整通过策略的调整通过Move的两个按钮来实现。建议使用的两个按钮来实现。建议使用“。合理安排策略的顺序合理安排策略的顺序 具体策略在上,非具体策略在下具体策略在上,非具体策略在下 拒绝策略在上,允许策略在下拒绝策略在上,允许策略在下 默
14、认最后都是默认最后都是Deny20Policy基本设置基本设置21Policy基本设置基本设置-策略的策略的策略的策略的Logging ILogging ILogging选项将提供匹配该策略条目的流量的日志信息。选项将提供匹配该策略条目的流量的日志信息。Logging选项被选择后,该策略条目的选项被选择后,该策略条目的Options栏会有相应的条目产生。栏会有相应的条目产生。点击该条目可以看到相关的日志内容。点击该条目可以看到相关的日志内容。22Policy基本设置基本设置-策略的策略的策略的策略的Logging IILogging II23Policy基本设置基本设置-策略的策略的策略的策略
15、的Counting ICounting ICounting选项将提供匹配该策略条目的流量的实时统计图表。选项将提供匹配该策略条目的流量的实时统计图表。Counting选项被选择后,该策略条目的选项被选择后,该策略条目的Options栏会有相应的条目产生。栏会有相应的条目产生。点击该条目可以看到相关的日志内容。点击该条目可以看到相关的日志内容。24Policy基本设置基本设置-策略的策略的策略的策略的Counting IICounting II25Policy基本设置基本设置-策略的策略的策略的策略的Schedule ISchedule IPolicy Policy Elements Sched
16、ules 26目标目标Policy基本概念基本概念Policy基本设置基本设置MIP基本设置基本设置VIP基本设置基本设置27NAT基本概念基本概念-NAT的种类的种类MIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADAVIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:80Juniper Firewall引进了两种额外的引进了两
17、种额外的NAT形式形式:MIP和和VIP。MIP是是Mapped IP的意思,其特点是提供了双向的的意思,其特点是提供了双向的NAT功能,相当于功能,相当于NAT-src与与NAT-dst的组合;的组合;尤其适合于用户需要把内部的效劳器映射到一个公网地址,供尤其适合于用户需要把内部的效劳器映射到一个公网地址,供Internet访问的需求。访问的需求。VIP是是Virtual IP的意思,其特点是可以将同个目的地址的不同端口翻译到不同的地址上去;尤的意思,其特点是可以将同个目的地址的不同端口翻译到不同的地址上去;尤其适合于用户地址资源有限,许多不同的效劳器需要共用同一个公网地址不同的端口的情其适
18、合于用户地址资源有限,许多不同的效劳器需要共用同一个公网地址不同的端口的情况。况。28NAT基本配置基本配置-配置配置MIP I首先,要创立一个首先,要创立一个MIP,定义好,定义好Mapped IP与与Host IP。然后,我们要通过一条然后,我们要通过一条Policy条目来完成这个条目来完成这个NAT。MIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADA29NAT基本配置基本配置-配置配置MIP II在创立在创立MIP时,请选择正确的时,请选择正确的Interface,一般
19、情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。Mapped IP填写该接口处于同填写该接口处于同Zone的虚拟地址。的虚拟地址。Host IP填写真实的主机的地址。填写真实的主机的地址。30NAT基本配置基本配置-配置配置MIP III在在Destination Address栏选择预先设置的栏选择预先设置的MIP条目。条目。配置了配置了MIP的策略条目的颜色与其它策略没有不同。的策略条目的颜色与其它策略没有不同。31NAT基本配置基本配置-配置配置VIP I首先,要创立一个首先,要创立一个VIP,定义好,定义好Virtual IP Address以及以及Por
20、t。然后,我们要通过一条然后,我们要通过一条Policy条目来完成这个条目来完成这个NAT。VIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:8032NAT基本配置基本配置-配置配置VIP II在创立在创立VIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击“Add按钮,添加新的按钮,添加新的Virtual IP Address。点击点击“New V
21、IP Service按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的效劳。选项选择真实提供的效劳。Map to IP项填写真实的主机地址。项填写真实的主机地址。33NAT基本配置基本配置-配置配置VIP III在创立在创立VIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击“Add按钮,添加新的按钮,添加新的Virtual IP Address。
22、点击点击“New VIP Service按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的效劳。选项选择真实提供的效劳。Map to IP项填写真实的主机地址。项填写真实的主机地址。34NAT基本配置基本配置-配置配置VIP IV在创立在创立MIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击“Add按钮,添加新的按钮,添加新的Virtual IP
23、 Address。点击点击“New VIP Service按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的效劳。选项选择真实提供的效劳。Map to IP项填写真实的主机地址。项填写真实的主机地址。35NAT基本配置基本配置-配置配置VIP V在创立在创立VIP时,请选择正确的时,请选择正确的Interface,一般情况下是带有公网地址的那个,一般情况下是带有公网地址的那个Interface。点击点击“Add按钮,添加新的按钮,添加新的Vi
24、rtual IP Address。点击点击“New VIP Service按钮,进入按钮,进入VIP Service设置页面;该项可反复使用。设置页面;该项可反复使用。Virtual Port填入提供的虚拟端口,填入提供的虚拟端口,Map to Service选项选择真实提供的效劳。选项选择真实提供的效劳。Map to IP项填写真实的主机地址。项填写真实的主机地址。36NAT基本配置基本配置-配置配置VIP VI在在Destination Address栏选择预先设置的栏选择预先设置的VIP条目。条目。配置了配置了VIP的策略条目的颜色与其它策略没有不同。的策略条目的颜色与其它策略没有不同。
25、9、静夜四无、静夜四无邻,荒居旧,荒居旧业贫。11月月-2311月月-23Sunday,November 26,202310、雨中黄叶、雨中黄叶树,灯下白,灯下白头人。人。05:43:5605:43:5605:4311/26/2023 5:43:56 AM11、以我独沈久,愧君相、以我独沈久,愧君相见频。11月月-2305:43:5605:43Nov-2326-Nov-2312、故人江海、故人江海别,几度隔山川。,几度隔山川。05:43:5605:43:5605:43Sunday,November 26,202313、乍、乍见翻疑梦,相悲各翻疑梦,相悲各问年。年。11月月-2311月月-230
26、5:43:5605:43:56November 26,202314、他、他乡生白生白发,旧国,旧国见青山。青山。26 十一月十一月 20235:43:56 上午上午05:43:5611月月-2315、比不了得就不比,得不到的就不要。、比不了得就不比,得不到的就不要。十一月十一月 235:43 上午上午11月月-2305:43November 26,202316、行、行动出成果,工作出出成果,工作出财富。富。2023/11/26 5:43:5605:43:5626 November 202317、做前,能、做前,能够环视四周;做四周;做时,你只能或者最好沿着以脚,你只能或者最好沿着以脚为起点的射
27、起点的射线向前。向前。5:43:56 上午上午5:43 上午上午05:43:5611月月-239、没有失、没有失败,只有,只有暂时停止成功!。停止成功!。11月月-2311月月-23Sunday,November 26,202310、很多事情努力了未必有、很多事情努力了未必有结果,但是不努力却什么改果,但是不努力却什么改变也没有。也没有。05:43:5605:43:5605:4311/26/2023 5:43:56 AM11、成功就是日复一日那一点点小小努力的、成功就是日复一日那一点点小小努力的积累。累。11月月-2305:43:5605:43Nov-2326-Nov-2312、世、世间成事,
28、不求其成事,不求其绝对圆满,留一份缺乏,可得无限完美。,留一份缺乏,可得无限完美。05:43:5605:43:5605:43Sunday,November 26,202313、不知香、不知香积寺,数里入云峰。寺,数里入云峰。11月月-2311月月-2305:43:5605:43:56November 26,202314、意志、意志坚强的人能把世界放在手中像泥的人能把世界放在手中像泥块一一样任意揉捏。任意揉捏。26 十一月十一月 20235:43:56 上午上午05:43:5611月月-2315、楚塞三湘接,、楚塞三湘接,荆门九派通。九派通。十一月十一月 235:43 上午上午11月月-2305
29、:43November 26,202316、少年十五二十、少年十五二十时,步行,步行夺得胡得胡马骑。2023/11/26 5:43:5605:43:5626 November 202317、空山新雨后,天气晚来秋。、空山新雨后,天气晚来秋。5:43:56 上午上午5:43 上午上午05:43:5611月月-239、杨柳散和柳散和风,青山澹吾,青山澹吾虑。11月月-2311月月-23Sunday,November 26,202310、阅读一切好一切好书如同和如同和过去最杰出的人去最杰出的人谈话。05:43:5605:43:5605:4311/26/2023 5:43:56 AM11、越是没有本、
30、越是没有本领的就越加自命非凡。的就越加自命非凡。11月月-2305:43:5605:43Nov-2326-Nov-2312、越是无能的人,越喜、越是无能的人,越喜欢挑剔挑剔别人的人的错儿。儿。05:43:5605:43:5605:43Sunday,November 26,202313、知人者智,自知者明。、知人者智,自知者明。胜人者有力,自人者有力,自胜者者强。11月月-2311月月-2305:43:5605:43:56November 26,202314、意志、意志坚强的人能把世界放在手中像泥的人能把世界放在手中像泥块一一样任意揉捏。任意揉捏。26 十一月十一月 20235:43:56 上午
31、上午05:43:5611月月-2315、最具挑、最具挑战性的挑性的挑战莫莫过于提升自我。于提升自我。十一月十一月 235:43 上午上午11月月-2305:43November 26,202316、业余生活要有意余生活要有意义,不要越,不要越轨。2023/11/26 5:43:5605:43:5626 November 202317、一个人即使已登上、一个人即使已登上顶峰,也仍要自峰,也仍要自强不息。不息。5:43:56 上午上午5:43 上午上午05:43:5611月月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉