防火墻的管理-透明模式課件_第1頁
防火墻的管理-透明模式課件_第2頁
防火墻的管理-透明模式課件_第3頁
防火墻的管理-透明模式課件_第4頁
防火墻的管理-透明模式課件_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、透明模式,防火墻的管理-透明模式,2,目標,了解透明模式的好處 描述V1 ZONE 和它的用處 建立用戶自己定義的L2zong 在透明模式下,使用VLAN1 的IP地址對防火墻進行管理,防火墻的管理-透明模式,3,什么是透明模式,Netscreen 防火墻的網(wǎng)卡在第二層的網(wǎng)橋模式或者是第二層的交換模式下進行工作。 Learning, Flooding, Forwarding, Filtering 通過安全策略讓風火墻對第二層的安全區(qū)之間的數(shù)據(jù)包進行流量的訪問控制,10.1.0.0/16,E1,E3,zone V1-Trust,zone V1-DMZ,zone V1-Untrust,E2,防火墻

2、的管理-透明模式,4,V1-Untrust,透明模式的工作,由于沒有使用到網(wǎng)絡(luò)的第三層,因此,透明模式能夠讓防火墻更加快速的部署。 不需要定義拓撲結(jié)構(gòu) 對于直接連接的子網(wǎng)不需要定義安全策略 增加安全性 在netscreen 的二層工作模式下可以使用VPN Zone 概念的提出,可以提供比基于路由的ACL更加安全的訪問控制,10.1.0.0/16,B,B,D,A,B,10.100.1.0/16,10.200.1.0/16,防火墻的管理-透明模式,5,Layer-2 安全區(qū),預先定義的 “V1” zones V1-Trust V1-Untrust V1-DMZ 用戶定義的安全區(qū) Layer-2 (

3、L2) 區(qū) 用戶在定義安全區(qū)的時候必須以 “L2-”開頭,防火墻的管理-透明模式,6,透明模式中的網(wǎng)卡,在ScreenOS 5.0 沒有定義任何網(wǎng)卡是屬于透明模式 把一個網(wǎng)卡放到第二層的域中,該網(wǎng)卡自動 因此二層的網(wǎng)卡的域必須是以 “V1-” or “L2-”開頭的。 所有網(wǎng)卡在v1或者是L2 域,是具有相同廣播域的第二層防火墻的成員,Int e1,Zone L2-private,Int e2,Zone L2-public,10.1.0.0/16,防火墻的管理-透明模式,7,VLAN1 網(wǎng)卡,在VLAN 域中是第三層邏輯網(wǎng)卡 該網(wǎng)卡可以幫定一個IP 地址,用來管理netscreen 防火墻。

4、支持管理IP地址 所有物理接口都可以接受arp 請求,V1-Trust,1.1.1.10,1.1.1.11,1.1.1.12,V1-DMZ,V1-Untrust,VLAN1 is a logical interface which is accessible fromany transparent zone,VLAN1 interface: 1.1.1.210/24,E1,E3,E2,A,B,C,防火墻的管理-透明模式,8,V1-Trust,1.1.1.10,1.1.1.11,1.1.1.12,V1-DMZ,V1-Untrust,VLAN1 interface: 1.1.1.210/24,E1

5、,E3,E2,A,B,C,管理行為,VLAN1 will inherit management options from zone membership of physical interfaces,X,VLAN1 interface: 1.1.1.210/24,防火墻的管理-透明模式,9,透明模式的配置,建立2層的域 (在沒有使用默認域的情況下) 分配網(wǎng)卡給2層域 為VLAN1 配置管理地址 3a. 配置IP 地址 3b. 選擇廣播的方法 3c. 配置管理服務 (可選項) 配置每個域的管理服務 在不同的域之間配置策略,防火墻的管理-透明模式,10,Step 1: 配置2層域,Network

6、Zones New,set zone name L2 Example: ns208- set zone name L2-Demo L2 1,防火墻的管理-透明模式,11,Step 2: 分配網(wǎng)卡到域,Network Interfaces (Edit,set interface zone ns208- set interface e3 zone L2-Demo,防火墻的管理-透明模式,12,Step 3a: 配置VLAN1 的IP 地址,Network Interfaces Edit (VLAN1,Use for Interface IP when terminating VPNs,Use Ma

7、nage-IP as destination address of PING, telnet, Web UI, etc,set interface vlan1 ip / ns208- set int vlan1 ip 1.1.7.1/24,set interface vlan1 manage-ip ns208- set int vlan1 manage-ip 1.1.7.100/24,防火墻的管理-透明模式,13,Step 3b: 選擇廣播的方法,Flooding (default) 如果MAC表中沒有,原數(shù)據(jù)包將向所有的接口進行廣播除了流入數(shù)據(jù)包的接口。 ARP/Trace-Route 如果

8、MAC表中沒有, ARP 或 traceroute 將向所有的接口進行廣播除了流入數(shù)據(jù)包的接口,Network Interfaces Edit (VLAN1,set vlan1 broadcast arp,set vlan1 broadcast flood,防火墻的管理-透明模式,14,Step 3c: 配置VLAN1 的服務,允許所有的管理服務 Web UI, Telnet, SSH, SNMP, SSL, NS-GlobalPro (nsmgmt) 選擇指定的管理服務,Network Interfaces Edit (VLAN1,set interface vlan1 manage ns2

9、08- set int vlan1 manage,set interface vlan1 manage ns208- set int vlan1 manage web ns208- set int vlan1 manage ssl ns208- set int vlan1 manage nsmgmt,防火墻的管理-透明模式,15,Step 4: 在每個域中配置不同的管理服務,Network Zones Edit (V1-Trust,set zone manage ns208- set zone v1-dmz manage web,防火墻的管理-透明模式,16,透明模式的工具,Get inter

10、face Get ARP Get mac-learn Get session,防火墻的管理-透明模式,17,Get interface,ns208- get interface ethernet1 Interface ethernet1: number 0, if_info 0, if_index 0, mode xparent, port vlan 1, sess token 9 link up, phy-link up/half-duplex vsys Root, zone V1-Trust, vr trust-vr *ip 0.0.0.0/0 mac 0010.db22.23f0 pin

11、g enabled, telnet enabled, SSH enabled, SNMP enabled web enabled, ident-reset disabled, SSL enabled, nsmgmt enabled webauth disabled DHCP-Relay disabled bandwidth: physical 100000kbps, configured 0kbps, current 0kbps total configured gbw 0kbps, total allocated gbw 0kbps ns208,防火墻的管理-透明模式,18,Get arp,

12、ns208- get arp IP Mac VR/Interface State Age Retry PakQue 3.4.5.6 abc3241244dc trust-vr/v1-trust STS 0 0 1.1.7.250 00065bd2ff42 trust-vr/v1-trust VLD 1151 0 0 ARP Entry Number 2/1024, No Free Entry Count: 0 Arp always-on-dest: disabled ns208,Note: Although it says “interface”, in transparent mode th

13、e zone name is displayed,防火墻的管理-透明模式,19,Get mac-learn,學習 Associates a MAC address with an outgoing interface Determines how received frames are forwarded in Layer-2 Also known as Bridge Table or L2 Forwarding Table 靜態(tài)ARP 影射 MAC address to outgoing port association can be manually configured via the

14、CLI,set mac,ns208- get mac-learn link down clear mac learn table: enable Total 3, Create 9, Ageout 6 Flood 1, BCast 150, ReLearn 1, NoFree 0, Error 0, Drop 0 ethernet2: 0004.7648.aa3c 56 ethernet1: 0010.db13.e441 44 ethernet3: 0010.db15.6bc4 59,防火墻的管理-透明模式,20,Get session,ns208- get session alloc 2/m

15、ax 128000, alloc failed 0 id 43/s*,vsys 0,flag 00000090/00/00,policy 1,time 1 17(01):192.168.1.5/27129-192.168.1.10/768,1,00b0d06c3f39,vlan 0,tun 0,vsd 0 19(00):192.168.1.5/27129192.168.1.10/768,1,00b0d06c3f39,vlan 0,tun 0,vsd 0 19(00):192.168.1.5/27385-192.168.1.10/768,1,0010db2b1622,vlan 0,tun 0,vsd 0 Total 2 sessions shown,ICMP Sequence ,ICMP Identifier ,IP protocol ,防火墻的管理-透明模式,21,需要考慮的問題,必須配置策略才能允許訪問 沒有默認策略

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論