Juniper安全相關(guān)設(shè)置及MIPVIPppt課件_第1頁(yè)
Juniper安全相關(guān)設(shè)置及MIPVIPppt課件_第2頁(yè)
Juniper安全相關(guān)設(shè)置及MIPVIPppt課件_第3頁(yè)
Juniper安全相關(guān)設(shè)置及MIPVIPppt課件_第4頁(yè)
Juniper安全相關(guān)設(shè)置及MIPVIPppt課件_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、Juniper FWV根底售后培訓(xùn) IIEDU-JUNIP-FWV-BEG 2目的Policy根本概念Policy根本設(shè)置MIP根本設(shè)置VIP根本設(shè)置3目的Policy根本概念Policy根本設(shè)置MIP根本設(shè)置VIP根本設(shè)置4Policy根本概念-戰(zhàn)略的作用Juniper防火墻對(duì)流量的檢測(cè)、控制包括NAT都是經(jīng)過(guò)戰(zhàn)略來(lái)實(shí)現(xiàn)的。戰(zhàn)略可以經(jīng)過(guò)源/目的地址,源/目的端口,協(xié)議來(lái)控制流量。5Policy根本概念-平安區(qū)與戰(zhàn)略的關(guān)系默許情況下,數(shù)據(jù)流在本區(qū)內(nèi)通訊,不受戰(zhàn)略限制Untrust Zone除外。當(dāng)數(shù)據(jù)流跨區(qū)時(shí),可以經(jīng)過(guò)戰(zhàn)略進(jìn)展控制。戰(zhàn)略可以經(jīng)過(guò)源/目的地址,源/目的端口,協(xié)議來(lái)影響流量。Unt

2、rustZoneTrustZone/24/24B/24DMZZone.254ABCD/24/.254/24/24.254.16Policy根本概念-Policy的組成Source:經(jīng)過(guò)防火墻的數(shù)據(jù)的源IP地址。Destination:經(jīng)過(guò)防火墻的數(shù)據(jù)的目的IP地址。Service:指經(jīng)過(guò)防火墻的數(shù)據(jù)流的協(xié)議類(lèi)型,比如HTTP、FTP、ICMP等流量。經(jīng)過(guò)對(duì)Source、Destination、Service的設(shè)定,限定需求做控制的數(shù)據(jù)流。Action:指防火墻對(duì)該數(shù)據(jù)采取的行動(dòng),比如permit,deny、tunnel等。Options:指系統(tǒng)針對(duì)該數(shù)據(jù)流的做得一些附加設(shè)置

3、,比如Logging日志功能。7目的Policy根本概念Policy根本設(shè)置MIP根本設(shè)置VIP根本設(shè)置8Policy根本設(shè)置- 創(chuàng)建步驟為戰(zhàn)略創(chuàng)建特定的地址對(duì)象源/目的地址對(duì)象。為特定的效力/運(yùn)用類(lèi)型創(chuàng)建特定的效力類(lèi)型。根據(jù)數(shù)據(jù)的走向,創(chuàng)建戰(zhàn)略工程,并設(shè)置相應(yīng)的Action。調(diào)整戰(zhàn)略的順序,以滿(mǎn)足運(yùn)用的需求。經(jīng)過(guò)Options來(lái)加強(qiáng)或改善對(duì)該戰(zhàn)略的控制。9Policy根本設(shè)置- 地址對(duì)象的創(chuàng)建IPolicy Policy Elements Addresses List 地址對(duì)象是基于Zone的,要查詢(xún)某個(gè)地址對(duì)象,必需選擇給地址從屬的Zone。假設(shè)他知道該地址對(duì)象的首字母,還可以經(jīng)過(guò)Filt

4、er進(jìn)展過(guò)濾顯示。點(diǎn)擊“New按鈕可以創(chuàng)建新的地址對(duì)象。10Policy根本設(shè)置- 地址對(duì)象的創(chuàng)建IIAddress Name欄填寫(xiě)地址對(duì)象的稱(chēng)號(hào)。Comment欄填寫(xiě)對(duì)地址對(duì)象的備注。IP Address欄填寫(xiě)I地址對(duì)象所對(duì)應(yīng)的IP地址以及匹配符。要表現(xiàn)主機(jī)地址的時(shí)候,寫(xiě)法應(yīng)該是X.X.X.X/32。最后,在Zone旁邊的下拉菜單項(xiàng)選擇擇相應(yīng)的Zone。11Policy根本設(shè)置- 地址與地址組II在A(yíng)vailable Members選擇適宜的地址對(duì)象,經(jīng)過(guò)“按鈕,將不需求的地址對(duì)象移出該地址組。Policy Policy Elements Addresses Groups Configura

5、tion12Policy根本設(shè)置- 地址與地址組IV可以經(jīng)過(guò)Address Summary來(lái)查看系統(tǒng)每個(gè)Zone可配置的地址數(shù)量及已配置的地址數(shù)量。Policy Policy Elements Addresses Summary 13Policy根本設(shè)置- 效力對(duì)象的創(chuàng)建I系統(tǒng)曾經(jīng)預(yù)置了許多常用的運(yùn)用/效力。假照實(shí)踐需求一些特定的效力,可以自行創(chuàng)建。Policy Policy Elements Services Custom 14Policy根本設(shè)置- 效力對(duì)象的創(chuàng)建IIService Name欄填入效力對(duì)象的稱(chēng)號(hào)。Transport protocol欄選擇效力對(duì)象的協(xié)議類(lèi)型,普通為T(mén)CP或U

6、DP。在Source Port和Destination Port欄填入端口號(hào);普通的效力對(duì)象僅限制Destination Port。15Policy根本設(shè)置- 效力與效力組I當(dāng)一條戰(zhàn)略需求同時(shí)用到多個(gè)效力對(duì)象時(shí),可以經(jīng)過(guò)設(shè)定效力組來(lái)一致代表相關(guān)的效力對(duì)象。同效力對(duì)象一樣,系統(tǒng)也預(yù)置了一些效力組:這些效力組主要針對(duì)某些特定的運(yùn)用而設(shè)置。Policy Policy Elements Services Groups 16Policy根本設(shè)置- 效力與效力組II在A(yíng)vailable Members選擇適宜的效力對(duì)象,經(jīng)過(guò)“按鈕,將不需求的效力對(duì)象移出該地址組。17Policy根本設(shè)置- 創(chuàng)建戰(zhàn)略項(xiàng)I像

7、前面所提到的一樣,在創(chuàng)建戰(zhàn)略項(xiàng)之前,必需選擇數(shù)據(jù)的走向:從 什么Zone 去 什么Zone。再選擇好“From與“To的下拉菜單后,點(diǎn)擊“New進(jìn)入戰(zhàn)略項(xiàng)創(chuàng)建菜單。查找戰(zhàn)略項(xiàng),也同樣在該頁(yè)面。假設(shè)戰(zhàn)略條目眾多,可以經(jīng)過(guò)“List下拉菜單項(xiàng)選擇擇適宜的頁(yè)面顯示條目數(shù);比如“List 20表示在這個(gè)頁(yè)面中最大的同時(shí)顯示戰(zhàn)略條目為20條。Policy Policies18Policy根本設(shè)置- 創(chuàng)建戰(zhàn)略項(xiàng)II在Source Address和Destination Address的Address Book Entry選擇前面創(chuàng)建好的地址對(duì)像。在Service的下拉菜單項(xiàng)選擇取前面設(shè)定好的效力對(duì)象。在A(yíng)

8、ction欄選擇相應(yīng)的處置行為,如permit等。19Policy根本設(shè)置- 戰(zhàn)略的順序戰(zhàn)略的執(zhí)行按照先后順序,即從上而下的尋覓,直到遇到匹配的戰(zhàn)略項(xiàng)為止。正常情況下,新的戰(zhàn)略永遠(yuǎn)加在整個(gè)戰(zhàn)略序列的尾端。在戰(zhàn)略序列的尾端,有一條隱含的“deny all的戰(zhàn)略項(xiàng)。戰(zhàn)略序列的根本陳列原那么:將影響范圍越小的戰(zhàn)略項(xiàng)放在越前面。戰(zhàn)略的調(diào)整經(jīng)過(guò)Move的兩個(gè)按鈕來(lái)實(shí)現(xiàn)。建議運(yùn)用“。合理安排戰(zhàn)略的順序 詳細(xì)戰(zhàn)略在上,非詳細(xì)戰(zhàn)略在下 回絕戰(zhàn)略在上,允許戰(zhàn)略在下 默許最后都是Deny20Policy根本設(shè)置21Policy根本設(shè)置- 戰(zhàn)略的Logging ILogging選項(xiàng)將提供匹配該戰(zhàn)略條目的流量的日志信

9、息。Logging選項(xiàng)被選擇后,該戰(zhàn)略條目的Options欄會(huì)有相應(yīng)的條目產(chǎn)生。點(diǎn)擊該條目可以看到相關(guān)的日志內(nèi)容。22Policy根本設(shè)置- 戰(zhàn)略的Logging II23Policy根本設(shè)置- 戰(zhàn)略的Counting ICounting選項(xiàng)將提供匹配該戰(zhàn)略條目的流量的實(shí)時(shí)統(tǒng)計(jì)圖表。Counting選項(xiàng)被選擇后,該戰(zhàn)略條目的Options欄會(huì)有相應(yīng)的條目產(chǎn)生。點(diǎn)擊該條目可以看到相關(guān)的日志內(nèi)容。24Policy根本設(shè)置- 戰(zhàn)略的Counting II25Policy根本設(shè)置- 戰(zhàn)略的Schedule IPolicy Policy Elements Schedules 26目的Policy根本概念

10、Policy根本設(shè)置MIP根本設(shè)置VIP根本設(shè)置27NAT根本概念-NAT的種類(lèi)MIPSADASADAVIP:2100:21:80SADASADA00:80Juniper Firewall引進(jìn)了兩種額外的NAT方式:MIP和VIP。MIP是Mapped IP的意思,其特點(diǎn)是提供了雙向的NAT功能,相當(dāng)于NAT-src與NAT-dst的組合;尤其適宜于用戶(hù)需求把內(nèi)部的效力器映射到一個(gè)公網(wǎng)地址,供Internet訪(fǎng)問(wèn)的需求。VIP是Virtual IP的意思,其特點(diǎn)是可以將同個(gè)目的地址的不同端口翻譯到不同的地址上去;尤其適宜于用戶(hù)地址資源有限,許多不同的效力器需求共用同一個(gè)公網(wǎng)地址不同的端口的情況

11、。28NAT根本配置-配置MIP I首先,要?jiǎng)?chuàng)建一個(gè)MIP,定義好Mapped IP與Host IP。然后,我們要經(jīng)過(guò)一條Policy條目來(lái)完成這個(gè)NAT。MIPSADASADA29NAT根本配置-配置MIP II在創(chuàng)建MIP時(shí),請(qǐng)選擇正確的Interface,普通情況下是帶有公網(wǎng)地址的那個(gè)Interface。Mapped IP填寫(xiě)該接口處于同Zone的虛擬地址。Host IP填寫(xiě)真實(shí)的主機(jī)的地址。30NAT根本配置-配置MIP III在Destination Address欄選擇預(yù)先設(shè)置的MIP條目。配置了MIP的戰(zhàn)略條目的顏色與其它戰(zhàn)略沒(méi)有不同。31NAT根本配置-配置VIP I首先,要?jiǎng)?chuàng)

12、建一個(gè)VIP,定義好Virtual IP Address以及Port。然后,我們要經(jīng)過(guò)一條Policy條目來(lái)完成這個(gè)NAT。VIP:2100:21:80SADASADA00:8032NAT根本配置-配置VIP II在創(chuàng)建VIP時(shí),請(qǐng)選擇正確的Interface,普通情況下是帶有公網(wǎng)地址的那個(gè)Interface。點(diǎn)擊“Add按鈕,添加新的Virtual IP Address。點(diǎn)擊“New VIP Service按鈕,進(jìn)入VIP Service設(shè)置頁(yè)面;該項(xiàng)可反復(fù)運(yùn)用。Virtual Port填入提供的虛擬端口,Map to Service選項(xiàng)選擇真實(shí)提供的效力。Map to IP項(xiàng)填寫(xiě)真實(shí)的主機(jī)

13、地址。33NAT根本配置-配置VIP III在創(chuàng)建VIP時(shí),請(qǐng)選擇正確的Interface,普通情況下是帶有公網(wǎng)地址的那個(gè)Interface。點(diǎn)擊“Add按鈕,添加新的Virtual IP Address。點(diǎn)擊“New VIP Service按鈕,進(jìn)入VIP Service設(shè)置頁(yè)面;該項(xiàng)可反復(fù)運(yùn)用。Virtual Port填入提供的虛擬端口,Map to Service選項(xiàng)選擇真實(shí)提供的效力。Map to IP項(xiàng)填寫(xiě)真實(shí)的主機(jī)地址。34NAT根本配置-配置VIP IV在創(chuàng)建MIP時(shí),請(qǐng)選擇正確的Interface,普通情況下是帶有公網(wǎng)地址的那個(gè)Interface。點(diǎn)擊“Add按鈕,添加新的Virtual IP Address。點(diǎn)擊“New VIP Service按鈕,進(jìn)入VIP Service設(shè)置頁(yè)面;該項(xiàng)可反復(fù)運(yùn)用。Virtual Port填入提供的虛擬端口,Map to Service選項(xiàng)選擇真實(shí)提供的效力。Map to IP項(xiàng)填寫(xiě)真實(shí)的主機(jī)地址。35NAT根本配置-配置VIP V在創(chuàng)建VIP時(shí),請(qǐng)選擇正確的Interface,普通情況下是帶有公網(wǎng)地址的那個(gè)Interface。點(diǎn)擊“Add按

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論