資源描述:
《Juniper_netscreen__防火墻培訓(xùn)進(jìn)階篇.ppt》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)��。
1�����、Junipernetscreen防火墻培訓(xùn)王啟龍Juniper認(rèn)證工程師課程目標(biāo)規(guī)范公司員工合理有效的上網(wǎng)策略:地址�、服務(wù)、時(shí)間�、流量監(jiān)控、認(rèn)證�、會(huì)話控制�、日志地址綁定分支機(jī)構(gòu)��、移動(dòng)辦公,安全連入總部VPN(L2TP�、IPSEC、SSLVPN)分公司為星型VPN冗余策略的組成源地址&目的地址地址地址群服務(wù)預(yù)定義服務(wù)定制服務(wù)定制服務(wù)群動(dòng)作會(huì)話控制日志高級(jí)選項(xiàng)時(shí)間�����、流量控制/統(tǒng)計(jì)���、認(rèn)證地址服務(wù)動(dòng)作日志流量統(tǒng)計(jì)認(rèn)證一�����、安全策略創(chuàng)建策略WebUI模式組成選擇From與To的安全區(qū)源&目的地址通過(guò)下拉菜單選取前面設(shè)定的地址服務(wù)通過(guò)下拉菜單選取前面
2���、設(shè)定的服務(wù)行動(dòng)允許,拒絕,安全隧道日志認(rèn)證,流量控制���、統(tǒng)計(jì)認(rèn)證流量控制流量統(tǒng)計(jì)重點(diǎn):流量控制,認(rèn)證���。針對(duì)不同的服務(wù)或者部門�,可以制定不同的流量策略,保證其帶寬���。重要資源要求身份認(rèn)證安全策略的順序新策略加載在最后在所有策略的末尾有隱含的denyall的策略順序非常重要��,改變策略的順序會(huì)影響到實(shí)際應(yīng)用效果公司內(nèi)部員工隨意更改IP地址���,導(dǎo)致地址沖突外來(lái)人員隨意接入,影響公司網(wǎng)絡(luò)安全利用防火墻實(shí)現(xiàn)地址綁定實(shí)現(xiàn)MAC綁定功能需要三個(gè)步驟1�、強(qiáng)迫執(zhí)行ARP目地IP掃描:setarpalways-on-dest�2、作ARP靜態(tài)綁定:setarp10
3�����、.0.0.2500002b34896fctrust�3�����、設(shè)置一個(gè)地址組group��,它只包含做MAC地址綁定的那些IP地址����。然后設(shè)置一個(gè)策略,只讓這個(gè)地址組group通過(guò)���。注:此功能只能通過(guò)命令行來(lái)實(shí)現(xiàn)���。IPMAC綁定圖示telnet到防火墻接口二VPN應(yīng)用VPN的應(yīng)用說(shuō)明:Juniper的網(wǎng)絡(luò)安全防火墻設(shè)備的VPN應(yīng)用模式較多��,包括:基于策略的VPN�����、基于路由的VPN�����,集中星形VPN和背靠背VPN等����。在這里����,我們主要介紹最常用的VPN模式:策略VPN。首先�����,如何配置兩種策略VPN����,一種是點(diǎn)對(duì)點(diǎn)的VPN應(yīng)用,一種是撥號(hào)VPN應(yīng)用��。其中點(diǎn)對(duì)
4��、點(diǎn)包括靜態(tài)/動(dòng)態(tài)對(duì)靜態(tài)�����,撥號(hào)包括L2TP和IPSCE客戶端兩種��。其次��,介紹SSLVPN和VPN冗余�。靜態(tài)對(duì)靜態(tài)VPN配置地址對(duì)象服務(wù)對(duì)象VPN網(wǎng)關(guān)IKE對(duì)象安全策略10.1.0.5Trust10.1.0.1Untrust3.3.3.1Untrust1.1.1.1Trust10.50.0.1ERP10.50.0.5總部分部13總部A與分部C之間的SitetoSiteVPN總部A部分的SitetoSiteVPN設(shè)置VPNGateway的設(shè)置VPN的設(shè)置VPN策略設(shè)置分部C部分的SitetoSiteVPN設(shè)置VPNGateway的設(shè)置VPN的
5、設(shè)置VPN策略設(shè)置14總部AGateway的設(shè)置對(duì)方VPN設(shè)備的網(wǎng)關(guān)15選擇VPN通道的出口總部AGateway的設(shè)置共享密鑰雙方必須一致16總部AGateway的設(shè)置高級(jí)選項(xiàng)VPN雙方的模式必須一致17總部AIKEVPN配置在下拉菜單選取前面定義的IKEGateway18總部AIKEVPN配置高級(jí)選項(xiàng)19總部AVPN策略的設(shè)置Action選擇Tunnel選擇A到C的VPN20分部CGateway的設(shè)置對(duì)方VPN設(shè)備的網(wǎng)關(guān)21分部CGateway的設(shè)置選擇VPN通道的出口共享密鑰雙方必須一致22分部CGateway的設(shè)置高級(jí)選項(xiàng)VPN雙
6����、方的模式必須一致23分部CIKEVPN配置在下拉菜單選取前面定義的IKEGateway24分部CIKEVPN配置高級(jí)選項(xiàng)25分部CVPN策略的設(shè)置Action選擇Tunnel選擇C到A的VPN動(dòng)態(tài)對(duì)靜態(tài)VPN配置一基本與靜態(tài)對(duì)靜態(tài)VPN設(shè)置內(nèi)容一致地址對(duì)象服務(wù)對(duì)象VPN網(wǎng)關(guān)(動(dòng)態(tài)方LOCALID)IKE對(duì)象安全策略192.168.10.5Trust192.168.10.1Untrust192.168.1.1Untrust1.1.1.1Trust10.50.0.1總部分部ERP10.50.0.5動(dòng)態(tài)對(duì)靜態(tài)VPN配置二移動(dòng)用戶撥號(hào)用戶地址對(duì)
7、象+撥號(hào)用戶地址池服務(wù)對(duì)象VPN網(wǎng)關(guān)+L2TPIKE對(duì)象安全策略Untrust1.1.1.1Trust10.50.0.1總部ERP10.50.0.528L2TP客戶端� 訪問(wèn)總部A的ERP服務(wù)器L2TPTunnel的設(shè)置VPN安全策略Windows客戶端的設(shè)置L2TPUser設(shè)定部分-設(shè)定L2TP用戶名/密碼29配置L2TP用戶設(shè)定用戶名分配給L2TP用戶的地址設(shè)定密碼30配置L2TPTunnel選擇Tunnel的接口選擇L2TP用戶31L2TPTunnel策略的設(shè)置Action選擇Tunnel選擇L2TPTunnel源地址選擇Dia
8�����、l-UpVPN(系統(tǒng)自定義)32Windows客戶端的配置0133Windows客戶端的配置0234Windows客戶端的配置0335Windows客戶端的配置0436Windows客戶端的配置0537Wi
