Juniper_netscreen__防火墻培訓(xùn)進(jìn)階篇(共59張)

1、Copyright 2008 Juniper Networks, Inc. Proprietary and C1Juniper netscreen 防火墻培訓(xùn)防火墻培訓(xùn) 王啟龍王啟龍 Juniper 認(rèn)證工程師認(rèn)證工程師Copyright 2008 Juniper Networks, Inc. Proprietary and C2課程目標(biāo)課程目標(biāo)規(guī)范公司員工合理有效的上網(wǎng)規(guī)范公司員工合理有效的上網(wǎng) 策略 :地址、服務(wù)、時(shí)間、流量監(jiān)控、認(rèn)證、 會(huì)話控制、日志 地址綁定分支機(jī)構(gòu)分支機(jī)構(gòu)、移動(dòng)辦公移動(dòng)辦公, 安全連入總部安全連入總部 VPN（L2TP、IPSEC、SSL VPN） 分公司為星型VPN

2、冗余Copyright 2008 Juniper Networks, Inc. Proprietary and C3策略的組成策略的組成 源地址目的地址源地址目的地址 地址 地址群 服務(wù)服務(wù) 預(yù)定義服務(wù) 定制服務(wù) 定制服務(wù)群 動(dòng)作動(dòng)作會(huì)話控制會(huì)話控制日志日志 高級選項(xiàng)高級選項(xiàng)時(shí)間、流量控制/統(tǒng)計(jì)、認(rèn)證地址地址服務(wù)服務(wù)動(dòng)作動(dòng)作日志日志流量統(tǒng)計(jì)流量統(tǒng)計(jì)認(rèn)證認(rèn)證一、安全策略一、安全策略Copyright 2008 Juniper Networks, Inc. Proprietary and C4創(chuàng)建策略創(chuàng)建策略 WebUI模式模式 組成組成選擇From與To的安全區(qū)源目的地址通過下拉菜單選取前面設(shè)定

3、的地址服務(wù)通過下拉菜單選取前面設(shè)定的服務(wù)行動(dòng)允許, 拒絕, 安全隧道日志Copyright 2008 Juniper Networks, Inc. Proprietary and C5認(rèn)證，流量控制、統(tǒng)計(jì)認(rèn)證，流量控制、統(tǒng)計(jì)認(rèn)證認(rèn)證流量控制流量控制流量統(tǒng)計(jì)流量統(tǒng)計(jì)Copyright 2008 Juniper Networks, Inc. Proprietary and C6重點(diǎn)：流量控制，認(rèn)證。重點(diǎn)：流量控制，認(rèn)證。 針對不同的服務(wù)或者部門，可以制定不同的流量策略針對不同的服務(wù)或者部門，可以制定不同的流量策略，保證其帶寬。，保證其帶寬。 重要資源要求身份認(rèn)證重要資源要求身份認(rèn)證Copyrigh

4、t 2008 Juniper Networks, Inc. Proprietary and C7安全策略的順序安全策略的順序 新策略加載在最后新策略加載在最后 在所有策略的末尾有隱含的在所有策略的末尾有隱含的deny all的策略的策略 順序非常重要，改變策略的順序會(huì)影響到實(shí)際應(yīng)用效果順序非常重要，改變策略的順序會(huì)影響到實(shí)際應(yīng)用效果Copyright 2008 Juniper Networks, Inc. Proprietary and C8 公司內(nèi)部員工隨意更改公司內(nèi)部員工隨意更改IP地址，導(dǎo)致地址沖突地址，導(dǎo)致地址沖突 外來人員隨意接入，影響公司網(wǎng)絡(luò)安全外來人員隨意接入，影響公司網(wǎng)絡(luò)安全利

5、用防火墻實(shí)現(xiàn)地址綁定利用防火墻實(shí)現(xiàn)地址綁定Copyright 2008 Juniper Networks, Inc. Proprietary and C9實(shí)現(xiàn)實(shí)現(xiàn)MAC綁定功能需要三個(gè)步驟綁定功能需要三個(gè)步驟1、強(qiáng)迫執(zhí)行、強(qiáng)迫執(zhí)行ARP目地目地IP掃描：掃描：set arp always-on-dest2、作、作ARP靜態(tài)綁定：靜態(tài)綁定：set arp 10.0.0.250 0002b34896fc trust3、設(shè)置一個(gè)地址組、設(shè)置一個(gè)地址組group，它只包含做，它只包含做MAC地址綁定地址綁定的那些的那些IP地址。然后設(shè)置一個(gè)策略，只讓這個(gè)地址組地址。然后設(shè)置一個(gè)策略，只讓這個(gè)地址組gr

6、oup通過。通過。 注：此功能只能通過命令行來實(shí)現(xiàn)。注：此功能只能通過命令行來實(shí)現(xiàn)。Copyright 2008 Juniper Networks, Inc. Proprietary and C10IP MAC綁定圖示綁定圖示telnet 到防火墻接口到防火墻接口Copyright 2008 Juniper Networks, Inc. Proprietary and C11二二 VPN 應(yīng)用應(yīng)用 VPN的應(yīng)用說明：的應(yīng)用說明：Juniper的網(wǎng)絡(luò)安全防火墻設(shè)備的的網(wǎng)絡(luò)安全防火墻設(shè)備的VPN應(yīng)用模式應(yīng)用模式較多，包括：基于策略的較多，包括：基于策略的VPN、基于路由的、基于路由的VPN，集，集

7、中星形中星形VPN和背靠背和背靠背VPN等。在這里，我們主要介紹等。在這里，我們主要介紹最常用的最常用的VPN模式：策略模式：策略VPN。 首先，如何配置兩種策略首先，如何配置兩種策略VPN，一種是點(diǎn)對點(diǎn)的，一種是點(diǎn)對點(diǎn)的VPN應(yīng)用，一種是撥號應(yīng)用，一種是撥號VPN應(yīng)用。其中點(diǎn)對點(diǎn)包括靜態(tài)應(yīng)用。其中點(diǎn)對點(diǎn)包括靜態(tài)/動(dòng)動(dòng)態(tài)對靜態(tài)，撥號包括態(tài)對靜態(tài)，撥號包括L2TP和和IPSCE客戶端兩種?？蛻舳藘煞N。 其次，其次， 介紹介紹SSL VPN 和和VPN冗余。冗余。Copyright 2008 Juniper Networks, Inc. Proprietary and C12靜態(tài)對靜態(tài)靜態(tài)對靜態(tài)V

8、PN配置配置地址對象地址對象服務(wù)對象服務(wù)對象VPN網(wǎng)關(guān)網(wǎng)關(guān)IKE 對象對象安全策略安全策略10.1.0.5Trust 10.1.0.1Untrust3.3.3.1Untrust 1.1.1.1Trust 10.50.0.1ERP10.50.0.5總部總部分部分部Copyright 2008 Juniper Networks, Inc. Proprietary and C1313總部總部A與分部與分部C之間的之間的Site to Site VPN 總部總部A部分的部分的Site to Site VPN設(shè)置設(shè)置VPN Gateway的設(shè)置VPN 的設(shè)置VPN策略設(shè)置分部分部C部分的部分的Site

9、to Site VPN設(shè)置設(shè)置VPN Gateway的設(shè)置VPN的設(shè)置VPN策略設(shè)置 Copyright 2008 Juniper Networks, Inc. Proprietary and C1414總部總部A Gateway的設(shè)置的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C1515總部總部A Gateway的設(shè)置的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C1616總部總部A Gateway的設(shè)置的設(shè)置 高級選項(xiàng)高級選項(xiàng)Copyright 2008

10、 Juniper Networks, Inc. Proprietary and C1717總部總部A IKE VPN配置配置Copyright 2008 Juniper Networks, Inc. Proprietary and C1818總部總部A IKE VPN配置配置 高級選項(xiàng)高級選項(xiàng)Copyright 2008 Juniper Networks, Inc. Proprietary and C1919總部總部A VPN策略的設(shè)置策略的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C2020分部分部C Gateway的設(shè)置

11、的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C2121分部分部C Gateway的設(shè)置的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C2222分部分部C Gateway的設(shè)置的設(shè)置 高級選項(xiàng)高級選項(xiàng)Copyright 2008 Juniper Networks, Inc. Proprietary and C2323分部分部C IKE VPN配置配置Copyright 2008 Juniper Networks, Inc. Proprietary and C2

12、424分部分部C IKE VPN配置配置 高級選項(xiàng)高級選項(xiàng)Copyright 2008 Juniper Networks, Inc. Proprietary and C2525分部分部C VPN策略的設(shè)置策略的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C26動(dòng)態(tài)對靜態(tài)動(dòng)態(tài)對靜態(tài) VPN配置一配置一基本與靜態(tài)對靜態(tài)基本與靜態(tài)對靜態(tài) VPN設(shè)置內(nèi)容一致設(shè)置內(nèi)容一致地址對象地址對象服務(wù)對象服務(wù)對象VPN網(wǎng)關(guān)（動(dòng)態(tài)方網(wǎng)關(guān)（動(dòng)態(tài)方 LOCAL ID）IKE 對象對象安全策略安全策略192.168.10.5Trust 192.168.1

13、0.1Untrust192.168.1.1Untrust 1.1.1.1Trust 10.50.0.1總部總部分部分部ERP10.50.0.5Copyright 2008 Juniper Networks, Inc. Proprietary and C27動(dòng)態(tài)對靜態(tài)動(dòng)態(tài)對靜態(tài) VPN配置二配置二 移動(dòng)用戶移動(dòng)用戶撥號用戶撥號用戶地址對象地址對象+撥號用戶地址池?fù)芴栍脩舻刂烦胤?wù)對象服務(wù)對象VPN網(wǎng)關(guān)網(wǎng)關(guān)+L2TPIKE 對象對象安全策略安全策略Untrust 1.1.1.1Trust 10.50.0.1總部總部ERP10.50.0.5Copyright 2008 Juniper Network

14、s, Inc. Proprietary and C2828L2TP 客戶端客戶端訪問總部訪問總部A的的ERP服務(wù)器服務(wù)器L2TP Tunnel的設(shè)置的設(shè)置 VPN 安全策略安全策略Windows客戶端的設(shè)置客戶端的設(shè)置 L2TP User 設(shè)定部分設(shè)定部分 設(shè)定設(shè)定L2TP用戶名用戶名/密碼密碼Copyright 2008 Juniper Networks, Inc. Proprietary and C2929配置配置L2TP用戶用戶Copyright 2008 Juniper Networks, Inc. Proprietary and C3030配置配置L2TP TunnelCopyrig

15、ht 2008 Juniper Networks, Inc. Proprietary and C3131L2TP Tunnel策略的設(shè)置策略的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C3232Windows 客戶端的配置客戶端的配置 01Copyright 2008 Juniper Networks, Inc. Proprietary and C3333Windows 客戶端的配置客戶端的配置 02Copyright 2008 Juniper Networks, Inc. Proprietary and C3434Wind

16、ows 客戶端的配置客戶端的配置 03Copyright 2008 Juniper Networks, Inc. Proprietary and C3535Windows 客戶端的配置客戶端的配置 04Copyright 2008 Juniper Networks, Inc. Proprietary and C3636Windows 客戶端的配置客戶端的配置 05Copyright 2008 Juniper Networks, Inc. Proprietary and C3737Windows 客戶端的配置客戶端的配置 06Copyright 2008 Juniper Networks, In

17、c. Proprietary and C3838Windows 客戶端的配置客戶端的配置 07Copyright 2008 Juniper Networks, Inc. Proprietary and C39注意：注意：遠(yuǎn)程用戶所在的內(nèi)部網(wǎng)絡(luò)不能與遠(yuǎn)程用戶所在的內(nèi)部網(wǎng)絡(luò)不能與VPN Gateway內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)相同的子網(wǎng)。相同的子網(wǎng)。在在Windows XP/2003創(chuàng)建一條創(chuàng)建一條L2TP vpn tunnel在在windows XP下面要修改注冊表：下面要修改注冊表：開始開始/運(yùn)行運(yùn)行/regedit.exe，找到下面這個(gè)路徑，找到下面這個(gè)路徑HKEY_LOCAL_MACHINESYST

18、EMCurrentControlSetServicesRasManParameters,新增或修改新增或修改ProhibitIpSec的值為的值為1。重啟計(jì)算機(jī)。重啟計(jì)算機(jī)。 Copyright 2008 Juniper Networks, Inc. Proprietary and C4040IPsec 軟件客戶端軟件客戶端訪問總部訪問總部A的的ERP服務(wù)器服務(wù)器VPN Gateway設(shè)置設(shè)置VPN 設(shè)置設(shè)置VPN 安全策略安全策略Netscreen Remote 客戶端的設(shè)置客戶端的設(shè)置Dial-up User 設(shè)定部分設(shè)定部分 設(shè)定用戶的設(shè)定用戶的IKE IDCopyright 2008

19、Juniper Networks, Inc. Proprietary and C4141配置配置Dial-up用戶用戶設(shè)置設(shè)置IKE IDCopyright 2008 Juniper Networks, Inc. Proprietary and C4242配置配置dialup VPN GatewayIKE Phase 1 Copyright 2008 Juniper Networks, Inc. Proprietary and C4343配置配置dialup VPN Gateway 高級選項(xiàng)高級選項(xiàng) IKE Phase 1 Copyright 2008 Juniper Networks, In

20、c. Proprietary and C4444配置配置 dialup VPNIKE Phase 2Copyright 2008 Juniper Networks, Inc. Proprietary and C4545配置配置dialup VPN 高級選項(xiàng)高級選項(xiàng)IKE Phase 2Copyright 2008 Juniper Networks, Inc. Proprietary and C4646總部總部A VPN策略的設(shè)置策略的設(shè)置Copyright 2008 Juniper Networks, Inc. Proprietary and C4747Netscreen Remote遠(yuǎn)程客戶

21、端的配置遠(yuǎn)程客戶端的配置 01Copyright 2008 Juniper Networks, Inc. Proprietary and C4848Netscreen Remote遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 02Copyright 2008 Juniper Networks, Inc. Proprietary and C4949Netscreen Remote遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 03Copyright 2008 Juniper Networks, Inc. Proprietary and C5050Netscreen Remote遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 04Cop

22、yright 2008 Juniper Networks, Inc. Proprietary and C5151Netscreen Remote遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 05Copyright 2008 Juniper Networks, Inc. Proprietary and C52SSL VPN介紹介紹 SSL VPN網(wǎng)關(guān)首先它是一種基于網(wǎng)關(guān)首先它是一種基于B/S架構(gòu)的遠(yuǎn)程訪問架構(gòu)的遠(yuǎn)程訪問方式，作為一種新興的方式，作為一種新興的VPN技術(shù)，與傳統(tǒng)的技術(shù)，與傳統(tǒng)的IPSec VPN技術(shù)各具特色，各有千秋。技術(shù)各具特色，各有千秋。 SSL VPN比較適合用于移動(dòng)用戶的遠(yuǎn)程接入比較適

23、合用于移動(dòng)用戶的遠(yuǎn)程接入(Client-Site)，而，而IPSec VPN則在網(wǎng)對網(wǎng)則在網(wǎng)對網(wǎng)(Site-Site)的的VPN連連接中具備先天優(yōu)勢。接中具備先天優(yōu)勢。 Copyright 2008 Juniper Networks, Inc. Proprietary and C53SSL VPN與與IPsec VPN區(qū)別區(qū)別 1、 IPsec VPN多用于多用于“網(wǎng)網(wǎng)網(wǎng)網(wǎng)”連接，連接，SSL VPN用于用于“移動(dòng)客戶移動(dòng)客戶網(wǎng)網(wǎng)”連接。連接。SSL VPN的移動(dòng)用戶的移動(dòng)用戶使用標(biāo)準(zhǔn)的瀏覽器，無需安裝客戶端程序，即可通使用標(biāo)準(zhǔn)的瀏覽器，無需安裝客戶端程序，即可通過過SSL VPN隧道接入內(nèi)部

24、網(wǎng)絡(luò)隧道接入內(nèi)部網(wǎng)絡(luò);而而IPSec VPN的移動(dòng)的移動(dòng)用戶需要安裝專門的用戶需要安裝專門的IPSec客戶端軟件?？蛻舳塑浖?。 2、SSL VPN用戶不受上網(wǎng)方式限制，用戶不受上網(wǎng)方式限制，SSL VPN隧隧道可以穿透道可以穿透Firewall;而而IPSec客戶端需要支持客戶端需要支持“NAT穿透穿透”功能才能穿透功能才能穿透Firewall，而且需要，而且需要Firewall打打開開UDP500端口。端口。 Copyright 2008 Juniper Networks, Inc. Proprietary and C54 4、SSL VPN只需要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶只需要維護(hù)中心節(jié)

25、點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶端免維護(hù)，降低了部署和支持費(fèi)用。而端免維護(hù)，降低了部署和支持費(fèi)用。而IPSec VPN需需要管理通訊的每個(gè)節(jié)點(diǎn)，網(wǎng)管專業(yè)性較強(qiáng)。要管理通訊的每個(gè)節(jié)點(diǎn)，網(wǎng)管專業(yè)性較強(qiáng)。 5、SSL VPN 更容易提供細(xì)粒度訪問控制，可以對用更容易提供細(xì)粒度訪問控制，可以對用戶的權(quán)限、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，戶的權(quán)限、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，與第三方認(rèn)證系統(tǒng)與第三方認(rèn)證系統(tǒng)(如如:radius、AD等等)結(jié)合更加便捷。結(jié)合更加便捷。而而IPSec VPN主要基于主要基于IP五元組對用戶進(jìn)行訪問控制五元組對用戶進(jìn)行訪問控制。SSL VPN與與IPsec VPN區(qū)別區(qū)別Copyright