NetScreen培訓資料基礎篇PPT課件

,第1頁,2020/5/17,朝華軟件應用服務有限公司,NetScreen防火墻應用培訓,Juniper-NetScreen,.,培訓內容,基礎部分1、防火墻的概念2、具有代表性的netscreen產品（NS-204)防火墻的基礎應用部分1、應用模式的選擇和實現(xiàn)2、訪問控制的實現(xiàn)（策略的設置）3、安全域的自定義4、一些特殊應用的實現(xiàn)（MIP、DIP、VIP）5、配置文件的保存,.,基礎部分的培訓,基礎部分1、防火墻的概念、特點2、具有代表性的netscreen產品（NS-204),.,防火墻的基本概念,是一個用以阻止網絡中的非法用戶或非授權用戶訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監(jiān)控系統(tǒng)來隔離內部信任網絡和外部非信任網絡，以阻檔外部網絡的侵入、竊取和破壞。,.,防火墻的作用,是基于TCP/IP七層協(xié)議中的24層協(xié)議開發(fā)的?？梢苑乐购途徑饣赥CP/IP協(xié)議24層的攻擊行為所造成的影響。,.,防火墻設備的特點,當前的防火墻是邊界類網絡安全設備.防火墻通常部署在網絡的邊界位置.作用是:隔離信任網絡（內部網絡）和非信任網絡（外部網絡，Internet）。防火墻作為進出網絡的唯一節(jié)點，對進出網絡的數據流進行檢測和控制。,.,一般網絡拓撲,.,部署防火墻的網絡拓撲,.,防火墻的分類,防火墻的分類：軟件防火墻產品（天網防火墻）PC架構的防火墻產品（CiscoPIX）純硬件設計的產品（NETSCREEN）,.,NetScreen-204,集成的防火墻，VPN和流量管理.狀態(tài)監(jiān)控防火墻NAT,PPPoE和DHCPclient,serverDC電源可選,.,防火墻的基礎應用部分1、應用模式的選擇和實現(xiàn)2、訪問控制的實現(xiàn)（策略的設置）3、安全域的應用和自定義4、一些特殊應用的實現(xiàn)（MIP、DIP、VIP）5、配置文件的保存,基礎應用,.,設備調試思路,1、了解網絡狀況。2、確定防火墻的部署位置。3、選擇防火墻的應用模式，規(guī)劃路由信息。4、確定策略方向、地址、服務信息。5、合理設定訪問策略。,.,1、應用模式的選擇,NETSCREEN防火墻有三種主要的應用模式透明模式NAT模式路由模式特殊模式：二層模式與三層模式混合部署(需要一些條件支持),.,1、透明模式,透明模式：看上去與基于TCP/IP協(xié)議二層的設備類似，防火墻的端口上沒有IP地址，只有一個用于管理的VLANIP。適用的環(huán)境：一般用于處于相同網段的不同網絡之間的安全隔離。優(yōu)點：不需要重新配置路由器或受保護服務器的IP設置不需要為到達受保護服務器的內向信息流創(chuàng)建映射或虛擬IP地址,.,1、基于透明模式的拓撲圖,.,1、NAT模式,類似于基于TCP/IP第三層協(xié)議的設備，通過協(xié)議端口或IP頭替換的方式實現(xiàn)地址轉發(fā)和共享訪問應用。適用的網絡環(huán)境：客戶擁有的公網地址數量，不能滿足網絡中的每個設備都擁有一個公共IP地址的情況下。優(yōu)點：針對內網對互聯(lián)網的訪問，可以大量節(jié)省公共IP地址，路由結構清晰。,.,1、路由模式,與NAT模式類似，也是基于TCP/IP第三層協(xié)議的設備，數據流在通過防火墻設備時，IP地址信息不發(fā)生替換，以源地址的方式訪問互聯(lián)網或進入網絡訪問。適用的網絡環(huán)境：擁有足夠多的公網IP地址，可以滿足網絡中的所有設備全部使用和擁有公網IP地址的情況。優(yōu)點：路由關系清晰，系統(tǒng)資源損耗較小。,.,1、網絡拓撲圖(NAT/ROUTE),.,1、對防火墻進行調試的準備工作,計算機需要有超級終端程序，提供串口。利用設備提供的控制線連接防火墻的控制口和計算機的串口。利用網線，連接防火墻的第一個網絡接口和計算機的網卡；配置計算機的IP地址，使該地址與防火墻將要設置的地址保持在相同的網段。觀察防火墻的物理端口燈的狀態(tài)，確認網絡連接是否正常。,.,1、對防火墻進行調試的準備工作,建立控制臺在計算機中的開始=程序=附件=超級終端選擇連接的串口設置端口參數：每秒位數：9600數據位：8奇偶校驗：無停止位：1數據流控制：無,.,1、防火墻的默認狀態(tài),當前出廠的防火墻的默認配置如下：在5.0系列的OS下，防火墻默認為NAT/路由混合模式的。防火墻的默認IP地址為：/24，該IP地址在防火墻的ethernet1上。防火墻默認啟用DHCP功能，可以給連接到防火墻的計算機分配與端口地址在相同網段的IP地址。防火墻的默認用戶名、密碼：netscreen（用戶名、密碼相同）防火墻的三個接口的安全區(qū)域是（指NS-25NS-208防火墻的設置）ethernet1:trustethernet2:dmzethernet3:untrustethernet4:null,.,1、透明模式的實現(xiàn)（命令行）,因為防火墻在默認情況下，不是透明模式的，因此需要進行調試，更改防火墻的應用模式為透明模式命令實現(xiàn)：unsetinternetethernet1ipsetinterfaceethernet1zonev1-trustsetinterfaceethernet2zonev1-dmzsetinterfaceethernet3zonev1-untrustsetinterfacevlan1ip/24save在命令行下進行調試，需要進行手動保存。,.,1、NAT模式的實現(xiàn)（命令行）,命令實現(xiàn)：setinterfaceethernet1zonetrustsetinterfaceethernet2zonedmzsetinterfaceethernet3zoneuntrustsetinterfaceethernet1ip/24setinterfaceethernet2ip/24setinterfaceethernet3ip/24setinterfaceethernet3gateway51setinterfaceethernet1natsave,.,1、路由模式的實現(xiàn)（命令行）,命令實現(xiàn)：setinterfaceethernet1zonetrustsetinterfaceethernet2zonedmzsetinterfaceethernet3zoneuntrustsetinterfaceethernet1ip/24setinterfaceethernet2ip/24setinterfaceethernet3ip/24setinterfaceethernet3gateway51setinterfaceethernet1routesave,.,1、WEB方式的調試方式,計算機通過與防火墻連接的網線與防火墻保持連接。計算機設置本機IP地址，使該地址與防火墻保持在相同的網段，通過WEB瀏覽器，在地址欄中輸入防火墻的IP地址，登陸防火墻的WEB頁面。防火墻擁有一個默認的IP地址：，在透明模式下，該IP為：vlan1的IP地址，在NAT的模式下，該地址為trust的IP地址，默認在eth1接口上。,.,1、NS防火墻的WEB界面,.,1、WEB下的基本設置,設置路由網關：NetworkRoutingRoutingEntries,.,2、訪問控制的實現(xiàn),防火墻的訪問控制是依靠防火墻的訪問控制策略（policy）實現(xiàn)的；所有的訪問控制由防火墻的訪問列表中的策略實現(xiàn)。訪問控制策略包含五的最基本的必要信息：策略的方向源地址信息目標地址信息網絡服務信息策略動作信息其它非必要信息：日志、流量控制、認證、實時流量記錄、,.,2、策略設置,.,2、關于策略設置的建議,關于防火墻策略設置的建議；1、合理安排策略順序：具體策略在上，非具體策略在下；拒絕策略在上，允許策略在下；VPN策略在上，非VPN策略在下；2、優(yōu)化策略內容：合理利用地址組、服務組功能,.,2、自定義服務,在訪問策略的定制過程中，個別的用戶會使用到非標準的自定義服務，對于這些特殊的服務，就需要進行自定義服務的設置。設置的位置為：ObjectsServicesCustom,.,2、自定義服務的設置,.,2、自定義服務組,在通過防火墻的訪問中，通常會出現(xiàn)，內部對外的訪問不止一種的情況，如：普通的上網應用，除了需要打開HTTP應用之外，還要開放DNS服務，否則，對于網絡域名的解析就無法實現(xiàn)。在上面的情況中，我們可以通過兩種方法解決問題：第一種是，針對每種具體的應用，設置單獨的策略。第二種是，針對幾個應用同時使用的情況，定制一組應用，再針對這一組應用設置一條策略。,.,2、服務組的設置,.,3、安全域的設置和自定義,安全域的概念，由NETSCREEN首先提出。NETSCREEN認為：對于接入防火墻設備的每個網絡，它們全部都是非信任的，針對每個安全域，全部可以自定義它的安全檢測項目，即：安全級別。最常用的的安全域為：trust、dmz、untrust三層的安全域；v1-trust、v1-dmz、v1-untrust二層的安全域；以上的名稱都是防火墻的保留字。,.,3、安全域的自定義,為什么需要新定義安全域？防火墻的多端口特性，如：NS-208有8個物理端口，默認的保留域不足以保證每個端口都有一個安全域。管理員需要個性化的安全域。設置的位置：NetworkZonesNew,.,3、基于二層協(xié)議的安全域,在NetworkZonesNew設置名稱：L2_任意選擇協(xié)議層為第二層,.,3、基于三層的安全域,在NetworkZonesNew設置名稱：任意選擇協(xié)議層為第三層,.,3、防火墻的安全區(qū)域,.,4、一些特殊的應用MIP（圖）,.,4、一些特殊應用的實現(xiàn)MIP,一對一的地址映射，是在防火墻三層的工作模式下實現(xiàn)的。通常這種設置的需求是：防火墻內部有一臺或幾臺服務器對Internet的計算機網絡用戶提供網絡服務。同時，網絡內部又擁有大量的一般用戶；注冊地址的數量超過不能滿足內部用戶的要求。,.,4、一些特殊應用的實現(xiàn)MIP,設置位置：network=interface=ethernet3=edit=MIP=NEW,.,4、MIP列表,.,4、MIP的策略設置,.,4、一些特殊的應用DIP（圖）,.,4、一些特殊應用的實現(xiàn)DIP,DIP，動態(tài)地址池，與CISCO的IPPOOL功能類似。主要是提供對內部地址外出訪問時的地址翻譯。通常利用在，擁有大量的注冊IP地址，同時，又擁有大量非注冊地址的網絡用戶。理論上，一個注冊IP地址可以代理60000多臺主機外出。,.,4、DIP的設置,設置位置：NetworkInterfaceEditDIP將一段連續(xù)的IP地址輸入的對應的位置中，保存為一段地址池；通過訪問控制策略調用IP地址池，使內部外出的用戶可以動態(tài)的獲得一個注冊的IP。,.,4、DIP的設置,.,4、一些特殊的應用VIP（圖）,.,4、一些特殊應用的實現(xiàn)VIP,VIP，端口地址映射；作用是提供一個注冊IP地址，對內部多個服務器或計算機提供的基于協(xié)議端口方式的地址影射。通常使用的情況是，網內有多個服務器對Internet提供網絡服務，每個服務器調用的服務端口都不同。客戶擁有的注冊IP地址的數量不足以滿足每個服務器一個IP地址的需要。,.,4、一些特殊應用的實現(xiàn)VIP,VIP的實現(xiàn)方式：設置位置：NetworkInterfaceEditVIP/VIPServices首先，添加一個注冊的IP地址。然后，增加一個內部的私有地址與該地址對應