juniper技術(shù)培訓知識講座

juniper技術(shù)培訓2024/5/7juniper技術(shù)培訓防火墻運行模式透明模式路由/地址翻譯模式混合模式j(luò)uniper技術(shù)培訓防火墻所能實現(xiàn)的一般功能安全功能訪問控制NAT會話認證帶寬管理VPNAnti-DoS…組網(wǎng)功能工作模式路由協(xié)議(OSPF,RIP)組播PPPoEDHCPClient/Server,Relay…juniper技術(shù)培訓NetScreen安全架構(gòu)

juniper技術(shù)培訓NetScreenDeviceVSYSVirtualSystem安全體系的構(gòu)成VirtualRouter1VirtualRouter2VirtualRouterR.T.R.T.ForwardingTableZoneAZoneBZoneCZoneDZonesE1E2E3E4E5E6E7E8InterfacesFlow1.2.3.4SRC-IP5.6.7.8DST-IP1234SRC-Port80DST-Port6ProtocolSession5.6.7.8SRC-IP1.2.3.4DST-IP80SRC-Port1234DST-Port6ProtocolPolicyCheckA->CPolicyjuniper技術(shù)培訓系統(tǒng)管理

juniper技術(shù)培訓基本原理-接口juniper技術(shù)培訓基本原理-子接口juniper技術(shù)培訓基本原理-物理接口juniper技術(shù)培訓建立Console口的連接通過Console口可以直接連接和管理NetScreen設(shè)備通過Console口連接的幾點好處安全專用的物理端口連接完成配置不需要連接網(wǎng)絡(luò)電纜不需要IP地址能夠查看系統(tǒng)引導信息能夠?qū)崟r查看DEBUG或SNOOP的輸出信息NetScreenDeviceConsolePortjuniper技術(shù)培訓命令行接口（CLI）的功能打開一個終端會話;使用默認賬號登陸login:netscreenpassword:netscreen登陸后默認就是命令行接口（CLI）模式使用上、下箭頭可調(diào)用以前使用過的命令使用CTL-A可將光標移動到當前命令的前端使用CTL-E可將光標移動到當前命令的末端使用左右箭頭可自由移動命令行中的光標使用TAB可快速自動完成命令輸入簡單易用幫助功能使用?可顯示所有命令在命令中使用可顯示命令格式在命令中使用還可以顯示具體命令參數(shù)juniper技術(shù)培訓幫助–CLIns208->?clearcleardynamicsysteminfoexecexecsystemcommandsexitexitcommandconsolegetgetsysteminformationpingpingotherhostresetresetsystemsavesavecommandsetconfiguresystemparameterstrace-routetracerouteunsetunconfiguresystemparameters輸入?以后,將顯示兩列信息:左列顯示命令的名稱右列顯示命令的解釋juniper技術(shù)培訓ns208->getsystemProductName:NS208SerialNumber:0043042002000034,ControlNumber:00000000HardwareVersion:0110(0)-(11),FPGAchecksum:00000000,VLAN1IP(0.0.0.0)SoftwareVersion:5.0.0.0,Type:Firewall+VPNBaseMac:0010.db1d.1c30FileName:n200-LAS0z0ad,Checksum:00000000Date04/15/200322:06:53,DaylightSavingTimeenabledTheNetworkTimeProtocolisDisabledUp2hours31minutes14secondsSince15Apr200319:35:39TotalDeviceResets:0SysteminNAT/routemode.UseinterfaceIP,ConfigPort:80UserName:netscreenInterfaceethernet1:number0,if_info0,if_index0,modenatlinkup,phy-linkup/full-duplexvsysRoot,zoneTrust,vrtrust-vrdhcpdisabled*ip1.1.1.1/24mac0010.db1d.1c30*manageip1.1.1.1,mac0010.db1d.1c30---more---顯示防火墻狀態(tài)信息-CLI在CLI中,getsystem命令可以提供一些關(guān)于防火墻系統(tǒng)有價值的信息:SystemserialnumberSoftwareversionOperatingmodeInterfacestatusInterfaceaddressManagementaddressesjuniper技術(shù)培訓圖形界面-WebUINetScreen可以提供web圖形界面的管理接口給系統(tǒng)管理員所需的最小配置(ie瀏覽器.和一個IP地址)PC可以配置一個和防火墻相同子網(wǎng)的IP地址來訪問防火墻的WEBUI通過用戶名密碼訪問juniper技術(shù)培訓主頁-WebUI主頁顯示的信息與getsystem輸出的信息類似juniper技術(shù)培訓管理訪問–配置概述為IP連接配置接口分配地址選擇管理服務(wù)管理IP地址(可選)更改根管理員密碼創(chuàng)建系統(tǒng)管理員管理選項超時管理IP地址juniper技術(shù)培訓配置安全域/接口-WebUINetwork>Interfaces(edit)juniper技術(shù)培訓選擇管理服務(wù)–WebUI默認狀態(tài)下防火墻安全域的管理服務(wù)配置Trust安全域:所有服務(wù)打開其他安全域:所有服務(wù)都關(guān)閉Network>Interfaces>Edit

juniper技術(shù)培訓管理IP地址管理IP可以單獨定義，默認采用接口IP地址setinterface<name>manage-ip<address)ns208>setinterfacee1manage-ip1.1.1.250Network>Interfaces>Edit

juniper技術(shù)培訓校驗接口配置-WebUINetwork>Interfaces>Edit

juniper技術(shù)培訓設(shè)備管理員NetScreen設(shè)備管理員可具有不同的管理權(quán)限根管理員是ScreenOS預定義的根管理員可以創(chuàng)建不同權(quán)限的其他本地管理員點擊new創(chuàng)建新的本地管理員ClicktoviewsettingsforRootaccountConfiguration>Admin>Administrators

juniper技術(shù)培訓更改根管理員用戶名/密碼Configuration>Admin>Administrators

setadminname<name>setadminpassword<password>juniper技術(shù)培訓創(chuàng)建系統(tǒng)管理員Configuration>Admin>Administrators

setadminusername<name>password<password>privilege[all|read-only]juniper技術(shù)培訓超時設(shè)置-Console通過CONSOLE口來設(shè)置系統(tǒng)超時默認值是10分鐘如果要關(guān)閉次功能，則將其設(shè)置為0setconsoletimeout<numberofminutes>ns208>setconsoletimeout5juniper技術(shù)培訓超時設(shè)置-WebUIsetadminauthtimeout<minutes>Configuration>Admin>Management

juniper技術(shù)培訓管理IP地址為了提供更高的安全保障，NETSCREEN設(shè)備能夠通過設(shè)置Manage-ip來允許某些特定的地址來管理防火墻通過‘PermittedIP’來定義可信的管理地址‘PermittedIP’地址內(nèi)容包括一個有點和十位數(shù)值的掩碼可以是一臺主機,一個子網(wǎng),一組子網(wǎng),一段網(wǎng)絡(luò),etc.每個設(shè)備做多配置6條先前提到如‘限制管理IP’juniper技術(shù)培訓配置允許管理防火墻的IP地址范圍setadminmanager-ip<address><mask>ns208->setadminmanager-ip1.1.7.250255.255.255.255ns208->setadminmanager-ip1.1.1.0255.255.255.0Configuration>Admin>PermittedIPsjuniper技術(shù)培訓配置文件管理–WebUIConfiguration>Update>ConfigFile

juniper技術(shù)培訓Configuration>Update>ScreenOS/Keys升級防火墻操作系統(tǒng)-WebUIjuniper技術(shù)培訓運行模式j(luò)uniper技術(shù)培訓1.透明模式j(luò)uniper技術(shù)培訓什么是透明模式?防火墻接口工作在2層模式下，類似于交換機，橋接模式Learning,Flooding,Forwarding,Filtering透明模式允許在2層安全域之間通過策略控制流量10.1.0.0/16E1E3zoneV1-TrustzoneV1-DMZzoneV1-UntrustE2juniper技術(shù)培訓V1-Untrust透明模式的作用可以簡單快速的部署防火墻到現(xiàn)有網(wǎng)絡(luò)中不需要改變現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)“Dropitin”和IP地址設(shè)計為隱藏策略沒有限制到直連的子網(wǎng)增強的安全VPNs能夠終結(jié)到netscreen設(shè)備在基于路由的ACLs上安全域提供流量控制V1-Trust10.1.0.0/16V1-DMZBBDABC10.100.1.0/1610.200.1.0/16Ejuniper技術(shù)培訓第二層安全域Pre-defined-“V1”zonesV1-TrustV1-UntrustV1-DMZUser-definedLayer-2(L2)zonesWhencreatingaL2zone,it’snamemustbeginwith“L2-”Int.Zonejuniper技術(shù)培訓VLAN1接口邏輯的3層接口存在于VLAN安全域中允許一個ip地址分配到netscreen設(shè)備透明模式必須和其他設(shè)備在同一個子網(wǎng)支持Manage-IP所有的物理接口不能響應(yīng)ARPV1-Trust1.1.1.101.1.1.111.1.1.12V1-DMZV1-UntrustVLAN1isalogicalinterfacewhichisaccessiblefrom

anytransparentzoneVLAN1interface:1.1.1.210/24E1E3E2ABCjuniper技術(shù)培訓配置透明模式創(chuàng)建2層安全域(如果不創(chuàng)建可以使用默認的2層域)分配接口到2層安全域為管理防火墻配置VLAN1地址3a.配置IP地址3b.選擇廣播方法3c.配置管理服務(wù)(可選)給每個安全域配置管理服務(wù)在透明安全域之間配置安全策略juniper技術(shù)培訓2.路由/地址翻譯模式

juniper技術(shù)培訓3層模式ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1Interface AddressE1 10.1.1.1E2 10.1.2.1E7 1.1.7.1E8 1.1.8.1juniper技術(shù)培訓需要路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1HowdoIgettohost10.1.10.5?Network Interface NextHop10.1.1.0/24 E1 -10.1.2.0/24 E2 -1.1.7.0/24 E7 -1.1.8.0/24 E8 -juniper技術(shù)培訓靜態(tài)路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1Network Interface NextHop10.1.1.0/24 E1 -10.1.2.0/24 E2 -1.1.7.0/24 E7 -1.1.8.0/24 E8 -10.1.10.0/24 E1 10.1.1.254juniper技術(shù)培訓默認路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1Network Interface NextHop10.1.1.0/24 E1 -10.1.2.0/24 E2 -1.1.7.0/24 E7 -1.1.8.0/24 E8 -10.1.10.0/24 E1 10.1.1.2540.0.0.0/0 E8 1.1.8.254juniper技術(shù)培訓安全域和接口嚴格的等級關(guān)系在分配接口ip地址之前必須分配接口到安全域Int.ZoneZoneIPInt.juniper技術(shù)培訓配置3層模式創(chuàng)建安全域(如果沒有可以使用默認)分配接口到安全域分配ip地址到接口配置靜態(tài)路由juniper技術(shù)培訓步驟1:創(chuàng)建安全域setzonename<name>Example:ns208->setzonenamePrivateNetwork>Zonesjuniper技術(shù)培訓步驟2:分配接口到安全域Network>Interfaces(Edit)setinterface<int-name>zone<zone-name>ns208->setinterfacee8zoneuntrustjuniper技術(shù)培訓步驟4:配置靜態(tài)路由setroute<network>/<mask>interface<out_int>gateway<nhr>Example:ns208->setroute10.1.10.0/24interfacee1gateway10.1.1.254Network>Routing>Destination>Editjuniper技術(shù)培訓校驗接口配置Network>Interfacesns208->getinterfaceA-Active,I-Inactive,U-Up,D-Down,R-ReadyInterfacesinvsysRoot:NameIPAddressZoneMACVLANStateVSDeth110.1.1.1/24Private0010.db1d.1be0-U-eth20.0.0.0/0V1-DMZ0010.db1d.1be4-D-eth30.0.0.0/0V1-Untrust0010.db1d.1be5-D-eth40.0.0.0/0Private0010.db1d.1be6-D-eth50.0.0.0/0Untrust0010.db1d.1be7-D-eth60.0.0.0/0Null0010.db1d.1be8-D-eth71.1.7.1/24Public0010.db1d.1be9-U-eth81.1.8.1/24External0010.db1d.1bea-U-vlan10.0.0.0/0VLAN0010.db1d.1bef1D-juniper技術(shù)培訓校驗靜態(tài)路由–WebUINetwork>Routing>Destinationjuniper技術(shù)培訓校驗靜態(tài)路由-CLIns208->getrouteuntrust-vr(0entries)-------------------------------------------------------------------------------C-Connected,S-Static,A-Auto-Exported,I-Imported,R-RIPiB-IBGP,eB-EBGP,O-OSPF,E1-OSPFexternaltype1E2-OSPFexternaltype2trust-vr(9entries)-------------------------------------------------------------------------------IDIP-PrefixInterfaceGatewayPPrefMtrVsys-------------------------------------------------------------------------------*70.0.0.0/0eth81.1.8.254S201Root*810.1.1.0/24eth11.1.1.10S201Root910.2.1.0/24eth21.1.2.10S201Root*61.1.8.0/24eth80.0.0.0C00Root1110.3.1.0/24eth31.1.3.10S201Root*51.1.7.0/24eth70.0.0.0C00Root41.1.3.0/24eth30.0.0.0C00Root31.1.2.0/24eth20.0.0.0C00Root*21.1.1.0/24eth10.0.0.0C00Rootjuniper技術(shù)培訓網(wǎng)絡(luò)地址翻譯(NAT)ExternalZonePrivateZone10.1.10.510.1.10.0/24.254200.5.5.5AD10.1.1.0/24.1 .2541.1.8.0/24SrcIPDstIPProtocolSrcPortDstPort10.1.10.5200.5.5.56200080SrcIPDstIPProtocolSrcPortDstPort1.1.8.1200.5.5.56102480內(nèi)部私有地址翻譯到一個注冊有效的外部地址方法參考網(wǎng)絡(luò)地址端口翻譯(NAPT)juniper技術(shù)培訓基于策略的NATe8:1.1.8.1NAT-src10.1.1.5200.100.8.51.1.8.1200.100.8.5SADASADA10.1.20.5:21200.100.8.51.1.8.100:21200.100.8.5NAT-dstSADASADAMIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADAVIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:80juniper技術(shù)培訓基本策略配置

juniper技術(shù)培訓安全域和策略安全域之間的流量必須通過策略檢查內(nèi)部安全域的流量可以通過策略檢查，不是必需的ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1juniper技術(shù)培訓SrcIPDestIPProtocolSrcPortDstPortData

10.1.10.51.1.70.250063603380#$%&策略的構(gòu)成Source&DestinationAddressBookAddressGroupServicePre-definedServiceCustomServiceCustomServiceGroupActionPermitDenyTunnelOptionsCoveredinnextchapterjuniper技術(shù)培訓策略配置過程在每個安全域中創(chuàng)建地址本條目為你的網(wǎng)絡(luò)需要配置一些定制的服務(wù)創(chuàng)建策略條目適當設(shè)置策略的排序juniper技術(shù)培訓步驟1:地址本條目ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1