NetScreen培訓(xùn)資料基礎(chǔ)篇PPT課件

,第1頁,2020/5/17,朝華軟件應(yīng)用服務(wù)有限公司,NetScreen防火墻應(yīng)用培訓(xùn),Juniper-NetScreen,.,培訓(xùn)內(nèi)容,基礎(chǔ)部分1、防火墻的概念2、具有代表性的netscreen產(chǎn)品（NS-204)防火墻的基礎(chǔ)應(yīng)用部分1、應(yīng)用模式的選擇和實(shí)現(xiàn)2、訪問控制的實(shí)現(xiàn)（策略的設(shè)置）3、安全域的自定義4、一些特殊應(yīng)用的實(shí)現(xiàn)（MIP、DIP、VIP）5、配置文件的保存,.,基礎(chǔ)部分的培訓(xùn),基礎(chǔ)部分1、防火墻的概念、特點(diǎn)2、具有代表性的netscreen產(chǎn)品（NS-204),.,防火墻的基本概念,是一個(gè)用以阻止網(wǎng)絡(luò)中的非法用戶或非授權(quán)用戶訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部信任網(wǎng)絡(luò)和外部非信任網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入、竊取和破壞。,.,防火墻的作用,是基于TCP/IP七層協(xié)議中的24層協(xié)議開發(fā)的?？梢苑乐购途徑饣赥CP/IP協(xié)議24層的攻擊行為所造成的影響。,.,防火墻設(shè)備的特點(diǎn),當(dāng)前的防火墻是邊界類網(wǎng)絡(luò)安全設(shè)備.防火墻通常部署在網(wǎng)絡(luò)的邊界位置.作用是:隔離信任網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和非信任網(wǎng)絡(luò)（外部網(wǎng)絡(luò)，Internet）。防火墻作為進(jìn)出網(wǎng)絡(luò)的唯一節(jié)點(diǎn)，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢測和控制。,.,一般網(wǎng)絡(luò)拓?fù)?.,部署防火墻的網(wǎng)絡(luò)拓?fù)?.,防火墻的分類,防火墻的分類：軟件防火墻產(chǎn)品（天網(wǎng)防火墻）PC架構(gòu)的防火墻產(chǎn)品（CiscoPIX）純硬件設(shè)計(jì)的產(chǎn)品（NETSCREEN）,.,NetScreen-204,集成的防火墻，VPN和流量管理.狀態(tài)監(jiān)控防火墻NAT,PPPoE和DHCPclient,serverDC電源可選,.,防火墻的基礎(chǔ)應(yīng)用部分1、應(yīng)用模式的選擇和實(shí)現(xiàn)2、訪問控制的實(shí)現(xiàn)（策略的設(shè)置）3、安全域的應(yīng)用和自定義4、一些特殊應(yīng)用的實(shí)現(xiàn)（MIP、DIP、VIP）5、配置文件的保存,基礎(chǔ)應(yīng)用,.,設(shè)備調(diào)試思路,1、了解網(wǎng)絡(luò)狀況。2、確定防火墻的部署位置。3、選擇防火墻的應(yīng)用模式，規(guī)劃路由信息。4、確定策略方向、地址、服務(wù)信息。5、合理設(shè)定訪問策略。,.,1、應(yīng)用模式的選擇,NETSCREEN防火墻有三種主要的應(yīng)用模式透明模式NAT模式路由模式特殊模式：二層模式與三層模式混合部署(需要一些條件支持),.,1、透明模式,透明模式：看上去與基于TCP/IP協(xié)議二層的設(shè)備類似，防火墻的端口上沒有IP地址，只有一個(gè)用于管理的VLANIP。適用的環(huán)境：一般用于處于相同網(wǎng)段的不同網(wǎng)絡(luò)之間的安全隔離。優(yōu)點(diǎn)：不需要重新配置路由器或受保護(hù)服務(wù)器的IP設(shè)置不需要為到達(dá)受保護(hù)服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬IP地址,.,1、基于透明模式的拓?fù)鋱D,.,1、NAT模式,類似于基于TCP/IP第三層協(xié)議的設(shè)備，通過協(xié)議端口或IP頭替換的方式實(shí)現(xiàn)地址轉(zhuǎn)發(fā)和共享訪問應(yīng)用。適用的網(wǎng)絡(luò)環(huán)境：客戶擁有的公網(wǎng)地址數(shù)量，不能滿足網(wǎng)絡(luò)中的每個(gè)設(shè)備都擁有一個(gè)公共IP地址的情況下。優(yōu)點(diǎn)：針對(duì)內(nèi)網(wǎng)對(duì)互聯(lián)網(wǎng)的訪問，可以大量節(jié)省公共IP地址，路由結(jié)構(gòu)清晰。,.,1、路由模式,與NAT模式類似，也是基于TCP/IP第三層協(xié)議的設(shè)備，數(shù)據(jù)流在通過防火墻設(shè)備時(shí)，IP地址信息不發(fā)生替換，以源地址的方式訪問互聯(lián)網(wǎng)或進(jìn)入網(wǎng)絡(luò)訪問。適用的網(wǎng)絡(luò)環(huán)境：擁有足夠多的公網(wǎng)IP地址，可以滿足網(wǎng)絡(luò)中的所有設(shè)備全部使用和擁有公網(wǎng)IP地址的情況。優(yōu)點(diǎn)：路由關(guān)系清晰，系統(tǒng)資源損耗較小。,.,1、網(wǎng)絡(luò)拓?fù)鋱D(NAT/ROUTE),.,1、對(duì)防火墻進(jìn)行調(diào)試的準(zhǔn)備工作,計(jì)算機(jī)需要有超級(jí)終端程序，提供串口。利用設(shè)備提供的控制線連接防火墻的控制口和計(jì)算機(jī)的串口。利用網(wǎng)線，連接防火墻的第一個(gè)網(wǎng)絡(luò)接口和計(jì)算機(jī)的網(wǎng)卡；配置計(jì)算機(jī)的IP地址，使該地址與防火墻將要設(shè)置的地址保持在相同的網(wǎng)段。觀察防火墻的物理端口燈的狀態(tài)，確認(rèn)網(wǎng)絡(luò)連接是否正常。,.,1、對(duì)防火墻進(jìn)行調(diào)試的準(zhǔn)備工作,建立控制臺(tái)在計(jì)算機(jī)中的開始=程序=附件=超級(jí)終端選擇連接的串口設(shè)置端口參數(shù)：每秒位數(shù)：9600數(shù)據(jù)位：8奇偶校驗(yàn)：無停止位：1數(shù)據(jù)流控制：無,.,1、防火墻的默認(rèn)狀態(tài),當(dāng)前出廠的防火墻的默認(rèn)配置如下：在5.0系列的OS下，防火墻默認(rèn)為NAT/路由混合模式的。防火墻的默認(rèn)IP地址為：/24，該IP地址在防火墻的ethernet1上。防火墻默認(rèn)啟用DHCP功能，可以給連接到防火墻的計(jì)算機(jī)分配與端口地址在相同網(wǎng)段的IP地址。防火墻的默認(rèn)用戶名、密碼：netscreen（用戶名、密碼相同）防火墻的三個(gè)接口的安全區(qū)域是（指NS-25NS-208防火墻的設(shè)置）ethernet1:trustethernet2:dmzethernet3:untrustethernet4:null,.,1、透明模式的實(shí)現(xiàn)（命令行）,因?yàn)榉阑饓υ谀J(rèn)情況下，不是透明模式的，因此需要進(jìn)行調(diào)試，更改防火墻的應(yīng)用模式為透明模式命令實(shí)現(xiàn)：unsetinternetethernet1ipsetinterfaceethernet1zonev1-trustsetinterfaceethernet2zonev1-dmzsetinterfaceethernet3zonev1-untrustsetinterfacevlan1ip/24save在命令行下進(jìn)行調(diào)試，需要進(jìn)行手動(dòng)保存。,.,1、NAT模式的實(shí)現(xiàn)（命令行）,命令實(shí)現(xiàn)：setinterfaceethernet1zonetrustsetinterfaceethernet2zonedmzsetinterfaceethernet3zoneuntrustsetinterfaceethernet1ip/24setinterfaceethernet2ip/24setinterfaceethernet3ip/24setinterfaceethernet3gateway51setinterfaceethernet1natsave,.,1、路由模式的實(shí)現(xiàn)（命令行）,命令實(shí)現(xiàn)：setinterfaceethernet1zonetrustsetinterfaceethernet2zonedmzsetinterfaceethernet3zoneuntrustsetinterfaceethernet1ip/24setinterfaceethernet2ip/24setinterfaceethernet3ip/24setinterfaceethernet3gateway51setinterfaceethernet1routesave,.,1、WEB方式的調(diào)試方式,計(jì)算機(jī)通過與防火墻連接的網(wǎng)線與防火墻保持連接。計(jì)算機(jī)設(shè)置本機(jī)IP地址，使該地址與防火墻保持在相同的網(wǎng)段，通過WEB瀏覽器，在地址欄中輸入防火墻的IP地址，登陸防火墻的WEB頁面。防火墻擁有一個(gè)默認(rèn)的IP地址：，在透明模式下，該IP為：vlan1的IP地址，在NAT的模式下，該地址為trust的IP地址，默認(rèn)在eth1接口上。,.,1、NS防火墻的WEB界面,.,1、WEB下的基本設(shè)置,設(shè)置路由網(wǎng)關(guān)：NetworkRoutingRoutingEntries,.,2、訪問控制的實(shí)現(xiàn),防火墻的訪問控制是依靠防火墻的訪問控制策略（policy）實(shí)現(xiàn)的；所有的訪問控制由防火墻的訪問列表中的策略實(shí)現(xiàn)。訪問控制策略包含五的最基本的必要信息：策略的方向源地址信息目標(biāo)地址信息網(wǎng)絡(luò)服務(wù)信息策略動(dòng)作信息其它非必要信息：日志、流量控制、認(rèn)證、實(shí)時(shí)流量記錄、,.,2、策略設(shè)置,.,2、關(guān)于策略設(shè)置的建議,關(guān)于防火墻策略設(shè)置的建議；1、合理安排策略順序：具體策略在上，非具體策略在下；拒絕策略在上，允許策略在下；VPN策略在上，非VPN策略在下；2、優(yōu)化策略內(nèi)容：合理利用地址組、服務(wù)組功能,.,2、自定義服務(wù),在訪問策略的定制過程中，個(gè)別的用戶會(huì)使用到非標(biāo)準(zhǔn)的自定義服務(wù)，對(duì)于這些特殊的服務(wù)，就需要進(jìn)行自定義服務(wù)的設(shè)置。設(shè)置的位置為：ObjectsServicesCustom,.,2、自定義服務(wù)的設(shè)置,.,2、自定義服務(wù)組,在通過防火墻的訪問中，通常會(huì)出現(xiàn)，內(nèi)部對(duì)外的訪問不止一種的情況，如：普通的上網(wǎng)應(yīng)用，除了需要打開HTTP應(yīng)用之外，還要開放DNS服務(wù)，否則，對(duì)于網(wǎng)絡(luò)域名的解析就無法實(shí)現(xiàn)。在上面的情況中，我們可以通過兩種方法解決問題：第一種是，針對(duì)每種具體的應(yīng)用，設(shè)置單獨(dú)的策略。第二種是，針對(duì)幾個(gè)應(yīng)用同時(shí)使用的情況，定制一組應(yīng)用，再針對(duì)這一組應(yīng)用設(shè)置一條策略。,.,2、服務(wù)組的設(shè)置,.,3、安全域的設(shè)置和自定義,安全域的概念，由NETSCREEN首先提出。NETSCREEN認(rèn)為：對(duì)于接入防火墻設(shè)備的每個(gè)網(wǎng)絡(luò)，它們?nèi)慷际欠切湃蔚?，針?duì)每個(gè)安全域，全部可以自定義它的安全檢測項(xiàng)目，即：安全級(jí)別。最常用的的安全域?yàn)椋簍rust、dmz、untrust三層的安全域；v1-trust、v1-dmz、v1-untrust二層的安全域；以上的名稱都是防火墻的保留字。,.,3、安全域的自定義,為什么需要新定義安全域？防火墻的多端口特性，如：NS-208有8個(gè)物理端口，默認(rèn)的保留域不足以保證每個(gè)端口都有一個(gè)安全域。管理員需要個(gè)性化的安全域。設(shè)置的位置：NetworkZonesNew,.,3、基于二層協(xié)議的安全域,在NetworkZonesNew設(shè)置名稱：L2_任意選擇協(xié)議層為第二層,.,3、基于三層的安全域,在NetworkZonesNew設(shè)置名稱：任意選擇協(xié)議層為第三層,.,3、防火墻的安全區(qū)域,.,4、一些特殊的應(yīng)用MIP（圖）,.,4、一些特殊應(yīng)用的實(shí)現(xiàn)MIP,一對(duì)一的地址映射，是在防火墻三層的工作模式下實(shí)現(xiàn)的。通常這種設(shè)置的需求是：防火墻內(nèi)部有一臺(tái)或幾臺(tái)服務(wù)器對(duì)Internet的計(jì)算機(jī)網(wǎng)絡(luò)用戶提供網(wǎng)絡(luò)服務(wù)。同時(shí)，網(wǎng)絡(luò)內(nèi)部又擁有大量的一般用戶；注冊(cè)地址的數(shù)量超過不能滿足內(nèi)部用戶的要求。,.,4、一些特殊應(yīng)用的實(shí)現(xiàn)MIP,設(shè)置位置：network=interface=ethernet3=edit=MIP=NEW,.,4、MIP列表,.,4、MIP的策略設(shè)置,.,4、一些特殊的應(yīng)用DIP（圖）,.,4、一些特殊應(yīng)用的實(shí)現(xiàn)DIP,DIP，動(dòng)態(tài)地址池，與CISCO的IPPOOL功能類似。主要是提供對(duì)內(nèi)部地址外出訪問時(shí)的地址翻譯。通常利用在，擁有大量的注冊(cè)IP地址，同時(shí)，又擁有大量非注冊(cè)地址的網(wǎng)絡(luò)用戶。理論上，一個(gè)注冊(cè)IP地址可以代理60000多臺(tái)主機(jī)外出。,.,4、DIP的設(shè)置,設(shè)置位置：NetworkInterfaceEditDIP將一段連續(xù)的IP地址輸入的對(duì)應(yīng)的位置中，保存為一段地址池；通過訪問控制策略調(diào)用IP地址池，使內(nèi)部外出的用戶可以動(dòng)態(tài)的獲得一個(gè)注冊(cè)的IP。,.,4、DIP的設(shè)置,.,4、一些特殊的應(yīng)用VIP（圖）,.,4、一些特殊應(yīng)用的實(shí)現(xiàn)VIP,VIP，端口地址映射；作用是提供一個(gè)注冊(cè)IP地址，對(duì)內(nèi)部多個(gè)服務(wù)器或計(jì)算機(jī)提供的基于協(xié)議端口方式的地址影射。通常使用的情況是，網(wǎng)內(nèi)有多個(gè)服務(wù)器對(duì)Internet提供網(wǎng)絡(luò)服務(wù)，每個(gè)服務(wù)器調(diào)用的服務(wù)端口都不同?？蛻魮碛械淖?cè)IP地址的數(shù)量不足以滿足每個(gè)服務(wù)器一個(gè)IP地址的需要。,.,4、一些特殊應(yīng)用的實(shí)現(xiàn)VIP,VIP的實(shí)現(xiàn)方式：設(shè)置位置：NetworkInterfaceEditVIP/VIPServices首先，添加一個(gè)注冊(cè)的IP地址。然后，增加一個(gè)內(nèi)部的私有地址與該地址對(duì)應(yīng)