juniper技術(shù)培訓(xùn)知識(shí)講座_第1頁(yè)
juniper技術(shù)培訓(xùn)知識(shí)講座_第2頁(yè)
juniper技術(shù)培訓(xùn)知識(shí)講座_第3頁(yè)
juniper技術(shù)培訓(xùn)知識(shí)講座_第4頁(yè)
juniper技術(shù)培訓(xùn)知識(shí)講座_第5頁(yè)
已閱讀5頁(yè),還剩63頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

juniper技術(shù)培訓(xùn)2024/5/7juniper技術(shù)培訓(xùn)防火墻運(yùn)行模式透明模式路由/地址翻譯模式混合模式j(luò)uniper技術(shù)培訓(xùn)防火墻所能實(shí)現(xiàn)的一般功能安全功能訪問(wèn)控制NAT會(huì)話認(rèn)證帶寬管理VPNAnti-DoS…組網(wǎng)功能工作模式路由協(xié)議(OSPF,RIP)組播PPPoEDHCPClient/Server,Relay…juniper技術(shù)培訓(xùn)NetScreen安全架構(gòu)

juniper技術(shù)培訓(xùn)NetScreenDeviceVSYSVirtualSystem安全體系的構(gòu)成VirtualRouter1VirtualRouter2VirtualRouterR.T.R.T.ForwardingTableZoneAZoneBZoneCZoneDZonesE1E2E3E4E5E6E7E8InterfacesFlow1.2.3.4SRC-IP5.6.7.8DST-IP1234SRC-Port80DST-Port6ProtocolSession5.6.7.8SRC-IP1.2.3.4DST-IP80SRC-Port1234DST-Port6ProtocolPolicyCheckA->CPolicyjuniper技術(shù)培訓(xùn)系統(tǒng)管理

juniper技術(shù)培訓(xùn)基本原理-接口juniper技術(shù)培訓(xùn)基本原理-子接口juniper技術(shù)培訓(xùn)基本原理-物理接口juniper技術(shù)培訓(xùn)建立Console口的連接通過(guò)Console口可以直接連接和管理NetScreen設(shè)備通過(guò)Console口連接的幾點(diǎn)好處安全專用的物理端口連接完成配置不需要連接網(wǎng)絡(luò)電纜不需要IP地址能夠查看系統(tǒng)引導(dǎo)信息能夠?qū)崟r(shí)查看DEBUG或SNOOP的輸出信息NetScreenDeviceConsolePortjuniper技術(shù)培訓(xùn)命令行接口(CLI)的功能打開(kāi)一個(gè)終端會(huì)話;使用默認(rèn)賬號(hào)登陸login:netscreenpassword:netscreen登陸后默認(rèn)就是命令行接口(CLI)模式使用上、下箭頭可調(diào)用以前使用過(guò)的命令使用CTL-A可將光標(biāo)移動(dòng)到當(dāng)前命令的前端使用CTL-E可將光標(biāo)移動(dòng)到當(dāng)前命令的末端使用左右箭頭可自由移動(dòng)命令行中的光標(biāo)使用TAB可快速自動(dòng)完成命令輸入簡(jiǎn)單易用幫助功能使用?可顯示所有命令在命令中使用可顯示命令格式在命令中使用還可以顯示具體命令參數(shù)juniper技術(shù)培訓(xùn)幫助–CLIns208->?clearcleardynamicsysteminfoexecexecsystemcommandsexitexitcommandconsolegetgetsysteminformationpingpingotherhostresetresetsystemsavesavecommandsetconfiguresystemparameterstrace-routetracerouteunsetunconfiguresystemparameters輸入?以后,將顯示兩列信息:左列顯示命令的名稱右列顯示命令的解釋juniper技術(shù)培訓(xùn)ns208->getsystemProductName:NS208SerialNumber:0043042002000034,ControlNumber:00000000HardwareVersion:0110(0)-(11),FPGAchecksum:00000000,VLAN1IP(0.0.0.0)SoftwareVersion:5.0.0.0,Type:Firewall+VPNBaseMac:0010.db1d.1c30FileName:n200-LAS0z0ad,Checksum:00000000Date04/15/200322:06:53,DaylightSavingTimeenabledTheNetworkTimeProtocolisDisabledUp2hours31minutes14secondsSince15Apr200319:35:39TotalDeviceResets:0SysteminNAT/routemode.UseinterfaceIP,ConfigPort:80UserName:netscreenInterfaceethernet1:number0,if_info0,if_index0,modenatlinkup,phy-linkup/full-duplexvsysRoot,zoneTrust,vrtrust-vrdhcpdisabled*ip1.1.1.1/24mac0010.db1d.1c30*manageip1.1.1.1,mac0010.db1d.1c30---more---顯示防火墻狀態(tài)信息-CLI在CLI中,getsystem命令可以提供一些關(guān)于防火墻系統(tǒng)有價(jià)值的信息:SystemserialnumberSoftwareversionOperatingmodeInterfacestatusInterfaceaddressManagementaddressesjuniper技術(shù)培訓(xùn)圖形界面-WebUINetScreen可以提供web圖形界面的管理接口給系統(tǒng)管理員所需的最小配置(ie瀏覽器.和一個(gè)IP地址)PC可以配置一個(gè)和防火墻相同子網(wǎng)的IP地址來(lái)訪問(wèn)防火墻的WEBUI通過(guò)用戶名密碼訪問(wèn)juniper技術(shù)培訓(xùn)主頁(yè)-WebUI主頁(yè)顯示的信息與getsystem輸出的信息類似juniper技術(shù)培訓(xùn)管理訪問(wèn)–配置概述為IP連接配置接口分配地址選擇管理服務(wù)管理IP地址(可選)更改根管理員密碼創(chuàng)建系統(tǒng)管理員管理選項(xiàng)超時(shí)管理IP地址juniper技術(shù)培訓(xùn)配置安全域/接口-WebUINetwork>Interfaces(edit)juniper技術(shù)培訓(xùn)選擇管理服務(wù)–WebUI默認(rèn)狀態(tài)下防火墻安全域的管理服務(wù)配置Trust安全域:所有服務(wù)打開(kāi)其他安全域:所有服務(wù)都關(guān)閉Network>Interfaces>Edit

juniper技術(shù)培訓(xùn)管理IP地址管理IP可以單獨(dú)定義,默認(rèn)采用接口IP地址setinterface<name>manage-ip<address)ns208>setinterfacee1manage-ip1.1.1.250Network>Interfaces>Edit

juniper技術(shù)培訓(xùn)校驗(yàn)接口配置-WebUINetwork>Interfaces>Edit

juniper技術(shù)培訓(xùn)設(shè)備管理員NetScreen設(shè)備管理員可具有不同的管理權(quán)限根管理員是ScreenOS預(yù)定義的根管理員可以創(chuàng)建不同權(quán)限的其他本地管理員點(diǎn)擊new創(chuàng)建新的本地管理員ClicktoviewsettingsforRootaccountConfiguration>Admin>Administrators

juniper技術(shù)培訓(xùn)更改根管理員用戶名/密碼Configuration>Admin>Administrators

setadminname<name>setadminpassword<password>juniper技術(shù)培訓(xùn)創(chuàng)建系統(tǒng)管理員Configuration>Admin>Administrators

setadminusername<name>password<password>privilege[all|read-only]juniper技術(shù)培訓(xùn)超時(shí)設(shè)置-Console通過(guò)CONSOLE口來(lái)設(shè)置系統(tǒng)超時(shí)默認(rèn)值是10分鐘如果要關(guān)閉次功能,則將其設(shè)置為0setconsoletimeout<numberofminutes>ns208>setconsoletimeout5juniper技術(shù)培訓(xùn)超時(shí)設(shè)置-WebUIsetadminauthtimeout<minutes>Configuration>Admin>Management

juniper技術(shù)培訓(xùn)管理IP地址為了提供更高的安全保障,NETSCREEN設(shè)備能夠通過(guò)設(shè)置Manage-ip來(lái)允許某些特定的地址來(lái)管理防火墻通過(guò)‘PermittedIP’來(lái)定義可信的管理地址‘PermittedIP’地址內(nèi)容包括一個(gè)有點(diǎn)和十位數(shù)值的掩碼可以是一臺(tái)主機(jī),一個(gè)子網(wǎng),一組子網(wǎng),一段網(wǎng)絡(luò),etc.每個(gè)設(shè)備做多配置6條先前提到如‘限制管理IP’juniper技術(shù)培訓(xùn)配置允許管理防火墻的IP地址范圍setadminmanager-ip<address><mask>ns208->setadminmanager-ip1.1.7.250255.255.255.255ns208->setadminmanager-ip1.1.1.0255.255.255.0Configuration>Admin>PermittedIPsjuniper技術(shù)培訓(xùn)配置文件管理–WebUIConfiguration>Update>ConfigFile

juniper技術(shù)培訓(xùn)Configuration>Update>ScreenOS/Keys升級(jí)防火墻操作系統(tǒng)-WebUIjuniper技術(shù)培訓(xùn)運(yùn)行模式j(luò)uniper技術(shù)培訓(xùn)1.透明模式j(luò)uniper技術(shù)培訓(xùn)什么是透明模式?防火墻接口工作在2層模式下,類似于交換機(jī),橋接模式Learning,Flooding,Forwarding,Filtering透明模式允許在2層安全域之間通過(guò)策略控制流量10.1.0.0/16E1E3zoneV1-TrustzoneV1-DMZzoneV1-UntrustE2juniper技術(shù)培訓(xùn)V1-Untrust透明模式的作用可以簡(jiǎn)單快速的部署防火墻到現(xiàn)有網(wǎng)絡(luò)中不需要改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)“Dropitin”和IP地址設(shè)計(jì)為隱藏策略沒(méi)有限制到直連的子網(wǎng)增強(qiáng)的安全VPNs能夠終結(jié)到netscreen設(shè)備在基于路由的ACLs上安全域提供流量控制V1-Trust10.1.0.0/16V1-DMZBBDABC10.100.1.0/1610.200.1.0/16Ejuniper技術(shù)培訓(xùn)第二層安全域Pre-defined-“V1”zonesV1-TrustV1-UntrustV1-DMZUser-definedLayer-2(L2)zonesWhencreatingaL2zone,it’snamemustbeginwith“L2-”Int.Zonejuniper技術(shù)培訓(xùn)VLAN1接口邏輯的3層接口存在于VLAN安全域中允許一個(gè)ip地址分配到netscreen設(shè)備透明模式必須和其他設(shè)備在同一個(gè)子網(wǎng)支持Manage-IP所有的物理接口不能響應(yīng)ARPV1-Trust1.1.1.101.1.1.111.1.1.12V1-DMZV1-UntrustVLAN1isalogicalinterfacewhichisaccessiblefrom

anytransparentzoneVLAN1interface:1.1.1.210/24E1E3E2ABCjuniper技術(shù)培訓(xùn)配置透明模式創(chuàng)建2層安全域(如果不創(chuàng)建可以使用默認(rèn)的2層域)分配接口到2層安全域?yàn)楣芾矸阑饓ε渲肰LAN1地址3a.配置IP地址3b.選擇廣播方法3c.配置管理服務(wù)(可選)給每個(gè)安全域配置管理服務(wù)在透明安全域之間配置安全策略juniper技術(shù)培訓(xùn)2.路由/地址翻譯模式

juniper技術(shù)培訓(xùn)3層模式ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1Interface AddressE1 10.1.1.1E2 10.1.2.1E7 1.1.7.1E8 1.1.8.1juniper技術(shù)培訓(xùn)需要路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1HowdoIgettohost10.1.10.5?Network Interface NextHop10.1.1.0/24 E1 -10.1.2.0/24 E2 -1.1.7.0/24 E7 -1.1.8.0/24 E8 -juniper技術(shù)培訓(xùn)靜態(tài)路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1Network Interface NextHop10.1.1.0/24 E1 -10.1.2.0/24 E2 -1.1.7.0/24 E7 -1.1.8.0/24 E8 -10.1.10.0/24 E1 10.1.1.254juniper技術(shù)培訓(xùn)默認(rèn)路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1Network Interface NextHop10.1.1.0/24 E1 -10.1.2.0/24 E2 -1.1.7.0/24 E7 -1.1.8.0/24 E8 -10.1.10.0/24 E1 10.1.1.2540.0.0.0/0 E8 1.1.8.254juniper技術(shù)培訓(xùn)安全域和接口嚴(yán)格的等級(jí)關(guān)系在分配接口ip地址之前必須分配接口到安全域Int.ZoneZoneIPInt.juniper技術(shù)培訓(xùn)配置3層模式創(chuàng)建安全域(如果沒(méi)有可以使用默認(rèn))分配接口到安全域分配ip地址到接口配置靜態(tài)路由juniper技術(shù)培訓(xùn)步驟1:創(chuàng)建安全域setzonename<name>Example:ns208->setzonenamePrivateNetwork>Zonesjuniper技術(shù)培訓(xùn)步驟2:分配接口到安全域Network>Interfaces(Edit)setinterface<int-name>zone<zone-name>ns208->setinterfacee8zoneuntrustjuniper技術(shù)培訓(xùn)步驟4:配置靜態(tài)路由setroute<network>/<mask>interface<out_int>gateway<nhr>Example:ns208->setroute10.1.10.0/24interfacee1gateway10.1.1.254Network>Routing>Destination>Editjuniper技術(shù)培訓(xùn)校驗(yàn)接口配置Network>Interfacesns208->getinterfaceA-Active,I-Inactive,U-Up,D-Down,R-ReadyInterfacesinvsysRoot:NameIPAddressZoneMACVLANStateVSDeth110.1.1.1/24Private0010.db1d.1be0-U-eth20.0.0.0/0V1-DMZ0010.db1d.1be4-D-eth30.0.0.0/0V1-Untrust0010.db1d.1be5-D-eth40.0.0.0/0Private0010.db1d.1be6-D-eth50.0.0.0/0Untrust0010.db1d.1be7-D-eth60.0.0.0/0Null0010.db1d.1be8-D-eth71.1.7.1/24Public0010.db1d.1be9-U-eth81.1.8.1/24External0010.db1d.1bea-U-vlan10.0.0.0/0VLAN0010.db1d.1bef1D-juniper技術(shù)培訓(xùn)校驗(yàn)靜態(tài)路由–WebUINetwork>Routing>Destinationjuniper技術(shù)培訓(xùn)校驗(yàn)靜態(tài)路由-CLIns208->getrouteuntrust-vr(0entries)-------------------------------------------------------------------------------C-Connected,S-Static,A-Auto-Exported,I-Imported,R-RIPiB-IBGP,eB-EBGP,O-OSPF,E1-OSPFexternaltype1E2-OSPFexternaltype2trust-vr(9entries)-------------------------------------------------------------------------------IDIP-PrefixInterfaceGatewayPPrefMtrVsys-------------------------------------------------------------------------------*70.0.0.0/0eth81.1.8.254S201Root*810.1.1.0/24eth11.1.1.10S201Root910.2.1.0/24eth21.1.2.10S201Root*61.1.8.0/24eth80.0.0.0C00Root1110.3.1.0/24eth31.1.3.10S201Root*51.1.7.0/24eth70.0.0.0C00Root41.1.3.0/24eth30.0.0.0C00Root31.1.2.0/24eth20.0.0.0C00Root*21.1.1.0/24eth10.0.0.0C00Rootjuniper技術(shù)培訓(xùn)網(wǎng)絡(luò)地址翻譯(NAT)ExternalZonePrivateZone10.1.10.510.1.10.0/24.254200.5.5.5AD10.1.1.0/24.1 .2541.1.8.0/24SrcIPDstIPProtocolSrcPortDstPort10.1.10.5200.5.5.56200080SrcIPDstIPProtocolSrcPortDstPort1.1.8.1200.5.5.56102480內(nèi)部私有地址翻譯到一個(gè)注冊(cè)有效的外部地址方法參考網(wǎng)絡(luò)地址端口翻譯(NAPT)juniper技術(shù)培訓(xùn)基于策略的NATe8:1.1.8.1NAT-src10.1.1.5200.100.8.51.1.8.1200.100.8.5SADASADA10.1.20.5:21200.100.8.51.1.8.100:21200.100.8.5NAT-dstSADASADAMIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADAVIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:80juniper技術(shù)培訓(xùn)基本策略配置

juniper技術(shù)培訓(xùn)安全域和策略安全域之間的流量必須通過(guò)策略檢查內(nèi)部安全域的流量可以通過(guò)策略檢查,不是必需的ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1 .254.1 .2541.1.7.0/241.1.8.0/24.254 .1juniper技術(shù)培訓(xùn)SrcIPDestIPProtocolSrcPortDstPortData

10.1.10.51.1.70.250063603380#$%&策略的構(gòu)成Source&DestinationAddressBookAddressGroupServicePre-definedServiceCustomServiceCustomServiceGroupActionPermitDenyTunnelOptionsCoveredinnextchapterjuniper技術(shù)培訓(xùn)策略配置過(guò)程在每個(gè)安全域中創(chuàng)建地址本條目為你的網(wǎng)絡(luò)需要配置一些定制的服務(wù)創(chuàng)建策略條目適當(dāng)設(shè)置策略的排序juniper技術(shù)培訓(xùn)步驟1:地址本條目ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論