1、,第1頁,2020/6/26,朝華軟件應(yīng)用服務(wù)有限公司,NetScreen防火墻應(yīng)用培訓(xùn),Juniper-NetScreen,a,培訓(xùn)內(nèi)容,基礎(chǔ)部分 1、防火墻的概念 2、具有代表性的netscreen產(chǎn)品（NS-204) 防火墻的基礎(chǔ)應(yīng)用部分 1、應(yīng)用模式的選擇和實(shí)現(xiàn) 2、訪問控制的實(shí)現(xiàn)（策略的設(shè)置） 3、安全域的自定義 4、一些特殊應(yīng)用的實(shí)現(xiàn)（MIP、DIP、VIP） 5、配置文件的保存,a,基礎(chǔ)部分的培訓(xùn),基礎(chǔ)部分 1、防火墻的概念 、特點(diǎn) 2、具有代表性的netscreen產(chǎn)品（NS-204),a,防火墻的基本概念,是一個(gè)用以阻止網(wǎng)絡(luò)中的非法用戶或非授權(quán)用戶訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可

2、稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。 在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部信任網(wǎng)絡(luò)和外部非信任網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入、竊取和破壞。,a,防火墻的作用,是基于TCP/IP七層協(xié)議中的24層協(xié)議開發(fā)的。 可以防止和緩解基于TCP/IP協(xié)議24層的攻擊行為所造成的影響。,a,防火墻設(shè)備的特點(diǎn),當(dāng)前的防火墻是邊界類網(wǎng)絡(luò)安全設(shè)備. 防火墻通常部署在網(wǎng)絡(luò)的邊界位置. 作用是:隔離信任網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和非信任網(wǎng)絡(luò)（外部網(wǎng)絡(luò)，Internet）。 防火墻作為進(jìn)出網(wǎng)絡(luò)的唯一節(jié)點(diǎn)，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢測和控制。,a,一般網(wǎng)絡(luò)拓?fù)?a,部署防火墻的網(wǎng)絡(luò)拓?fù)?a,防火墻的分類,防火墻的分類

3、： 軟件防火墻產(chǎn)品（天網(wǎng)防火墻） PC架構(gòu)的防火墻產(chǎn)品（Cisco PIX） 純硬件設(shè)計(jì)的產(chǎn)品（NETSCREEN）,a,NetScreen-204,集成的防火墻，VPN和流量管理. 狀態(tài)監(jiān)控防火墻 NAT, PPPoE 和 DHCP client, server DC電源可選,a,防火墻的基礎(chǔ)應(yīng)用部分 1、應(yīng)用模式的選擇和實(shí)現(xiàn) 2、訪問控制的實(shí)現(xiàn)（策略的設(shè)置） 3、安全域的應(yīng)用和自定義 4、一些特殊應(yīng)用的實(shí)現(xiàn)（MIP、DIP、VIP） 5、配置文件的保存,基礎(chǔ)應(yīng)用,a,設(shè)備調(diào)試思路,1、了解網(wǎng)絡(luò)狀況。 2、確定防火墻的部署位置。 3、選擇防火墻的應(yīng)用模式，規(guī)劃路由信息。 4、確定策略方向、地

4、址、服務(wù)信息。 5、合理設(shè)定訪問策略。,a,1、應(yīng)用模式的選擇,NETSCREEN防火墻有三種主要的應(yīng)用模式 透明模式 NAT模式 路由模式 特殊模式： 二層模式與三層模式混合部署 (需要一些條件支持),a,1、透明模式,透明模式： 看上去與基于TCP/IP協(xié)議二層的設(shè)備類似，防火墻的端口上沒有IP地址，只有一個(gè)用于管理的VLAN IP。 適用的環(huán)境： 一般用于處于相同網(wǎng)段的不同網(wǎng)絡(luò)之間的安全隔離。 優(yōu)點(diǎn)： 不需要重新配置路由器或受保護(hù)服務(wù)器的 IP 設(shè)置 不需要為到達(dá)受保護(hù)服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬 IP 地址,a,1、基于透明模式的拓?fù)鋱D,a,1、NAT模式,類似于基于TCP/IP第

5、三層協(xié)議的設(shè)備，通過協(xié)議端口或IP頭替換的方式實(shí)現(xiàn)地址轉(zhuǎn)發(fā)和共享訪問應(yīng)用。 適用的網(wǎng)絡(luò)環(huán)境： 客戶擁有的公網(wǎng)地址數(shù)量，不能滿足網(wǎng)絡(luò)中的每個(gè)設(shè)備都擁有一個(gè)公共IP地址的情況下。 優(yōu)點(diǎn)： 針對內(nèi)網(wǎng)對互聯(lián)網(wǎng)的訪問，可以大量節(jié)省公共IP地址，路由結(jié)構(gòu)清晰。,a,1、路由模式,與NAT模式類似，也是基于TCP/IP第三層協(xié)議的設(shè)備，數(shù)據(jù)流在通過防火墻設(shè)備時(shí)，IP地址信息不發(fā)生替換，以源地址的方式訪問互聯(lián)網(wǎng)或進(jìn)入網(wǎng)絡(luò)訪問。 適用的網(wǎng)絡(luò)環(huán)境： 擁有足夠多的公網(wǎng)IP地址，可以滿足網(wǎng)絡(luò)中的所有設(shè)備全部使用和擁有公網(wǎng)IP地址的情況。 優(yōu)點(diǎn)： 路由關(guān)系清晰，系統(tǒng)資源損耗較小。,a,1、網(wǎng)絡(luò)拓?fù)鋱D(NAT/ROUTE

6、),a,1、對防火墻進(jìn)行調(diào)試的準(zhǔn)備工作,計(jì)算機(jī)需要有超級終端程序，提供串口。 利用設(shè)備提供的控制線連接防火墻的控制口和計(jì)算機(jī)的串口。 利用網(wǎng)線，連接防火墻的第一個(gè)網(wǎng)絡(luò)接口和計(jì)算機(jī)的網(wǎng)卡；配置計(jì)算機(jī)的IP地址，使該地址與防火墻將要設(shè)置的地址保持在相同的網(wǎng)段。 觀察防火墻的物理端口燈的狀態(tài)，確認(rèn)網(wǎng)絡(luò)連接是否正常。,a,1、對防火墻進(jìn)行調(diào)試的準(zhǔn)備工作,建立控制臺 在計(jì)算機(jī)中的開始=程序=附件=超級終端 選擇連接的串口 設(shè)置端口參數(shù)： 每秒位數(shù)：9600 數(shù)據(jù)位：8 奇偶校驗(yàn)：無 停止位：1 數(shù)據(jù)流控制：無,a,1、防火墻的默認(rèn)狀態(tài),當(dāng)前出廠的防火墻的默認(rèn)配置如下： 在5.0系列的OS下，防火墻默認(rèn)為

7、NAT/路由混合模式的。 防火墻的默認(rèn)IP地址為：/24，該IP地址在防火墻的ethernet1上。 防火墻默認(rèn)啟用DHCP功能，可以給連接到防火墻的計(jì)算機(jī)分配與端口地址在相同網(wǎng)段的IP地址。 防火墻的默認(rèn)用戶名、密碼： netscreen（用戶名、密碼相同） 防火墻的三個(gè)接口的安全區(qū)域是（指NS-25NS-208防火墻的設(shè)置） ethernet1:trust ethernet2:dmz ethernet3:untrust ethernet4:null,a,1、透明模式的實(shí)現(xiàn)（命令行）,因?yàn)榉阑饓υ谀J(rèn)情況下，不是透明模式的，因此需要進(jìn)行調(diào)試，更改防火墻的應(yīng)用模式為透明模

8、式 命令實(shí)現(xiàn)： unset internet ethernet1 ip set interface ethernet1 zone v1-trust set interface ethernet2 zone v1-dmz set interface ethernet3 zone v1-untrust set interface vlan1 ip /24 save 在命令行下進(jìn)行調(diào)試，需要進(jìn)行手動保存。,a,1、NAT模式的實(shí)現(xiàn)（命令行）,命令實(shí)現(xiàn)： set interface ethernet1 zone trust set interface ethernet2 zone

9、 dmz set interface ethernet3 zone untrust set interface ethernet1 ip /24 set interface ethernet2 ip /24 set interface ethernet3 ip /24 set interface ethernet3 gateway 51 set interface ethernet1 nat save,a,1、路由模式的實(shí)現(xiàn)（命令行）,命令實(shí)現(xiàn)： set interface ethernet1 zone trust

10、set interface ethernet2 zone dmz set interface ethernet3 zone untrust set interface ethernet1 ip /24 set interface ethernet2 ip /24 set interface ethernet3 ip /24 set interface ethernet3 gateway 51 set interface ethernet1 route save,a,1、WEB方式的調(diào)試方式,計(jì)算機(jī)通過與防火墻連接的網(wǎng)

11、線與防火墻保持連接。 計(jì)算機(jī)設(shè)置本機(jī)IP地址，使該地址與防火墻保持在相同的網(wǎng)段，通過WEB瀏覽器，在地址欄中輸入防火墻的IP地址，登陸防火墻的WEB頁面。 防火墻擁有一個(gè)默認(rèn)的IP地址：，在透明模式下，該IP為：vlan1的IP地址，在NAT的模式下，該地址為trust的IP地址，默認(rèn)在eth1接口上。,a,1、NS防火墻的WEB界面,a,1、WEB下的基本設(shè)置,設(shè)置路由網(wǎng)關(guān)：Network Routing Routing Entries,a,2、訪問控制的實(shí)現(xiàn),防火墻的訪問控制是依靠防火墻的訪問控制策略（policy）實(shí)現(xiàn)的；所有的訪問控制由防火墻的訪問列表中的策略實(shí)現(xiàn)

12、。 訪問控制策略包含五的最基本的必要信息： 策略的方向 源地址信息 目標(biāo)地址信息 網(wǎng)絡(luò)服務(wù)信息 策略動作信息 其它非必要信息： 日志、流量控制、認(rèn)證、實(shí)時(shí)流量記錄、,a,2、策略設(shè)置,a,2、關(guān)于策略設(shè)置的建議,關(guān)于防火墻策略設(shè)置的建議； 1、合理安排策略順序： 具體策略在上，非具體策略在下； 拒絕策略在上，允許策略在下； VPN策略在上，非VPN策略在下； 2、優(yōu)化策略內(nèi)容： 合理利用地址組、服務(wù)組功能,a,2、自定義服務(wù),在訪問策略的定制過程中，個(gè)別的用戶會使用到非標(biāo)準(zhǔn)的自定義服務(wù)，對于這些特殊的服務(wù)，就需要進(jìn)行自定義服務(wù)的設(shè)置。 設(shè)置的位置為： Objects Services Cust

13、om,a,2、自定義服務(wù)的設(shè)置,a,2、自定義服務(wù)組,在通過防火墻的訪問中，通常會出現(xiàn)，內(nèi)部對外的訪問不止一種的情況，如：普通的上網(wǎng)應(yīng)用，除了需要打開HTTP應(yīng)用之外，還要開放DNS服務(wù)，否則，對于網(wǎng)絡(luò)域名的解析就無法實(shí)現(xiàn)。 在上面的情況中，我們可以通過兩種方法解決問題： 第一種是，針對每種具體的應(yīng)用，設(shè)置單獨(dú)的策略。 第二種是，針對幾個(gè)應(yīng)用同時(shí)使用的情況，定制一組應(yīng)用，再針對這一組應(yīng)用設(shè)置一條策略。,a,2、服務(wù)組的設(shè)置,a,3、安全域的設(shè)置和自定義,安全域的概念，由NETSCREEN首先提出。 NETSCREEN認(rèn)為：對于接入防火墻設(shè)備的每個(gè)網(wǎng)絡(luò)，它們?nèi)慷际欠切湃蔚?，針對每個(gè)安全域，全部

14、可以自定義它的安全檢測項(xiàng)目，即：安全級別。 最常用的的安全域?yàn)椋簍rust、dmz、untrust三層的安全域；v1-trust、v1-dmz、v1-untrust二層的安全域；以上的名稱都是防火墻的保留字。,a,3、安全域的自定義,為什么需要新定義安全域？ 防火墻的多端口特性，如：NS-208有8個(gè)物理端口，默認(rèn)的保留域不足以保證每個(gè)端口都有一個(gè)安全域。 管理員需要個(gè)性化的安全域。 設(shè)置的位置： Network Zones New,a,3、基于二層協(xié)議的安全域,在Network Zones New 設(shè)置名稱：L2_任意 選擇協(xié)議層為第二層,a,3、基于三層的安全域,在Network Zone

15、s New 設(shè)置名稱：任意 選擇協(xié)議層為第三層,a,3、防火墻的安全區(qū)域,a,4、一些特殊的應(yīng)用MIP（圖）,a,4、一些特殊應(yīng)用的實(shí)現(xiàn)MIP,一對一的地址映射，是在防火墻三層的工作模式下實(shí)現(xiàn)的。 通常這種設(shè)置的需求是：防火墻內(nèi)部有一臺或幾臺服務(wù)器對Internet的計(jì)算機(jī)網(wǎng)絡(luò)用戶提供網(wǎng)絡(luò)服務(wù)。同時(shí)，網(wǎng)絡(luò)內(nèi)部又擁有大量的一般用戶；注冊地址的數(shù)量超過不能滿足內(nèi)部用戶的要求。,a,4、一些特殊應(yīng)用的實(shí)現(xiàn)MIP,設(shè)置位置： network=interface=ethernet3=edit= MIP=NEW,a,4、MIP列表,a,4、MIP的策略設(shè)置,a,4、一些特殊的應(yīng)用DIP（圖）,a,4、一些

16、特殊應(yīng)用的實(shí)現(xiàn)DIP,DIP，動態(tài)地址池，與CISCO的IP POOL功能類似。 主要是提供對內(nèi)部地址外出訪問時(shí)的地址翻譯。 通常利用在，擁有大量的注冊IP地址，同時(shí)，又擁有大量非注冊地址的網(wǎng)絡(luò)用戶。 理論上，一個(gè)注冊IP地址可以代理60000多臺主機(jī)外出。,a,4、DIP的設(shè)置,設(shè)置位置：Network Interface Edit DIP 將一段連續(xù)的IP地址輸入的對應(yīng)的位置中，保存為一段地址池；通過訪問控制策略調(diào)用IP地址池，使內(nèi)部外出的用戶可以動態(tài)的獲得一個(gè)注冊的IP。,a,4、DIP的設(shè)置,a,4、一些特殊的應(yīng)用VIP（圖）,a,4、一些特殊應(yīng)用的實(shí)現(xiàn)VIP,VIP，端口地址映射； 作用是提供一個(gè)注冊IP地址，對內(nèi)部多個(gè)服務(wù)器或計(jì)算機(jī)提供的基于協(xié)議端口方式的地址影射。 通常使用的情況是，網(wǎng)內(nèi)有多個(gè)服務(wù)器對Internet提供網(wǎng)絡(luò)服務(wù)，每個(gè)服務(wù)器調(diào)用的服務(wù)端口都不同。 客戶擁有的注冊IP地址的數(shù)量不足以滿足每個(gè)服務(wù)器一個(gè)IP地址的需要。,a,4、一些特殊應(yīng)用的實(shí)現(xiàn)VIP,VIP的實(shí)現(xiàn)方式： 設(shè)置位置：Network Interface Edit VIP/VIP Services 首先，添加一個(gè)注冊的IP地址。 然后，增加一個(gè)內(nèi)部的私有地址與該地址對應(yīng)，并