1、Copyright 2008 Juniper Networks,Inc.Proprietary and C1Juniper netscreen 防火墙培训防火墙培训 王庆生王庆生 juniper 认证工程师认证工程师Copyright 2008 Juniper Networks,Inc.Proprietary and C2课程目标课程目标NS防火墙部署方式介绍,部署方式主要有以下几种防火墙部署方式介绍,部署方式主要有以下几种1、路由模式、路由模式2、透明模式、透明模式3、混合模式(、混合模式(1、2两种模式的结合)两种模式的结合)内网各种应用服务器(内网各种应用服务器(WEB、ERP、EMAI
2、L)的发布)的发布1、MIP、VIP、DIP2、访问应用服务器的安全策略、访问应用服务器的安全策略Copyright 2008 Juniper Networks,Inc.Proprietary and C3路由模式防火墙最常用的一种部署方式,主要是取代原有网络中的网关路由模式防火墙最常用的一种部署方式,主要是取代原有网络中的网关路由器。如图:路由器。如图:防火墙部署方式一、路由模式防火墙部署方式一、路由模式原网络环境架墙之后的拓扑SWSWROUTEROUTE内网内网PCPCFWFWSWSW内网内网PCPCNATNAT转换转换Copyright 2008 Juniper Networks,Inc
3、.Proprietary and C4路由模式的配置步骤路由模式的配置步骤第一步、配置防火墙的接口地址第一步、配置防火墙的接口地址第二步、配置防火墙的缺省路由第二步、配置防火墙的缺省路由第三步、配置防火墙安全策略第三步、配置防火墙安全策略下面以截图具体说明下面以截图具体说明Copyright 2008 Juniper Networks,Inc.Proprietary and C5网络拓扑网络拓扑E 0/0E 0/2192.168.1.1/24Copyright 2008 Juniper Networks,Inc.Proprietary and C6接口地址一览表接口地址一览表(初始初始)编辑缺
4、省外网接口Copyright 2008 Juniper Networks,Inc.Proprietary and C7配置缺省外网接口配置缺省外网接口IP及管理项及管理项配置静态公网IP公网远程管理开关选择管理项外网口为ROUTE内网口为NATCopyright 2008 Juniper Networks,Inc.Proprietary and C8内外网接口配置完成后一览表内外网接口配置完成后一览表Copyright 2008 Juniper Networks,Inc.Proprietary and C9路由一览表路由一览表添加路由条目按键Copyright 2008 Juniper Net
5、works,Inc.Proprietary and C10添加缺省路由添加缺省路由缺省路由配置格式防火墙互联网网关地址选择外网接口Copyright 2008 Juniper Networks,Inc.Proprietary and C11添加缺省路由后路由表添加缺省路由后路由表Copyright 2008 Juniper Networks,Inc.Proprietary and C12创建创建Trust-Untrust区域策略区域策略源区域源区域 目的区域目的区域 创建创建Copyright 2008 Juniper Networks,Inc.Proprietary and C13创建创建T
6、rustUntrust区域策略区域策略自定义策略名称内网的所有地址可以访问外网的所有地址开启LOG;并把该策略置顶执行Copyright 2008 Juniper Networks,Inc.Proprietary and C14创建创建Trust-Untrust区域策略区域策略完成策略配置完成策略配置点击此处可以查看策略日志Copyright 2008 Juniper Networks,Inc.Proprietary and C15路由模式配置完成路由模式配置完成配置完成后:1.Ping测试,使用内网PC用Ping192.168.1.1地址进行连通测试.2.Ping测试,使用内网PC用Ping
7、外网地址进行互联网测试.Copyright 2008 Juniper Networks,Inc.Proprietary and C16透明模式的部署环境分两种透明模式的部署环境分两种1、标准包下的透明模式、标准包下的透明模式2、TRUNK模式下的透明模式模式下的透明模式下面结合具体环境说明一下下面结合具体环境说明一下防火墙部署方式二、透明模式防火墙部署方式二、透明模式架墙之后的拓扑原网络环境标准包下的透明模式标准包下的透明模式SWSWROUTEROUTE内网内网PCPCFWFWSWSW内网内网PCPCROUTEROUTECopyright 2008 Juniper Networks,Inc.P
8、roprietary and C17标准包下的透明模式配置步骤标准包下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第一步、配置防火墙的接口为二层模式第二步、配置防火墙的第二步、配置防火墙的VLAN1的地址的地址第三步、配置防火墙安全策略第三步、配置防火墙安全策略下面以截图具体说明下面以截图具体说明Copyright 2008 Juniper Networks,Inc.Proprietary and C18网络拓扑网络拓扑VLAN1IP 192.168.2.1/24192.168.1.1/24RouterCopyright 2008 Juniper Networks,Inc.Propri
9、etary and C19透明模式步骤外网接口配置透明模式步骤外网接口配置初始未配置页面初始未配置页面Copyright 2008 Juniper Networks,Inc.Proprietary and C20透明模式步骤外网接口配置透明模式步骤外网接口配置改变Untrust-V1-UntrustCopyright 2008 Juniper Networks,Inc.Proprietary and C21透明模式透明模式-外网接口配置外网接口配置设置VLAN1管理地址Copyright 2008 Juniper Networks,Inc.Proprietary and C22配置用于管理的配
10、置用于管理的VLAN 1 IP地址地址配置与缺省地址的不同私有地址用于管理Copyright 2008 Juniper Networks,Inc.Proprietary and C23透明模式透明模式-内网接口配置内网接口配置删除原有IPCopyright 2008 Juniper Networks,Inc.Proprietary and C24透明模式透明模式-内网接口配置内网接口配置更改TrustV1-TrustCopyright 2008 Juniper Networks,Inc.Proprietary and C25透明配置完成后再次登陆透明配置完成后再次登陆使用配置的VALN 1 I
11、P 地址登录WEB界面Copyright 2008 Juniper Networks,Inc.Proprietary and C26创建创建V1-Trust-V1-Untrust区域策略区域策略源区域源区域 目的区域目的区域 创建创建Copyright 2008 Juniper Networks,Inc.Proprietary and C27透明模式配置完成透明模式配置完成配置完成后:Ping测试,使用内网PC用Ping“路由器内网接口地址”进行连通测试.Ping测试,使用内网PC用Ping外网地址进行互联网测试.Copyright 2008 Juniper Networks,Inc.Prop
12、rietary and C28TRUNK模式下的透明模式模式下的透明模式下面结合具体环境说明一下下面结合具体环境说明一下SiSi防火墙部署方式二、透明模式防火墙部署方式二、透明模式架墙之后的拓扑ROUTEROUTE内网内网PCPCFWFW原网络环境TRUNK模式下的透明模式模式下的透明模式SWSWTRUNKTRUNKSiSiROUTEROUTE内网内网PCPCSWSWTRUNKTRUNKTRUNKTRUNKCopyright 2008 Juniper Networks,Inc.Proprietary and C29TRUNK模式下的典型应用模式下的典型应用-TRUNK透传VLAN2/3VLAN
13、2/3ROUTERROUTERSWSWVLAN4/5VLAN4/5SWSWFWFWFWFWTrunkTrunkTrunkTrunkTrunkTrunkTrunkTrunkVLAN2VLAN2ROUTERROUTERSWSWVLAN3VLAN3FWFWSWSWTrunkTrunkTrunkTrunkTrunkTrunk192.168.1.0192.168.1.0/24/24192.168.2.0/24192.168.2.0/24192.168.1.1192.168.1.1 192.168.2.1192.168.2.1透明模式支持VLAN透传VLAN需终结于FWCopyright 2008 Jun
14、iper Networks,Inc.Proprietary and C30TRUNK模式下的典型应用模式下的典型应用-内网访问控制VLAN3VLAN3用户用户vlan2vlan2用户用户FirewallFirewall192.168.2.2/24192.168.2.2/24VLAN 2VLAN 2Cisco 3550Cisco 3550应用应用1 1聚合端口聚合端口+中继端口中继端口Trust zone:Vlan2.gw192.168.2.1/24Untrust zone:Vlan3.gw192.168.3.1/24VLAN 3VLAN 3Vlan4.gw192.168.4.1/24192.1
15、68.3.2/24192.168.3.2/24192.168.4.2/24192.168.4.2/24 Vlan5.gw192.168.5.1/24VLAN5VLAN5192.168.5.2/24192.168.5.2/24VLAN4VLAN4应用应用2 2互连互连VLAN:Vlan10192.168.10.0/30Copyright 2008 Juniper Networks,Inc.Proprietary and C31TRUNK下的透明模式配置步骤下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第一步、配置防火墙的接口为二层模式第二步、配置防火墙的第二步、配置防火墙的VLAN1的地
16、址的地址第三步、配置防火墙的第三步、配置防火墙的VLAN1接口支持接口支持TRUNK第三步、配置防火墙安全策略第三步、配置防火墙安全策略Copyright 2008 Juniper Networks,Inc.Proprietary and C32混合模式是前两种模式的结合,是针对两条外网线路环境下而设计的混合模式是前两种模式的结合,是针对两条外网线路环境下而设计的SiSi防火墙部署方式三、混合模式防火墙部署方式三、混合模式架墙之后的拓扑ROUTE1ROUTE1内网内网PCPCFWFW原网络环境SWSWSiSiROUTE1ROUTE1内网内网PCPCSWSWROUTE2ROUTE2透明透明模式模
17、式路由路由模式模式Copyright 2008 Juniper Networks,Inc.Proprietary and C33混合模式配置步骤混合模式配置步骤第一步、配置防火墙的两个接口为二层模式第一步、配置防火墙的两个接口为二层模式第二步、配置防火墙的另外两个接口为路由模式第二步、配置防火墙的另外两个接口为路由模式第三步、配置防火墙的第三步、配置防火墙的VLAN1接口地址接口地址第三步、配置防火墙安全策略第三步、配置防火墙安全策略Copyright 2008 Juniper Networks,Inc.Proprietary and C34企业内部有各种应用服务器,需要对外发布或外部办公人员
18、访问,在此企业内部有各种应用服务器,需要对外发布或外部办公人员访问,在此种情况下,就需设置种情况下,就需设置NS墙的墙的MIP、VIP、DIP(防火墙部署方式需路由)(防火墙部署方式需路由)SiSi内网各种应用服务器(内网各种应用服务器(WEB、ERP、EMAIL)的发布)的发布内网内网PCPCFWFWSWSWWEBWEBCopyright 2008 Juniper Networks,Inc.Proprietary and C35MIP、VIP、DIP之间的区别之间的区别1、MIP是一对一的地址映射,即一个公网地址只对应是一对一的地址映射,即一个公网地址只对应一台内网服务器,公网所有端口都映射
19、到内部服务器。一台内网服务器,公网所有端口都映射到内部服务器。2、VIP是一对多地址转换,即一个公网地址的不同端口,是一对多地址转换,即一个公网地址的不同端口,可以转换到对应多台内部服务器,如外网可以转换到对应多台内部服务器,如外网80可转换到可转换到服务器服务器1上,而外网的上,而外网的21(或其它端口或其它端口)同时可转换到服同时可转换到服务器务器2上;而上;而MIP要么映射到服务器要么映射到服务器1,要么映射到服,要么映射到服务器务器2上,两者不能同时存在。上,两者不能同时存在。3、DIP是一组公网地址,让内网机器随机地转换成组内是一组公网地址,让内网机器随机地转换成组内任意一个公网地址
20、。任意一个公网地址。Copyright 2008 Juniper Networks,Inc.Proprietary and C36MIP、VIP配置步骤配置步骤第一步、选择做第一步、选择做MIP、VIP对应的外网口对应的外网口第二步、确定是用第二步、确定是用MIP还是还是VIP发布服务器发布服务器第三步、设置第三步、设置MIP或或VIP与内网服务器对应关系与内网服务器对应关系第三步、配置与第三步、配置与MIP、VIP对应的安全策略对应的安全策略下面以最常用的下面以最常用的VIP发布发布WEB服务为例具体说明,服务为例具体说明,MIP的设置方法与之基本相同。的设置方法与之基本相同。Copyrig
21、ht 2008 Juniper Networks,Inc.Proprietary and C37 VIP 配置配置 网络拓扑网络拓扑192.168.1.1/24 WEB Server:192.168.1.254/24SiSiCopyright 2008 Juniper Networks,Inc.Proprietary and C38安全网关安全网关VIP 配置配置当网络只有一个公网IP时选择添加VIP的公网服务器IP当网络有多个公网IP时选择并输入公网IP选择外网口Copyright 2008 Juniper Networks,Inc.Proprietary and C39安全网关安全网关VI
22、P 配置配置Copyright 2008 Juniper Networks,Inc.Proprietary and C40内网服务器地址此时和外网WEBUI管理的端口(80)冲突,解决方式见下图安全网关安全网关VIP 配置配置Copyright 2008 Juniper Networks,Inc.Proprietary and C41更改远程管理端口,自定义更改更改更改WEBUI的管理端口的管理端口Copyright 2008 Juniper Networks,Inc.Proprietary and C42安全网关安全网关VIP 配置配置VIP配置完成配置完成Copyright 2008 Juniper Networks,Inc.Proprietary and C43安全网关安全网关VIP 安全策略配置安全策略配置选择VIP 接口Copyright 2008 Juniper Networks,Inc.Proprietary and C44安全网关安全网关VIP 安全策略配置安全策略配置VIP 安全策略配置完成安全策略配置完成Copyright 2008 Juniper Networks,Inc.Proprietary and C45感谢大家感谢大家Copyright 2008 Juniper Networks,Inc.Proprietary and C46演讲完毕,谢谢观看!