企业培训_防火墙培训教材

Junipernetscreen防火墙培训王启龙Juniper认证工程师,课程目标,规范公司员工合理有效的上网策略:地址、服务、时间、流量监控、认证、会话控制、日志地址绑定,分支机构、移动办公,安全连入总部VPN（L2TP、IPSEC、SSLVPN）分公司为星型VPN冗余,策略的组成,源地址目的地址地址地址群服务预定义服务定制服务定制服务群,动作会话控制日志高级选项时间、流量控制/统计、认证,一、安全策略,创建策略WebUI模式,组成选择From与To的安全区源目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设定的服务行动允许,拒绝,安全隧道日志,认证，流量控制、统计,认证,流量控制,流量统计,重点：流量控制，认证。,针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。重要资源要求身份认证,安全策略的顺序,新策略加载在最后在所有策略的末尾有隐含的denyall的策略顺序非常重要，改变策略的顺序会影响到实际应用效果,公司内部员工随意更改IP地址，导致地址冲突外来人员随意接入，影响公司网络安全,利用防火墙实现地址绑定,实现MAC绑定功能需要三个步骤,1、强迫执行ARP目地IP扫描：setarpalways-on-dest2、作ARP静态绑定：setarp10.0.0.2500002b34896fctrust3、设置一个地址组group，它只包含做MAC地址绑定的那些IP地址。然后设置一个策略，只让这个地址组group通过。,注：此功能只能通过命令行来实现。,IPMAC绑定图示,telnet到防火墙接口,二VPN应用,VPN的应用说明：Juniper的网络安全防火墙设备的VPN应用模式较多，包括：基于策略的VPN、基于路由的VPN，集中星形VPN和背靠背VPN等。在这里，我们主要介绍最常用的VPN模式：策略VPN。首先，如何配置两种策略VPN，一种是点对点的VPN应用，一种是拨号VPN应用。其中点对点包括静态/动态对静态，拨号包括L2TP和IPSCE客户端两种。其次，介绍SSLVPN和VPN冗余。,静态对静态VPN配置,地址对象服务对象VPN网关IKE对象安全策略,10.1.0.5,Trust10.1.0.1,Untrust3.3.3.1,Untrust1.1.1.1,Trust10.50.0.1,ERP10.50.0.5,总部,分部,13,总部A与分部C之间的SitetoSiteVPN,总部A部分的SitetoSiteVPN设置VPNGateway的设置VPN的设置VPN策略设置分部C部分的SitetoSiteVPN设置VPNGateway的设置VPN的设置VPN策略设置,14,总部AGateway的设置,对方VPN设备的网关,15,选择VPN通道的出口,总部AGateway的设置,共享密钥双方必须一致,16,总部AGateway的设置高级选项,VPN双方的模式必须一致,17,总部AIKEVPN配置,在下拉菜单选取前面定义的IKEGateway,18,总部AIKEVPN配置高级选项,19,总部AVPN策略的设置,Action选择Tunnel,选择A到C的VPN,20,分部CGateway的设置,对方VPN设备的网关,21,分部CGateway的设置,选择VPN通道的出口,共享密钥双方必须一致,22,分部CGateway的设置高级选项,VPN双方的模式必须一致,23,分部CIKEVPN配置,在下拉菜单选取前面定义的IKEGateway,24,分部CIKEVPN配置高级选项,25,分部CVPN策略的设置,Action选择Tunnel,选择C到A的VPN,动态对静态VPN配置一,基本与静态对静态VPN设置内容一致地址对象服务对象VPN网关（动态方LOCALID）IKE对象安全策略,192.168.10.5,Trust192.168.10.1,Untrust192.168.1.1,Untrust1.1.1.1,Trust10.50.0.1,总部,分部,ERP10.50.0.5,动态对静态VPN配置二移动用户,拨号用户地址对象+拨号用户地址池服务对象VPN网关+L2TPIKE对象安全策略,Untrust1.1.1.1,Trust10.50.0.1,总部,ERP10.50.0.5,28,L2TP客户端访问总部A的ERP服务器,L2TPTunnel的设置VPN安全策略Windows客户端的设置,L2TPUser设定部分设定L2TP用户名/密码,29,配置L2TP用户,设定用户名,分配给L2TP用户的地址,设定密码,30,配置L2TPTunnel,选择Tunnel的接口,选择L2TP用户,31,L2TPTunnel策略的设置,Action选择Tunnel,选择L2TPTunnel,源地址选择Dial-UpVPN（系统自定义）,32,Windows客户端的配置01,33,Windows客户端的配置02,34,Windows客户端的配置03,35,Windows客户端的配置04,36,Windows客户端的配置05,37,Windows客户端的配置06,38,Windows客户端的配置07,注意：,远程用户所在的内部网络不能与VPNGateway内部网络相同的子网。在WindowsXP/2003创建一条L2TPvpntunnel在windowsXP下面要修改注册表：开始/运行/regedit.exe，找到下面这个路径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters,新增或修改ProhibitIpSec的值为1。重启计算机。,IPsec软件客户端访问总部A的ERP服务器,VPNGateway设置VPN设置VPN安全策略NetscreenRemote客户端的设置,Dial-upUser设定部分设定用户的IKEID,配置Dial-up用户,设置IKEID,设定其它值会导致异常,客户端也须配置两者须一致,配置dialupVPNGateway,IKEPhase1,选择dialupuser，并在对应下拉菜单选择我们刚才设定的用户,设置共享密钥，客户端也须设置相同的值（最少8位）,配置dialupVPNGateway高级选项,IKEPhase1,注意dial-upVPN使用Aggressive模式,如果VPN连接中有NAT存在，请勾选此项，开启穿透功能；并做UDPChecksum检查,配置dialupVPN,IKEPhase2,在下拉菜单选取前面定义的IKEGateway,配置dialupVPN高级选项,IKEPhase2,总部AVPN策略的设置,Action选择Tunnel,选择dialupVPN,源地址选择Dial-UpVPN（系统自定义）,NetscreenRemote远程客户端的配置01,新建一个连接，取名后，点中它，出现右方基本配置界面。,在该选项中输入我们的目标地址，即安全网关后面的内部子网/主机的地址。,选中该选项，并在ID中选取IPAddress，输入安全网关的外网口地址。,NetscreenRemote远程客户端的配置02,点击新建连接的加号键，点中MyIdentity进行设置,在Select中选择None；在Pre-SharedKey中输入与前面安全网关Gateway配置中一致的值。,在ID选项中选择E-mailAddress，然后输入与前面安全网关Dial-up用户配置中一致的值。,NetscreenRemote远程客户端的配置03,选中SecurityPolicy进行设置。,在SelectPhase1NegotiationMode中选择AggressiveMode。,根据前面在安全网关中IKEVPN中Phase2Proposal选择的不同，选择是否使用PFS。,NetscreenRemote远程客户端的配置04,选中Proposal1,进行Phase1的设置。,根据前面在安全网关中IKEGateway中Phase1Proposal的选择，选择一致的选项。,NetscreenRemote远程客户端的配置05,选中Proposal2,进行Phase2的设置。,根据前面在安全网关中IKEVPN中Phase2Proposal的选择，选择一致的选项。,SSLVPN介绍,SSLVPN网关首先它是一种基于B/S架构的远程访问方式，作为一种新兴的VPN技术，与传统的IPSecVPN技术各具特色，各有千秋。SSLVPN比较适合用于移动用户的远程接入(Client-Site)，而IPSecVPN则在网对网(Site-Site)的VPN连接中具备先天优势。,SSLVPN与IPsecVPN区别,1、IPsecVPN多用于“网网”连接，SSLVPN用于“移动客户网”连接。SSLVPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络;而IPSecVPN的移动用户需要安装专门的IPSec客户端软件。2、SSLVPN用户不受上网方式限制，SSLVPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。,4、SSLVPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSecVPN需要管理通讯的每个节点，网管专业性较强。5、SSLVPN更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSecVPN主要基于IP五元组对用户进行访问控制。,SSLVPN与IPsecVPN区别,VPN速度偏慢解决方案RAS远程接入,RAS应用企业部门数据比较集中，随着商务模式的不断变化，远程办公、移动