Juniper安全相关设置及MIPVIP.ppt

JuniperFWV基础售后培训IIEDU JUNIP FWV BEG 2 目标 Policy基本概念Policy基本设置MIP基本设置VIP基本设置 3 目标 Policy基本概念Policy基本设置MIP基本设置VIP基本设置 4 Policy基本概念 策略的作用 Juniper防火墙对流量的检测 控制 包括NAT 都是通过策略来实现的 策略可以通过源 目的地址 源 目的端口 协议来控制流量 5 Policy基本概念 安全区与策略的关系 默认情况下 数据流在本区内通信 不受策略限制 UntrustZone除外 当数据流跨区时 可以通过策略进行控制 策略可以通过源 目的地址 源 目的端口 协议来影响流量 UntrustZone TrustZone 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 DMZZone 10 1 20 5 254 200 5 5 5 A B C D 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 6 Policy基本概念 Policy的组成 Source 经过防火墙的数据的源IP地址 Destination 经过防火墙的数据的目的IP地址 Service 指经过防火墙的数据流的协议类型 比如HTTP FTP ICMP等流量 通过对Source Destination Service的设定 限定需要做控制的数据流 Action 指防火墙对该数据采取的行动 比如permit deny tunnel等 Options 指系统针对该数据流的做得一些附加设置 比如Logging 日志功能 7 目标 Policy基本概念Policy基本设置MIP基本设置VIP基本设置 8 Policy基本设置 创建步骤 为策略创建特定的地址对象 源 目的地址对象 为特定的服务 应用类型创建特定的服务类型 根据数据的走向 创建策略项目 并设置相应的Action 调整策略的顺序 以满足应用的需求 通过Options来增强或改善对该策略的控制 9 Policy基本设置 地址对象的创建I Policy PolicyElements Addresses List 地址对象是基于Zone的 要查询某个地址对象 必须选择给地址从属的Zone 如果你知道该地址对象的首字母 还可以通过Filter进行过滤显示 点击 New 按钮可以创建新的地址对象 10 Policy基本设置 地址对象的创建II AddressName栏填写地址对象的名称 Comment栏填写对地址对象的备注 IPAddress栏填写I地址对象所对应的IP地址以及匹配符 要表现主机地址的时候 写法应该是X X X X 32 最后 在Zone旁边的下拉菜单选择相应的Zone 11 Policy基本设置 地址与地址组II 在AvailableMembers选择合适的地址对象 通过 按钮 将不需要的地址对象移出该地址组 Policy PolicyElements Addresses Groups Configuration 12 Policy基本设置 地址与地址组IV 可以通过AddressSummary来查看系统每个Zone可配置的地址数量及已配置的地址数量 Policy PolicyElements Addresses Summary 13 Policy基本设置 服务对象的创建I 系统已经预置了许多常用的应用 服务 如果实际需要一些特定的服务 可以自行创建 Policy PolicyElements Services Custom 14 Policy基本设置 服务对象的创建II ServiceName栏填入服务对象的名称 Transportprotocol栏选择服务对象的协议类型 一般为TCP或UDP 在SourcePort和DestinationPort栏填入端口号 一般的服务对象仅限制DestinationPort 15 Policy基本设置 服务与服务组I 当一条策略需要同时用到多个服务对象时 可以通过设定服务组来统一代表相关的服务对象 同服务对象一样 系统也预置了一些服务组 这些服务组主要针对某些特定的应用而设置 Policy PolicyElements Services Groups 16 Policy基本设置 服务与服务组II 在AvailableMembers选择合适的服务对象 通过 按钮 将不需要的服务对象移出该地址组 17 Policy基本设置 创建策略项I 像前面所提到的一样 在创建策略项之前 必须选择数据的走向 从什么Zone去什么Zone 再选择好 From 与 To 的下拉菜单后 点击 New 进入策略项创建菜单 查找策略项 也同样在该页面 如果策略条目众多 可以通过 List 下拉菜单选择合适的页面显示条目数 比如 List20 表示在这个页面中最大的同时显示策略条目为20条 Policy Policies 18 Policy基本设置 创建策略项II 在SourceAddress和DestinationAddress的AddressBookEntry选择前面创建好的地址对像 在Service的下拉菜单选取前面设定好的服务对象 在Action栏选择相应的处理行为 如permit等 19 Policy基本设置 策略的顺序 策略的执行按照先后顺序 即从上而下的寻找 直到遇到匹配的策略项为止 正常情况下 新的策略永远加在整个策略序列的尾端 在策略序列的尾端 有一条隐含的 denyall 的策略项 策略序列的基本排列原则 将影响范围越小的策略项放在越前面 策略的调整通过Move的两个按钮来实现 建议使用 合理安排策略的顺序具体策略在上 非具体策略在下拒绝策略在上 允许策略在下默认最后都是Deny 20 Policy基本设置 21 Policy基本设置 策略的LoggingI Logging选项将提供匹配该策略条目的流量的日志信息 Logging选项被选择后 该策略条目的Options栏会有相应的条目产生 点击该条目可以看到相关的日志内容 22 Policy基本设置 策略的LoggingII 23 Policy基本设置 策略的CountingI Counting选项将提供匹配该策略条目的流量的实时统计图表 Counting选项被选择后 该策略条目的Options栏会有相应的条目产生 点击该条目可以看到相关的日志内容 24 Policy基本设置 策略的CountingII 25 Policy基本设置 策略的ScheduleI Policy PolicyElements Schedules 26 目标 Policy基本概念Policy基本设置MIP基本设置VIP基本设置 27 NAT基本概念 NAT的种类 JuniperFirewall引进了两种额外的NAT形式 MIP和VIP MIP是MappedIP的意思 其特点是提供了双向的NAT功能 相当于NAT src与NAT dst的组合 尤其适合于用户需要把内部的服务器映射到一个公网地址 供Internet访问的需求 VIP是VirtualIP的意思 其特点是可以将同个目的地址的不同端口翻译到不同的地址上去 尤其适合于用户地址资源有限 许多不同的服务器需要共用同一个公网地址 不同的端口 的情况 28 NAT基本配置 配置MIPI 首先 要创建一个MIP 定义好MappedIP与HostIP 然后 我们要通过一条Policy条目来完成这个NAT 29 NAT基本配置 配置MIPII 在创建MIP时 请选择正确的Interface 一般情况下是带有公网地址的那个Interface MappedIP填写该接口处于同Zone的虚拟地址 HostIP填写真实的主机的地址 30 NAT基本配置 配置MIPIII 在DestinationAddress栏选择预先设置的MIP条目 配置了MIP的策略条目的颜色与其它策略没有不同 31 NAT基本配置 配置VIPI 首先 要创建一个VIP 定义好VirtualIPAddress以及Port 然后 我们要通过一条Policy条目来完成这个NAT 32 NAT基本配置 配置VIPII 在创建VIP时 请选择正确的Interface 一般情况下是带有公网地址的那个Interface 点击 Add 按钮 添加新的VirtualIPAddress 点击 NewVIPService 按钮 进入VIPService设置页面 该项可反复使用 VirtualPort填入提供的虚拟端口 MaptoService选项选择真实提供的服务 MaptoIP项填写真实的主机地址 33 NAT基本配置 配置VIPIII 在创建VIP时 请选择正确的Interface 一般情况下是带有公网地址的那个Interface 点击 Add 按钮 添加新的VirtualIPAddress 点击 NewVIPService 按钮 进入VIPService设置页面 该项可反复使用 VirtualPort填入提供的虚拟端口 MaptoService选项选择真实提供的服务 MaptoIP项填写真实的主机地址 34 NAT基本配置 配置VIPIV 在创建MIP时 请选择正确的Interface 一般情况下是带有公网地址的那个Interface 点击 Add 按钮 添加新的VirtualIPAddress 点击 NewVIPService 按钮 进入VIPService设置页面 该项可反复使用 VirtualPort填入提供的虚拟端口 MaptoService选项选择真实提供的服务 MaptoIP项填写真实的主机地址 35 NAT基本配置 配置VIPV 在创建VIP时 请选择正确的Interface 一般情况下是带有公网地址的那个Interfac