Juniper防火墙的管理透明模式PPT课件.ppt_第1页
Juniper防火墙的管理透明模式PPT课件.ppt_第2页
Juniper防火墙的管理透明模式PPT课件.ppt_第3页
Juniper防火墙的管理透明模式PPT课件.ppt_第4页
Juniper防火墙的管理透明模式PPT课件.ppt_第5页
已阅读5页,还剩20页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

透明模式 2 目标 了解透明模式的好处描述V1ZONE和它的用处建立用户自己定义的L2 zong在透明模式下 使用VLAN1的IP地址对防火墙进行管理 NetScreenTechnologies Inc 3 什么是透明模式 Netscreen防火墙的网卡在第二层的网桥模式或者是第二层的交换模式下进行工作 Learning Flooding Forwarding Filtering通过安全策略让风火墙对第二层的安全区之间的数据包进行流量的访问控制 10 1 0 0 16 E1 E3 zoneV1 Trust zoneV1 DMZ zoneV1 Untrust E2 NetScreenTechnologies Inc 4 V1 Untrust 透明模式的工作 由于没有使用到网络的第三层 因此 透明模式能够让防火墙更加快速的部署 不需要定义拓扑结构对于直接连接的子网不需要定义安全策略增加安全性在netscreen的二层工作模式下可以使用VPNZone概念的提出 可以提供比基于路由的ACL更加安全的访问控制 10 1 0 0 16 B B D A B 10 100 1 0 16 10 200 1 0 16 NetScreenTechnologies Inc 5 Layer 2安全区 预先定义的 V1 zonesV1 TrustV1 UntrustV1 DMZ用户定义的安全区Layer 2 L2 区用户在定义安全区的时候必须以 L2 开头 NetScreenTechnologies Inc 6 透明模式中的网卡 在ScreenOS5 0没有定义任何网卡是属于透明模式把一个网卡放到第二层的域中 该网卡自动因此二层的网卡的域必须是以 V1 or L2 开头的 所有网卡在v1或者是L2域 是具有相同广播域的第二层防火墙的成员 Inte1 ZoneL2 private Inte2 ZoneL2 public 10 1 0 0 16 NetScreenTechnologies Inc 7 VLAN1网卡 在VLAN域中是第三层逻辑网卡该网卡可以帮定一个IP地址 用来管理netscreen防火墙 支持管理IP地址所有物理接口都可以接受arp请求 V1 Trust 1 1 1 10 1 1 1 11 1 1 1 12 V1 DMZ V1 Untrust VLAN1isalogicalinterfacewhichisaccessiblefromanytransparentzone VLAN1interface 1 1 1 210 24 E1 E3 E2 A B C NetScreenTechnologies Inc 8 V1 Trust 1 1 1 10 1 1 1 11 1 1 1 12 V1 DMZ V1 Untrust VLAN1interface 1 1 1 210 24 E1 E3 E2 A B C 管理行为 VLAN1willinheritmanagementoptionsfromzonemembershipofphysicalinterfaces X VLAN1interface 1 1 1 210 24 NetScreenTechnologies Inc 9 透明模式的配置 建立2层的域 在没有使用默认域的情况下 分配网卡给2层域为VLAN1配置管理地址3a 配置IP地址3b 选择广播的方法3c 配置管理服务 可选项 配置每个域的管理服务在不同的域之间配置策略 NetScreenTechnologies Inc 10 Step1 配置2层域 Network Zones New setzonenameL2Example ns208 setzonenameL2 DemoL21 NetScreenTechnologies Inc 11 Step2 分配网卡到域 Network Interfaces Edit setinterfacezonens208 setinterfacee3zoneL2 Demo NetScreenTechnologies Inc 12 Step3a 配置VLAN1的IP地址 Network Interfaces Edit VLAN1 UseforInterfaceIPwhenterminatingVPNs UseManage IPasdestinationaddressofPING telnet WebUI etc setinterfacevlan1ip ns208 setintvlan1ip1 1 7 1 24 setinterfacevlan1manage ipns208 setintvlan1manage ip1 1 7 100 24 NetScreenTechnologies Inc 2020 2 7 13 14 Step3b 选择广播的方法 Flooding default 如果MAC表中没有 原数据包将向所有的接口进行广播 除了流入数据包的接口 ARP Trace Route如果MAC表中没有 ARP或traceroute将向所有的接口进行广播 除了流入数据包的接口 Network Interfaces Edit VLAN1 setvlan1broadcastarp setvlan1broadcastflood NetScreenTechnologies Inc 15 Step3c 配置VLAN1的服务 允许所有的管理服务WebUI Telnet SSH SNMP SSL NS GlobalPro nsmgmt 选择指定的管理服务 Network Interfaces Edit VLAN1 setinterfacevlan1managens208 setintvlan1manage setinterfacevlan1manage ns208 setintvlan1managewebns208 setintvlan1managesslns208 setintvlan1managensmgmt NetScreenTechnologies Inc 16 Step4 在每个域中配置不同的管理服务 Network Zones Edit V1 Trust setzonemanage ns208 setzonev1 dmzmanageweb NetScreenTechnologies Inc 17 透明模式的工具 GetinterfaceGetARPGetmac learnGetsession NetScreenTechnologies Inc 18 Getinterface ns208 getinterfaceethernet1Interfaceethernet1 number0 if info0 if index0 modexparent portvlan1 sesstoken9linkup phy linkup half duplexvsysRoot zoneV1 Trust vrtrust vr ip0 0 0 0 0mac0010 db22 23f0pingenabled telnetenabled SSHenabled SNMPenabledwebenabled ident resetdisabled SSLenabled nsmgmtenabledwebauthdisabledDHCP Relaydisabledbandwidth physical100000kbps configured0kbps current0kbpstotalconfiguredgbw0kbps totalallocatedgbw0kbpsns208 NetScreenTechnologies Inc 19 Getarp ns208 getarpIPMacVR InterfaceStateAgeRetryPakQue3 4 5 6abc3241244dctrust vr v1 trustSTS001 1 7 25000065bd2ff42trust vr v1 trustVLD115100ARPEntryNumber2 1024 NoFreeEntryCount 0Arpalways on dest disabledns208 Note Althoughitsays interface intransparentmodethezonenameisdisplayed NetScreenTechnologies Inc 20 Getmac learn 学习AssociatesaMACaddresswithanoutgoinginterfaceDetermineshowreceivedframesareforwardedinLayer 2AlsoknownasBridgeTableorL2ForwardingTable静态ARP影射MACaddresstooutgoingportassociationcanbemanuallyconfiguredviatheCLI setmac ns208 getmac learnlinkdownclearmaclearntable enableTotal3 Create9 Ageout6Flood1 BCast150 ReLearn1 NoFree0 Error0 Drop0ethernet2 0004 7648 aa3c56ethernet1 0010 db13 e44144ethernet3 0010 db15 6bc459 NetScreenTechnologies Inc 21 Getsession ns208 getsessionalloc2 max128000 allocfailed0id43 s vsys0 flag00000090 00 00 policy1 time117 01 192 168 1 5 27129 192 168 1 10 768 1 00b0d06c3f39 vlan0 tun0 vsd019 00 192 168 1 5 27129192 168 1 10 768 1 00b0d06c3f39 vlan0 tun0 vsd019 00 192 168 1 5 27385 192 168 1 10 768 1 0010db2b1622 vlan0 tun0 vsd0Total2sessionsshown ICMPSequence ICMPIdentifier IPprotocol NetScreenTechnologies Inc 22 需要考虑的问题 必须配置策略才能允许访问没有默认策略通过第三层的地址配置策略避免潜在的网络风暴透明模式是一个非常灵活的防火墙部署解决方案可以快速实现防火墙和VPN的功
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论