Juniper防火墙培训进阶篇(共59张)

防火墙培训

王启龙

认证工程师

课程目标规范公司员工合理有效的上网策略:地址、服务、时间、流量监控、认证、会话控制、日志地址绑定分支机构、移动办公,安全连入总部（L2、、）分公司为星型冗余策略的组成源地址＆目的地址地址地址群服务预定义服务定制服务定制服务群动作会话控制日志高级选项时间、流量控制/统计、认证地址服务动作日志流量统计认证一、安全策略创建策略模式组成选择与的安全区源＆目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设定的服务行动允许,拒绝,安全隧道日志认证，流量控制、统计认证流量控制流量统计重点：流量控制，认证。针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。重要资源要求身份认证安全策略的顺序新策略加载在最后在所有策略的末尾有隐含的的策略顺序非常重要，改变策略的顺序会影响到实际应用效果公司内部员工随意更改地址，导致地址冲突外来人员随意接入，影响公司网络安全利用防火墙实现地址绑定实现绑定功能需要三个步骤1、强迫执行目地扫描：

2、作静态绑定：10.0.0.2500002b34896

3、设置一个地址组，它只包含做地址绑定的那些地址。然后设置一个策略，只让这个地址组通过。注：此功能只能通过命令行来实现。绑定图示到防火墙接口二应用的应用说明：的网络安全防火墙设备的应用模式较多，包括：基于策略的、基于路由的，集中星形和背靠背等。在这里，我们主要介绍最常用的模式：策略。首先，如何配置两种策略，一种是点对点的应用，一种是拨号应用。其中点对点包括静态/动态对静态，拨号包括L2和客户端两种。其次，介绍和冗余。静态对静态配置地址对象服务对象网关对象安全策略10.1.0.5

10.1.0.13.3.3.1

1.1.1.1

10.50.0.110.50.0.5总部分部13总部A与分部C之间的总部A部分的设置的设置的设置策略设置分部C部分的设置的设置的设置策略设置

14总部A的设置对方设备的网关15选择通道的出口总部A的设置共享密钥双方必须一致16总部A的设置高级选项双方的模式必须一致17总部A配置在下拉菜单选取前面定义的18总部A配置高级选项19总部A策略的设置选择选择A到C的20分部C的设置对方设备的网关21分部C的设置选择通道的出口共享密钥双方必须一致22分部C的设置高级选项双方的模式必须一致23分部C配置在下拉菜单选取前面定义的24分部C配置高级选项25分部C策略的设置选择选择C到A的动态对静态配置一基本与静态对静态设置内容一致地址对象服务对象网关（动态方）对象安全策略192.168.10.5

192.168.10.1192.168.1.1

1.1.1.1

10.50.0.1总部分部10.50.0.5动态对静态配置二

移动用户拨号用户地址对象+拨号用户地址池服务对象网关2对象安全策略

1.1.1.1

10.50.0.1总部10.50.0.528L2客户端

访问总部A的服务器L2的设置安全策略客户端的设置L2设定部分－设定L2用户名/密码29配置L2用户设定用户名分配给L2用户的地址设定密码30配置L2选择的接口选择L2用户31L2策略的设置选择选择L2源地址选择（系统自定义）32客户端的配置0133客户端的配置0234客户端的配置0335客户端的配置0436客户端的配置0537客户端的配置0638客户端的配置07注意：远程用户所在的内部网络不能与内部网络相同的子网。在2003创建一条L2在下面要修改注册表：开始/运行，找到下面这个路径\\\\\,新增或修改的值为1。重启计算机。40软件客户端

访问总部A的服务器设置设置安全策略客户端的设置设定部分－设定用户的41配置用户设置设定其它值会导致异常客户端也须配置两者须一致42配置1选择，并在对应下拉菜单选择我们刚才设定的用户设置共享密钥，客户端也须设置相同的值（最少8位）43配置高级选项1注意使用模式如果连接中有存在，请勾选此项，开启穿透功能；并做检查44配置2在下拉菜单选取前面定义的45配置高级选项246总部A策略的设置选择选择源地址选择（系统自定义）47远程客户端的配置01新建一个连接，取名后，点中它，出现右方基本配置界面。在该选项中输入我们的目标地址，即安全网关后面的内部子网/主机的地址。选中该选项，并在中选取，输入安全网关的外网口地址。48远程客户端的配置02点击新建连接的加号键，点中进行设置在中选择；在中输入与前面安全网关配置中一致的值。在选项中选择，然后输入与前面安全网关用户配置中一致的值。49远程客户端的配置03选中进行设置。在1中选择。根据前面在安全网关中中2选择的不同，选择是否使用。50远程客户端的配置04选中1,进行1的设置。根据前面在安全网关中中1的选择，选择一致的选项。51远程客户端的配置05选中2,进行2的设置。根据前面在安全网关中中2的选择，选择一致的选项。介绍网关首先它是一种基于架构的远程访问方式，作为一种新兴的技术，与传统的技术各具特色，各有千秋。比较适合用于移动用户的远程接入()，而则在网对网()的连接中具备先天优势。与区别1、多用于“网—网”连接，用于“移动客户—网”连接。的移动用户使用标准的浏览器，无需安装客户端程序，即可通过隧道接入内部网络;而的移动用户需要安装专门的客户端软件。2、用户不受上网方式限制，隧道可以穿透;而客户端需要支持“穿透”功能才能穿透，而且需要打开500端口。4、只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而需要管理通讯的每个节点，网管专业性较强。5、更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统(如、等)结合更加便捷。而主要基于五元组对用户进行访问控制。与区别速度偏慢解决方案

－远程接入应用

企业部门数据比较集中，随着商务模式的不断变化，远程办公、移动办公越来越多，但对于来说相对速度较慢，不能完美地解决此问题。远程接入不需要对原有的网络有变更，只需在