juniperFW售后培训的教案

juniperFW售后培训的教案第1页/共349页2目标登录防火墙基本系统配置基础概念基本网络设置第2页/共349页3目标登录防火墙基本系统配置基础概念基本网络设置TablesBuffersRunningConfigScreenOS(active)ScreenOSImageSavedConfigCerts,etc.RAMFlashInterf.Interf.Interf.TFTP@PwrUp/ResetTelnetNetScreenDNS/SyslogWebuiSerial.Console第3页/共349页4登录防火墙-----LoginfromConsoleI防火墙可以通过Console访问方式进行管理最为安全的登录方式无须网络支持就可以登录无须IP地址就可以登录可以看到启动的信息可以看到实时的debug信息第4页/共349页5登录防火墙-----LoginfromConsoleIIa.连接电源线，启动防火墙；整个启动过程约2分钟左右

Console线缆随机自带，为直通网线加转接头（DB9转RJ45）。b.通过Console线缆来连接防火墙的Console端口设备正常启动后，PowerLED（电源灯）常绿；StatusLED（状态灯）闪烁绿色。c.使用PC的终端连接工具，访问防火墙的Console进程。

第5页/共349页6登录防火墙-----LoginfromConsoleIII安全网关的默认管理员用户名/密码都是netscreen采用Windows系统超级终端的默认值参数即可选择正确的串口第6页/共349页7登录防火墙-----LoginfromConsoleIV防火墙的默认管理员用户名/密码都是“netscreen”Console方式的配置采用CLI（命令行）方式进行第7页/共349页8安全网关可以通过图形化模式进行管理最为直观的配置界面，所见即所得。绝大多数的配置都可以通过WebUI来完成。真正简捷、高效地图形化配置工具。只需要很少的配置(打开防火墙接口的web访问权限即可)登录防火墙-----LoginfromWebUII第8页/共349页9登录防火墙-----LoginfromWebUIIIa.为要访问的接口配置IP地址x.x.x.x/x，并打开该接口的WebUI管理权限。

出厂状态下，TrustZone的Interface的IP地址是/24，开放了WebUI管理权限。b.通过直通网线连接PC与防火墙的特定端口出厂状态下，连接防火墙TrustZone的端口。c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。出厂状态下，将PC网卡地址设置为192.168.1.X/24。d.在PC的网页浏览器中输入http://x.x.x.x,出现登录界面。

出厂状态下，输入。

第9页/共349页10登录防火墙-----LoginfromWebUIIII如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火墙时，配置向导就会出现。配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。默认的用户名/密码都是netscreen。第10页/共349页11登录防火墙-----LoginfromWebUIIV首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。可以阅读到实时状态下的系统CPU、内存、会话数、策略数。第11页/共349页12登录防火墙-----LoginfromWebUIV可以阅读到系统产生的警报。可以阅读到系统产生的日志。第12页/共349页13目标登录防火墙基本系统配置基础概念基本网络设置第13页/共349页14基本系统配置-----ScreenOS升级

选中FirmwareUpdate项。点击“浏览”按钮，在客户端文件目录下寻找ScreenOS升级文件。点击“Apply”按钮，进行升级。系统将跳出警告提示。升级文件导入后，系统重启；整个过程大概需要3分钟。Configuration>Update>ScreenOS/Keys

第14页/共349页15基本系统配置-----配置文件管理Configuration>Update>ConfigFile

上传配置选中ReplaceCurrentConfiguration项。点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，然后点击“Apply”进行上传，系统将弹出警告。下载配置点击“SaveToFile”按钮，进行下载。系统将提示你选择文件目录。第15页/共349页16基本系统配置-----管理员帐号管理Configuration>Admin>Administrators创建新的管理员帐号编辑管理员帐号Root管理员由系统定义，不能删除；但可以修改其名称和密码。Root管理员可以创建或删除本地管理员帐号。本地管理员帐号分为Read-Only和Read-Write两种权限。第16页/共349页17管理员帐号管理-----创建新的系统管理员帐号Configuration>Admin>Administrators>Configuration

第17页/共349页18管理员帐号管理-----修改系统管理员帐号用户名/密码Configuration>Admin>Administrators>Edit第18页/共349页19基本系统配置-----配置PermittedIPs可以通过设置Permitted-IPs来限制访问防火墙的源地址。Permitted-IPs地址可以一个主机地址，也可以是一个网段。Configuration>Admin>PermittedIPs第19页/共349页20基本系统配置-----系统管理设置EnableWebManagementIdleTimeout用来设置Webui登录的空闲超时时限。各种Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口。Configuration>Admin>

Management

第20页/共349页21基本系统配置-----系统时钟设置Configuration>Date/Time最简捷的设置时间的方法是按“SyncClockWithClient”按钮。系统将自身时钟与网管客户端的本地时钟作同步。如果用户网络中有NTP服务器存在，也可在此页面设置。第21页/共349页22基本系统配置-----系统DNS设置Network>DNS>Host该处设置的DNS仅供防火墙本身对外进行访问时使用。防火墙下联的客户端无法继承该处的DNS配置。可以通过HostName项，改变防火墙的系统主机名称。第22页/共349页23基本系统配置-----LicenseKey管理LicenseKey提供的功能：CapacityLicenseKeyUTMSubscriptionLicenseKey扩展许可（extended）

防病毒（Anti-Virus）高级许可（advanced）网页过滤（URLfiltering）入侵防御许可（IDP）防垃圾邮件（Anti-Spam）虚拟系统许可（VSYS)深层检测（DeepInspection/IPSConfiguration>Update>ScreenOS/Keys

第23页/共349页24LicenseKey管理

-----CapacityLicenseKey管理Configuration>Update>ScreenOS/Keys

选中“LicenseKeyUpdate”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击“Apply”按钮。系统将弹出告警提示；确认后，license被导入。License所支持的功能在重启后才真正生效。第24页/共349页25LicenseKey管理

-----UTMSubscriptionKey管理Configuration>Update>ScreenOS/Keys

点击“RetrieveSubscriptionsNow”按钮，主机将自动到Juniper数据中心下载相关许可。下载成功与否的关键，是保证系统时间及DNS的正确设置。第25页/共349页26基本系统配置-----恢复出厂值/默认密码密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置的参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下，用设备的序列号作为用户名/密码进行登录。成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。整个过程约3分钟。使用设备面板上的针孔（pinhole）按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按前述步骤来一次系统进入初始化状态第26页/共349页27基本系统配置-----灾难恢复当系统文件被破坏时，需要做灾难恢复表征：无法通过Webui、Telnet等方法访问系统。原因：系统文件（ScreenOS）意外损坏或丢失。恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式向系统FLASH上灌制可用的OS。TFTP灌制ScreenOS的注意事项TFTP服务器必须与系统的SelfIP在同一子网TFTP服务器必须连接在:系统的Trust区端口或系统的eth0/0、eth0/1、eth1端口或系统的管理端口第27页/共349页28灾难恢复-----恢复系统文件

I启动设备，当出现“Hitanykeytorunloader”时，按任意键进入boot模式。在“BootFileName”栏填入系统OS的文件名。在“SelfIPAddress”栏填入一个临时地址供TFTP通信使用。在“TFTPIPAddress”栏填入TFTP服务器的地址，也就是PC的地址。输入完毕后，按回车键开始通过TFTP传送系统OS到设备。第28页/共349页29灾难恢复-----恢复系统文件

II第29页/共349页30灾难恢复-----恢复系统文件

III当出现“Savetoon-boardflashdisk？”提示时，按“Y”键将OS存入FLASH。当出现“Rundownloadsystemimage？”提示时，按“Y”键运行新的OS。第30页/共349页31灾难恢复-----恢复系统文件

IV当出现“Thedevicesuccessfullycompletedtheoperation“，整个系统恢复的过程结束。第31页/共349页32目标登录防火墙基本系统配置基础概念基本网络设置VRZoneInt.第32页/共349页33基础概念－－－VirtualRouter/Zone/Interface严格的逻辑层次结构安全区从属于虚拟路由器安全区默认都从属于trust-vr接口从属于安全区一个接口只能从属于一个安全区IP地址从属于接口Int.ZoneZoneVirtualRouterVRZoneInt.IP虚拟路由器的路由表各自独立安全区之间的访问受策略控制接口是一个逻辑概念，它可以包含若干个物理端口，也可以不包括任何物理端口第33页/共349页34虚拟路由器预定义:

trust-vr:系统的defaultVR。

untrust-vr:

自定义:在高端型号上，需要license支持方可使用动态路由协议的全局配置在VR菜单下基础概念－－－VirtualRouterNetwork

>

Routing

>

Virtual

Routers

第34页/共349页35安全区预定义:

Trust:一般放置内网接口Untrust:一般放置外网接口

DMZ:一般放置服务器接口用户自定义：功能安全区Null：放置未配置的接口MGT：放置网管用接口HA：SelfVLAN基础概念－－－SecurityZone第35页/共349页36基础概念－－－InterfaceI接口逻辑接口:subinterface、loopbackinterface、HAinterface、VSIinterface、etc.物理接口：百兆铜缆、千兆铜缆、百兆光纤、千兆光纤、万兆光纤等设备的可网管配置也在接口菜单完成当我们谈论的是设备的物理连接口的时候，使用的术语是Port（端口）第36页/共349页37基础概念－－－Sub

InterfaceSub-IF的用途是在一个物理接口上承接来自某个或者多个VLAN的数据。Sub-IF与其物理接口并无逻辑上的联系。Eth0/0在TrustZone，eth0/0.1在DMZZone这种情况是允许的。第37页/共349页38基础概念－－－Tunnel

InterfaceTunnelIF的用途是建立一个隧道接口供VPN使用；GRE、IPSec。TunnelIF可以选择使用一个额外的IP地址，也可以通过Unnumbered选项，借用其他接口的地址。第38页/共349页39基础概念－－－Loopback

InterfaceLoopbackIF的用途是通过这个逻辑上的地址来实现管理上的便利，比如OSPF的RouterID。TunnelIF的IP地址尽量使用32位掩码；因为它只是表示一个主机。第39页/共349页40目标登录防火墙基本系统配置基础概念基本网络设置UntrustZoneTrustZone50/24/24B/24DMZZone.254/24/24.1 .254.1 .254/24/24.254 .1第40页/共349页41基本网络配置-----NetworkBinding通过Binding页面，可以查看当前各Interface/Zone/VR的归属关系

Network>Binding

第41页/共349页42基本网络配置-----Zone配置点击“New”按钮，创建新的Zone。点击“Edit”按钮，编辑该Zone的属性。Network>Zones

第42页/共349页43Zone配置-----创建新的ZoneZoneType决定该Zone将作用于路由模式还是透明模式。Layer3对应路由模式；Layer2对应透明模式。Layer2的ZoneName必须以“L2”或者“l2”开头。第43页/共349页44Zone配置-----编辑Zone的属性BlockIntra-ZoneTraffic选项可以控制本区内流量传送。默认状态，UntrustZone勾选了此项。第44页/共349页45基本网络配置-----Interface配置点击“New”按钮，在下拉菜单选择相应的接口类型，创建新的接口。点击“Edit”按钮，编辑该Interface的属性。第45页/共349页46Interface配置-----编辑接口的参数Network>Interfaces>Edit

第46页/共349页47Interface配置-----编辑接口的参数-----ZoneBinding点击“ZoneName”旁边的下拉菜单，选择需要binding的Zone。经过Binding的Interface才可以做IP及其它方面的设置。如果需要将某个接口停止使用，需要将其放置到“NullZone”。放置到“NullZone”的一个先决条件是将IP地址设置为。第47页/共349页48Interface配置-----编辑接口的参数-----IPsetting需要通过DHCP自动获取IP地址的，点击“ObtainIPusingDHCP”选项。需要通过PPPoE拨号方式获取IP地址的，点击“ObtainIPusingPPPoE”选项，并做相关设置。需要手工设定IP地址的，点击“StaticIP”选项，并做相关设置。第48页/共349页49Interface配置-----编辑接口的参数-----InterfaceModeInterfaceMode是Juniper防火墙特有的属性，它仅仅影响到NAT功能。Binding到Trust/DMZZone的接口默认为“NAT”模式。接口设定为”NAT”模式后，通过该接口，流向UntrustZone的流量都会自动做源地址翻译。第49页/共349页50Interface配置-----编辑接口的参数-----ServiceOptionsServiceOptions决定是否可以通过该接口对防火墙本身进行访问通过选择不同的Service，可以高粒度地控制外界对防火墙的访问建议在网络调试阶段打开“PING”服务默认的ServiceOptions因Zone的不同而不同TrustZone:所有可网管选项都是打开的OtherZone:所有可网管选项都是关闭的第50页/共349页51Interface配置-----Bgroup接口IBgroup接口是一个逻辑接口，它是若干个端口的集合。其基本配置与端口并无两样。从属于同一个Bgroup的端口处于同一广播域。第51页/共349页52Interface配置-----Bgroup接口II通过点击某个端口旁边的复选框，可以将该端口绑定到这个Bgroup接口中去。端口在绑定到某个Bgroup接口以后，就不能再进行任何配置了。第52页/共349页53基本网络配置-----静态路由配置点击“New”按钮，创建新的静态路由。静态路由一旦创建，无法进行编辑；只能“Remove”，然后再重新配置。Network

>

Routing

>

Destination第53页/共349页54静态路由配置-----创建新的静态路由IPAddress/Netmask处填入“目的地址/子网掩码”。如果是默认路由须填入“/0”。NextHop处一般选择“Gateway”选项：Interface与GatewayIPAddress都须填写。其他选项一般情况无须选择。第54页/共349页55高级网络配置-----

-----源地址路由源地址路由的设定与静态路由的设定方式基本一致。Network

>

Routing

>

Source

Routing

第55页/共349页56高级网络配置-----

-----源接口路由Network

>

Routing

>

Source

Interface

Based

Routing

第56页/共349页57高级网络配置-----

-----源接口路由Network

>

Routing

>

Source

Interface

Based

Routing

第57页/共349页JuniperFWV基础售后培训II

EDU-JUNIP-FWV-BEG第58页/共349页59目标Policy基本概念Policy基本设置NAT基本概念NAT基本设置第59页/共349页60目标Policy基本概念Policy基本设置NAT基本概念NAT基本设置第60页/共349页61Policy基本概念-----策略的作用Juniper防火墙对流量的检测、控制（包括NAT）都是通过策略来实现的。策略可以通过源/目的地址，源/目的端口，协议来控制流量。第61页/共349页62Policy基本概念-----安全区与策略的关系默认情况下，数据流在本区内通信，不受策略限制（UntrustZone除外）。当数据流跨区时，可以通过策略进行控制。策略可以通过源/目的地址，源/目的端口，协议来影响流量。UntrustZoneTrustZone/24/24B/24DMZZone.254ABCD/24/24.1 .254.1 .254/24/24.254 .1第62页/共349页63Policy基本概念-----Policy的组成Source:经过防火墙的数据的源IP地址。Destination：经过防火墙的数据的目的IP地址。Service：指经过防火墙的数据流的协议类型，比如HTTP、FTP、ICMP等流量。通过对Source、Destination、Service的设定，限定需要做控制的数据流。Action：指防火墙对该数据采取的行动，比如permit，deny、tunnel等。Options：指系统针对该数据流的做得一些附加设置，比如Logging（日志功能）。第63页/共349页64目标Policy基本概念Policy基本设置NAT基本概念NAT基本设置第64页/共349页65Policy基本设置-----创建步骤为策略创建特定的地址对象（源/目的地址对象）。为特定的服务/应用类型创建特定的服务类型。根据数据的走向，创建策略项目，并设置相应的Action。调整策略的顺序，以满足应用的需求。通过Options来增强或改善对该策略的控制。第65页/共349页66Policy基本设置-----地址对象的创建IPolicy>PolicyElements>Addresses>List地址对象是基于Zone的，要查询某个地址对象，必须选择给地址从属的Zone。如果你知道该地址对象的首字母，还可以通过Filter进行过滤显示。点击“New”按钮可以创建新的地址对象。第66页/共349页67Policy基本设置-----地址对象的创建IIAddressName栏填写地址对象的名称。Comment栏填写对地址对象的备注。IPAddress栏填写I地址对象所对应的IP地址以及匹配符。要表现主机地址的时候，写法应该是X.X.X.X/32。最后，在Zone旁边的下拉菜单选择相应的Zone。第67页/共349页68Policy基本设置-----地址与地址组IPolicy>PolicyElements>Addresses>Groups当同一条策略需要用到若干个地址对象的时候，我们可以通过地址组来统一代表这些地址对象。地址组必须与地址对象在同一个Zone。点击“New”按钮可以创建新的地址对象。第68页/共349页69Policy基本设置-----地址与地址组II在AvailableMembers选择合适的地址对象，通过“<<”按钮将之转到GroupMembers。通过“>>”按钮，将不需要的地址对象移出该地址组。第69页/共349页70Policy基本设置-----地址与地址组III在AvailableMembers选择合适的地址对象，通过“<<”按钮将之转到GroupMembers。通过“>>”按钮，将不需要的地址对象移出该地址组。第70页/共349页71Policy基本设置-----地址与地址组IV可以通过AddressSummary来查看系统每个Zone可配置的地址数量及已配置的地址数量。Policy>PolicyElements>Addresses>Summary第71页/共349页72Policy基本设置-----服务对象的创建I系统已经预置了许多常用的应用/服务。如果实际需要一些特定的服务，可以自行创建。Policy>PolicyElements>Services>CustomPolicy>PolicyElements>Services>Predefined第72页/共349页73Policy基本设置-----服务对象的创建IIServiceName栏填入服务对象的名称。Transportprotocol栏选择服务对象的协议类型，一般为TCP或UDP。在SourcePort和DestinationPort栏填入端口号；一般的服务对象仅限制DestinationPort。第73页/共349页74Policy基本设置-----服务与服务组I当一条策略需要同时用到多个服务对象时，可以通过设定服务组来统一代表相关的服务对象。同服务对象一样，系统也预置了一些服务组：这些服务组主要针对某些特定的应用而设置。Policy>PolicyElements>Services>Groups第74页/共349页75Policy基本设置-----服务与服务组II在AvailableMembers选择合适的服务对象，通过“<<”按钮将之转到GroupMembers。通过“>>”按钮，将不需要的服务对象移出该地址组。第75页/共349页76Policy基本设置-----创建策略项I像前面所提到的一样，在创建策略项之前，必须选择数据的走向：从什么Zone去什么Zone。再选择好“From”与“To”的下拉菜单后，点击“New”进入策略项创建菜单。查找策略项，也同样在该页面。如果策略条目众多，可以通过“List”下拉菜单选择合适的页面显示条目数；比如“List20”表示在这个页面中最大的同时显示策略条目为20条。Policy>Policies第76页/共349页77Policy基本设置-----创建策略项II在SourceAddress和DestinationAddress的AddressBookEntry选择前面创建好的地址对像。在Service的下拉菜单选取前面设定好的服务对象。在Action栏选择相应的处理行为，如permit等。第77页/共349页78Policy基本设置-----策略的顺序策略的执行按照先后顺序，即从上而下的寻找，直到遇到匹配的策略项为止。正常情况下，新的策略永远加在整个策略序列的尾端。在策略序列的尾端，有一条隐含的“denyall”的策略项。策略序列的基本排列原则：将影响范围越小的策略项放在越前面。策略的调整通过Move的两个按钮来实现。建议使用“－>”。第78页/共349页79Policy基本设置-----策略的LoggingILogging选项将提供匹配该策略条目的流量的日志信息。Logging选项被选择后，该策略条目的Options栏会有相应的条目产生。点击该条目可以看到相关的日志内容。第79页/共349页80Policy基本设置-----策略的LoggingII第80页/共349页81Policy基本设置-----策略的CountingICounting选项将提供匹配该策略条目的流量的实时统计图表。Counting选项被选择后，该策略条目的Options栏会有相应的条目产生。点击该条目可以看到相关的日志内容。第81页/共349页82Policy基本设置-----策略的CountingII第82页/共349页83Policy基本设置-----策略的ScheduleIPolicy>PolicyElements>Schedules

第83页/共349页84Policy基本设置-----策略的ScheduleII第84页/共349页85Internet访问验证----AuthServer的选择JuniperFWV支持两种方式的验证服务器：本地（local）和远程（Remote）。本地验证服务器是系统默认的验证服务器，它可以用来验证admin、auth、l2tp和xauth用户。如果要设置远程验证服务器，请点击“New”按钮进行设置。JuniperFWV支持的远征验证服务器类型有RADIUS、SecureID、LDAP、TACACS+。本例中使用本地验证服务器，使用的验证的用户是auth用户。Configuration>Auth>Auth

Servers

第85页/共349页86Internet访问验证----AuthServer的选择JuniperFWV支持两种方式的验证服务器：本地（local）和远程（Remote）。本地验证服务器是系统默认的验证服务器，它可以用来验证admin、auth、l2tp和xauth用户。如果要设置远程验证服务器，请点击“New”按钮进行设置。JuniperFWV支持的远征验证服务器类型有RADIUS、SecureID、LDAP、TACACS+。本例中使用本地验证服务器，使用的验证的用户是auth用户。Configuration>Auth>Auth

Servers

第86页/共349页87Internet访问验证----AuthUser的创建第87页/共349页88Internet访问验证----用户验证的过程第88页/共349页89基于策略的带宽管理TrafficShaping选项用来控制匹配该策略的流量的大小及处理优先级。GuaranteedBandwidth的数值为系统保证其的带宽数值。MaximumBandwidth的数值为系统最大能分配给该策略的数值。第89页/共349页90目标Policy基本概念Policy基本设置NAT基本概念NAT基本设置NAT-srcNAT-dstMIPVIP第90页/共349页91NAT基本概念-----NAT的种类INAT-srcSADASADA:2100:21NAT-dstSADASADANAT是NetworkAddressTranslation；很简单，就是网络设备来改变数据包IP地址的功能。数据包的IP地址有两种，源地址和目的地址。所以NAT也分两种：一种叫NAT-src（或者叫sourcebasedNAT），改变数据包的源地址。另外一种叫NAT-dst(或者叫destinationbasedNAT),改变数据包的目的地址。NAT-src常用在上网应用，如企业内部局域网用户访问Internet。NAT-dst常用在服务器映射应用，如企业内部的一台服务器要提供给Internet访问。第91页/共349页92NAT基本概念-----NAT的种类MIPSADASADAVIP:2100:21:80SADASADA00:80JuniperFirewall引进了两种额外的NAT形式:MIP和VIP。MIP是MappedIP的意思，其特点是提供了双向的NAT功能，相当于NAT-src与NAT-dst的组合；尤其适合于用户需要把内部的服务器映射到一个公网地址，供Internet访问的需求。VIP是VirtualIP的意思，其特点是可以将同个目的地址的不同端口翻译到不同的地址上去；尤其适合于用户地址资源有限，许多不同的服务器需要共用同一个公网地址（不同的端口）的情况。第92页/共349页93NAT基本概念----NAT的配置NAT-src与NAT-dst在JuniperFirewall上又被称为PolicybasedNAT。JuniperFirewall对NAT的实现，一定要通过策略来实现。无论是Policybased，还是MIP、VIP。NAT-srcSADASADA:2100:21NAT-dstSADASADAMIPSADASADAVIP:2100:21:80SADASADA00:80第93页/共349页94NAT基本配置----配置NAT-srcI首先要创建一个地址对象，来表示将要被转换的源地址，本例中我们要创建的地址对象是。然后需要设置一个DIP，来表示转换完成后的源地址，本例中我们要创建的DIP是。最后，我们要通过一条Policy条目来完成这个NAT。NAT-srcSADASADA第94页/共349页95目标Policy基本概念Policy基本设置NAT基本概念NAT基本设置第95页/共349页96NAT基本配置----配置NAT-srcII创建地址对象，请注意选择正确的Zone。第96页/共349页97NAT基本配置----配置NAT-srcIII在创建DIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。第97页/共349页98NAT基本配置----配置NAT-srcIV点击“Advanced”按钮以进入NAT配置界面。在新界面中点中SourceTranslation，并选择之前设置的DIP地址条目。配置了NAT的策略条目的颜色与其它策略有所不同。第98页/共349页99NAT基本配置----配置NAT-srcV点击“Advanced”按钮以进入NAT配置界面。在新界面中点中SourceTranslation，并选择之前设置的DIP地址条目。配置了NAT的策略条目的颜色与其它策略有所不同。第99页/共349页100NAT基本配置----配置NAT-dstI首先要创建一个地址对象，来表示将要被转换的目的地址，本例中我们要创建的地址对象是00。然后，我们要通过一条Policy条目来完成这个NAT。:2100:21NAT-dstSADASADA第100页/共349页101NAT基本配置----配置NAT-dstII创建地址对象，请注意选择正确的Zone。第101页/共349页102NAT基本配置----配置NAT-dstIII点击“Advanced”按钮以进入NAT配置界面。在新界面中点中DestinationTranslation，并在TranslatetoIP项填写转换后的地址。配置了NAT的策略条目的颜色与其它策略有所不同。第102页/共349页103NAT基本配置----配置NAT-dstIV点击“Advanced”按钮以进入NAT配置界面。在新界面中点中DestinationTranslation，并在TranslatetoIP项填写转换后的地址。配置了NAT的策略条目的颜色与其它策略有所不同。第103页/共349页104NAT基本配置----配置MIPI首先，要创建一个MIP，定义好MappedIP与HostIP。然后，我们要通过一条Policy条目来完成这个NAT。MIPSADASADA第104页/共349页105NAT基本配置----配置MIPII在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。MappedIP填写该接口处于同Zone的虚拟地址。HostIP填写真实的主机的地址。第105页/共349页106NAT基本配置----配置MIPIII在DestinationAddress栏选择预先设置的MIP条目。配置了MIP的策略条目的颜色与其它策略没有不同。第106页/共349页107NAT基本配置----配置VIPI首先，要创建一个VIP，定义好VirtualIPAddress以及Port。然后，我们要通过一条Policy条目来完成这个NAT。VIP:2100:21:80SADASADA00:80第107页/共349页108NAT基本配置----配置VIPII在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的VirtualIPAddress。点击“NewVIPService”按钮，进入VIPService设置页面；该项可反复使用。VirtualPort填入提供的虚拟端口，MaptoService选项选择真实提供的服务。MaptoIP项填写真实的主机地址。第108页/共349页109NAT基本配置----配置VIPIII在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的VirtualIPAddress。点击“NewVIPService”按钮，进入VIPService设置页面；该项可反复使用。VirtualPort填入提供的虚拟端口，MaptoService选项选择真实提供的服务。MaptoIP项填写真实的主机地址。第109页/共349页110NAT基本配置----配置VIPIV在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的VirtualIPAddress。点击“NewVIPService”按钮，进入VIPService设置页面；该项可反复使用。VirtualPort填入提供的虚拟端口，MaptoService选项选择真实提供的服务。MaptoIP项填写真实的主机地址。第110页/共349页111NAT基本配置----配置VIPV在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的VirtualIPAddress。点击“NewVIPService”按钮，进入VIPService设置页面；该项可反复使用。VirtualPort填入提供的虚拟端口，MaptoService选项选择真实提供的服务。MaptoIP项填写真实的主机地址。第111页/共349页112NAT基本配置----配置VIPVI在DestinationAddress栏选择预先设置的VIP条目。配置了VIP的策略条目的颜色与其它策略没有不同。第112页/共349页VPN基本概念第113页/共349页课程目标VPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程第114页/共349页ObjectivesVPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程第115页/共349页虚拟专用网(VirtualPrivateNetworks)虚拟专用网(VPNs)提供了在公共网络上传输私有信息的途径.一般说来通过隧道技术来组建这样一条路径原始数据包经过封装(产生新的包头后)再在公网上进行传输REMOTEOFFICECORPOFFICEABFromAtoBFromAtoBFromSSG5toSSG550MFromAtoB第116页/共349页JuniperFWV支持的VPN类型Juniper所有型号的防火墙(除某些特殊型号外）都支持以下VPN方式：－GRE：支持。

－L2TP：支持。－L2TPoverIPSec：支持。－IPSec：支持。L2TP/PPTPSSLVPNIPSecGREMPLS第117页/共349页ObjectivesVPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程第118页/共349页信息安全传输的关注点当我们需要在公共媒质（不可信任媒质）上传输私密性的信息：机密性（Confidentiality）保证数据安全（隐藏真实数据）完整性（Integrity）保证数据未被改动身份验证（Authentication）发送（接受）者确实是那个我们预期的人吗第119页/共349页数据加密-----解决机密性保证传输数据的私密性数据加/解密通过密钥来完成对称（私）密钥非对称（共）密钥数据加密是一个不可逆的过程第120页/共349页数据加密-----对称（密钥）加密

对称加密速度较快，适合于大批量数据的加密典型的密钥长度：40bits到1024bits主流的加密算法:DES,3DES,AES123原始数据加密后的数据发送方接收者+加密后的数据+还原的数据AA第121页/共349页数据加密-----非对称（密钥）加密加密性很好，但是速度很慢（尤其是加密大量数据）典型的密钥长度：512bits到2048bits主流的加密算法:RSA,DHPub发送方接收方Priv1原始数据加密后的数据+23原始数据加密后的数据+4PubPub第122页/共349页数据完整性提供数据完整性的主要方法是哈希算法（Hashfunctions）。哈希算法的单向性（One-way）–无法通过哈希值来反推出原始数据。固定的哈希值(这个值取决于采用的算法)主流算法MD5,SHAMD5输出的哈希值为128位SHA输出的哈希值为160位第123页/共349页单向的哈希算法举例:取模运算也是一种单向算法给出最终结果“3”,你能知道原始的数据是多少吗?

哈希方程式通过特定的方法来保证单向性。1180

77

37r380mod11= =380mod11 =313mod5 =3203mod10 =311mod8 =3100mod97 =3第124页/共349页哈希应用的过程Ifthehashvalues

match,thedataisgood52341发送者接收者Ifthehashvalues

match,thedataisgoodDataHASHDataHASHDataDataHASHHASHHASH第125页/共349页数据源的验证确认数据的源头确实我们预期的。这个验证的过程采用(HMAC)技术其实现方法是在HASH过程中增加一个（对称）密钥。第126页/共349页数据源的验证-----HMACSenderReceiverIfthehashvalues

match,thedataisgood52341如果这个值一致，说明数据是完好的，用户身份也是正确的。HASHDataHASHDataHASHHASHHASHData+Data+HashKeyHashKey第127页/共349页如何安全地交换密钥加密和哈希算法都需要使用到密钥手工配置密钥交换非常容易出现配置错误变化频率很低自动密钥交换如何安全地进行密钥交换?解决方案:Diffie-Hellman（DH）密钥交换算法第一个公布的业界标准解决了同时使用公/私钥时的密钥安全交换的问题只有公钥在Internet上传递。第128页/共349页如何安全地交换密钥-----DH群组5组非常大的质数(和生成器)用以在Diffie-Hellman算法中使用。JuniperFWV支持DHGroups1,2和5Group1使用768-bit的质数Group2使用1024-bit的质数Group5使用1536-bit的质数第129页/共349页如何安全地交换密钥-----DH密钥交换过程每个设备都生成一对密钥（公钥和密钥）公钥在Internet中交换本地的密钥与对端的公钥形成会话加解密的一对密钥KEYSESSIONPubAPubBPrivAPrivB第130页/共349页ObjectivesVPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程第131页/共349页IP层安全协议集（IPSec）IP层安全(IPSec)是提供IP数据安全的行业标准，它为IP数据提供了安全性和完整性服务。工作在IP层支持单播数据IPSec拥有两种协议来提供数据安全EncapsulationSecurityPayload-ESPAuthenticationHeader-AHIPsec为IP层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置服务所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。（在IPsec文档中，“安全网关”指的是执行IPsec协议的中间系统(intermediatesystem)。例如，路由器或实现了IPsec的防火墙，我们称之为“安全网关”）IPsec能提供的安全服务包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护、保密性和有限传输流保密性在内的服务。因为这些服务均在IP层提供，所以任何高层协议均能使用它们。例如，TCP，UDP，ICMP，BGP等等。

RFC2401第132页/共349页LANLANIPHdrTCPDataTransportmode（传输模式）

TunnelMode（隧道模式）IPHdrTCPDataIPHdrIPSecHdrTCPDataIPSecHdrIPHdrTCPDataCABIPSec的模式第133页/共349页EncapsulatingSecurityPayload(ESP)定义在RFC2406IP协议号50提供了数据的机密性数据的完整性数据源的验证Anti-replay功能ESP可以工作在传输模式或隧道模式上。第134页/共349页隧道模式下的ESP报文IPHdrTCPDataNewIPHdrESPIPHdrTCPDataESPtrailerESPAuthIPHdrTCPDataESPtrailer被加密的被验证的原始报文50SPISeq第135页/共349页AuthenticationHeader(AH)DefinedinRFC2402IP协议号51提供了数据完整性数据源验证Anti-replay功能AH可以工作在传输模式或隧道模式。第136页/共349页隧道模式下的AH报文NewIPHdrAHAHAuthIPHdrTCPData被验证的IPHdrTCPData原始数据51NxtHdrPayLenSPISeq第137页/共349页使用IKE来建立隧道TheInternetKeyExchange(IKE)为安全协议的协商提供标准化的流程。UDP协议,500端口可以用来为IPSec协议提供SA的自动协商功能为IPSec协商加密和验证的算法（这些加密/验证的算法被称为proposal）为加密/验证算法自动提供需要的密钥（并不断更新）提供网关识别功能第138页/共349页SecurityAssociations(SA)SA是一系列用以保护端对端信息安全的策略和密钥。SA通过以下三个要素被唯一化SPI目的端IP地址安全协议(ESP或AH)IKE的Phase1和Phase2都会产生相应的SA。Phase1的SA是双向的，Phase2的SA是单向的。第139页/共349页SecurityDatabaseName:VPNtoCorporate

GatewayIP:SecurityIndex(SPI)

local:3001,remote:3002

SecurityProtocol:ESPEncryptionAlg:3DESEncryptionKey:xxxxyyyyzzzzAuthenticationAlg:SHAAuthenticationkey:aaabbbcccSecurityDatabase

Name:VPNtoRemoteGatewayIP:SecurityIndex(SPI)

local:3002,remote:3001

SecurityProtocol:ESPEncryptionAlg:3DESEncryptionKey:xxxxyyyyzzzzAuthenticationAlg:SHAAuthenticationkey:aaabbbcccSADatabaseTrustUntrustTrustUntrust分支站点公司总部第140页/共349页IKE的两个阶段（Phase）Phase1两端建立一个互相信任的、安全的通道。

使用DH密钥交换算法来产生一个两端一致的对称密钥。有两种工作模式：主模式（Mainmode）–两端都使用静态IP地址野蛮模式（Aggressivemode）–一端使用了动态IP地址Phase2通过Phase1建立的通道来协商后续的SA。采用Proxy-ID来识别对应的SA。可以通过DH密钥交换算法来创建perfectforwardsecrecy(PFS)Phase2模式又被称为快速模式（QuickMode）第141页/共349页IKEPhase1:主模式E1: E8:

RemoteNetScreenCorporateNetScreenE8: E1:

Message1:

CookieI,SAProposalListMessage3:DHPublicValueA,NonceI(Random#)Message5:IdentificationI,Hash[ID-I+key]Message2:CookieI,CookieR,SAProposalAcceptMessage4:DHPublicValueB,NonceR(Random#)Message6:IdentificationR,Hash[ID-R+key]EncryptedandAuthenticated第142页/共349页IKEPhase1:AggressiveModeMessage1:

CookieI,SAProposalList,DHPublicValueA,NonceIMessage3:Hash[ID-I+key]Message2:CookieI,CookieR,SAProposalAccept,DHPublicValueB,NonceR,IdentificationHashR

EncryptedandAuthenticatedE1: E8:(dynamic)RemoteNetScreenCorporateNetScreenE8: E1:

第143页/共349页IKEPhase2:QuickModeMessage1:

HashusingPhase1information,MessageID,SAProposalList,NonceI,[DHPublicKeyI],ProxyIDMessage3:HashusingPhase1information,MessageID,NonceI,NonceRMessage2:HashusingPhase1information,MessageID,SAProposalListAccept,NonceR,[DHPublicKeyI],ProxyIDE1: E8:

RemoteNetScreenCorporateNetScreenE8: E1:

第144页/共349页Proxy-ID本地产品的Phase2IKEIDProxy-ID用来识别特定VPN的SA将特定IP子网与VPN联系在一起一个VPN拥有两个Proxy-ID本地Proxy-ID必须与对端的远端Proxy-ID一致远端Proxy-ID必须与对端的本地Proxy-ID一致策略检查当有多个隧道存在时，可开启策略检查。如果两端只有一条策略存在，则不需要开启策略检查。第145页/共349页ObjectivesVPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程第146页/共349页IPSec隧道建立过程–简述Hdr,SA,DHSA,proxyidDataPhase1Phase2IPSectunnelE1: E8:

RemoteNetScreenCorporateNetScreenE8: E1:

Hdr,SA,DHSA,proxyidData第147页/共349页IPSec报文处理流程IE1: E8:

RemoteNetScreenCorporateNetScreenE8: E1:

12Network Int Gate e8 543Fromtrusttountrusttunnel45HASH6HASH50SPIAB第148页/共349页IPSec报文处理IIE1: E8:

RemoteNetScreenCorporateNetScreenE8: E1:

11Network Int Gate e1 12Fromuntrusttotrustanytunnel8SPI Encap Encryp Auth3001 ESP AES SHA7HASH50SPI9HASHHASH=10AB第149页/共349页回顾问题数据加密和数据哈希的区别是什么IPSec两种模式区别是什么ESP提供哪几种功能Phase1的两种模式有什么区别第150页/共349页VPN基本配置第151页/共349页152课程目标Site-to-SiteVPN配置基本流程Site-to-SiteVPN配置图例及要点说明Dial-UpVPN配置基本流程Dial-UpVPN配置图例及要点说明需要分配地址的Dial-UpVPN配置图例及要点说明第152页/共349页153课程目标Site-to-SiteVPN配置基本流程Site-to-SiteVPN配置图例及要点说明Dial-UpVPN配置基本流程Dial-UpVPN配置图例及要点说明需要分配地址的Dial-UpVPN配置图例及要点说明第153页/共349页154SitetoSiteVPN配置的组成Phase1部分IKEGateway名称VPN的向外接口IKEGateway地址Phase1协议Pre-sharedKeyDiffie-HellmangroupnumberEncryptionAlgorithmAuthenticationAlgorithmPhase2部分VPNn名称Phase2proposalDiffie-HellmangroupnumberforPFS(optional)IPSecprotocol(ESPorAH)EncryptionAlgorithmAuthenticationAlgorithmVPN安全策略第154页/共349页155课程目标Site-to-SiteVPN配置基本流程

Site-to-SiteVPN配置图例及要点说明Dial-UpVPN配置基本流程Dial-UpVPN配置图例及要点说明需要分配地址的Dial-UpVPN配置图例及要点说明第155页/共349页156配置IKEGatewayIKEPhase1对方VPN设备的网关向外接口VPNs>AutoKeyA