juniper_基礎篇

1、,第1頁,2024/3/21,,Juniper網(wǎng)絡安全防火墻基礎篇,2,培訓內(nèi)容,概念部分 1、防火墻的概念 防火墻的應用部分 1、部署模式的選擇和實現(xiàn) 2、訪問控制的實現(xiàn)（策略的設置） 3、安全域的自定義 4、一些特殊應用的實現(xiàn)（MIP、DIP、VIP） 5、配置文件的保存,3,基礎部分的培訓,概念部分

2、 1、防火墻的概念、特點,4,防火墻的基本概念,是一個用以阻止網(wǎng)絡中的非法用戶或非授權用戶訪問某個機構網(wǎng)絡的屏障，也可稱之為控制進/出兩個方向通信的閘門。 部署在網(wǎng)絡邊界位置，通過防火墻設備的檢測、過濾、攔截手段，隔離內(nèi)部信任網(wǎng)絡和外部非信任網(wǎng)絡，以阻檔非信任網(wǎng)絡對可信任網(wǎng)絡的入侵、竊取和破壞，保護網(wǎng)絡的安全。,5,防火墻的作用,是基于TCP/IP七層協(xié)議中的2～4層協(xié)議開發(fā)的?？梢苑乐购途徑饣赥CP/IP協(xié)議2

3、～4層的攻擊行為所造成的安全方面的影響。部分防火墻設備可以提供有限的應用層防護功能。,6,防火墻設備的特點,部署位置： 當前的防火墻是邊界類網(wǎng)絡安全設備。作用： 隔離信任網(wǎng)絡（內(nèi)部網(wǎng)絡）和非信任網(wǎng)絡（外部網(wǎng)絡，Internet）。唯一性： 作為進出網(wǎng)絡的唯一節(jié)點，對進出網(wǎng)絡的數(shù)據(jù)流進行檢測、過濾和控制。,7,無安全設備的網(wǎng)絡拓撲,8,部署防火墻的網(wǎng)絡拓撲,9,防火墻的分類,防火墻的分類：

4、 軟件防火墻產(chǎn)品（Check point） PC架構的防火墻產(chǎn)品（Cisco PIX） 純硬件設計的產(chǎn)品（Juniper）,10,基礎應用,防火墻的應用部分 1、應用模式的選擇和實現(xiàn),11,設備調(diào)試思路,1、了解網(wǎng)絡狀況。2、確定防火墻的部署位置。3、選擇防火墻的部署模式，規(guī)劃網(wǎng)絡路由信息。4、確定策略方向、地址、服務信息。5、合理設定訪問策略。,12,防火墻

5、設備的設置步驟,確定設置防火墻的部署模式設置防火墻設備的IP地址信息（接口地址或管理地址）設置防火墻設備的路由信息確定經(jīng)過防火墻設備的IP地址信息（基于策略的源、目標地址）確定網(wǎng)絡應用配置訪問控制策略,13,應用模式的選擇,Juniper NetScreen防火墻有三種的應用模式 透明模式 NAT模式 路由模式 特殊模式： 二層模式與三層模式混

6、合部署 (需要一些條件支持),14,1、透明模式,透明模式： 看上去與基于TCP/IP協(xié)議二層的設備類似，防火墻的端口上沒有IP地址，只有一個用于管理的全局 IP。適用的環(huán)境： 一般用于處于相同網(wǎng)段的不同網(wǎng)絡之間的安全隔離。優(yōu)點： 不需要重新配置路由器或受保護服務器的 IP 設置 不需要為到達受保護服務器的內(nèi)向信息流創(chuàng)

7、建地址映射或端口映射,15,基于透明模式的拓撲圖,16,2、NAT模式,類似于基于TCP/IP第三層協(xié)議的設備，通過協(xié)議端口或IP頭替換的方式實現(xiàn)地址轉(zhuǎn)發(fā)和共享訪問互聯(lián)網(wǎng)的應用。適用的網(wǎng)絡環(huán)境： 客戶擁有的公網(wǎng)地址數(shù)量，不能滿足網(wǎng)絡中的每個設備都擁有一個公共IP地址的情況。優(yōu)點： 針對內(nèi)網(wǎng)對互聯(lián)網(wǎng)的訪問，可以大量節(jié)省公共IP地址，路由結構清晰。,17,3、路由模式,與NAT模式類似，也是基于T