Juniper防火墙连网端口映射.ppt

Copyright 2008 Juniper Networks,Inc.Proprietary and Confidential,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2007 Juniper Networks,Inc.Proprietary and Confidential,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Juniper netscreen,防火墙培训,课程目标,NS,防火墙部署方式介绍，部署方式主要有以下几种,1,、路由模式,2,、透明模式,3,、混合模式（,1,、,2,两种模式的结合）,内网各种应用服务器（,WEB,、,ERP,、,EMAIL,）的发布,1,、,MIP,、,VIP,、,DIP,2,、访问应用服务器的安全策略,路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由器。如图：,防火墙部署方式一、路由模式,原网络环境,架墙之后的拓扑,SW,ROUTE,内网,PC,FW,SW,内网,PC,NAT,转换,路由模式的配置步骤,第一步、配置防火墙的接口地址,第二步、配置防火墙的缺省路由,第三步、配置防火墙安全策略,下面以截图具体说明,网络拓扑,E 0/0,E 0/2,192.168.1.1/24,接口地址一览表,(,初始,),编辑缺省,外网接口,配置缺省外网接口,IP,及管理项,配置静态公网,IP,公网远程管理开关,选择管理项,外网口为,ROUTE,内网口为,NAT,内外网接口配置完成后一览表,路由一览表,添加路由,条目按键,添加缺省路由,缺省路由配置格式,防火墙互联网网关地址,选择外网接口,添加缺省路由后路由表,创建,Trust-,Untrust,区域策略,源区域 目的区域,创建,创建,Trust,Untrust,区域策略,自定义策略名称,内网的所有地址可以访问外网的所有地址,开启,LOG;,并把该策略置顶执行,创建,Trust-,Untrust,区域策略,完成策略配置,点击此处可以查看策略日志,路由模式配置完成,配置完成后,:,Ping,测试,使用内网,PC,用,Ping192.168.1.1,地址进行连通测试,.,Ping,测试,使用内网,PC,用,Ping,外网地址进行互联网测试,.,透明模式的部署环境分两种,1,、标准包下的透明模式,2,、,TRUNK,模式下的透明模式下面结合具体环境说明一下,防火墙部署方式二、透明模式,架墙之后的拓扑,原网络环境,标准包下的透明模式,SW,ROUTE,内网,PC,FW,SW,内网,PC,ROUTE,标准包下的透明模式配置步骤,第一步、配置防火墙的接口为二层模式,第二步、配置防火墙的,VLAN1,的地址,第三步、配置防火墙安全策略,下面以截图具体说明,网络拓扑,VLAN1,IP 192.168.2.1/24,192.168.1.1/24,Router,透明模式步骤外网接口配置,初始未配置页面,透明模式步骤外网接口配置,改变,Untrust-V1-Untrust,透明模式,-,外网接口配置,设置,VLAN1,管理地址,配置用于管理的,VLAN 1 IP,地址,配置与缺省地址的不同私有地址用于管理,透明模式,-,内网接口配置,删除原有,IP,透明模式,-,内网接口配置,更改,Trust,V1-Trust,透明配置完成后再次登陆,使用配置的,VALN 1 IP,地址,登录,WEB,界面,创建,V1-Trust-,V1-Untrust,区域策略,源区域 目的区域,创建,透明模式配置完成,配置完成后,:,Ping,测试,使用内网,PC,用,Ping“,路由器内网接口地址,”,进行连通测试,.,Ping,测试,使用内网,PC,用,Ping,外网地址进行互联网测试,.,TRUNK,模式下的透明模式下面结合具体环境说明一下,防火墙部署方式二、透明模式,架墙之后的拓扑,ROUTE,内网,PC,FW,原网络环境,TRUNK,模式下的透明模式,SW,TRUNK,ROUTE,内网,PC,SW,TRUNK,TRUNK,TRUNK,模式下的典型应用,-,TRUNK,透传,VLAN2/3,ROUTER,SW,VLAN4/5,SW,FW,FW,Trunk,Trunk,Trunk,Trunk,VLAN2,ROUTER,SW,VLAN3,FW,SW,Trunk,Trunk,Trunk,192.168.1.0,/24,192.168.2.0/24,192.168.1.1,192.168.2.1,透明模式支持,VLAN,透传,VLAN,需终结于,FW,TRUNK,模式下的典型应用,-,内网访问控制,VLAN3,用户,vlan2,用户,Firewall,192.168.2.2/24,VLAN 2,Cisco 3550,应用,1,聚合端口,+,中继端口,Trust zone:Vlan2.gw,192.168.2.1/24,Untrust zone:Vlan3.gw,192.168.3.1/24,VLAN 3,Vlan4.gw,192.168.4.1/24,192.168.3.2/24,192.168.4.2/24,Vlan5.gw,192.168.5.1/24,VLAN5,192.168.5.2/24,VLAN4,应用,2,互连,VLAN:Vlan10,192.168.10.0/30,TRUNK,下的透明模式配置步骤,第一步、配置防火墙的接口为二层模式,第二步、配置防火墙的,VLAN1,的地址,第三步、配置防火墙的,VLAN1,接口支持,TRUNK,第三步、配置防火墙安全策略,混合模式是前两种模式的结合，是针对两条外网线路环境下而设计的,防火墙部署方式三、混合模式,架墙之后的拓扑,ROUTE1,内网,PC,FW,原网络环境,SW,ROUTE1,内网,PC,SW,ROUTE2,透明模式,路由模式,混合模式配置步骤,第一步、配置防火墙的两个接口为二层模式,第二步、配置防火墙的另外两个接口为路由模式,第三步、配置防火墙的,VLAN1,接口地址,第三步、配置防火墙安全策略,企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此种情况下，就需设置,NS,墙的,MIP,、,VIP,、,DIP,（防火墙部署方式需路由）,内网各种应用服务器（,WEB,、,ERP,、,EMAIL,）的发布,内网,PC,FW,SW,WEB,MIP,、,VIP,、,DIP,之间的区别,1,、,MIP,是一对一的地址映射，即一个公网地址只对应一台内网服务器，公网所有端口都映射到内部服务器。,2,、,VIP,是一对多地址转换，即一个公网地址的不同端口，可以转换到对应多台内部服务器，如外网,80,可转换到服务器,1,上，而外网的,21(,或其它端口,),同时可转换到服务器,2,上；而,MIP,要么映射到服务器,1,，要么映射到服务器,2,上，两者不能同时存在。,3,、,DIP,是一组公网地址，让内网机器随机地转换成组内任意一个公网地址。,MIP,、,VIP,配置步骤,第一步、选择做,MIP,、,VIP,对应的外网口,第二步、确定是用,MIP,还是,VIP,发布服务器,第三步、设置,MIP,或,VIP,与内网服务器对应关系,第三步、配置与,MIP,、,VIP,对应的安全策略,下面以最常用的,VIP,发布,WEB,服务为例具体说明，,MIP,的设置方法与之基本相同。,VIP,配置,网络拓扑,192.168.1.1/24,WEB Server:,192.168.1.254/24,安全网关,VIP,配置,当网络只有一个,公网,IP,时选择,添加,VIP,的公网服务器,IP,当网络有多个,公网,IP,时选择并输入公网,IP,选择外网口,安全网关,VIP,配置,内网服务器地址,此时和外网,WEBUI,管理的端口,(80),冲突,解决方式见下图,安全网关,VIP,配置,更改远程管理端口,自定义更改,更改,WEBUI,的管理端口,安全网关,VIP,配置,VIP,配置完成,安全网关,VIP,安全策略配置,选择,VIP,接口,安全网关,VIP,安全策略配置,VIP,安全策略配置完成,感谢大家,