《Juniper NetScreen培训资料（中级篇）.v1》.pptVIP

NetScreen Confidential NetScreen Confidential Juniper防火墙应用培训中级篇 说明 性质：售后部署培训 目的：独立配置防火墙的防护和VPN以及HA应用的基本功能的配置 要求：掌握基本的路由交换知识 时间：讲解部分2小时 培训内容 中级应用的实现 1、安全防护功能的实现（SCREEN） 2、VPN应用的实现（三种应用方式） 3、HA应用的实现（三种应用方式） 一般故障的判断和恢复 1、案例 2、判断问题的一个方法 主要内容 中级应用的实现 1、安全防护功能的实现（SCREEN） 2、VPN应用的实现（三种应用方式） 3、HA应用的实现（三种应用方式） 1、安全防护功能的实现 NETSCREEN防火墙可以防止31类攻击行为。 在防火墙中提供一个独立的位置对安全防护的设置进行细化设置。 具体的安全设置会体现在对应的安全域中。 防火墙作为网络安全设备，可以防止一部分的网络攻击，主要是防护基于TCP/IP协议的二层、三层、四层的攻击行为的防止。 注意：目前所有的防火墙设备对DDOS的攻击行为的防护效果欠佳。 设置的位置为：SCREENINGSCREEN 1、防火墙的设置位置 1、防火墙的设置位置 1、防火墙的设置位置 2、VPN功能的实现 应用VPN的前提条件： 至少有一端作为被叫端，即：中心端； 中心端拥有固定的地址信息，该信息可以是固定的IP地址或域名；最好是公网IP地址。 规划各分支和总部的内部IP地址，使所有的分支和总部的IP地址都处于不同的地址段中。 确定加密、认证、DH、公共密钥等信息。 2、VPN的调试 防火墙提供IPSEC方式的VPN连接和L2TP方式的VPN连接。 基于IPSEC方式的VPN发起有以下几个阶段需要设置。 阶段一、VPN网关指向阶段的VPN发起阶段。 阶段二、VPN的自动认证阶段。 最后的VPN的策略设置。 2、基于IPSEC方式VPN的模式 三种应用模式： 静态方式的VPN：LAN TO LAN的VPN连接，两端拥有固定的公共IP地址在防火墙的外端口上。 动态方式的VPN：LAN TO LAN的VPN连接，只有作为中心端的网络拥有固定的IP地址，分支端没有固定的IP地址；VPN的发起需要动态地址端售前发起VPN连接。 客户端到服务器的VPN连接：应用于使用VPN客户端软件的远程接入用户。 2、静态VPN连接的设置 环境：位于两地的两个网络通过防火墙实现VPN应用。 位于两地的两台防火墙的外连端口具有固定的公共IP地址。 2、静态VPN的拓扑图 2、VPN设置阶段一（1）基本 2、VPN设置阶段一（2）高级 2、VPN设置阶段一说明 阶段一的名称定义. 阶段一的VPN网关指向（指向IP，指向用户）. 阶段一的公共密钥. *(C/S方式)本地ID. 高级部分： 加密算法、认证算法、加密长度。 VPN的模式：主模式、主动模式。 NAT穿越的选择。 UDP的保持时间 2、VPN设置阶段二（1）基本 2、VPN设置阶段二（2）高级 2、VPN设置阶段二说明 VPN阶段二的名称。 VPN套用阶段一设置的选择。 高级部分： 加密、认证、长度。 VPN连接的保持。 VPN连接的监控。 2、VPN的策略设置 2、VPN策略设置的说明 设置原地址 设置目标地址 设置服务 设置策略动作为：隧道 设置隧道选择为：阶段二的VPN名称 设置选择是否应用匹配的策略。 日志记录 策略位置 2、策略列表 2、一端为动态ip的VPN连接设置 前提： 一端的防火墙外端口的IP地址是动态获得的，就是说：经常性发生变化，如：ADSL. 有两种实现方式： 1、在动态端设置实现一个动态域名解析服务。为动态端提供一个静态的域名，通过把VPN网关指向对端域名的方式实现VPN连接。 2、为动态端设置一个Local ID ，格式为E-MAIL的格式。 2、动态VPN的拓扑图 2、动态VPN的设置 2、动态VPN的设置 2、C/S方式的VPN应用 基于客户端软件和中心端防火墙方式的VPN应用。 一般建议在临时性外出的移动用户中使用，VPN连接后，数据的流量一般不大。 需要注意的地方：NAT穿越的选择。 2、C/S方式的拓扑图 2、设置步骤： 1、定义VPN的客户端用户的身份。 2、定义VPN的客户端用户的用户组。（可选） 3、定义第一阶段的VPN设置。 4、定义第二阶段的VPN设置。 5、定义访问控制策略。 2、VPN的客户端用户的身份 2、VPN的客户端用户的用户组 2、定义第一阶段的VPN设置 2、定义访问