Juniper防火墙初学培训概览.ppt

TRUNK模式下的典型应用--TRUNK透传 VLAN2/3 ROUTER SW VLAN4/5 SW FW FW Trunk Trunk Trunk Trunk VLAN2 ROUTER SW VLAN3 FW SW Trunk Trunk Trunk /24 /24 透明模式支持VLAN透传 VLAN需终结于FW TRUNK模式下的典型应用--内网访问控制 VLAN3用户 vlan2用户 Firewall /24 VLAN 2 Cisco 3550 应用1 聚合端口+中继端口 Trust zone:Vlan2.gw /24 Untrust zone:Vlan3.gw /24 VLAN 3 Vlan4.gw /24 /24 /24 Vlan5.gw /24 VLAN5 /24 VLAN4 应用2 互连VLAN:Vlan10 /30 TRUNK下的透明模式配置步骤 第一步、配置防火墙的接口为二层模式 第二步、配置防火墙的VLAN1的地址 第三步、配置防火墙的VLAN1接口支持TRUNK 第三步、配置防火墙安全策略 混合模式是前两种模式的结合，是针对两条外网线路环境下而设计的 防火墙部署方式三、混合模式 架墙之后的拓扑 ROUTE1 内网PC FW 原网络环境 SW ROUTE1 内网PC SW ROUTE2 透明模式 路由模式 混合模式配置步骤 第一步、配置防火墙的两个接口为二层模式 第二步、配置防火墙的另外两个接口为路由模式 第三步、配置防火墙的VLAN1接口地址 第三步、配置防火墙安全策略 企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此种情况下，就需设置NS墙的MIP、VIP、DIP（防火墙部署方式需路由） 内网各种应用服务器（WEB、ERP、EMAIL）的发布 内网PC FW SW WEB MIP、VIP、DIP之间的区别 1、MIP是一对一的地址映射，即一个公网地址只对应一台内网服务器，公网所有端口都映射到内部服务器。 2、VIP是一对多地址转换，即一个公网地址的不同端口，可以转换到对应多台内部服务器，如外网80可转换到服务器1上，而外网的21 或其它端口 同时可转换到服务器2上；而MIP要么映射到服务器1，要么映射到服务器2上，两者不能同时存在。 3、DIP是一组公网地址，让内网机器随机地转换成组内任意一个公网地址。 MIP、VIP配置步骤 第一步、选择做MIP、VIP对应的外网口 第二步、确定是用MIP还是VIP发布服务器 第三步、设置MIP或VIP与内网服务器对应关系 第三步、配置与MIP、VIP对应的安全策略 下面以最常用的VIP发布WEB服务为例具体说明，MIP的设置方法与之基本相同。 VIP 配置 网络拓扑 /24 WEB Server:54/24 安全网关VIP 配置 当网络只有一个 公网IP时选择 添加VIP的公网服务器IP 当网络有多个 公网IP时选择并输入公网IP 选择外网口 安全网关VIP 配置 内网服务器地址 此时和外网WEBUI管理的端口 80 冲突, 解决方式见下图 安全网关VIP 配置 更改远程管理端口,自定义更改 更改WEBUI的管理端口 安全网关VIP 配置 VIP配置完成 安全网关VIP 安全策略配置 选择VIP 接口 安全网关VIP 安全策略配置 VIP 安全策略配置完成 感谢大家 * Copyright ? 2008 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2008 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Juniper netscreen 防火墙培训 王庆生 juniper 认证工程师　　 课程目标 NS防火墙部署方式介绍，部署方式主要有以下几种 1、路由模式 2、透明模式 3、混合模式（1、2两种模式的结合） 内网各种应用服务器（WEB、ERP、EMAIL）的发布 1、MIP、VIP、DIP 2、访问应用服务器的安全策略 路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由器。如图： 防火墙部署方式一、路由模式 原网络环境 架墙之后的拓扑 SW ROUTE 内网PC FW SW 内网PC NAT转换 路由模式的配置步骤 第一步、配置防火墙的接口地址 第二步、配置防火墙