juniper全相关设置及NAT Y810.ppt

Implementing NetScreen Security Gateways Juniper FWV基础售后培训 IIEDU-JUNIP-FWV-BEG 目标 Policy基本概念 Policy基本设置 NAT基本概念 NAT基本设置 目标 Policy基本概念 Policy基本设置 NAT基本概念 NAT基本设置 Policy基本概念-----策略的作用 Policy基本概念-----安全区与策略的关系 Policy基本概念-----Policy的组成 目标 Policy基本概念 Policy基本设置 NAT基本概念 NAT基本设置 Policy基本设置----- 创建步骤 为策略创建特定的地址对象（源/目的地址对象）。 为特定的服务/应用类型创建特定的服务类型。 根据数据的走向，创建策略项目，并设置相应的Action。 调整策略的顺序，以满足应用的需求。 通过Options来增强或改善对该策略的控制。 Policy基本设置----- 地址对象的创建I Policy基本设置----- 地址对象的创建II Policy基本设置----- 地址与地址组I Policy基本设置----- 地址与地址组II Policy基本设置----- 地址与地址组III Policy基本设置----- 地址与地址组IV Policy基本设置----- 服务对象的创建I Policy基本设置----- 服务对象的创建II Policy基本设置----- 服务与服务组I Policy基本设置----- 服务与服务组II Policy基本设置----- 创建策略项I Policy基本设置----- 创建策略项II Policy基本设置----- 策略的顺序 Policy基本设置----- 策略的Logging I Policy基本设置----- 策略的Logging II Policy基本设置----- 策略的Counting I Policy基本设置----- 策略的Counting II Policy基本设置----- 策略的Schedule I Policy基本设置----- 策略的Schedule II Internet访问验证----Auth Server的选择 Internet访问验证---- Auth Server的选择 Internet访问验证---- Auth User的创建 Internet访问验证----用户验证的过程 基于策略的带宽管理 目标 Policy基本概念 Policy基本设置 NAT基本概念 NAT基本设置 NAT基本概念-----NAT的种类I NAT基本概念-----NAT的种类 NAT基本概念----NAT的配置 NAT基本配置----配置NAT-src I 目标 Policy基本概念 Policy基本设置 NAT基本概念 NAT基本设置 NAT基本配置----配置NAT-src II NAT基本配置----配置NAT-src III NAT基本配置----配置NAT-src IV NAT基本配置----配置NAT-src V NAT基本配置----配置NAT-dst I NAT基本配置----配置NAT-dst II NAT基本配置----配置NAT-dst III NAT基本配置----配置NAT-dst IV NAT基本配置----配置MIP I NAT基本配置----配置MIP II NAT基本配置----配置MIP III NAT基本配置----配置VIP I NAT基本配置----配置VIP II NAT基本配置----配置VIP III NAT基本配置----配置VIP IV NAT基本配置----配置VIP V NAT基本配置----配置VIP VI Service Timeout项的选择需要慎重。如果不清楚的话，可以使用“User protocol default”。选择“Never”则该服务在系统中永不超时。 Action的选择项共四种：Permit：允许数据通过；Deny：阻止数据通过；Reject：阻止并通知发送者；Tunnel：进行隧道封装。 Policy ID只表征某条策略项，并不能表征策略的执行顺序。 可以在CLI模式下，通过exec policy verify命令来查看策略序列这是否存在“重合”的现象。 at Session Beginning可以在会话建立之初就记录该数据流，而不是在会话结束后才记录。对于那些超时时间很长的服务来说，开启它比较有用。 简单的讲，如果你有足够多的地址资源，那你只要用MIP就可以了。如果你的地址资源很有限，请考虑VIP。 注意！在ScreenOS 6.0之前，VIP只可以在Unt