JuniperNetScreen培训资料基础篇v.pptVIP

NetScreen Confidential NetScreen Confidential Juniper网络安全防火墙应用培训基础篇 培训概要 性质：售后培训 目的：基础应用 要求：路由和交换 时间：120分钟 培训内容 概念部分 1、防火墙的概念 2、具有代表性的Juniper产品（SSG系列) 防火墙的应用部分 1、部署模式的选择和实现 2、访问控制的实现（策略的设置） 3、安全域的自定义 4、一些特殊应用的实现（MIP、DIP、VIP） 5、配置文件的保存 基础部分的培训 概念部分 1、防火墙的概念、特点 2、具有代表性的Juniper产品（SSG500) 防火墙的基本概念 是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的闸门。 部署在网络边界位置，通过防火墙设备的检测、过滤、拦截手段，隔离内部信任网络和外部非信任网络，以阻档非信任网络对可信任网络的入侵、窃取和破坏，保护网络的安全。 防火墙的作用 是基于TCP/IP七层协议中的2～4层协议开发的。 可以防止和缓解基于TCP/IP协议2～4层的攻击行为所造成的安全方面的影响。 部分防火墙设备可以提供有限的应用层防护功能。 防火墙设备的特点 部署位置： 当前的防火墙是边界类网络安全设备。 作用： 隔离信任网络（内部网络）和非信任网络（外部网络，Internet）。 唯一性： 作为进出网络的唯一节点，对进出网络的数据流进行检测、过滤和控制。 无安全设备的网络拓扑 部署防火墙的网络拓扑 防火墙的分类 防火墙的分类： 软件防火墙产品（Check point） PC架构的防火墙产品（Cisco PIX） 纯硬件设计的产品（Juniper） SSG系列安全业务网关 Juniper网络公司SSG 550 1 Gbps 的 FW IMIX @ 600K pps 500 Mbps 的VPN / 500 Mbps IPS 6个 I/O 插槽 – 4个可插 LAN口模块 双电源，DC为选项， NEBS为选项 12.8万个会话，1,000条VPN 隧道 基础应用 防火墙的应用部分 1、应用模式的选择和实现 2、访问控制的实现（策略的设置） 3、安全域的应用和自定义 4、一些基础应用（MIP、DIP、VIP） 5、配置文件的保存 设备调试思路 1、了解网络状况。 2、确定防火墙的部署位置。 3、选择防火墙的部署模式，规划网络路由信息。 4、确定策略方向、地址、服务信息。 5、合理设定访问策略。 防火墙设备的设置步骤 确定设置防火墙的部署模式 设置防火墙设备的IP地址信息（接口地址或管理地址） 设置防火墙设备的路由信息 确定经过防火墙设备的IP地址信息（基于策略的源、目标地址） 确定网络应用 配置访问控制策略 1、应用模式的选择 Juniper NetScreen防火墙有三种的应用模式 透明模式 NAT模式 路由模式 特殊模式： 二层模式与三层模式混合部署 (需要一些条件支持) 1、透明模式 透明模式： 看上去与基于TCP/IP协议二层的设备类似，防火墙的端口上没有IP地址，只有一个用于管理的全局 IP。 适用的环境： 一般用于处于相同网段的不同网络之间的安全隔离。 优点： 不需要重新配置路由器或受保护服务器的 IP 设置 不需要为到达受保护服务器的内向信息流创建地址映射或端口映射 1、基于透明模式的拓扑图 1、NAT模式 类似于基于TCP/IP第三层协议的设备，通过协议端口或IP头替换的方式实现地址转发和共享访问互联网的应用。 适用的网络环境： 客户拥有的公网地址数量，不能满足网络中的每个设备都拥有一个公共IP地址的情况。 优点： 针对内网对互联网的访问，可以大量节省公共IP地址，路由结构清晰。 1、路由模式 与NAT模式类似，也是基于TCP/IP第三层协议的设备，数据流在通过防火墙设备时，IP地址信息不发生替换，以源地址的方式访问互联网或进入网络访问。 适用的网络环境： 拥有足够多的公网IP地址，可以满足网络中