Juniper_FWV基础售后培训_II.pptVIP

Implementing NetScreen Security Gateways Juniper FWV基础售后培训 IIEDU-JUNIP-FWV-BEG 目标 Policy基本概念 Policy基本设置 NAT基本概念 NAT基本设置 Policy基本概念-----策略的作用 Policy基本概念-----安全区与策略的关系 Policy基本概念-----Policy的组成 Policy基本设置----- 创建步骤 为策略创建特定的地址对象（源/目的地址对象）。 为特定的服务/应用类型创建特定的服务类型。 根据数据的走向，创建策略项目，并设置相应的Action。 调整策略的顺序，以满足应用的需求。 通过Options来增强或改善对该策略的控制。 Policy基本设置----- 地址对象的创建I Policy基本设置----- 地址对象的创建II Policy基本设置----- 地址与地址组I Policy基本设置----- 地址与地址组II Policy基本设置----- 地址与地址组III Policy基本设置----- 服务对象的创建I Policy基本设置----- 服务对象的创建II Policy基本设置----- 服务与服务组I Policy基本设置----- 服务与服务组II Policy基本设置----- 创建策略项I Policy基本设置----- 创建策略项II Policy基本设置----- 策略的顺序 Policy基本设置----- 策略的Logging NAT基本概念-----NAT的种类I NAT基本概念-----NAT的种类 NAT基本概念----NAT的配置 NAT基本配置----配置NAT-src I NAT基本配置----配置NAT-src II NAT基本配置----配置NAT-src III NAT基本配置----配置NAT-src IV NAT基本配置----配置NAT-dst I NAT基本配置----配置NAT-dst II NAT基本配置----配置NAT-dst III NAT基本配置----配置MIP I NAT基本配置----配置MIP II NAT基本配置----配置MIP III NAT基本配置----配置VIP I NAT基本配置----配置VIP II NAT基本配置----配置VIP III 在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。 Mapped IP填写该接口处于同Zone的虚拟地址。 Host IP填写真实的主机的地址。 在Destination Address栏选择预先设置的MIP条目。 配置了MIP的策略条目的颜色与其它策略没有不同。 首先，要创建一个VIP，定义好Virtual IP Address以及Port。 然后，我们要通过一条Policy条目来完成这个NAT。 VIP :21 00:21 :80 SA DA SA DA 00:80 在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。 点击“Add”按钮，添加新的Virtual IP Address。 点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。 Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。 Map to IP项填写真实的主机地址。 在Destination Address栏选择预先设置的VIP条目。 配置了VIP的策略条目的颜色与其它策略没有不同。 想要限制本区内的通信，也可以通过策略实现，但是必须使用同区策略，比如“trust to trust”策略。 我们知道，在路由器/交换机这样的网络设备上可以通过ACL对流经其的数据进行控制。 但是ACL是基于Packet的，Policy是基于Session的。 系统已经预定义了一些地址对象。例如Any、Dial-Up VPN。 Service Timeout项的选择需要慎重。如果不清楚的话，可以使用“User protocol default”。选择“Never”则该服务在系统中永不超时。 Action的选择项共四种：Permit：允许数据通过；Deny：阻止数据通过；Reject：阻止并通知发送者；Tunnel：进行隧道封装。 Policy ID只表征某条策略项，并不能表征策略的执行顺序。 可以在CLI模式下，通过exec policy verify命令来查看策略序列这是否存在“重合”的现象。 at Session Beginnin