Juniper_netscreen__防火墙培训进阶篇.pptxVIP

　　Juniper netscreen 防火墙培训　 王启龙 Juniper 认证工程师　课程目标规范公司员工合理有效的上网　 策略 :地址、服务、时间、流量监控、认证、 会话控制、日志 　地址绑定分支机构、移动办公, 安全连入总部 VPN（L2TP、IPSEC、SSL VPN） 分公司为星型　VPN冗余一、安全策略策略的组成地址服务动作日志流量统计认证源地址＆目的地址地址地址群服务预定义服务定制服务定制服务群动作会话控制日志高级选项　时间、流量控制/统计、认证创建策略 WebUI模式 组成选择From与To的安全区源＆目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设定的服务行动允许, 拒绝, 安全隧道日志认证，流量控制、统计认证流量统计流量控制重点：流量控制，认证。针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。重要资源要求身份认证安全策略的顺序新策略加载在最后在所有策略的末尾有隐含的deny all的策略顺序非常重要，改变策略的顺序会影响到实际应用效果利用防火墙实现地址绑定公司内部员工随意更改IP地址，导致地址冲突外来人员随意接入，影响公司网络安全实现MAC绑定功能需要三个步骤1、强迫执行ARP目地IP扫描：set arp always-on-dest2、作ARP静态绑定：set arp 10.0.0.250 0002b34896fc trust3、设置一个地址组group，它只包含做MAC地址绑定的那些IP地址。然后设置一个策略，只让这个地址组group通过。 注：此功能只能通过命令行来实现。IP MAC绑定图示telnet 到防火墙接口二 VPN 应用VPN的应用说明：　Juniper的网络安全防火墙设备的VPN应用模式较多，包括：基于策略的VPN、基于路由的VPN，集中星形VPN和背靠背VPN等。在这里，我们主要介绍最常用的VPN模式：策略VPN。首先，如何配置两种策略VPN，一种是点对点的VPN应用，一种是拨号VPN应用。其中点对点包括静态/动态对静态，拨号包括L2TP和IPSCE客户端两种。其次， 介绍SSL VPN 和VPN冗余。静态对静态VPN配置分部总部Trust 10.1.0.1Trust 10.50.0.1Untrust3.3.3.1Untrust 1.1.1.110.1.0.5ERP　10.50.0.5地址对象服务对象VPN网关IKE 对象安全策略总部A与分部C之间的Site to Site VPN总部A部分的Site to Site VPN设置VPN Gateway的设置VPN 的设置VPN策略设置分部C部分的Site to Site VPN设置VPN Gateway的设置VPN的设置VPN策略设置 总部A Gateway的设置对方VPN设备的网关总部A Gateway的设置共享密钥双方必须一致选择VPN通道的出口总部A Gateway的设置高级选项VPN双方的模式必须一致总部A IKE VPN配置在下拉菜单选取前面定义的IKE Gateway总部A IKE VPN配置高级选项总部A VPN策略的设置Action选择Tunnel 选择A到C的VPN分部C Gateway的设置对方VPN设备的网关分部C Gateway的设置共享密钥双方必须一致选择VPN通道的出口分部C Gateway的设置高级选项VPN双方的模式必须一致分部C IKE VPN配置在下拉菜单选取前面定义的IKE Gateway分部C IKE VPN配置高级选项分部C VPN策略的设置Action选择Tunnel 选择C到A的VPN动态对静态 VPN配置一分部Trust 192.168.10.1总部Trust 10.50.0.1Untrust192.168.1.1Untrust 1.1.1.1192.168.10.5ERP10.50.0.5基本与静态对静态 VPN设置内容一致地址对象服务对象VPN网关（动态方 LOCAL ID）IKE 对象安全策略动态对静态 VPN配置二 移动用户总部Trust 10.50.0.1Untrust 1.1.1.1ERP10.50.0.5拨号用户地址对象+拨号用户地址池服务对象VPN网关+L2TPIKE 对象安全策略L2TP 客户端　访问总部A的ERP服务器 L2TP User 设定部分－ 设定L2TP用户名/密码L2TP Tunnel的设置 VPN 安全策略Windows客户端的设置配置L2TP用户设定用户名设定密码分配给L2TP用户的地址配置L2TP Tunnel选择L2TP用户选择Tunnel的接口L2TP Tunnel策略的设置源地址选择Dial-Up VPN（系统自定义）Action选择Tunnel 选择L2TP TunnelWindow