Juniper防火墙培训材料
合集下载
Juniper防火墙产品培训+#
市场领导地位-Gartnet 2004年报告
Juniper #1 out of 18 vendors
Gartner Magic Quadran报 告是针对IT特定细分市场 上的厂商实力所进行的极 具声望的评价,它从各个 方面来全方位评价厂商, 包括产品线的完整度和功 能、技术实力、创新性、 成功实施情 况、满足客户 现有和未来需求的能力, 以及包括服务和支持在内 的执行能力、市场 份额、 财务健康状况和其它关键 指标
• 广电总局国家骨干网
•
全国骨干网,50%以上设备
市场机会,约超过70 亿美元
• 安全市场上估计存在超过 70 亿美元的机会 • 包括 IPS、SSL VPN、路由功能和防火墙 VPN • 防火墙 VPN 仍然是安全市场最大的组成部分 • 我们的强项是防火墙/VPN产品 • 继续推动安全类产品的发展
先进的硬件设计通用结构的处理?数据在几个非优化的接口传送?每个api引入安全风险?处理的延迟导致无法预测的行为?数据通道无法优化pcappliancespseudoappliancesosvpncoprocessorcpurambusioinoutapplications专用的安全处理?基于流的线性的数据包处理?每个处理模块被优化?优化的应用和硬件用于安全处理和性能gigascreenasiccpuhighspeedbackplaneinoutramionetscreenadvancedarchitecturesecurityspecificrealtimeosintegratedsecurityapplicationsasicjuniper防火墙产品培训149152020screenos特点?安全性专用的实时操作系统?完全设计用于执行计算密集型安全功能而不会影响吞吐量?与硬件设备安全操作系统及安全应用紧密集成?状态协议级智能?集成深层检测防病毒和web过滤等?专用操作系统减少补丁和测试?所有防火墙ipsecvpn系列产品上部署相同的安全性专用操作系统juniper防火墙产品培训159152020screenosipv6?为状态防火墙和ipsecvpn提供生产级的商用ipv6支持?支持双堆栈架构使客户能够在一个设备上同时支持并保护ipv4与ipv6网络?支持所有主要的ipv6迁移机制包括ipv4ipv6和ipv6ipv4迁移ipv6隧道中的ipv4和ipv4隧道中的ipv6?以及面向ipv6的natpt?支持ripng动态路由协议允许客户提高生产网络中的ipv6部署的可扩展性?防止ipv6网络遭受synflood攻击和其他攻击使客户能够抵御从ipv4或ipv6网络中发起的拒绝服务攻击juniper防火墙产品培训169152020juniper防火墙产品线ns5gtns2550nshscns5400isg2000isg1000ssg520mssg550mnsseriesisgseriesssgseriesns5200ns500ns208ns204ssg20ssg5ssg140ssg350ssg320juniper防火墙产品培训179152020议程?juniper简介?juniper防火墙vpn产品线?juniperisg集成安全网关系列?juniperssg安全业务网关系列?产品对比?案例分析juniper防火墙
Juniper_基础篇
• 透明模式: 看上去与基于TCP/IP协议二层的设备类似,防火墙的端 口上没有IP地址,只有一个用于管理的全局 IP。
• 适用的环境: 一般用于处于相同网段的不同网络之间的安全隔离。
• 优点: 不需要重新配置路由器或受保护服务器的 IP 设置 不需要为到达受保护服务器的内向信息流创建地址映 射或端口映射
NetScreen Confidential
4 4 4
防火墙的作用
• 是基于TCP/IP七层协议中的2~4层协议开 发的。 • 可以防止和缓解基于TCP/IP协议2~4层的 攻击行为所造成的安全方面的影响。 • 部分防火墙设备可以提供有限的应用层防 护功能。
NetScreen Confidential
NetScreen Confidential
1212 12
应用模式的选择
• Juniper NetScreen防火墙有三种的应用模式 透明模式 NAT模式 路由模式 • 特殊模式: 二层模式与三层模式混合部署 (需要一些条件支持)
NetScreen Confidential
1313 13
1、透明模式
• 优点: 针对内网对互联网的访问,可以大量节省公共 IP地址,路由结构清晰。
NetScreen Confidential
1616 16
3、路由模式
• 与NAT模式类似,也是基于TCP/IP第三层协议的 设备,数据流在通过防火墙设备时,IP地址信息 不发生替换,以源地址的方式访问互联网或进入 网络访问。
9 9 9
基础应用
• 防火墙的应用部分
1、应用模式的选择和实现
NetScreen Confidential
1010 10
设备调试思路
• 1、了解网络状况。 • 2、确定防火墙的部署位置。 • 3、选择防火墙的部署模式,规划网络路由 信息。 • 4、确定策略方向、地址、服务信息。 • 5、合理设定访问策略。
• 适用的环境: 一般用于处于相同网段的不同网络之间的安全隔离。
• 优点: 不需要重新配置路由器或受保护服务器的 IP 设置 不需要为到达受保护服务器的内向信息流创建地址映 射或端口映射
NetScreen Confidential
4 4 4
防火墙的作用
• 是基于TCP/IP七层协议中的2~4层协议开 发的。 • 可以防止和缓解基于TCP/IP协议2~4层的 攻击行为所造成的安全方面的影响。 • 部分防火墙设备可以提供有限的应用层防 护功能。
NetScreen Confidential
NetScreen Confidential
1212 12
应用模式的选择
• Juniper NetScreen防火墙有三种的应用模式 透明模式 NAT模式 路由模式 • 特殊模式: 二层模式与三层模式混合部署 (需要一些条件支持)
NetScreen Confidential
1313 13
1、透明模式
• 优点: 针对内网对互联网的访问,可以大量节省公共 IP地址,路由结构清晰。
NetScreen Confidential
1616 16
3、路由模式
• 与NAT模式类似,也是基于TCP/IP第三层协议的 设备,数据流在通过防火墙设备时,IP地址信息 不发生替换,以源地址的方式访问互联网或进入 网络访问。
9 9 9
基础应用
• 防火墙的应用部分
1、应用模式的选择和实现
NetScreen Confidential
1010 10
设备调试思路
• 1、了解网络状况。 • 2、确定防火墙的部署位置。 • 3、选择防火墙的部署模式,规划网络路由 信息。 • 4、确定策略方向、地址、服务信息。 • 5、合理设定访问策略。
Juniper防火墙配置ppt课件
40 • 最大虚拟路由器数量 6 最大虚拟局域网数量 100 • 固定I/O 8x10/100,2x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 4 • 无802.11 a/b/g
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
juniper技术培训
Configuration>Admin>Administrators
PPT文档演模板
juniper技术培训
更改根管理员用户名/密码
PPT文档演模板
Configuration>Admin>Administrators
set admin name <name> set admin password <password>
Network>Interfaces>Edit
set interface <name> manage-ip <address) ns208> set interface e1 manage-ip 1.1.1.250
PPT文档演模板
juniper技术培训
校验接口配置 - WebUI
Network>Interfaces>Edit
• 透明模式允许在2层安全域之间通过策略控制流量
PPT文档演模板
juniper技术培训
透明模式的作用
10.1.0.0/16
A
V1-Trust
10.100.1.0/16
C
B
B B
D V1-DMZ
E
V1-Untrust
10.200.1.0/16
• 可以简单快速的部署防火墙到现有网络中
– 不需要改变现有网络拓扑结构
get
get system information
ping
ping other host
reset
reset system
save
save command
ห้องสมุดไป่ตู้
set
configure system parameters
juniper防火墙培训PPT--JNSA-SSC对比sec2
Copyright ©2004 Juniper网络公司,Inc.
Proprietary and Confidential
3
安全市场格局 – 主要产品系列定位
2003年下半年企业防火墙 Gartner Magic Quadrant Research Note:M-22-5175,R. Stiennon,2004年4月21日
• SonicWALL
• Fortinet
Copyright ©2004 Juniper网络公司,Inc.
Proprietary and Confidential
6
如何针对Cisco进行全面定位
卖点
• 使购买决策成为安全决策
• 向安全人员销售-让他们帮助说服管理层
Cisco Systems
Cisco PIX 防火墙
他们怎么说/做:
PIX • FWSM • IOS路由器防火墙
• PIX是带集成 VPN的专用防火墙,
• 通过PCI总线卡实现3DES加速 PIX 535
成本
PIX 525 PIX 515E
PIX 506E PIX 501
• 可通过―Fix Up” (ALG)很好地支持复杂 的协议 • 通过H.323 “可随时支持VoIP‖ ,体积 小,支持SIP • PIX 525是低价位的GigE基本产品 (330mbps 防火墙)
• PIX • FWSM • IOS路由器防火墙
PIX 防火墙 – 从低端到高端的独立设备 • 优点 – 很吸引人的产品规范,‖足够好的‖防火
•
墙,防火墙/VPN 缺点 – 在负载情况下性能会降低,较弱的VPN, 管理,不能提供应用层攻击防护功能
培训资料Juniper网络安全防火墙设备售前培训v
– 是 IDP 防“phone-home” 攻击(向外发布私人信息)的补充(保 护已受感染设备)
– 完全和ScreenOS 5.3 整合
• 客户可以选择采用Kaspersky还是Trend – 推荐用卡 巴斯基
25
内嵌防垃圾邮件
– 阻断垃圾邮件和网页仿冒攻击
• 将赛门铁克的防垃圾邮件功能集成到SSG 520/550中 • 使用基于IP的、强韧的、始终更新的垃圾邮件发送人和网页仿
• Source/Destination ip Session number limit
20
SSG:多种领先的安全技术的集成
• 入侵防御功能:
• 防病毒:卡巴斯基
• 防垃圾邮件:赛门铁克
• 网页过滤:美讯智
其他厂家主要依靠自己开发,特征库不完善,不专业;或者只能支 持部分的UTM功能
21
更多应用层协议的DI(IPS)支持
3
Juniper将电信级的技术精髓带入金融企业
2006
M-Series
1996
Incorporated
1998
1999
Revenue Employees
2000
2001
2002
$500M 1000
T-Series
1500
5
2004
$1B 2500
2005
#789
Acorn
UAC
SSG
$2B $2.3B
– 2个选项:集成 (SurfControl) 或重新定向 (SurfControl 或Websense)
URL 请求
许可接入
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO
– 完全和ScreenOS 5.3 整合
• 客户可以选择采用Kaspersky还是Trend – 推荐用卡 巴斯基
25
内嵌防垃圾邮件
– 阻断垃圾邮件和网页仿冒攻击
• 将赛门铁克的防垃圾邮件功能集成到SSG 520/550中 • 使用基于IP的、强韧的、始终更新的垃圾邮件发送人和网页仿
• Source/Destination ip Session number limit
20
SSG:多种领先的安全技术的集成
• 入侵防御功能:
• 防病毒:卡巴斯基
• 防垃圾邮件:赛门铁克
• 网页过滤:美讯智
其他厂家主要依靠自己开发,特征库不完善,不专业;或者只能支 持部分的UTM功能
21
更多应用层协议的DI(IPS)支持
3
Juniper将电信级的技术精髓带入金融企业
2006
M-Series
1996
Incorporated
1998
1999
Revenue Employees
2000
2001
2002
$500M 1000
T-Series
1500
5
2004
$1B 2500
2005
#789
Acorn
UAC
SSG
$2B $2.3B
– 2个选项:集成 (SurfControl) 或重新定向 (SurfControl 或Websense)
URL 请求
许可接入
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO
常用思科华为H3C及juniper防火墙培训总结PPT
日志可设定输出信息
所有发起连接,流量,各 种详细统计如分类丢弃报 文等
所有发起连接,流量, 所有发起连接,流量, 各种统计如分类丢弃 报文等 பைடு நூலகம்种统计如分类丢弃 报文等
Eudemon防火墙的安全区域
防火墙的内部划分为多个区域,所有的转发接口都
唯一的属于某个区域
接口2
接口1
Local区域
Trust区域
一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙 内首先通过入接口信息找到进入域信息,然后通过查找转发表, 根据出接口找到出口域,再根据这两个域确定域间关系,然后使 用配置在这个域间关系上的安全策略进行各种操作。
状态检测技术
用户A初始化一个telnet会话 其它telnet报文被阻塞
创建Session表项
用户A的telnet会话返回报文被允许
状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是 否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过 Session表项就可以决定哪些连接是合法访问,哪些是非法访问。
E100
接口数量 自 带 2 个 10/100M 以 太 网 口 , 另有 2 个 扩 展接口插槽
E200
自带 2个10/100M以太 网口。, 2个扩展接口插槽
E1000
自带 2 个 10/100M 以 太网口。 4个扩展接 口插槽
接口类型
10/100M以太网
10/100M 以太网, E1 、 FE/GE 口 , E1 、 ATM接口 ATM、POS等接口
防火墙培训
独钩寒江雪原创 2013-1-7
目录
一、防火墙概念
二、主流品牌防火墙的介绍、基本工作原理
Juniper_SSG__防火墙培训进阶篇
总部A IKE VPN配置
在下拉菜单选取前面定义 的IKE Gateway
总部A IKE VPN配置
高级选项
总部A VPN策略的设置
Action选择Tunnel
选择A到C的VPN
分部C Gateway的设置
对方VPN设备的网关
分部C Gateway的设置
共享密钥双方必须一致 选择VPN通道的出口
总部 Trust 10.50.0.1
移动用户
▪ 拨号用户
▪ 地址对象+拨号用户地址池 ▪ 服务对象 ▪ VPN网关+L2TP ▪ IKE 对象 ▪ 安全策略
Untrust 1.1.1.1
ERP 10.50.0.5
L2TP 客户端 访问总部A的ERP服务器
L2TP User 设定部分 - 设定L2TP用户名/密码
策略的组成
地址
服务
▪ 源地址&目的地址 • 地址 • 地址群
▪ 服务 • 预定义服务 • 定制服务 • 定制服务群
动作 日志 流量统计 认证
▪ 动作 ▪ 会话控制 ▪ 日志 ▪ 高级选项
时间、流量控制/统计、认证
创建策略 WebUI模式
▪ 组成
选择From与To的安全区
源&目的地址
通过下拉菜单选取前面设 定的地址
▪ 地址对象 ▪ 服务对象 ▪ VPN网关 ▪ IKE 对象 ▪ 安全策略
总部
Trust 10.50.0.1
Untrust 1.1.1.1
ERP 10.50.0.5
总部A与分部C之间的Site to Site VPN
▪ 总部A部分的Site to Site VPN设置
• VPN Gateway的设置 • VPN 的设置 • VPN策略设置
juniper防火墙培训(SRX系列)
Config),在执行commit后配置模式下可通过
run show config命令查看当前有效配置 (Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
1
4
SRX可对模块化配置进行功能关闭与激活,如执 行deactivate 命令可使相关配置不生效,并可通
用节点id)
指定Control Port 指定Fabric Link Port 配置Redundancy Group 每个机箱的个性化配置 地址等) 配置Redundant Ethernet Interface (类似NSRP的Redundant冗余接口) 配置Interface Monitoring 依据)
同类产品相比,SRX3000系列还可实现最大的I/O端口密度。每一个SRX3000业务网关均可
以安装一个或多个输入/输出卡(IOC),每一个IOC可以支持16个千兆位接口(16个铜线或光 纤千兆以太网),或者20个千兆位接口(2个万兆XFP以太网)。凭借能够添加更多IOC的出 色灵活性,SRX3000业务网关系列可支持在接口和处理能力之间实现最佳平衡。(注:要想 实现正常的系统功能,至少需要1个NPC和1个SPC)
JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电
信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性 能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优 异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安全功能主要来源于已被广
root@srx5800b> request chassis cluster failover reset redundancy-group 1 c) 查看cluster interface
Juniper_防火墙应用培训资料
3
1、安全防护功能的实现
• Juniper防火墙可以防止31类攻击行为。 • 在防火墙中提供一个独立的位置对安全防护的设 置进行细化设置。 • 具体的安全设置会体现在对应的安全域中。 • 防火墙作为网络安全设备,可以防止一部分的网 络攻击,主要是防护基于TCP/IP协议的二层、三 层、四层的攻击行为的防止。 • 注意:目前所有的防火墙设备对DDOS的攻击行 为的防护效果欠佳。 • 设置的位置为:SCREENING>SCREEN
22
2、动态VPN的拓扑图
23
2、动态VPN的设置
24
2、动态VPN的设置
25
2、C/S方式的VPN应用
• 基于客户端软件和中心端防火墙方式的 VPN应用。 • 一般建议在临时性外出的移动用户中使 用,VPN连接后,数据的流量一般不大。 • 需要注意的地方:NAT穿越的选择。
26
2、C/S方式的拓扑图
10
2、静态VPN连接的设置
• 环境:位于两地的两个网络通过防火墙实 现VPN应用。 • 位于两地的两台防火墙的外连端口具有固 定的公共IP地址。
11
2、静态VPN的拓扑图
12
2、VPN设置阶段一(1)基本
13
2、VPN设置阶段一(2)高级
14
2、VPN设置阶段一说明
• • • • • • • • • 阶段一的名称定义. 阶段一的VPN网关指向(指向IP,指向用户). 阶段一的公共密钥. *(C/S方式)本地ID. 高级部分: 加密算法、认证算法、加密长度。 VPN的模式:主模式、主动模式。 NAT穿越的选择。 UDP的保持时间
15
2、VPN设置阶段二(1)基本
16
2、VPN设置阶段二(2)高级
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
福田集团营销公司
Juniper 防火墙培训
2011年5月
1
1、引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了
网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,
利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了, 因此,如何采用更加安全的数据保护及加密技术,成为当前计算
机工作者的研究热点与重点。网络安全技术,尤其是网络信息的
Configuration/admin/Management管理页面配置
Network/Interface管理页面配置
Network/DNS/Host管理界面
★Network/Routing/Destination管理界面
第一步:选择区域
★ Policy/Policies管理界面
★ Policies创建
安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相 结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通 讯也必须通过策略的检查,进一步提高的系统的安全。
接口(Interface):
信息流可通过物理接口和子接口进出安全区 (Security Zone)。
为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安 全区,如果属于第3 层安全区,则需要给接口分配一个IP地址。 虚拟路由器(Virtual Router): Juniper 防火墙支持虚拟路由器技术,在一个防火墙设备里,将原 来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多 张独立的路由表,提高了防火墙系统的安全性以及IP 地址配置的灵活性。
Juniper ASA
NS
NS-5200
CISCO PIX
ISG1000&2000
NetScreen SSG520&550 SSG320&350
安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安 全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。 当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过; 当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过 配置后也可以强制进行策略检查以提高安全性。
③ 基于二层协议的透明模式。 1.1、NAT 模式 当Juniper防火墙入口接口(内网端口)处于NAT模式时,防火墙将通往 Untrust区(外网或者公网)的IP数据包包头中的两个组件进行转换:源IP地址 和源端口号。
防火墙使用Untrust区(外网或者公网)接口的IP地址替换始发端主机的源
IP地址;同时使用由防火墙生成的任意端口号替换源端口号。
元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行
严格的访问控制,达到保护内网系统资源安全的目的。
映射IP(MIP): MIP是从一个IP地址到另一个IP地址双向的一对一映射。当防火墙收 到一个目标地址为MIP 的内向数据流时,通过策略控制防火墙将数据转 发至MIP指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略 控制防火墙将该主机的源IP地址转换成MIP地址。
安全,关系到网民、企业甚至是国家的信息安全。因此,发展更 加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键, 成为当前计算机安全工作的重点。
2、网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为 因素危害较大,归结起来丰要以下几个方面: (1)病毒感染 从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接 的威胁。病毒依靠网络迅速传播,它很容易地通过代理服务器以软件下载、邮件 接收等方式进入网络,窃取网络信息,造成很人的损失。 (2)来自网络外部的攻击 这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性 和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破 译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。 (3)来自网络内部的攻击 在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。 窃取机密信息,破坏信息内容,造成应用系统无法运行。 (4)系统的漏洞及“后门” 操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时 会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整 个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和 “后门”所造成的。
★ Policy/Policy Elements/Services/Custom对象创建
Reports/Event界面
3、Juniper 防火墙几种常用功能的配置
这里讲述的Juniper 防火墙的几种常用功能主要是指基于策略的NAT 的实现, 包括:MIP、VIP 和 DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外 服务。 3.1、MIP 的配置
在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部 防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的 安全性也就大大加强,但投资成本也是最高的。
2、WEB管理页面操作说明 登陆界面
Home界面
Configuration/Update/C
3. 修改防火墙默认的用户名、密码以及管理端口。
Juniper 防火墙常用管理方式: ① 通过Web浏览器方式管理。推荐使用 IE 浏览器进行登录管理, 需要知道防火墙对应端口的管理 IP 地址; ② 命令行方式。支持通过 Console 端口超级终端连接和 Telnet 防火墙管理 IP 地址连接两种CLI登录管理模式。 Juniper 防火墙的常用功能: 在一般情况下,防火墙设备的常用功能包括:透明模式的部署、
1.2、Route 模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如: Trust/Utrust/DMZ)转发信息流时IP数据包包头中的源地址和端口号保持不变 (除非明确采用了地址翻译策略)。 ① 与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实 施地址翻译; ② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处 于不同的子网中。 1.3、透明模式 当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包, 但不会修改IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。透明模式是一种保护内部 网络从不可信源接收信息流的方便手段。使用透明模式有以下优点: ① 不需要修改现有网络规划及配置; ② 不需要实施地址翻译; ③ 可以允许动态路由协议、Vlan trunking的数据包通过。
数据流向示例
DMZ区
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称 “非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器 的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企 业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些 必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
目前,福田集团防火墙使用Juniper SSG/ISG系列产品。其中,集团核 心网络(沙河厂区)出口分别使用SS520及ISG1000两台Juniper防火墙,各 个事业部统一使用Juniper SSG320M设备。 福田集团网络结构
目前硬件防火墙市场最大的两个厂家为Cisco和Juniper, 其他生产厂家还有H3C、华为赛门铁克等等。 SRX3400&SRX3600 SRX SRX1400 SRX100&210&240&650 NS-5400
MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干
个公网 IP 地址,又存在若干的对外提供网络服务的服务器(服务器使用私有 IP 地 址),为了实现互联网用户访问这些服务器,可在 Internet 出口的防火墙上建立公
虚拟路由器逻辑图
安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、
网络服务以及防火墙的动作。在设定网络服务时,Juniper防火墙已经内置 预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。 在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是 UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、 网络服务在无流量情况下的超时定义等。 因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙 的策略细致程度大大加强,安全性也提高了。 除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、 在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全
入侵检测技术IDS&IPS:
基于IP的防护手段的局限性而使安全行业研发更适合的产品: IDS、IPS。
IPS是英文“Intrusion Detection Systems”的缩写。专业上讲就
是依照一定的安全策略,对网络、系统的运行状况进行监视,尽 可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系 统资源的机密性、完整性和可用性。根据定义好的规则来过滤从 主机网卡到网线上的流量,提供实时报警。IDS的功能是发现异常 行为,而IPS(英文“Intrusion Protection Systems”的缩写)与之 对应是阻断异常行为。
NAT/路由模式的部署、NAT的应用、MIP 的应用、DIP 的应用、VIP 的
应用、基于策略VPN 的应用。
1、Juniper 防火墙三种部署模式及基本配置
Juniper 防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式 分别是: ① 基于TCP/IP 协议三层的 NAT 模式;
Juniper 防火墙培训
2011年5月
1
1、引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了
网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,
利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了, 因此,如何采用更加安全的数据保护及加密技术,成为当前计算
机工作者的研究热点与重点。网络安全技术,尤其是网络信息的
Configuration/admin/Management管理页面配置
Network/Interface管理页面配置
Network/DNS/Host管理界面
★Network/Routing/Destination管理界面
第一步:选择区域
★ Policy/Policies管理界面
★ Policies创建
安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相 结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通 讯也必须通过策略的检查,进一步提高的系统的安全。
接口(Interface):
信息流可通过物理接口和子接口进出安全区 (Security Zone)。
为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安 全区,如果属于第3 层安全区,则需要给接口分配一个IP地址。 虚拟路由器(Virtual Router): Juniper 防火墙支持虚拟路由器技术,在一个防火墙设备里,将原 来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多 张独立的路由表,提高了防火墙系统的安全性以及IP 地址配置的灵活性。
Juniper ASA
NS
NS-5200
CISCO PIX
ISG1000&2000
NetScreen SSG520&550 SSG320&350
安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安 全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。 当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过; 当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过 配置后也可以强制进行策略检查以提高安全性。
③ 基于二层协议的透明模式。 1.1、NAT 模式 当Juniper防火墙入口接口(内网端口)处于NAT模式时,防火墙将通往 Untrust区(外网或者公网)的IP数据包包头中的两个组件进行转换:源IP地址 和源端口号。
防火墙使用Untrust区(外网或者公网)接口的IP地址替换始发端主机的源
IP地址;同时使用由防火墙生成的任意端口号替换源端口号。
元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行
严格的访问控制,达到保护内网系统资源安全的目的。
映射IP(MIP): MIP是从一个IP地址到另一个IP地址双向的一对一映射。当防火墙收 到一个目标地址为MIP 的内向数据流时,通过策略控制防火墙将数据转 发至MIP指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略 控制防火墙将该主机的源IP地址转换成MIP地址。
安全,关系到网民、企业甚至是国家的信息安全。因此,发展更 加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键, 成为当前计算机安全工作的重点。
2、网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为 因素危害较大,归结起来丰要以下几个方面: (1)病毒感染 从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接 的威胁。病毒依靠网络迅速传播,它很容易地通过代理服务器以软件下载、邮件 接收等方式进入网络,窃取网络信息,造成很人的损失。 (2)来自网络外部的攻击 这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性 和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破 译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。 (3)来自网络内部的攻击 在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。 窃取机密信息,破坏信息内容,造成应用系统无法运行。 (4)系统的漏洞及“后门” 操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时 会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整 个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和 “后门”所造成的。
★ Policy/Policy Elements/Services/Custom对象创建
Reports/Event界面
3、Juniper 防火墙几种常用功能的配置
这里讲述的Juniper 防火墙的几种常用功能主要是指基于策略的NAT 的实现, 包括:MIP、VIP 和 DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外 服务。 3.1、MIP 的配置
在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部 防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的 安全性也就大大加强,但投资成本也是最高的。
2、WEB管理页面操作说明 登陆界面
Home界面
Configuration/Update/C
3. 修改防火墙默认的用户名、密码以及管理端口。
Juniper 防火墙常用管理方式: ① 通过Web浏览器方式管理。推荐使用 IE 浏览器进行登录管理, 需要知道防火墙对应端口的管理 IP 地址; ② 命令行方式。支持通过 Console 端口超级终端连接和 Telnet 防火墙管理 IP 地址连接两种CLI登录管理模式。 Juniper 防火墙的常用功能: 在一般情况下,防火墙设备的常用功能包括:透明模式的部署、
1.2、Route 模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如: Trust/Utrust/DMZ)转发信息流时IP数据包包头中的源地址和端口号保持不变 (除非明确采用了地址翻译策略)。 ① 与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实 施地址翻译; ② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处 于不同的子网中。 1.3、透明模式 当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包, 但不会修改IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。透明模式是一种保护内部 网络从不可信源接收信息流的方便手段。使用透明模式有以下优点: ① 不需要修改现有网络规划及配置; ② 不需要实施地址翻译; ③ 可以允许动态路由协议、Vlan trunking的数据包通过。
数据流向示例
DMZ区
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称 “非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器 的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企 业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些 必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
目前,福田集团防火墙使用Juniper SSG/ISG系列产品。其中,集团核 心网络(沙河厂区)出口分别使用SS520及ISG1000两台Juniper防火墙,各 个事业部统一使用Juniper SSG320M设备。 福田集团网络结构
目前硬件防火墙市场最大的两个厂家为Cisco和Juniper, 其他生产厂家还有H3C、华为赛门铁克等等。 SRX3400&SRX3600 SRX SRX1400 SRX100&210&240&650 NS-5400
MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干
个公网 IP 地址,又存在若干的对外提供网络服务的服务器(服务器使用私有 IP 地 址),为了实现互联网用户访问这些服务器,可在 Internet 出口的防火墙上建立公
虚拟路由器逻辑图
安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、
网络服务以及防火墙的动作。在设定网络服务时,Juniper防火墙已经内置 预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。 在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是 UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、 网络服务在无流量情况下的超时定义等。 因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙 的策略细致程度大大加强,安全性也提高了。 除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、 在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全
入侵检测技术IDS&IPS:
基于IP的防护手段的局限性而使安全行业研发更适合的产品: IDS、IPS。
IPS是英文“Intrusion Detection Systems”的缩写。专业上讲就
是依照一定的安全策略,对网络、系统的运行状况进行监视,尽 可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系 统资源的机密性、完整性和可用性。根据定义好的规则来过滤从 主机网卡到网线上的流量,提供实时报警。IDS的功能是发现异常 行为,而IPS(英文“Intrusion Protection Systems”的缩写)与之 对应是阻断异常行为。
NAT/路由模式的部署、NAT的应用、MIP 的应用、DIP 的应用、VIP 的
应用、基于策略VPN 的应用。
1、Juniper 防火墙三种部署模式及基本配置
Juniper 防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式 分别是: ① 基于TCP/IP 协议三层的 NAT 模式;