Juniper FWV基础售后培训.ppt

Juniper FWV基础售后培训 IEDU-JUNIP-FWV-BEG,2,目标,登录防火墙基本系统配置基础概念基本网络设置,3,目标,登录防火墙基本系统配置基础概念基本网络设置,TablesBuffersRunningConfigScreenOS(active),ScreenOSImageSaved ConfigCerts,etc.,RAM,Flash,Interf.,Interf.,Interf.,TFTP,PwrUp/Reset,Telnet,NetScreen,DNS/Syslog,Webui,Serial.,Console,4,登录防火墙-Log in from Console I,防火墙可以通过Console访问方式进行管理最为安全的登录方式无须网络支持就可以登录无须IP地址就可以登录可以看到启动的信息可以看到实时的debug信息,5,登录防火墙-Log in from Console II,a.连接电源线，启动防火墙；整个启动过程约2分钟左右 Console线缆随机自带，为直通网线加转接头（DB9转RJ45）。b.通过Console线缆来连接防火墙的Console端口 设备正常启动后，Power LED（电源灯）常绿；Status LED（状态灯）闪烁绿色。c.使用PC的终端连接工具，访问防火墙的Console进程。,6,登录防火墙-Log in from Console III,安全网关的默认管理员用户名/密码都是 netscreen,采用Windows系统超级终端的默认值参数即可,选择正确的串口,7,登录防火墙-Log in from Console IV,防火墙的默认管理员用户名/密码都是“netscreen”Console方式的配置采用CLI（命令行）方式进行,8,安全网关可以通过图形化模式进行管理最为直观的配置界面，所见即所得。绝大多数的配置都可以通过WebUI来完成。真正简捷、高效地图形化配置工具。只需要很少的配置(打开防火墙接口的web访问权限即可),登录防火墙-Log in from WebUI I,9,登录防火墙-Log in from WebUI II,a.为要访问的接口配置IP地址x.x.x.x/x，并打开该接口的WebUI管理权限。出厂状态下，Trust Zone的Interface的IP地址是192.168.1.1/24，开放了WebUI管理权限。b.通过直通网线连接PC与防火墙的特定端口 出厂状态下，连接防火墙Trust Zone的端口。c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。出厂状态下，将PC网卡地址设置为192.168.1.X/24。d.在PC的网页浏览器中输入http:/x.x.x.x,出现登录界面。出厂状态下，输入http:/192.168.1.1。,10,登录防火墙-Log in from WebUI III,如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火墙时，配置向导就会出现。配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。,默认的用户名/密码都是netscreen。,11,登录防火墙-Log in from WebUI IV,首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。可以阅读到实时状态下的系统CPU、内存、会话数、策略数。,12,登录防火墙-Log in from WebUI V,可以阅读到系统产生的警报。可以阅读到系统产生的日志。,13,目标,登录防火墙基本系统配置基础概念基本网络设置,14,基本系统配置-ScreenOS升级,选中Firmware Update项。点击“浏览”按钮，在客户端文件目录下寻找ScreenOS升级文件。点击“Apply”按钮，进行升级。系统将跳出警告提示。升级文件导入后，系统重启；整个过程大概需要3分钟。,Configuration Update ScreenOS/Keys,15,基本系统配置-配置文件管理,ConfigurationUpdateConfig File,上传配置选中Replace Current Configuration项。点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，然后点击“Apply”进行上传，系统将弹出警告。下载配置点击“Save To File”按钮，进行下载。系统将提示你选择文件目录。,16,基本系统配置-管理员帐号管理,Configuration Admin Administrators,Root管理员由系统定义，不能删除；但可以修改其名称和密码。Root管理员可以创建或删除本地管理员帐号。本地管理员帐号分为Read-Only和Read-Write两种权限。,17,管理员帐号管理-创建新的系统管理员帐号,Configuration Admin Administrators Configuration,18,管理员帐号管理-修改系统管理员帐号用户名/密码,Configuration Admin Administrators Edit,19,基本系统配置-配置Permitted IPs,可以通过设置Permitted-IPs来限制访问防火墙的源地址。Permitted-IPs地址可以一个主机地址，也可以是一个网段。,Configuration Admin Permitted IPs,20,基本系统配置-系统管理设置,Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限。各种 Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口。,Configuration Admin Management,21,基本系统配置-系统时钟设置,Configuration Date/Time,最简捷的设置时间的方法是按“Sync Clock With Client”按钮。系统将自身时钟与网管客户端的本地时钟作同步。如果用户网络中有NTP服务器存在，也可在此页面设置。,22,基本系统配置-系统DNS设置,Network DNS Host,该处设置的DNS仅供防火墙本身对外进行访问时使用。防火墙下联的客户端无法继承该处的DNS配置。可以通过Host Name项，改变防火墙的系统主机名称。,23,基本系统配置-License Key管理,License Key提供的功能：Capacity License Key UTM Subscription License Key扩展许可（extended）防病毒（Anti-Virus）高级许可（advanced）网页过滤（URL filtering）入侵防御许可（IDP）防垃圾邮件（Anti-Spam）虚拟系统许可（VSYS)深层检测（Deep Inspection/IPS,Configuration Update ScreenOS/Keys,24,License Key管理-Capacity License Key管理,Configuration Update ScreenOS/Keys,选中“License Key Update”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击“Apply”按钮。系统将弹出告警提示；确认后，license被导入。License所支持的功能在重启后才真正生效。,25,License Key管理-UTM Subscription Key管理,Configuration Update ScreenOS/Keys,点击“Retrieve Subscriptions Now”按钮，主机将自动到Juniper数据中心下载相关许可。下载成功与否的关键，是保证系统时间及DNS的正确设置。,26,基本系统配置-恢复出厂值/默认密码,密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置的参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下，用设备的序列号作为用户名/密码进行登录。成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。整个过程约3分钟。使用设备面板上的针孔（pinhole）按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按前述步骤来一次系统进入初始化状态,27,基本系统配置-灾难恢复,当系统文件被破坏时，需要做灾难恢复表征：无法通过Webui、Telnet等方法访问系统。原因：系统文件（ScreenOS）意外损坏或丢失。恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式 向系统FLASH上灌制可用的OS。,TFTP灌制ScreenOS的注意事项 TFTP服务器必须与系统的Self IP在同一子网 TFTP服务器必须连接在:系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口,28,灾难恢复-恢复系统文件 I,启动设备，当出现“Hit any key to run loader”时，按任意键进入boot模式。在“Boot File Name”栏填入系统OS的文件名。在“Self IP Address”栏填入一个临时地址供TFTP通信使用。在“TFTP IP Address”栏填入TFTP服务器的地址，也就是PC的地址。输入完毕后，按回车键开始通过TFTP传送系统OS到设备。,29,灾难恢复-恢复系统文件 II,30,灾难恢复-恢复系统文件 III,当出现“Save to on-board flash disk？”提示时，按“Y”键将OS存入FLASH。当出现“Run download system image？”提示时，按“Y”键运行新的OS。,31,灾难恢复-恢复系统文件 IV,当出现“The device successfully completed the operation“，整个系统恢复的过程结束。,32,目标,登录防火墙基本系统配置基础概念基本网络设置,33,基础概念Virtual Router/Zone/Interface,严格的逻辑层次结构安全区从属于虚拟路由器安全区默认都从属于trust-vr接口从属于安全区一个接口只能从属于一个安全区IP地址从属于接口,Int.,Zone,Zone,Virtual Router,IP,虚拟路由器的路由表各自独立安全区之间的访问受策略控制接口是一个逻辑概念，它可以包含若干个物理端口，也可以不包括任何物理端口,34,虚拟路由器预定义:trust-vr:系统的default VR。untrust-vr:自定义:在高端型号上，需要license支持方可使用,动态路由协议的全局配置在VR菜单下,基础概念Virtual Router,NetworkRoutingVirtualRouters,35,安全区预定义:Trust:一般放置内网接口Untrust:一般放置外网接口 DMZ:一般放置服务器接口用户自定义：,功能安全区Null：放置未配置的接口MGT：放置网管用接口HA：SelfVLAN,基础概念Security Zone,36,基础概念Interface I,接口逻辑接口:sub interface、loopback interface、HA interface、VSI interface、etc.物理接口：百兆铜缆、千兆铜缆、百兆光纤、千兆光纤、万兆光纤等,设备的可网管配置也在接口菜单完成当我们谈论的是设备的物理连接口的时候，使用的术语是Port（端口）,37,基础概念Sub Interface,Sub-IF的用途是在一个物理接口上承接来自某个或者多个VLAN的数据。Sub-IF与其物理接口并无逻辑上的联系。Eth0/0在Trust Zone，eth0/0.1在DMZ Zone这种情况是允许的。,38,基础概念 Tunnel Interface,Tunnel IF的用途是建立一个隧道接口供VPN使用；GRE、IPSec。Tunnel IF可以选择使用一个额外的IP地址，也可以通过Unnumbered选项，借用其他接口的地址。,39,基础概念 Loopback Interface,Loopback IF的用途是通过这个逻辑上的地址来实现管理上的便利，比如OSPF的Router ID。Tunnel IF的IP地址尽量使用32位掩码；因为它只是表示一个主机。,40,目标,登录防火墙基本系统配置基础概念基本网络设置,41,基本网络配置-Network Binding,通过Binding页面，可以查看当前各Interface/Zone/VR的归属关系,Network Binding,42,基本网络配置-Zone配置,点击“New”按钮，创建新的Zone。点击“Edit”按钮，编辑该Zone的属性。,Network Zones,43,Zone配置-创建新的Zone,Zone Type决定该Zone将作用于路由模式还是透明模式。Layer 3对应路由模式；Layer 2对应透明模式。Layer 2的Zone Name必须以“L2”或者“l2”开头。,44,Zone配置-编辑Zone的属性,Block Intra-Zone Traffic选项可以控制本区内流量传送。默认状态，Untrust Zone勾选了此项。,45,基本网络配置-Interface配置,点击“New”按钮，在下拉菜单选择相应的接口类型，创建新的接口。点击“Edit”按钮，编辑该Interface的属性。,46,Interface配置-编辑接口的参数,Network Interfaces Edit,47,Interface配置-编辑接口的参数-Zone Binding,点击“Zone Name”旁边的下拉菜单，选择需要binding的Zone。经过Binding的Interface才可以做IP及其它方面的设置。如果需要将某个接口停止使用，需要将其放置到“Null Zone”。放置到“Null Zone”的一个先决条件是将IP地址设置为0.0.0.0。,48,Interface配置-编辑接口的参数-IP setting,需要通过DHCP自动获取IP地址的，点击“Obtain IP using DHCP”选项。需要通过PPPoE拨号方式获取IP地址的，点击“Obtain IP using PPPoE”选项，并做相关设置。需要手工设定IP地址的，点击“Static IP”选项，并做相关设置。,49,Interface配置-编辑接口的参数-Interface Mode,Interface Mode是Juniper防火墙特有的属性，它仅仅影响到NAT功能。Binding到Trust/DMZ Zone的接口默认为“NAT”模式。接口设定为”NAT”模式后，通过该接口，流向Untrust Zone的流量都会自动做源地址翻译。,50,Interface配置-编辑接口的参数-Service Options,Service Options决定是否可以通过该接口对防火墙本身进行访问通过选择不同的Service，可以高粒度地控制外界对防火墙的访问建议在网络调试阶段打开“PING”服务默认的Service Options因Zone的不同而不同Trust Zone:所有可网管选项都是打开的Other Zone:所有可网管选项都是关闭的,51,Interface配置-Bgroup接口 I,Bgroup接口是一个逻辑接口，它是若干个端口的集合。其基本配置与端口并无两样。从属于同一个Bgroup的端口处于同一广播域。,52,Interface配置-Bgroup接口 II,通过点击某个端口旁边的复选框，可以将该端口绑定到这个Bgroup接口中去。端口在绑定到某个Bgroup接口以后，就不能再进行任何配置了。,53,基本网络配置-静态路由配置,点击“New”按钮，创建新的静态路由。静态路由一旦创建，无法进行编辑；只能“Remove”，然后再重新配置。,NetworkRoutingDestination,54,静态路由配置-创建新的静态路由,IP Address/Netmask处填入“目的地址/子网掩码”。如果是默认路由须填入“0.0.0.0/0”。Next Hop处一般选择“Gateway”选项：Interface与Gateway IP Address都须填写。其他选项一般情况无须选择。,55,高级网络配置-源地址路由,源地址路由的设定与静态路由的设定方式基本一致。,NetworkRoutingSourceRouting,56,高级网络配置-源接口路由,NetworkRoutingSourceInterfaceBasedRouting,57,高级网络配置-源接口路由,NetworkRoutingSourceInterfaceBasedRouting,Juniper FWV基础售后培训 IIEDU-JUNIP-FWV-BEG,59,目标,Policy基本概念Policy基本设置NAT基本概念NAT基本设置,60,目标,Policy基本概念Policy基本设置NAT基本概念NAT基本设置,61,Policy基本概念-策略的作用,Juniper防火墙对流量的检测、控制（包括NAT）都是通过策略来实现的。策略可以通过源/目的地址，源/目的端口，协议来控制流量。,62,Policy基本概念-安全区与策略的关系,默认情况下，数据流在本区内通信，不受策略限制（Untrust Zone除外）。当数据流跨区时，可以通过策略进行控制。策略可以通过源/目的地址，源/目的端口，协议来影响流量。,UntrustZone,TrustZone,1.1.70.0/24,10.1.10.5,10.1.20.0/24,B,10.1.10.0/24,DMZZone,10.1.20.5,.254,200.5.5.5,A,B,C,D,10.1.1.0/24,10.1.2.0/24,.1.254,.1.254,1.1.7.0/24,1.1.8.0/24,.254.1,63,Policy基本概念-Policy的组成,Source:经过防火墙的数据的源IP地址。Destination：经过防火墙的数据的目的IP地址。Service：指经过防火墙的数据流的协议类型，比如HTTP、FTP、ICMP等流量。通过对Source、Destination、Service的设定，限定需要做控制的数据流。Action：指防火墙对该数据采取的行动，比如permit，deny、tunnel等。Options：指系统针对该数据流的做得一些附加设置，比如Logging（日志功能）。,64,目标,Policy基本概念Policy基本设置NAT基本概念NAT基本设置,65,Policy基本设置-创建步骤,为策略创建特定的地址对象（源/目的地址对象）。为特定的服务/应用类型创建特定的服务类型。根据数据的走向，创建策略项目，并设置相应的Action。调整策略的顺序，以满足应用的需求。通过Options来增强或改善对该策略的控制。,66,Policy基本设置-地址对象的创建I,Policy Policy Elements Addresses List,地址对象是基于Zone的，要查询某个地址对象，必须选择给地址从属的Zone。如果你知道该地址对象的首字母，还可以通过Filter进行过滤显示。点击“New”按钮可以创建新的地址对象。,67,Policy基本设置-地址对象的创建II,Address Name栏填写地址对象的名称。Comment栏填写对地址对象的备注。IP Address栏填写I地址对象所对应的IP地址以及匹配符。要表现主机地址的时候，写法应该是X.X.X.X/32。最后，在Zone旁边的下拉菜单选择相应的Zone。,68,Policy基本设置-地址与地址组I,Policy Policy Elements Addresses Groups,当同一条策略需要用到若干个地址对象的时候，我们可以通过地址组来统一代表这些地址对象。地址组必须与地址对象在同一个Zone。点击“New”按钮可以创建新的地址对象。,69,Policy基本设置-地址与地址组II,在Available Members选择合适的地址对象，通过“”按钮，将不需要的地址对象移出该地址组。,70,Policy基本设置-地址与地址组III,在Available Members选择合适的地址对象，通过“”按钮，将不需要的地址对象移出该地址组。,71,Policy基本设置-地址与地址组IV,可以通过Address Summary来查看系统每个Zone可配置的地址数量及已配置的地址数量。,Policy Policy Elements Addresses Summary,72,Policy基本设置-服务对象的创建I,系统已经预置了许多常用的应用/服务。如果实际需要一些特定的服务，可以自行创建。,Policy Policy Elements Services Custom,Policy Policy Elements Services Predefined,73,Policy基本设置-服务对象的创建II,Service Name栏填入服务对象的名称。Transport protocol栏选择服务对象的协议类型，一般为TCP或UDP。在Source Port和Destination Port栏填入端口号；一般的服务对象仅限制Destination Port。,74,Policy基本设置-服务与服务组I,当一条策略需要同时用到多个服务对象时，可以通过设定服务组来统一代表相关的服务对象。同服务对象一样，系统也预置了一些服务组：这些服务组主要针对某些特定的应用而设置。,Policy Policy Elements Services Groups,75,Policy基本设置-服务与服务组II,在Available Members选择合适的服务对象，通过“”按钮，将不需要的服务对象移出该地址组。,76,Policy基本设置-创建策略项I,像前面所提到的一样，在创建策略项之前，必须选择数据的走向：从 什么Zone 去 什么Zone。再选择好“From”与“To”的下拉菜单后，点击“New”进入策略项创建菜单。查找策略项，也同样在该页面。如果策略条目众多，可以通过“List”下拉菜单选择合适的页面显示条目数；比如“List 20”表示在这个页面中最大的同时显示策略条目为20条。,Policy Policies,77,Policy基本设置-创建策略项II,在Source Address和Destination Address的Address Book Entry选择前面创建好的地址对像。在Service的下拉菜单选取前面设定好的服务对象。在Action栏选择相应的处理行为，如permit等。,78,Policy基本设置-策略的顺序,策略的执行按照先后顺序，即从上而下的寻找，直到遇到匹配的策略项为止。正常情况下，新的策略永远加在整个策略序列的尾端。在策略序列的尾端，有一条隐含的“deny all”的策略项。策略序列的基本排列原则：将影响范围越小的策略项放在越前面。策略的调整通过Move的两个按钮来实现。建议使用“”。,79,Policy基本设置-策略的Logging I,Logging选项将提供匹配该策略条目的流量的日志信息。Logging选项被选择后，该策略条目的Options栏会有相应的条目产生。点击该条目可以看到相关的日志内容。,80,Policy基本设置-策略的Logging II,81,Policy基本设置-策略的Counting I,Counting选项将提供匹配该策略条目的流量的实时统计图表。Counting选项被选择后，该策略条目的Options栏会有相应的条目产生。点击该条目可以看到相关的日志内容。,82,Policy基本设置-策略的Counting II,83,Policy基本设置-策略的Schedule I,Policy Policy Elements Schedules,84,Policy基本设置-策略的Schedule II,85,Internet访问验证-Auth Server的选择,Juniper FWV支持两种方式的验证服务器：本地（local）和远程（Remote）。本地验证服务器是系统默认的验证服务器，它可以用来验证admin、auth、l2tp和xauth用户。如果要设置远程验证服务器，请点击“New”按钮进行设置。Juniper FWV支持的远征验证服务器类型有RADIUS、SecureID、LDAP、TACACS+。本例中使用本地验证服务器，使用的验证的用户是auth用户。,Configuration Auth Auth Servers,86,Internet访问验证-Auth Server的选择,Juniper FWV支持两种方式的验证服务器：本地（local）和远程（Remote）。本地验证服务器是系统默认的验证服务器，它可以用来验证admin、auth、l2tp和xauth用户。如果要设置远程验证服务器，请点击“New”按钮进行设置。Juniper FWV支持的远征验证服务器类型有RADIUS、SecureID、LDAP、TACACS+。本例中使用本地验证服务器，使用的验证的用户是auth用户。,Configuration Auth Auth Servers,87,Internet访问验证-Auth User的创建,88,Internet访问验证-用户验证的过程,89,基于策略的带宽管理,Traffic Shaping选项用来控制匹配该策略的流量的大小及处理优先级。Guaranteed Bandwidth的数值为系统保证其的带宽数值。Maximum Bandwidth的数值为系统最大能分配给该策略的数值。,90,目标,Policy基本概念Policy基本设置NAT基本概念NAT基本设置,91,NAT基本概念-NAT的种类I,NAT是Network Address Translation；很简单，就是网络设备来改变数据包IP地址的功能。数据包的IP地址有两种，源地址和目的地址。所以NAT也分两种：一种叫NAT-src（或者叫source based NAT），改变数据包的源地址。另外一种叫NAT-dst(或者叫destination based NAT),改变数据包的目的地址。NAT-src常用在上网应用，如企业内部局域网用户访问Internet。NAT-dst常用在服务器映射应用，如企业内部的一台服务器要提供给Internet访问。,92,NAT基本概念-NAT的种类,Juniper Firewall引进了两种额外的NAT形式:MIP和VIP。MIP是Mapped IP的意思，其特点是提供了双向的NAT功能，相当于NAT-src与NAT-dst的组合；尤其适合于用户需要把内部的服务器映射到一个公网地址，供Internet访问的需求。VIP是Virtual IP的意思，其特点是可以将同个目的地址的不同端口翻译到不同的地址上去；尤其适合于用户地址资源有限，许多不同的服务器需要共用同一个公网地址（不同的端口）的情况。,93,NAT基本概念-NAT的配置,NAT-src与NAT-dst在Juniper Firewall上又被称为Policy based NAT。Juniper Firewall对NAT的实现，一定要通过策略来实现。无论是Policy based，还是MIP、VIP。,94,NAT基本配置-配置NAT-src I,首先要创建一个地址对象，来表示将要被转换的源地址，本例中我们要创建的地址对象是10.1.1.5。然后需要设置一个DIP，来表示转换完成后的源地址，本例中我们要创建的DIP是1.1.8.1。最后，我们要通过一条Policy条目来完成这个NAT。,95,目标,Policy基本概念Policy基本设置NAT基本概念NAT基本设置,96,NAT基本配置-配置NAT-src II,创建地址对象，请注意选择正确的Zone。,97,NAT基本配置-配置NAT-src III,在创建DIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。,98,NAT基本配置-配置NAT-src IV,点击“Advanced”按钮以进入NAT配置界面。在新界面中点中Source Translation，并选择之前设置的DIP地址条目。配置了NAT的策略条目的颜色与其它策略有所不同。,99,NAT基本配置-配置NAT-src V,点击“Advanced”按钮以进入NAT配置界面。在新界面中点中Source Translation，并选择之前设置的DIP地址条目。配置了NAT的策略条目的颜色与其它策略有所不同。,100,NAT基本配置-配置NAT-dst I,首先要创建一个地址对象，来表示将要被转换的目的地址，本例中我们要创建的地址对象是1.1.8.100。然后，我们要通过一条Policy条目来完成这个NAT。,101,NAT基本配置-配置NAT-dst II,创建地址对象，请注意选择正确的Zone。,102,NAT基本配置-配置NAT-dst III,点击“Advanced”按钮以进入NAT配置界面。在新界面中点中Destination Translation，并在Translate to IP项填写转换后的地址。配置了NAT的策略条目的颜色与其它策略有所不同。,103,NAT基本配置-配置NAT-dst IV,点击“Advanced”按钮以进入NAT配置界面。在新界面中点中Destination Translation，并在Translate to IP项填写转换后的地址。配置了NAT的策略条目的颜色与其它策略有所不同。,104,NAT基本配置-配置MIP I,首先，要创建一个MIP，定义好Mapped IP与Host IP。然后，我们要通过一条Policy条目来完成这个NAT。,105,NAT基本配置-配置MIP II,在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。Mapped IP填写该接口处于同Zone的虚拟地址。Host IP填写真实的主机的地址。,106,NAT基本配置-配置MIP III,在Destination Address栏选择预先设置的MIP条目。配置了MIP的策略条目的颜色与其它策略没有不同。,107,NAT基本配置-配置VIP I,首先，要创建一个VIP，定义好Virtual IP Address以及Port。然后，我们要通过一条Policy条目来完成这个NAT。,108,NAT基本配置-配置VIP II,在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的Virtual IP Address。点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。Map to IP项填写真实的主机地址。,109,NAT基本配置-配置VIP III,在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的Virtual IP Address。点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。Map to IP项填写真实的主机地址。,110,NAT基本配置-配置VIP IV,在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的Virtual IP Address。点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。Map to IP项填写真实的主机地址。,111,NAT基本配置-配置VIP V,在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。点击“Add”按钮，添加新的Virtual IP Address。点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。Map to IP项填写真实的主机地址。,112,NAT基本配置-配置VIP VI,在Destination Address栏选择预先设置的VIP条目。配置了VIP的策略条目的颜色与其它策略没有不同。,VPN基本概念,课程目标,VPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程,Objectives,VPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程,虚拟专用网(Virtual Private Networks),虚拟专用网(VPNs)提供了在公共网络上传输私有信息的途径.一般说来通过隧道技术来组建这样一条路径原始数据包经过封装(产生新的包头后)再在公网上进行传输,R E M O T E O F F I C E,C O R P O F F I C E,From A to B,From A to B,Juniper FWV支持的VPN类型,Juniper所有型号的防火墙(除某些特殊型号外）都支持以下VPN方式：GRE：支持。L2TP：支持。L2TP over IPSec：支持。IPSec：支持。,Objectives,VPN的定义信息传输的三大关注点及其解决方案IPSec协议集的组成IKE协议的工作流程,信息安全传输的关注点,当我们需要在公共媒质（不可信任媒质）上传输私密性的信息：机密性（Confidentiality）保证数据安全（隐藏真实数据）完整性（Integrity）保证数据未被改动身份验证（Authentication）发送（接受）者确实是那个我们预期的人吗,数据加密-解决机密性,保证传输数据的私密性数据加/解密通过密钥来完成对称（私）密钥非对称（共）密钥数据加密是一个不可逆的过程,数据加密-对称（密钥）加密,对称加密速度较快，适合于大批量数据的加密典型的密钥长度：40bits 到 1024 bits主流的加密算法:DES,3DES,AES,1,2,3,原始数据,加密后的数据,发送方,接收者,+,加密后的数据,+,还原的数据,数据加密-非对称（密钥）加密,加密性很好，但是速度很慢（尤其是加密大量数据）典型的密钥长度：512 bits 到 2048 bits主流的加密算法:RSA,DH,Pub,发送方,接收方,Priv,1,原始数据,加密后的数据,+,2,3,原始数据,加密后的数据,+,4,Pub,Pub,数据完整性,提供数据完整性的主要方法是哈希算法（Hash functions）。哈希算法的单向性（One-way）无法通过哈希值来反推出原始数据。固定的哈希值(这个值取决于采用的算法)主流算法MD5,SHAMD5 输出的哈希值为128位SHA 输出的哈希值为160位,单向的哈希算法,举例:取模运算也是一种单向算法给出最终结果“3”,你能知道原始的数据是多少吗?哈希方程式通过特定的方法来保证单向性。,80mod11=3,80mod11=313mod5=3203mod10=311mod8=3100mod97=3,哈希应用的过程,If the hash values match,the data is good,5,2,3,4,1,发送者,接收者,If the hash values match,the data is good,Data,