搜索
JuniperFWV基础售后培训IIEDU-JUNIP-FWV-BEG2目标•Policy基本概念•Policy基本设置•MIP基本设置•VIP基本设置3目标•Policy基本概念•Policy基本设置•MIP基本设置•VIP基本设置4Policy基本概念-----策略的作用•Juniper防火墙对流量的检测、控制(包括NAT)都是通过策略来实现的。•策略可以通过源/目的地址,源/目的端口,协议来控制流量。5Policy基本概念-----安全区与策略的关系•默认情况下,数据流在本区内通信,不受策略限制(UntrustZone除外)。•当数据流跨区时,可以通过策略进行控制。•策略可以通过源/目的地址,源/目的端口,协议来影响流量。UntrustZoneTrustZone1.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24DMZZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.16Policy基本概念-----Policy的组成•Source:经过防火墙的数据的源IP地址。•Destination:经过防火墙的数据的目的IP地址。•Service:指经过防火墙的数据流的协议类型,比如HTTP、FTP、ICMP等流量。•通过对Source、Destination、Service的设定,限定需要做控制的数据流。•Action:指防火墙对该数据采取的行动,比如permit,deny、tunnel等。•Options:指系统针对该数据流的做得一些附加设置,比如Logging(日志功能)。7目标•Policy基本概念•Policy基本设置•MIP基本设置•VIP基本设置8Policy基本设置-----创建步骤•为策略创建特定的地址对象(源/目的地址对象)。•为特定的服务/应用类型创建特定的服务类型。•根据数据的走向,创建策略项目,并设置相应的Action。•调整策略的顺序,以满足应用的需求。•通过Options来增强或改善对该策略的控制。9Policy基本设置-----地址对象的创建I•PolicyPolicyElementsAddressesList•地址对象是基于Zone的,要查询某个地址对象,必须选择给地址从属的Zone。•如果你知道该地址对象的首字母,还可以通过Filter进行过滤显示。•点击“New”按钮可以创建新的地址对象。10Policy基本设置-----地址对象的创建II•AddressName栏填写地址对象的名称。Comment栏填写对地址对象的备注。•IPAddress栏填写I地址对象所对应的IP地址以及匹配符。要表现主机地址的时候,写法应该是X.X.X.X/32。•最后,在Zone旁边的下拉菜单选择相应的Zone。11Policy基本设置-----地址与地址组II•在AvailableMembers选择合适的地址对象,通过“”按钮将之转到GroupMembers。•通过“”按钮,将不需要的地址对象移出该地址组。•PolicyPolicyElementsAddressesGroupsConfiguration12Policy基本设置-----地址与地址组IV•可以通过AddressSummary来查看系统每个Zone可配置的地址数量及已配置的地址数量。•PolicyPolicyElementsAddressesSummary13Policy基本设置-----服务对象的创建I系统已经预置了许多常用的应用/服务。如果实际需要一些特定的服务,可以自行创建。•PolicyPolicyElementsServicesCustom14Policy基本设置-----服务对象的创建IIServiceName栏填入服务对象的名称。Transportprotocol栏选择服务对象的协议类型,一般为TCP或UDP。在SourcePort和DestinationPort栏填入端口号;一般的服务对象仅限制DestinationPort。15Policy基本设置-----服务与服务组I当一条策略需要同时用到多个服务对象时,可以通过设定服务组来统一代表相关的服务对象。同服务对象一样,系统也预置了一些服务组:这些服务组主要针对某些特定的应用而设置。•PolicyPolicyElementsServicesGroups16Policy基本设置-----服务与服务组II•在AvailableMembers选择合适的服务对象,通过“”按钮将之转到GroupMembers。•通过“”按钮,将不需要的服务对象移出该地址组。17Policy基本设置-----创建策略项I•像前面所提到的一样,在创建策略项之前,必须选择数据的走向:从什么Zone去什么Zone。•再选择好“From”与“To”的下拉菜单后,点击“New”进入策略项创建菜单。•查找策略项,也同样在该页面。如果策略条目众多,可以通过“List”下拉菜单选择合适的页面显示条目数;比如“List20”表示在这个页面中最大的同时显示策略条目为20条。•PolicyPolicies18Policy基本设置-----创建策略项II在SourceAddress和DestinationAddress的AddressBookEntry选择前面创建好的地址对像。在Service的下拉菜单选取前面设定好的服务对象。在Action栏选择相应的处理行为,如permit等。19Policy基本设置-----策略的顺序•策略的执行按照先后顺序,即从上而下的寻找,直到遇到匹配的策略项为止。•正常情况下,新的策略永远加在整个策略序列的尾端。•在策略序列的尾端,有一条隐含的“denyall”的策略项。•策略序列的基本排列原则:将影响范围越小的策略项放在越前面。•策略的调整通过Move的两个按钮来实现。建议使用“-”。•合理安排策略的顺序具体策略在上,非具体策略在下拒绝策略在上,允许策略在下默认最后都是Deny20Policy基本设置21Policy基本设置-----策略的LoggingI•Logging选项将提供匹配该策略条目的流量的日志信息。•Logging选项被选择后,该策略条目的Options栏会有相应的条目产生。•点击该条目可以看到相关的日志内容。22Policy基本设置-----策略的LoggingII23Policy基本设置-----策略的CountingI•Counting选项将提供匹配该策略条目的流量的实时统计图表。•Counting选项被选择后,该策略条目的Options栏会有相应的条目产生。•点击该条目可以看到相关的日志内容。24Policy基本设置-----策略的CountingII25Policy基本设置-----策略的ScheduleIPolicyPolicyElementsSchedules26目标•Policy基本概念•Policy基本设置•MIP基本设置•VIP基本设置27NAT基本概念-----NAT的种类MIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADAVIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:80•JuniperFirewall引进了两种额外的NAT形式:MIP和VIP。•MIP是MappedIP的意思,其特点是提供了双向的NAT功能,相当于NAT-src与NAT-dst的组合;尤其适合于用户需要把内部的服务器映射到一个公网地址,供Internet访问的需求。•VIP是VirtualIP的意思,其特点是可以将同个目的地址的不同端口翻译到不同的地址上去;尤其适合于用户地址资源有限,许多不同的服务器需要共用同一个公网地址(不同的端口)的情况。28NAT基本配置----配置MIPI•首先,要创建一个MIP,定义好MappedIP与HostIP。•然后,我们要通过一条Policy条目来完成这个NAT。MIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADA29NAT基本配置----配置MIPII•在创建MIP时,请选择正确的Interface,一般情况下是带有公网地址的那个Interface。•MappedIP填写该接口处于同Zone的虚拟地址。•HostIP填写真实的主机的地址。30NAT基本配置----配置MIPIII•在DestinationAddress栏选择预先设置的MIP条目。•配置了MIP的策略条目的颜色与其它策略没有不同。31NAT基本配置----配置VIPI•首先,要创建一个VIP,定义好VirtualIPAddress以及Port。•然后,我们要通过一条Policy条目来完成这个NAT。VIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:8032NAT基本配置----配置VIPII•在创建VIP时,请选择正确的Interface,一般情况下是带有公网地址的那个Interface。•点击“Add”按钮,添加新的VirtualIPAddress。•点击“NewVIPService”按钮,进入VIPService设置页面;该项可反复使用。•VirtualPort填入提供的虚拟端口,MaptoService选项选择真实提供的服务。•MaptoIP项填写真实的主机地址。33NAT基本配置----配置VIPIII•在创建VIP时,请选择正确的Interface,一般情况下是带有公网地址的那个Interface。•点击“Add”按钮,添加新的VirtualIPAddress。•点击“NewVIPService”按钮,进入VIPService设置页面;该项可反复使用。•VirtualPort填入提供的虚拟端口,MaptoService选项选择真实提供的服务。•MaptoIP项填写真实的主机地址。34NAT基本配置----配置VIPIV•在创建MIP时,请选择正确的Interface,一般情况下是带有公网地址的那个Interface。•点击“Add”按钮,添加新的VirtualIPAddress。•点击“NewVIPService”按钮,进入VIPService设置页面;该项可反复使用。•VirtualPort填入提供的虚拟端口,MaptoService选项选择真实提供的服务。•MaptoIP项填写真实的主机地址。35NAT基本配置----配置VIPV•在创建VIP时,请选择正确的Interface,一般情况下是带有公网地址的那个Interface。•点击“Add”按钮,添加新的VirtualIPAddress。•点击“NewVIPService”按钮,进入VIPService设置页面;该项可反复使用。•VirtualPort填入提供的虚拟端口,MaptoService选项选择真实提供的服务。•MaptoIP项填写真实的主机地址。36NAT基本配置----配置VIPVI•在DestinationAddress栏选择预先设置的VIP条目。•配置了VIP的策略条目的颜色与其它策略没有不同。