Junipernetscreen防火墙培训进阶篇

2020/9/8Junipernetscreen防火墙培训进阶篇课程目标规范公司员工合理有效的上网策略:地址、服务、时间、流量监控、认证、会话控制、日志地址绑定分支机构、移动办公,安全连入总部VPN（L2TP、IPSEC、SSLVPN）分公司为星型VPN冗余策略的组成源地址＆目的地址•地址•地址群服务•预定义服务•定制服务•定制服务群动作会话控制日志高级选项时间、流量控制/统计、认证地址服务动作日志流量统计认证一、安全策略创建策略WebUI模式组成选择From与To的安全区源＆目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设定的服务行动允许,拒绝,安全隧道日志认证，流量控制、统计认证流量控制流量统计重点：流量控制，认证。针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。重要资源要求身份认证安全策略的顺序新策略加载在最后在所有策略的末尾有隐含的denyall的策略顺序非常重要，改变策略的顺序会影响到实际应用效果公司内部员工随意更改IP地址，导致地址冲突外来人员随意接入，影响公司网络安全利用防火墙实现地址绑定实现MAC绑定功能需要三个步骤1、强迫执行ARP目地IP扫描：setarpalways-on-dest2、作ARP静态绑定：setarp10.0.0.2500002b34896fctrust3、设置一个地址组group，它只包含做MAC地址绑定的那些IP地址。然后设置一个策略，只让这个地址组group通过。注：此功能只能通过命令行来实现。IPMAC绑定图示telnet到防火墙接口二VPN应用VPN的应用说明：Juniper的网络安全防火墙设备的VPN应用模式较多，包括：基于策略的VPN、基于路由的VPN，集中星形VPN和背靠背VPN等。在这里，我们主要介绍最常用的VPN模式：策略VPN。首先，如何配置两种策略VPN，一种是点对点的VPN应用，一种是拨号VPN应用。其中点对点包括静态/动态对静态，拨号包括L2TP和IPSCE客户端两种。其次，介绍SSLVPN和VPN冗余。静态对静态VPN配置地址对象服务对象VPN网关IKE对象安全策略10.1.0.5Trust10.1.0.1Untrust3.3.3.1Untrust1.1.1.1Trust10.50.0.1ERP10.50.0.5总部分部13总部A与分部C之间的SitetoSiteVPN总部A部分的SitetoSiteVPN设置•VPNGateway的设置•VPN的设置•VPN策略设置分部C部分的SitetoSiteVPN设置•VPNGateway的设置•VPN的设置•VPN策略设置14总部AGateway的设置对方VPN设备的网关15选择VPN通道的出口总部AGateway的设置共享密钥双方必须一致16总部AGateway的设置高级选项VPN双方的模式必须一致17总部AIKEVPN配置在下拉菜单选取前面定义的IKEGateway18总部AIKEVPN配置高级选项19总部AVPN策略的设置Action选择Tunnel选择A到C的VPN20分部CGateway的设置对方VPN设备的网关21分部CGateway的设置选择VPN通道的出口共享密钥双方必须一致22分部CGateway的设置高级选项VPN双方的模式必须一致23分部CIKEVPN配置在下拉菜单选取前面定义的IKEGateway24分部CIKEVPN配置高级选项25分部CVPN策略的设置Action选择Tunnel选择C到A的VPN动态对静态VPN配置一基本与静态对静态VPN设置内容一致地址对象服务对象VPN网关（动态方LOCALID）IKE对象安全策略192.168.10.5Trust192.168.10.1Untrust192.168.1.1Untrust1.1.1.1Trust10.50.0.1总部分部ERP10.50.0.5动态对静态VPN配置二移动用户拨号用户地址对象+拨号用户地址池服务对象VPN网关+L2TPIKE对象安全策略Untrust1.1.1.1Trust10.50.0.1总部ERP10.50.0.528L2TP客户端访问总部A的ERP服务器L2TPTunnel的设置VPN安全策略Windows客户端的设置L2TPUser设定部分－设定L2TP用户名/密码29配置L2TP用户设定用户名分配给L2TP用户的地址设定密码30配置L2TPTunnel选择Tunnel的接口选择L2TP用户31L2TPTunnel策略的设置Action选择Tunnel选择L2TPTunnel源地址选择Dial-UpVPN（系统自定义）32Windows客户端的配置0133Windows客户端的配置0234Windows客户端的配置0335Windows客户端的配置0436Windows客户端的配置0537Windows客户端的配置0638Windows客户端的配置07注意：远程用户所在的内部网络不能与VPNGateway内部网络相同的子网。在WindowsXP/2003创建一条L2TPvpntunnel在windowsXP下面要修改注册表：开始/运行/regedit.exe，找到下面这个路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters,新增或修改ProhibitIpSec的值为1。重启计算机。IPsec软件客户端访问总部A的ERP服务器VPNGateway设置VPN设置VPN安全策略NetscreenRemote客户端的设置Dial-upUser设定部分－设定用户的IKEID配置Dial-up用户设置IKEID设定其它值会导致异常客户端也须配置两者须一致配置dialupVPNGatewayIKEPhase1选择dialupuser，并在对应下拉菜单选择我们刚才设定的用户设置共享密钥，客户端也须设置相同的值（最少8位）配置dialupVPNGateway高级选项IKEPhase1注意dial-upVPN使用Aggressive模式如果VPN连接中有NAT存在，请勾选此项，开启穿透功能；并做UDPChecksum检查配置dialupVPNIKEPhase2在下拉菜单选取前面定义的IKEGateway配置dialupVPN高级选项IKEPhase2总部AVPN策略的设置Action选择Tunnel选择dialupVPN源地址选择Dial-UpVPN（系统自定义）NetscreenRemote远程客户端的配置01新建一个连接，取名后，点中它，出现右方基本配置界面。在该选项中输入我们的目标地址，即安全网关后面的内部子网/主机的地址。选中该选项，并在ID中选取IPAddress，输入安全网关的外网口地址。NetscreenRemote远程客户端的配置02点击新建连接的加号键，点中MyIdentity进行设置在Select中选择None；在Pre-SharedKey中输入与前面安全网关Gateway配置中一致的值。在ID选项中选择E-mailAddress，然后输入与前面安全网关Dial-up用户配置中一致的值。NetscreenRemote远程客户端的配置03选中SecurityPolicy进行设置。在SelectPhase1NegotiationMode中选择AggressiveMode。根据前面在安全网关中IKEVPN中Phase2Proposal选择的不同，选择是否使用PFS。NetscreenRemote远程客户端的配置04选中Proposal1,进行Phase1的设置。根据前面在安全网关中IKEGateway中Phase1Proposal的选择，选择一致的选项。NetscreenRemote远程客户端的配置05选中Proposal2,进行Phase2的设置。根据前面在安全网关中IKEVPN中Phase2Proposal的选择，选择一致的选项。SSLVPN介绍SSLVPN网关首先它是一种基于B/S架构的远程访问方式，作为一种新兴的VPN技术，与传统的IPSecVPN技术各具特色，各有千秋。SSLVPN比较适合用于移动用户的远程接入(Client-Site)，而IPSecVPN则在网对网(Site-Site)的VPN连接中具备先天优势。SSLVPN与IPsecVPN区别1、IPsecVPN多用于“网—网”连接，SSLVPN用于“移动客户—网”连接。SSLVPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络;而IPSecVPN的移动用户需要安装专门的IPSec客户端软件。2、SSLVPN用户不受上网方式限制，SSLVPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。4、SSLVPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSecVPN需要管理通讯的每个节点，网管专业性较强。5、SSLVPN更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSecVPN主要基于IP五元组对用户进行访问控制。SSLVPN与IPsecVPN区别VPN速度偏慢解决方案－RAS远程接入RAS应用企业部门数据比较集中，随着商务模式的不断变化，远程办公、移动办公越来越多，但对于VPN来说相对速度较慢，不能完美地解决此问题。RAS远程接入不需要对原有的网络有变更，只需在单位局域网内放置一台RAS服务器，移动办公客户端无需安装任何的客户端软件，实现零客户端安装，通过WEB方式即可访问。使用轻松简洁，十分人性化。员工无论何时何地快速接入体验远程、移动办公。改变从解决问题开始（RAS技术原理）……应用系统服务器端安装应用系统客户端和RAS系统他们通过浏览器远程登陆