Juniper防火墙配置ppt课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8 • 最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50 • 固定I/O 5x10/100 • 微型物理接口模块(Mini-PIM)扩展插槽 (I/O) 2 • 802.11 a/b/g 可选 • 需要购买扩展许可
.
规格对照之SSG 140
防火墙性能(大型数据包) 350+ Mbps • 防火墙性能(IMIX) 300Mbps • 每秒处理的防火墙数据包数量 100,000PPS • 3DES+SHA-1 VPN性能 100 Mbps • 并发VPN隧道数 500 ,最大并发会话数 48,000 • 新会话/秒 8,000 最大安全策略数1,000 最大安全区数量
交换机在第一层和第二层处理流量,透明模式防火墙可以在第一层到第 .
七层处理流量。因为,透明模式防火墙既可以基于第二层信息转发流量,
设置接口的连接模式
•CLI
set interface ethernet0/6 dhcp client enable set interface ethernet0/6 ip 192.168.1.10 set pppoe name "pppoe" set pppoe name "pppoe" username 123 password 123 set pppoe name "pppoe" interface ethernet0/6
安全区2 “供访客使用 只能上网
.
Juniper防火墙型号对应
性能容量 30 Gbps
总部/数据中心
10 Gbps
4 Gbps
1 Gbps 600Mbps
分支机构
SSG520 SSG320/ 350
SSG140
Байду номын сангаас
SSG20
300Mbps
SSG5
省级/地市核心
SSG550
ISG2000
ISG1000
NS5400 NS5200
40 • 最大虚拟路由器数量 8 最大虚拟局域网数量 125 • 固定I/O 4x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 5 • 无802.11 a/b/g • 可转换为junos软件
.
产品特点与效益列表
• 特点一:提供完整的统一威胁管理(UTM)功能 效益 ◎ 状态防火墙,可执行接入控制并阻止网络层攻击 ◎ 整合入侵检测解决方案(IPS),有效阻止应用层的攻击 ◎ 提供 Site-to-site IPSec VPN,以确保各分支机构之间能够安全通信 ◎ 阻止拒绝服务(DoS)攻击 ◎ 支持 H.323、SIP、SCCP和MGCP的应用层网关,以检测和保护VoIP
8 • 最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50 • 固定I/O 7x10/100 802.11 a/b/g 可选 • 需要购买扩展许可
.
规格对照之SSG 20
防火墙性能(大型数据包) 160 Mbps • 防火墙性能(IMIX) 90 Mbps • 每秒处理的防火墙数据包数量 30,000 • PPS3DES+SHA-1 VPN性能 40 Mbps • 并发VPN隧道数 25/40 ,最大并发会话数 8,000/16,000 • 新会话/秒 2,800 最大安全策略数 200 最大安全区数量
• SSG 320M/350M o 450+ Mbps FW / 175 Mbps VPN; 550+ Mbps FW / 225 Mbps VPN; o 4 GE + 3 or 5 PIM slots o 会话数:48000;
SSG 20
SSG 320M
SSG 140 SSG 350M
• SSG 520M/550M o 2Gbps FW / 300 Mbps VPN;4 Gbps FW / 500 Mbps VPN
设置管理员账号、密码 •CLI SSG5-Serial->set admin user zpai password *** privilege all •Web UI Configuration->administratrs->NEW
.
.
Zone(区段) 区段是由一个或者多个网段组成的集合,需要通过策略来对 入站和出站数据流进行调整。区段是绑定了一个或者多个端 口的逻辑实体。 可以设置3层区段和2层区段。 查看Zone •CLI Get zone •Web UI Network->Zone
•Web UI
network->DHCP->选择端口 Edit 设置DHCP模式,DHCP网关、掩码,DHCP的DNS Networ->DHCP->选择端口 address 设置DHCP地址范围
.
.
.
目录
• Juniper防火墙简介及作用 • Juniper防火墙基本配置 • Juniper防火墙的接口模式 • Juniper防火墙的策略 • Juniper防火墙端口映射
远程办公室/中小企业/中小分支机构 中大企业/大型分支机构 企业总部/数据中心
.
SSG系列型号 SSG 5
• SSG 5 & SSG20 (ssg20有2个Mini插槽的) o 160 Mbps FW / 40 Mbps VPN o 会话数:8000,加license可扩展到16000
• SSG 140 o 350+ Mbps FW / 100 Mbps VPN o 8 FE + 2 GE Interfaces + 4 PIM slots o 会话数:48000
• 特点三:提供各种不同的LAN和WAN 接口选项 效益
包括T1/E1, Serial, DS3/E3, ADSL, Ethernet, SFP等
.
特点与效益
• 特点四:提供稳定的路由协议 效益
提供最好的路由协议,包括OSPF、BGP和RIP v1/2,而且 兼容于Frame Relay、Multilink Frame Relay、PPP、 Multilink PPP和HDLC
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
.
目录
• Juniper防火墙简介及作用 • Juniper防火墙基本配置 • Juniper防火墙的接口模式 • Juniper防火墙的策略 • Juniper防火墙端口映射
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
Juniper管理方式
•Web UI 默认的管理地址是 默认用户名密码是netscreen
•CLI console连接
.
设置主机名 •CLI SSG5-Serial-> set hostname Z-Pai-FW •Web UI Network->DNS->Host->Host Name
.
.
流量 ◎ 整合卡巴斯基防病毒技术,防止病毒、间谍软件、广告软件和其它恶
意软件的 入侵 ◎ 整合SOPHOS防垃圾邮件技术,有效阻止不知名的垃圾邮件和钓鱼邮
件 ◎ 整合Websense技术,有效控制和阻止对恶意网站的访问
.
特点与效益
• 特点二:防火墙整合路由功能 效益
结合安全防御和 LAN/WAN路由功能,并能够阻止内部网 络与应用层中出现的攻击,以保护企业内部网络,降低 IT 的费用支出
.
创建Zone 设置2层zone,名字前必须加上l2 •CLI set zone name l2** [L2] •Web UI Network->Zone->NEW
.
.
配置端口zone •CLI
set interface ethernet0/0 zone untrust •Web UI network->interfaces->list ->选择端口EDIT 在zone name中选取,点击OK
40 • 最大虚拟路由器数量 6 最大虚拟局域网数量 100 • 固定I/O 8x10/100,2x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 4 • 无802.11 a/b/g
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
防火墙同交换机一样使用MAC地址表,智能地基于帧的目的MAC地址 进行转发;但是,防火墙不会泛洪MAC地址表不存在的未知的目的单播 MAC地址。
防火墙不参与生成树(STP)。因此,必须保证在使用透明模式防火墙时, 不能故意增加二层环路。如果有环路,你会很快的该设备和交换机的 CPU利用率会增加到100%。
o 4GE + 6 PIM slots o 会话数:128000;256000
SSG 520M
SSG 550M
.
规格对照之SSG 5
防火墙性能(大型数据包) 160 Mbps • 防火墙性能(IMIX) 90 Mbps • 每秒处理的防火墙数据包数量 30,000PPS • 3DES+SHA-1 VPN性能 40 Mbps • 并发VPN隧道数 25/40 ,最大并发会话数 8,000/16,000 • 新会话/秒 2,800 最大安全策略数 200 最大安全区数量
Juniper防火墙基础
.
目录
• Juniper防火墙简介及作用 • Juniper防火墙基本配置 • Juniper防火墙的接口模式 • Juniper防火墙的策略 • Juniper防火墙端口映射
.
防火墙应用场景1
.
防火墙应用场景2
DMZ区
安全区1 供员工使用 Web, email, 关键应用
•Web UI network->interfaces->list ->选择端口EDIT 设置地址类型DHCP、PPPoE或者是静态地址 可以设置此端口的管理功能web管理、telent、等功能
.
.
设置DHCP及DHCP地址范围
•CLI
set interface bgroup0 dhcp server enable set interface bgroup0 dhcp server option gateway 192.168.1.1 set interface bgroup0 dhcp server option netmask 255.255.255.0 set interface bgroup0 dhcp server ip 192.168.1.10 to 192.168.1.100
•Web UI
Network->Interfaces->选择端口->edit 选择Obtain IP Using DHCP 、 Obtain IP Using PPPoE 或者 Static IP
可通过图形化Web接口、CLI或Network and Security Manager中央管理系统加以管理
.
特点与效益
• 特点八:整合统一接入控制(UAC) 效益
可作为统一接入控制(UAC)的执行端,验证用户身份、设 备安全状态等
• 特点九:支持基于路由/策略的VPN 效益
为企业在VPN环境里提供网络流量的负载平衡与备份功能
• 特点五:支持自动联机VPN (AC VPN) 效益
可自动完成设置,并且以集中星型(hub-and-spoke)拓扑 在远程分支机构之间自动建立VPN隧道,以提供高扩展性 支持
.
特点与效益
• 特点六:支持多种高可用性选项 效益
支持接口或设备之间的故障切换机制,使服务不中断
• 特点七:多种管理方式 效益
.
规格对照之SSG 140
防火墙性能(大型数据包) 350+ Mbps • 防火墙性能(IMIX) 300Mbps • 每秒处理的防火墙数据包数量 100,000PPS • 3DES+SHA-1 VPN性能 100 Mbps • 并发VPN隧道数 500 ,最大并发会话数 48,000 • 新会话/秒 8,000 最大安全策略数1,000 最大安全区数量
交换机在第一层和第二层处理流量,透明模式防火墙可以在第一层到第 .
七层处理流量。因为,透明模式防火墙既可以基于第二层信息转发流量,
设置接口的连接模式
•CLI
set interface ethernet0/6 dhcp client enable set interface ethernet0/6 ip 192.168.1.10 set pppoe name "pppoe" set pppoe name "pppoe" username 123 password 123 set pppoe name "pppoe" interface ethernet0/6
安全区2 “供访客使用 只能上网
.
Juniper防火墙型号对应
性能容量 30 Gbps
总部/数据中心
10 Gbps
4 Gbps
1 Gbps 600Mbps
分支机构
SSG520 SSG320/ 350
SSG140
Байду номын сангаас
SSG20
300Mbps
SSG5
省级/地市核心
SSG550
ISG2000
ISG1000
NS5400 NS5200
40 • 最大虚拟路由器数量 8 最大虚拟局域网数量 125 • 固定I/O 4x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 5 • 无802.11 a/b/g • 可转换为junos软件
.
产品特点与效益列表
• 特点一:提供完整的统一威胁管理(UTM)功能 效益 ◎ 状态防火墙,可执行接入控制并阻止网络层攻击 ◎ 整合入侵检测解决方案(IPS),有效阻止应用层的攻击 ◎ 提供 Site-to-site IPSec VPN,以确保各分支机构之间能够安全通信 ◎ 阻止拒绝服务(DoS)攻击 ◎ 支持 H.323、SIP、SCCP和MGCP的应用层网关,以检测和保护VoIP
8 • 最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50 • 固定I/O 7x10/100 802.11 a/b/g 可选 • 需要购买扩展许可
.
规格对照之SSG 20
防火墙性能(大型数据包) 160 Mbps • 防火墙性能(IMIX) 90 Mbps • 每秒处理的防火墙数据包数量 30,000 • PPS3DES+SHA-1 VPN性能 40 Mbps • 并发VPN隧道数 25/40 ,最大并发会话数 8,000/16,000 • 新会话/秒 2,800 最大安全策略数 200 最大安全区数量
• SSG 320M/350M o 450+ Mbps FW / 175 Mbps VPN; 550+ Mbps FW / 225 Mbps VPN; o 4 GE + 3 or 5 PIM slots o 会话数:48000;
SSG 20
SSG 320M
SSG 140 SSG 350M
• SSG 520M/550M o 2Gbps FW / 300 Mbps VPN;4 Gbps FW / 500 Mbps VPN
设置管理员账号、密码 •CLI SSG5-Serial->set admin user zpai password *** privilege all •Web UI Configuration->administratrs->NEW
.
.
Zone(区段) 区段是由一个或者多个网段组成的集合,需要通过策略来对 入站和出站数据流进行调整。区段是绑定了一个或者多个端 口的逻辑实体。 可以设置3层区段和2层区段。 查看Zone •CLI Get zone •Web UI Network->Zone
•Web UI
network->DHCP->选择端口 Edit 设置DHCP模式,DHCP网关、掩码,DHCP的DNS Networ->DHCP->选择端口 address 设置DHCP地址范围
.
.
.
目录
• Juniper防火墙简介及作用 • Juniper防火墙基本配置 • Juniper防火墙的接口模式 • Juniper防火墙的策略 • Juniper防火墙端口映射
远程办公室/中小企业/中小分支机构 中大企业/大型分支机构 企业总部/数据中心
.
SSG系列型号 SSG 5
• SSG 5 & SSG20 (ssg20有2个Mini插槽的) o 160 Mbps FW / 40 Mbps VPN o 会话数:8000,加license可扩展到16000
• SSG 140 o 350+ Mbps FW / 100 Mbps VPN o 8 FE + 2 GE Interfaces + 4 PIM slots o 会话数:48000
• 特点三:提供各种不同的LAN和WAN 接口选项 效益
包括T1/E1, Serial, DS3/E3, ADSL, Ethernet, SFP等
.
特点与效益
• 特点四:提供稳定的路由协议 效益
提供最好的路由协议,包括OSPF、BGP和RIP v1/2,而且 兼容于Frame Relay、Multilink Frame Relay、PPP、 Multilink PPP和HDLC
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
.
目录
• Juniper防火墙简介及作用 • Juniper防火墙基本配置 • Juniper防火墙的接口模式 • Juniper防火墙的策略 • Juniper防火墙端口映射
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
Juniper管理方式
•Web UI 默认的管理地址是 默认用户名密码是netscreen
•CLI console连接
.
设置主机名 •CLI SSG5-Serial-> set hostname Z-Pai-FW •Web UI Network->DNS->Host->Host Name
.
.
流量 ◎ 整合卡巴斯基防病毒技术,防止病毒、间谍软件、广告软件和其它恶
意软件的 入侵 ◎ 整合SOPHOS防垃圾邮件技术,有效阻止不知名的垃圾邮件和钓鱼邮
件 ◎ 整合Websense技术,有效控制和阻止对恶意网站的访问
.
特点与效益
• 特点二:防火墙整合路由功能 效益
结合安全防御和 LAN/WAN路由功能,并能够阻止内部网 络与应用层中出现的攻击,以保护企业内部网络,降低 IT 的费用支出
.
创建Zone 设置2层zone,名字前必须加上l2 •CLI set zone name l2** [L2] •Web UI Network->Zone->NEW
.
.
配置端口zone •CLI
set interface ethernet0/0 zone untrust •Web UI network->interfaces->list ->选择端口EDIT 在zone name中选取,点击OK
40 • 最大虚拟路由器数量 6 最大虚拟局域网数量 100 • 固定I/O 8x10/100,2x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 4 • 无802.11 a/b/g
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
防火墙同交换机一样使用MAC地址表,智能地基于帧的目的MAC地址 进行转发;但是,防火墙不会泛洪MAC地址表不存在的未知的目的单播 MAC地址。
防火墙不参与生成树(STP)。因此,必须保证在使用透明模式防火墙时, 不能故意增加二层环路。如果有环路,你会很快的该设备和交换机的 CPU利用率会增加到100%。
o 4GE + 6 PIM slots o 会话数:128000;256000
SSG 520M
SSG 550M
.
规格对照之SSG 5
防火墙性能(大型数据包) 160 Mbps • 防火墙性能(IMIX) 90 Mbps • 每秒处理的防火墙数据包数量 30,000PPS • 3DES+SHA-1 VPN性能 40 Mbps • 并发VPN隧道数 25/40 ,最大并发会话数 8,000/16,000 • 新会话/秒 2,800 最大安全策略数 200 最大安全区数量
Juniper防火墙基础
.
目录
• Juniper防火墙简介及作用 • Juniper防火墙基本配置 • Juniper防火墙的接口模式 • Juniper防火墙的策略 • Juniper防火墙端口映射
.
防火墙应用场景1
.
防火墙应用场景2
DMZ区
安全区1 供员工使用 Web, email, 关键应用
•Web UI network->interfaces->list ->选择端口EDIT 设置地址类型DHCP、PPPoE或者是静态地址 可以设置此端口的管理功能web管理、telent、等功能
.
.
设置DHCP及DHCP地址范围
•CLI
set interface bgroup0 dhcp server enable set interface bgroup0 dhcp server option gateway 192.168.1.1 set interface bgroup0 dhcp server option netmask 255.255.255.0 set interface bgroup0 dhcp server ip 192.168.1.10 to 192.168.1.100
•Web UI
Network->Interfaces->选择端口->edit 选择Obtain IP Using DHCP 、 Obtain IP Using PPPoE 或者 Static IP
可通过图形化Web接口、CLI或Network and Security Manager中央管理系统加以管理
.
特点与效益
• 特点八:整合统一接入控制(UAC) 效益
可作为统一接入控制(UAC)的执行端,验证用户身份、设 备安全状态等
• 特点九:支持基于路由/策略的VPN 效益
为企业在VPN环境里提供网络流量的负载平衡与备份功能
• 特点五:支持自动联机VPN (AC VPN) 效益
可自动完成设置,并且以集中星型(hub-and-spoke)拓扑 在远程分支机构之间自动建立VPN隧道,以提供高扩展性 支持
.
特点与效益
• 特点六:支持多种高可用性选项 效益
支持接口或设备之间的故障切换机制,使服务不中断
• 特点七:多种管理方式 效益