Juniper防火墙培训进阶篇
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
总部 Trust 10.50.0.1
▪ 拨号用户
▪ 地址对象+拨号用户地址池 ▪ 服务对象 ▪ VPN网关+L2TP ▪ IKE 对象 ▪ 安全策略
Untrust 1.1.1.1
ERP 10.50.0.5
L2TP 客户端 访问总部A的ERP服务器
L2TP User 设定部分 - 设定L2TP用户名/密码
办公、移动办公越来越多,但对于VPN来说相对速度较慢,不 能完美地解决此问题。
RAS远程接入不需要对原有的网络有变更,只需在单位局 域网内放置一台RAS服务器,移动办公客户端无需安装任何的 客户端软件,实现零客户端安装,通过WEB方式即可访问。使 用轻松简洁,十分人性化。员工无论何时何地快速接入体验远 程、移动办公。
Juniper防火墙培训进阶 篇
2020/9/4
课程目标
▪ 规范公司员工合理有效的上网
策略 :地址、服务、时间、流量监控、认证、 会话控制、日志
地址绑定
▪ 分支机构、移动办公, 安全连入总部
VPN(L2TP、IPSEC、SSL VPN) 分公司为星型 VPN冗余
一、安全策略
策略的组成
地址
服务
▪ 源地址&目的地址 • 地址 • 地址群
▪ 首先,如何配置两种策略VPN,一种是点对点的VPN 应用,一种是拨号VPN应用。其中点对点包括静态/动 态对静态,拨号包括L2TP和IPSCE客户端两种。
▪ 其次, 介绍SSL VPN 和VPN冗余。
静态对静态VPN配置
Trust 分部 10.1.0.1
10.1.0.5
Untrust 3.3.3.1
▪ 分部C部分的Site to Site VPN设置
• VPN Gateway的设置 • VPN的设置 • VPN策略设置
总部A Gateway的设置
对方VPN设备的网关
总部A Gateway的设置
共享密钥双方必须一致 选择VPN通道的出口
总部A Gateway的设置 高级选项
VPN双方的模式必须一致
Netscreen Remote远程客户端的配置 02
点击新建连接的 加号键,点中My Identity进行设置
在Select中选择None; 在Pre-Shared Key中输
入与前面安全网关 Gateway配置中一致的
值。
在ID选项中选择E-mail Address,然后输入与前 面安全网关Dial-up 用户
如果VPN连接中有NAT存在,
请勾选此项,开启穿透功能; 并做UDP Checksum检查
配置 dialup VPN
▪ IKE Phase 2
在下拉菜单选取前面 定义的IKE Gateway
配置dialup VPN
▪ IKE Phase 2
高级选项
总部A VPN策略的设置
源地址选择Dial-Up VPN(系统自定义)
▪ 2、SSL VPN用户不受上网方式限制,SSL VPN隧 道可以穿透Firewall;而IPSec客户端需要支持“NAT 穿透”功能才能穿透Firewall,而且需要Firewall打 开UDP500端口。
SSL VPN与IPsec VPN区别
▪ 4、SSL VPN只需要维护中心节点的网关设备,客户 端免维护,降低了部署和支持费用。而IPSec VPN需 要管理通讯的每个节点,网管专业性较强。
Action选择Tunnel
选择dialup VPN
Netscreen Remote远程客户端的配置 01
新建一个连接, 取名后,点中它 ,出现右方基本
配置界面。
在该选项中输入我们的目 标地址,即安全网关后面 的内部子网/主机的地址
。
选中该选项,并在ID中选 取IP Address,输入安 全网关的外网口地址。
总部A IKE VPN配置
在下拉菜单选取前面定义 的IKE Gateway
总部A IKE VPN配置
高级选项
总部A VPN策略的设置
Action选择Tunnel
选择A到C的VPN
分部C Gateway的设置
对方VPN设备的网关
分部C Gateway的设置
共享密钥双方必须一致 选择VPN通道的出口
▪ 地址对象 ▪ 服务对象 ▪ VPN网关 ▪ IKE 对象 ▪ 安全策略
总部
Trust 10.50.0.1
Untrust 1.1.1.1
ERP 10.50.0.5
总部A与分部C之间的Site to Site VPN
▪ 总部A部分的Site to Site VPN设置
• VPN Gateway的设置 • VPN 的设置 • VPN策略设置
客户端也须配置两者须 一致
配置dialup VPN Gateway
▪ IKE Phase 1
选择dialup user,并在对应下 拉菜单选择我们刚才设定的用户
设置共享密钥,客户端也须 设置相同的值(最少8位)
配置dialup VPN Gateway
▪ IKE Phase 1
高级选项
注意dial-up VPN使用 Aggressive模式
SSL VPN与IPsec VPN区别
▪ 1、 IPsec VPN多用于“网—网”连接,SSL VPN用 于“移动客户—网”连接。SSL VPN的移动用户使用 标准的浏览器,无需安装客户端程序,即可通过 SSL VPN隧道接入内部网络;而IPSec VPN的移动用 户需要安装专门的IPSec客户端软件。
▪ 服务 • 预定义服务 • 定制服务 • 定制服务群
动作 日志 流量统计 认证
▪ 动作 会话控制 日志 ▪ 高级选项
时间、流量控制/统计、认证
创建策略 WebUI模式
▪ 组成
选择From与ቤተ መጻሕፍቲ ባይዱo的安全区
源&目的地址
通过下拉菜单选取前面设 定的地址
服务
通过下拉菜单选取前面设 定的服务
行动
允许, 拒绝, 安全隧道
注:此功能只能通过命令行来实现。
IP MAC绑定图示
telnet 到防火墙接口
二 VPN 应用
▪ VPN的应用说明: Juniper的网络安全防火墙设备的VPN应用模式
较多,包括:基于策略的VPN、基于路由的VPN,集 中星形VPN和背靠背VPN等。在这里,我们主要介绍 最常用的VPN模式:策略VPN。
日志
认证,流量控制、统计
认证 流量统计 流量控制
重点:流量控制,认证。
▪ 针对不同的服务或者部门,可以制定不同的流量策略 ,保证其带宽。
▪ 重要资源要求身份认证
安全策略的顺序
▪ 新策略加载在最后 ▪ 在所有策略的末尾有隐含的deny all的策略 ▪ 顺序非常重要,改变策略的顺序会影响到实际应用效果
192.168.10.5
Untrust 192.168.1.1
基本与静态对静态 VPN设置内容一致
▪ 地址对象 ▪ 服务对象 ▪ VPN网关(动态方 LOCAL ID) ▪ IKE 对象 ▪ 安全策略
总部
Trust 10.50.0.1
Untrust 1.1.1.1
ERP 10.50.0.5
动态对静态 VPN配置二 移动用户
▪ 5、SSL VPN 更容易提供细粒度访问控制,可以对用 户的权限、资源、服务、文件进行更加细致的控制, 与第三方认证系统(如:radius、AD等)结合更加便捷。 而IPSec VPN主要基于IP五元组对用户进行访问控制 。
VPN速度偏慢解决方案
-RAS 远程接入
▪ RAS应用 企业部门数据比较集中,随着商务模式的不断变化,远程
▪ 在Windows XP/2003创建一条L2TP vpn tunnel
▪ 在windows XP下面要修改注册表: ▪ 开始/运行/regedit.exe,找到下面这个路径 ▪ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS
et\Services\RasMan\Parameters, ▪ 新增或修改ProhibitIpSec的值为1。
配置中一致的值。
Netscreen Remote远程客户端的配置 03
选中Security Policy进行设置
。
在Select Phase 1 Negotiation Mode中选 择Aggressive Mode。
根据前面在安全网关中IKE VPN中Phase 2 Proposal 选择的不同,选择是否使用
选择L2TP Tunnel
Windows 客户端的配置 01
Windows 客户端的配置 02
Windows 客户端的配置 03
Windows 客户端的配置 04
Windows 客户端的配置 05
Windows 客户端的配置 06
Windows 客户端的配置 07
注意:
▪ 远程用户所在的内部网络不能与VPN Gateway内部网络 相同的子网。
▪ 重启计算机。
IPsec 软件客户端 访问总部A的ERP服务器
Dial-up User 设定部分
- 设定用户的IKE ID
▪ VPN Gateway设置 ▪ VPN 设置 ▪ VPN 安全策略 ▪ Netscreen Remote 客户端的设置
配置Dial-up用户
▪ 设置IKE ID
设定其它值会导致异常
分部C Gateway的设置
高级选项
VPN双方的模式必须一致
分部C IKE VPN配置
在下拉菜单选取前面定义 的IKE Gateway
分部C IKE VPN配置
高级选项
分部C VPN策略的设置
Action选择Tunnel
选择C到A的VPN
动态对静态 VPN配置一
Trust 分部 192.168.10.1
改变从解决问题开始(RAS技术原理)……
安装应用系统客户端 和RAS系统
应用系统服务器端
他们通过浏览器远 程登陆
利用防火墙实现地址绑定
▪ 公司内部员工随意更改IP地址,导致地址冲突 ▪ 外来人员随意接入,影响公司网络安全
实现MAC绑定功能需要三个步骤
1、强迫执行ARP目地IP扫描:set arp always-ondest 2、作ARP静态绑定:set arp 10.0.0.250 0002b34896fc trust 3、设置一个地址组group,它只包含做MAC地址绑定 的那些IP地址。然后设置一个策略,只让这个地址组 group通过。
▪ L2TP Tunnel的设置 ▪ VPN 安全策略 ▪ Windows客户端的设置
配置L2TP用户
设定用户名 设定密码
分配给L2TP用户的地址
配置L2TP Tunnel
选择L2TP用户 选择Tunnel的接口
L2TP Tunnel策略的设置
源地址选择Dial-Up VPN(系统自定义)
Action选择Tunnel
置。
根据前面在安全网关中IKE VPN中Phase 2Proposal的
选择,选择一致的选项。
SSL VPN介绍
▪ SSL VPN网关首先它是一种基于B/S架构的远程访问 方式,作为一种新兴的VPN技术,与传统的IPSec VPN技术各具特色,各有千秋。
▪ SSL VPN比较适合用于移动用户的远程接入(ClientSite),而IPSec VPN则在网对网(Site-Site)的VPN连 接中具备先天优势。
PFS。
Netscreen Remote远程客户端的配置 04
选中Proposal 1, 进行Phase 1的设
置。
根据前面在安全网关中IKE Gateway中Phase
1Proposal的选择,选择一 致的选项。
Netscreen Remote远程客户端的配置 05
选中Proposal 2, 进行Phase 2的设
▪ 拨号用户
▪ 地址对象+拨号用户地址池 ▪ 服务对象 ▪ VPN网关+L2TP ▪ IKE 对象 ▪ 安全策略
Untrust 1.1.1.1
ERP 10.50.0.5
L2TP 客户端 访问总部A的ERP服务器
L2TP User 设定部分 - 设定L2TP用户名/密码
办公、移动办公越来越多,但对于VPN来说相对速度较慢,不 能完美地解决此问题。
RAS远程接入不需要对原有的网络有变更,只需在单位局 域网内放置一台RAS服务器,移动办公客户端无需安装任何的 客户端软件,实现零客户端安装,通过WEB方式即可访问。使 用轻松简洁,十分人性化。员工无论何时何地快速接入体验远 程、移动办公。
Juniper防火墙培训进阶 篇
2020/9/4
课程目标
▪ 规范公司员工合理有效的上网
策略 :地址、服务、时间、流量监控、认证、 会话控制、日志
地址绑定
▪ 分支机构、移动办公, 安全连入总部
VPN(L2TP、IPSEC、SSL VPN) 分公司为星型 VPN冗余
一、安全策略
策略的组成
地址
服务
▪ 源地址&目的地址 • 地址 • 地址群
▪ 首先,如何配置两种策略VPN,一种是点对点的VPN 应用,一种是拨号VPN应用。其中点对点包括静态/动 态对静态,拨号包括L2TP和IPSCE客户端两种。
▪ 其次, 介绍SSL VPN 和VPN冗余。
静态对静态VPN配置
Trust 分部 10.1.0.1
10.1.0.5
Untrust 3.3.3.1
▪ 分部C部分的Site to Site VPN设置
• VPN Gateway的设置 • VPN的设置 • VPN策略设置
总部A Gateway的设置
对方VPN设备的网关
总部A Gateway的设置
共享密钥双方必须一致 选择VPN通道的出口
总部A Gateway的设置 高级选项
VPN双方的模式必须一致
Netscreen Remote远程客户端的配置 02
点击新建连接的 加号键,点中My Identity进行设置
在Select中选择None; 在Pre-Shared Key中输
入与前面安全网关 Gateway配置中一致的
值。
在ID选项中选择E-mail Address,然后输入与前 面安全网关Dial-up 用户
如果VPN连接中有NAT存在,
请勾选此项,开启穿透功能; 并做UDP Checksum检查
配置 dialup VPN
▪ IKE Phase 2
在下拉菜单选取前面 定义的IKE Gateway
配置dialup VPN
▪ IKE Phase 2
高级选项
总部A VPN策略的设置
源地址选择Dial-Up VPN(系统自定义)
▪ 2、SSL VPN用户不受上网方式限制,SSL VPN隧 道可以穿透Firewall;而IPSec客户端需要支持“NAT 穿透”功能才能穿透Firewall,而且需要Firewall打 开UDP500端口。
SSL VPN与IPsec VPN区别
▪ 4、SSL VPN只需要维护中心节点的网关设备,客户 端免维护,降低了部署和支持费用。而IPSec VPN需 要管理通讯的每个节点,网管专业性较强。
Action选择Tunnel
选择dialup VPN
Netscreen Remote远程客户端的配置 01
新建一个连接, 取名后,点中它 ,出现右方基本
配置界面。
在该选项中输入我们的目 标地址,即安全网关后面 的内部子网/主机的地址
。
选中该选项,并在ID中选 取IP Address,输入安 全网关的外网口地址。
总部A IKE VPN配置
在下拉菜单选取前面定义 的IKE Gateway
总部A IKE VPN配置
高级选项
总部A VPN策略的设置
Action选择Tunnel
选择A到C的VPN
分部C Gateway的设置
对方VPN设备的网关
分部C Gateway的设置
共享密钥双方必须一致 选择VPN通道的出口
▪ 地址对象 ▪ 服务对象 ▪ VPN网关 ▪ IKE 对象 ▪ 安全策略
总部
Trust 10.50.0.1
Untrust 1.1.1.1
ERP 10.50.0.5
总部A与分部C之间的Site to Site VPN
▪ 总部A部分的Site to Site VPN设置
• VPN Gateway的设置 • VPN 的设置 • VPN策略设置
客户端也须配置两者须 一致
配置dialup VPN Gateway
▪ IKE Phase 1
选择dialup user,并在对应下 拉菜单选择我们刚才设定的用户
设置共享密钥,客户端也须 设置相同的值(最少8位)
配置dialup VPN Gateway
▪ IKE Phase 1
高级选项
注意dial-up VPN使用 Aggressive模式
SSL VPN与IPsec VPN区别
▪ 1、 IPsec VPN多用于“网—网”连接,SSL VPN用 于“移动客户—网”连接。SSL VPN的移动用户使用 标准的浏览器,无需安装客户端程序,即可通过 SSL VPN隧道接入内部网络;而IPSec VPN的移动用 户需要安装专门的IPSec客户端软件。
▪ 服务 • 预定义服务 • 定制服务 • 定制服务群
动作 日志 流量统计 认证
▪ 动作 会话控制 日志 ▪ 高级选项
时间、流量控制/统计、认证
创建策略 WebUI模式
▪ 组成
选择From与ቤተ መጻሕፍቲ ባይዱo的安全区
源&目的地址
通过下拉菜单选取前面设 定的地址
服务
通过下拉菜单选取前面设 定的服务
行动
允许, 拒绝, 安全隧道
注:此功能只能通过命令行来实现。
IP MAC绑定图示
telnet 到防火墙接口
二 VPN 应用
▪ VPN的应用说明: Juniper的网络安全防火墙设备的VPN应用模式
较多,包括:基于策略的VPN、基于路由的VPN,集 中星形VPN和背靠背VPN等。在这里,我们主要介绍 最常用的VPN模式:策略VPN。
日志
认证,流量控制、统计
认证 流量统计 流量控制
重点:流量控制,认证。
▪ 针对不同的服务或者部门,可以制定不同的流量策略 ,保证其带宽。
▪ 重要资源要求身份认证
安全策略的顺序
▪ 新策略加载在最后 ▪ 在所有策略的末尾有隐含的deny all的策略 ▪ 顺序非常重要,改变策略的顺序会影响到实际应用效果
192.168.10.5
Untrust 192.168.1.1
基本与静态对静态 VPN设置内容一致
▪ 地址对象 ▪ 服务对象 ▪ VPN网关(动态方 LOCAL ID) ▪ IKE 对象 ▪ 安全策略
总部
Trust 10.50.0.1
Untrust 1.1.1.1
ERP 10.50.0.5
动态对静态 VPN配置二 移动用户
▪ 5、SSL VPN 更容易提供细粒度访问控制,可以对用 户的权限、资源、服务、文件进行更加细致的控制, 与第三方认证系统(如:radius、AD等)结合更加便捷。 而IPSec VPN主要基于IP五元组对用户进行访问控制 。
VPN速度偏慢解决方案
-RAS 远程接入
▪ RAS应用 企业部门数据比较集中,随着商务模式的不断变化,远程
▪ 在Windows XP/2003创建一条L2TP vpn tunnel
▪ 在windows XP下面要修改注册表: ▪ 开始/运行/regedit.exe,找到下面这个路径 ▪ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS
et\Services\RasMan\Parameters, ▪ 新增或修改ProhibitIpSec的值为1。
配置中一致的值。
Netscreen Remote远程客户端的配置 03
选中Security Policy进行设置
。
在Select Phase 1 Negotiation Mode中选 择Aggressive Mode。
根据前面在安全网关中IKE VPN中Phase 2 Proposal 选择的不同,选择是否使用
选择L2TP Tunnel
Windows 客户端的配置 01
Windows 客户端的配置 02
Windows 客户端的配置 03
Windows 客户端的配置 04
Windows 客户端的配置 05
Windows 客户端的配置 06
Windows 客户端的配置 07
注意:
▪ 远程用户所在的内部网络不能与VPN Gateway内部网络 相同的子网。
▪ 重启计算机。
IPsec 软件客户端 访问总部A的ERP服务器
Dial-up User 设定部分
- 设定用户的IKE ID
▪ VPN Gateway设置 ▪ VPN 设置 ▪ VPN 安全策略 ▪ Netscreen Remote 客户端的设置
配置Dial-up用户
▪ 设置IKE ID
设定其它值会导致异常
分部C Gateway的设置
高级选项
VPN双方的模式必须一致
分部C IKE VPN配置
在下拉菜单选取前面定义 的IKE Gateway
分部C IKE VPN配置
高级选项
分部C VPN策略的设置
Action选择Tunnel
选择C到A的VPN
动态对静态 VPN配置一
Trust 分部 192.168.10.1
改变从解决问题开始(RAS技术原理)……
安装应用系统客户端 和RAS系统
应用系统服务器端
他们通过浏览器远 程登陆
利用防火墙实现地址绑定
▪ 公司内部员工随意更改IP地址,导致地址冲突 ▪ 外来人员随意接入,影响公司网络安全
实现MAC绑定功能需要三个步骤
1、强迫执行ARP目地IP扫描:set arp always-ondest 2、作ARP静态绑定:set arp 10.0.0.250 0002b34896fc trust 3、设置一个地址组group,它只包含做MAC地址绑定 的那些IP地址。然后设置一个策略,只让这个地址组 group通过。
▪ L2TP Tunnel的设置 ▪ VPN 安全策略 ▪ Windows客户端的设置
配置L2TP用户
设定用户名 设定密码
分配给L2TP用户的地址
配置L2TP Tunnel
选择L2TP用户 选择Tunnel的接口
L2TP Tunnel策略的设置
源地址选择Dial-Up VPN(系统自定义)
Action选择Tunnel
置。
根据前面在安全网关中IKE VPN中Phase 2Proposal的
选择,选择一致的选项。
SSL VPN介绍
▪ SSL VPN网关首先它是一种基于B/S架构的远程访问 方式,作为一种新兴的VPN技术,与传统的IPSec VPN技术各具特色,各有千秋。
▪ SSL VPN比较适合用于移动用户的远程接入(ClientSite),而IPSec VPN则在网对网(Site-Site)的VPN连 接中具备先天优势。
PFS。
Netscreen Remote远程客户端的配置 04
选中Proposal 1, 进行Phase 1的设
置。
根据前面在安全网关中IKE Gateway中Phase
1Proposal的选择,选择一 致的选项。
Netscreen Remote远程客户端的配置 05
选中Proposal 2, 进行Phase 2的设