Junipernetscreen防火墙讲训基本篇.ppt

TRUNK模式下的典型应用--TRUNK透传 VLAN2/3 ROUTER SW VLAN4/5 SW FW FW Trunk Trunk Trunk Trunk VLAN2 ROUTER SW VLAN3 FW SW Trunk Trunk Trunk /24 /24 透明模式支持VLAN透传 VLAN需终结于FW TRUNK模式下的典型应用--内网访问控制 VLAN3用户 vlan2用户 Firewall /24 VLAN 2 Cisco 3550 应用1 聚合端口+中继端口 Trust zone:Vlan2.gw /24 Untrust zone:Vlan3.gw /24 VLAN 3 Vlan4.gw /24 /24 /24 Vlan5.gw /24 VLAN5 /24 VLAN4 应用2 互连VLAN:Vlan10 /30 TRUNK下的透明模式配置步骤 第一步、配置防火墙的接口为二层模式 第二步、配置防火墙的VLAN1的地址 第三步、配置防火墙的VLAN1接口支持TRUNK 第三步、配置防火墙安全策略 混合模式是前两种模式的结合，是针对两条外网线路环境下而设计的 防火墙部署方式三、混合模式 架墙之后的拓扑 ROUTE1 内网PC FW 原网络环境 SW ROUTE1 内网PC SW ROUTE2 透明模式 路由模式 混合模式配置步骤 第一步、配置防火墙的两个接口为二层模式 第二步、配置防火墙的另外两个接口为路由模式 第三步、配置防火墙的VLAN1接口地址 第三步、配置防火墙安全策略 企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此种情况下，就需设置NS墙的MIP、VIP、DIP（防火墙部署方式需路由） 内网各种应用服务器（WEB、ERP、EMAIL）的发布 内网PC FW SW WEB MIP、VIP、DIP之间的区别 1、MIP是一对一的地址映射，即一个公网地址只对应一台内网服务器，公网所有端口都映射到内部服务器。 2、VIP是一对多地址转换，即一个公网地址的不同端口，可以转换到对应多台内部服务器，如外网80可转换到服务器1上，而外网的21(或其它端口)同时可转换到服务器2上；而MIP要么映射到服务器1，要么映射到服务器2上，两者不能同时存在。 3、DIP是一组公网地址，让内网机器随机地转换成组内任意一个公网地址。 MIP、VIP配置步骤 第一步、选择做MIP、VIP对应的外网口 第二步、确定是用MIP还是VIP发布服务器 第三步、设置MIP或VIP与内网服务器对应关系 第三步、配置与MIP、VIP对应的安全策略 下面以最常用的VIP发布WEB服务为例具体说明，MIP的设置方法与之基本相同。 VIP 配置 网络拓扑 /24 WEB Server:54/24 安全网关VIP 配置 当网络只有一个 公网IP时选择 添加VIP的公网服务器IP 当网络有多个 公网IP时选择并输入公网IP 选择外网口 安全网关VIP 配置 内网服务器地址 此时和外网WEBUI管理的端口(80)冲突, 解决方式见下图 安全网关VIP 配置 更改远程管理端口,自定义更改 更改WEBUI的管理端口 安全网关VIP 配置 VIP配置完成 安全网关VIP 安全策略配置 选择VIP 接口 安全网关VIP 安全策略配置 VIP 安全策略配置完成 感谢大家 * Copyright ? 2008 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2008 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * 　　　　Juniper netscreen 防火墙培训　　　　 王庆生　　 juniper 认证工程师　　 课程目标 NS防火墙部署方式介绍，部署方式主要有以下几种 1、路由模式 2、透明模式 3、混合模式（1、2两种模式的结合） 内网各种应用服务器（WEB、ERP、EMAIL）的发布 1、MIP、VIP、DIP 2、访问应用服务器的安全策略 路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由器。如图： 防火墙部署方式一、路由模式 原网络环境 架墙之后的拓扑 SW ROUTE 内网PC FW SW 内网PC NAT转换