精品文档第1页24/10/24朝华软件应用服务有限公司NetScreenNetScreen防火墙应用培训防火墙应用培训Juniper-NetScreenPage2Date:2024.10.24精品文档培训内容•基础部分1、防火墙的概念2、具有代表性的netscreen产品(NS-204)•防火墙的基础应用部分1、应用模式的选择和实现2、访问控制的实现(策略的设置)3、安全域的自定义4、一些特殊应用的实现(MIP、DIP、VIP)5、配置文件的保存•Page3Date:2024.10.24精品文档基础部分的培训•基础部分1、防火墙的概念、特点2、具有代表性的netscreen产品(NS-204)Page4Date:2024.10.24精品文档防火墙的基本概念•是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。•在网络边界上通过建立起来的相应网络通信监控系统来隔离内部信任网络和外部非信任网络,以阻档外部网络的侵入、窃取和破坏。Page5Date:2024.10.24精品文档防火墙的作用•是基于TCP/IP七层协议中的2~4层协议开发的。•可以防止和缓解基于TCP/IP协议2~4层的攻击行为所造成的影响。Page6Date:2024.10.24精品文档防火墙设备的特点•当前的防火墙是边界类网络安全设备.•防火墙通常部署在网络的边界位置.•作用是:隔离信任网络(内部网络)和非信任网络(外部网络,Internet)。•防火墙作为进出网络的唯一节点,对进出网络的数据流进行检测和控制。Page7Date:2024.10.24精品文档一般网络拓扑Page8Date:2024.10.24精品文档部署防火墙的网络拓扑Page9Date:2024.10.24精品文档防火墙的分类•防火墙的分类:软件防火墙产品(天网防火墙)PC架构的防火墙产品(CiscoPIX)纯硬件设计的产品(NETSCREEN)Page10Date:2024.10.24精品文档NetScreen-204•集成的防火墙,VPN和流量管理.–状态监控防火墙–NAT,PPPoE和DHCPclient,server&relay–VPN•SitetoSite&ClienttoSite•SupportsIPSec3DES,DES&AESencryptionstandards•支持L2TPforWindows–带宽管理和DiffServ标记•支持ScreenOS5.0•性能和处理能力–400Mbps防火墙–128,000同时的会话–200MbpsVPN–1000IPSecVPN通道•4个10/100自适应以太网口–目前支持3ports–第4口2002年1季度支持–第4口将用于HA或第二个DMZ•AC电源;DC电源可选Page11Date:2024.10.24精品文档•防火墙的基础应用部分1、应用模式的选择和实现2、访问控制的实现(策略的设置)3、安全域的应用和自定义4、一些特殊应用的实现(MIP、DIP、VIP)5、配置文件的保存基础应用Page12Date:2024.10.24精品文档设备调试思路•1、了解网络状况。•2、确定防火墙的部署位置。•3、选择防火墙的应用模式,规划路由信息。•4、确定策略方向、地址、服务信息。•5、合理设定访问策略。Page13Date:2024.10.24精品文档1、应用模式的选择•NETSCREEN防火墙有三种主要的应用模式透明模式NAT模式路由模式特殊模式:二层模式与三层模式混合部署(需要一些条件支持)Page14Date:2024.10.24精品文档1、透明模式•透明模式:看上去与基于TCP/IP协议二层的设备类似,防火墙的端口上没有IP地址,只有一个用于管理的VLANIP。•适用的环境:一般用于处于相同网段的不同网络之间的安全隔离。•优点:•不需要重新配置路由器或受保护服务器的IP设置•不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址Page15Date:2024.10.24精品文档1、基于透明模式的拓扑图Page16Date:2024.10.24精品文档1、NAT模式•类似于基于TCP/IP第三层协议的设备,通过协议端口或IP头替换的方式实现地址转发和共享访问应用。•适用的网络环境:客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公共IP地址的情况下。•优点:针对内网对互联网的访问,可以大量节省公共IP地址,路由结构清晰。Page17Date:2024.10.24精品文档1、路由模式•与NAT模式类似,也是基于TCP/IP第三层协议的设备,数据流在通过防火墙设备时,IP地址信息不发生替换,以源地址的方式访问互联网或进入网络访问。•适用的网络环境:拥有足够多的公网IP地址,可以满足网络中的所有设备全部使用和拥有公网IP地址的情况。•优点:路由关系清晰,系统资源损耗较小。Page18Date:...
