1、netscreen 防火墙基础培训,1、NETSCREEN防火墙型号介绍2、防火墙的登录管理方式3、防火墙的基本配置4、MIP和VIP5、VPN介绍和创建6、策略详解7、日常检查和维护8、现场实验,课程内容,外形和性能,SSG550,SSG 140,NS-25/50,SSG20,1000个VPN隧道4000条策略1G吞吐量,125个VPN隧道500条策略350M吞吐量,25个VPN隧道90M 吞吐量200条策略,100M 吞吐量50/125个VPN隧道500条策略,总公司,重庆、天津等,上海、深圳等,南北呼等,10个VPN隧道100条策略20M吞吐量在各个服务中心使用,一、Netscreen防
2、火墙的介绍,1:不同型号要注意性能限制2:不同型号间的配置导入导出,要注意端口的数量和端口的表达3:screen OS版本的兼容性,注意事项,一、Netscreen防火墙的介绍,几种登录管理方式1、默认WEBUI登陆管理2、TELNET或者SSH等远程登录管理3、串口(CONSOLE)超级终端登录管理另:管理软件登陆,二、防火墙的登录管理方式,登陆方式:WEBUI,二、防火墙的登录管理方式,登陆方式:WEBUI,二、防火墙的登录管理方式,登陆方式:远程登录telnet,二、防火墙的登录管理方式,二、防火墙的登录管理方式,登陆方式:CONSOLE,二、防火墙的登录管理方式,登陆方式:CONSOL
3、E,WEBUI:最常用的登录方法管理方便,易于维护 telnet:已知防火墙的管理IPWEBUI遇到问题WEBUI不能处理串口登陆:未知设备,未知管理IP地址设备故障等,三种登录方法的一般使用情况,二、防火墙的登录管理方式,三、防火墙的基本配置,公网端口配置路径,三、防火墙的基本配置,公网端口配置,可选择ADSL拨号,固定IP地址输入,管理选项,三、防火墙的基本配置,ADSL拨号配置,ADSL拨号账号,ADSL拨号密码,三、防火墙的基本配置,默认路由配置,网关,前提:外网地址为固定IP地址,三、防火墙的基本配置,简单策略配置,企业内部有各种应用服务器,需要对外发布或外部办公人员访问,在此种情况
4、下,就需设置NS墙的MIP、VIP。,内网各种应用服务器(WEB、ERP、EMAIL)的发布,内网PC,FW,SW,WEB,四、MIP和VIP,MAIL,MIP、VIP之间的区别,1、MIP是一对一的地址映射,即一个公网地址只对应一台内网服务器,公网所有端口都映射到内部服务器。2、VIP是一对多地址转换,即一个公网地址的不同端口,可以转换到对应多台内部服务器,如外网80可转换到服务器1上,而外网的21(或其它端口)同时可转换到服务器2上;而MIP要么映射到服务器1,要么映射到服务器2上,两者不能同时存在。,四、MIP和VIP,MIP、VIP配置步骤,第一步、选择做MIP、VIP对应的外网口第二
5、步、确定是用MIP还是VIP发布服务器第三步、设置MIP或VIP与内网服务器对应关系第三步、配置与MIP、VIP对应的安全策略下面以最常用的MIP发布WEB服务,VIP发布WEB和MAIL服务为列说明,四、MIP和VIP,20,202.102.100.2/30,202.102.100.1/30,192.168.1.1/24,web Server:192.168.1.254/24,MIP:202.102.100.6/30,四、MIP和VIP,案例:MIP发布web服务,21,点击,外网接口,四、MIP和VIP,MIP配置过程,22,点击,MIP配置过程,四、MIP和VIP,23,公网服务器地址,
6、内网服务器地址,四、MIP和VIP,MIP配置过程,24,MIP 配置完成,四、MIP和VIP,MIP配置过程,25,注意区域,下拉菜单调用MIP地址,四、MIP和VIP,MIP配置过程,26,可根据服务器需要的服务选择,也可以选择全部服务(Any),四、MIP和VIP,MIP配置过程,27,MIP 策略配置完成,MIP配置过程,四、MIP和VIP,案例:VIP发布WEB和MAIL服务,192.168.1.1,WEB Server:192.168.1.254,mail Server:192.168.1.254,四、MIP和VIP,当网络只有一个公网IP时选择,添加VIP的公网服务器IP,当网络
7、有多个公网IP时选择并输入公网IP,选择外网口,四、MIP和VIP,VIP配置过程,四、MIP和VIP,VIP配置过程,内网服务器地址,四、MIP和VIP,VIP配置过程,四、MIP和VIP,VIP配置过程,WEB服务的VIP地址配置完成,四、MIP和VIP,VIP配置过程,内网MAIL服务器地址POP3服务,四、MIP和VIP,VIP配置过程,内网MAIL服务器地址MAIL服务,四、MIP和VIP,VIP配置过程,所有需要发布服务配置完成,四、MIP和VIP,VIP配置过程,选择VIP 接口,四、MIP和VIP,VIP配置完成,VIP配置过程,VPN的应用说明:netscreen的网络安全防
8、火墙设备的VPN应用模式较多,包括:基于策略的VPN、基于路由的VPN,集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:策略VPN。,五、VPN的创建和应用,1、站点对站点的VPN 1.1、静态对静态的VPN 1.2、动态对静态的VPN2、拨号VPN(用户到站点)各种VPN应用的情况。,五、VPN的创建和应用,VPN的分类,地址对象服务对象VPN网关IKE 对象安全策略,192.168.1.2,Trust 192.168.1.1,Untrust202.102.100.2,Untrust 202.102.200.2,Trust 192.168.2.1,ERP192.168
9、.2.2,总部,分部,点到点VPN的创建,五、VPN的创建和应用,步骤:1、总部配置GATEWAY2、总部配置IKE3、配置策略(包含定义地址,服务等)4、分部配置GATEWAY5、分部配置IKE6、分部配置策略(包含定义地址、服务,与总部策略保持一致)演示,五、VPN的创建和应用,点到点VPN的创建,42,对方VPN设备的网关,五、VPN的创建和应用,点到点VPN的创建总部GATEWAY的创建,43,选择VPN通道的出口,共享密钥双方必须一致,点到点VPN的创建总部GATEWAY的创建,五、VPN的创建和应用,VPN双方的模式必须一致,加密算法的选择,44,在下拉菜单选取前面定义的IKE G
10、ateway,点到点VPN的创建总部IKE的创建,五、VPN的创建和应用,45,点到点VPN的创建总部IKE的创建,五、VPN的创建和应用,加密算法选择,46,Action选择Tunnel,选择A到C的VPN,点到点VPN的创建VPN策略的建立,五、VPN的创建和应用,47,对方VPN设备的网关,点到点VPN的创建分部GATEWAY的建立,五、VPN的创建和应用,48,选择VPN通道的出口,共享密钥双方必须一致,点到点VPN的创建分部GATEWAY的建立,五、VPN的创建和应用,49,在下拉菜单选取前面定义的IKE Gateway,点到点VPN的创建分部IKE的建立,五、VPN的创建和应用,5
11、0,点到点VPN的创建分部GATEWAY的建立,五、VPN的创建和应用,51,Action选择Tunnel,选择C到A的VPN,点到点VPN的创建分部策略的建立,五、VPN的创建和应用,基本与静态对静态 VPN设置内容一致地址对象服务对象VPN网关(动态方 LOCAL ID)IKE 对象安全策略,192.168.1.2,Trust 192.168.1.1,Untrust202.102.100.2,Untrust 202.102.200.2,Trust 192.168.2.1,总部,分部,ERP192.168.2.2,点到点VPN的创建(带有动态地址),五、VPN的创建和应用,动态对静态的VN需
12、要在设置GATEWAY的时候使用到两边统一的PEER ID在模式选择的时候选aggressive其他步骤同静态到静态的VPN,点到点VPN的创建(带有动态地址),五、VPN的创建和应用,拨号用户地址对象+拨号用户地址池服务对象VPN网关+L2TPIKE 对象安全策略,Untrust 202.102.200.2,Trust 192.168.2.1,总部,ERP192.168.2.2,拨号VPN的创建,五、VPN的创建和应用,地址池的定义填写地址池名称,起始地址服务对象和所需服务的定义同前篇所讲,拨号VPN的创建,五、VPN的创建和应用,56,L2TP Tunnel的设置 VPN 安全策略Wind
13、ows客户端的设置,L2TP User 设定部分 设定L2TP用户名/密码,拨号VPN的创建,五、VPN的创建和应用,57,选择Tunnel的接口,选择L2TP用户,拨号VPN的创建TUN建立,五、VPN的创建和应用,58,Action选择Tunnel,选择L2TP Tunnel,源地址选择Dial-Up VPN(系统自定义),拨号VPN的创建TUN策略建立,五、VPN的创建和应用,59,设定用户名,分配给L2TP用户的地址,也可以选择IP POOL,设定密码,拨号VPN的创建建立用户,五、VPN的创建和应用,60,拨号VPN的创建客户端设置,五、VPN的创建和应用,61,拨号VPN的创建客户
14、端设置,五、VPN的创建和应用,62,拨号VPN的创建客户端设置,五、VPN的创建和应用,63,VPN介绍和应用,拨号VPN的创建客户端设置,五、VPN的创建和应用,64,拨号VPN的创建客户端设置,五、VPN的创建和应用,65,拨号VPN的创建客户端设置,五、VPN的创建和应用,66,拨号VPN的创建客户端设置,五、VPN的创建和应用,注意:远程用户所在的内部网络不能与VPN Gateway内部网络相同的子网。在Windows XP/2003创建一条L2TP vpn tunnel在windows XP下面要修改注册表:开始/运行/regedit.exe,找到下面这个路径HKEY_LOCAL_
15、MACHINESYSTEMCurrentControlSetServicesRasManParameters,新增或修改DWORD值ProhibitIpSec的值为1。重启计算机。,拨号VPN的创建客户端设置,五、VPN的创建和应用,1、双击“Internet协议(TCP/IP)”进入TCP/IP属性,选择高级选择,将“在远程网络上使用默认网关”的勾选去掉,拨号VPN的创建客户端设置-拨号VPN同时上内网和外网的方法,五、VPN的创建和应用,2、点击新建的连接,右键,选择属性,拨号VPN的创建客户端设置-拨号VPN同时上内网和外网的方法,五、VPN的创建和应用,第三步:拨号,获取拨号获得的IP
16、地址正常拨号拨号完成后,在开始运行里面输入:CMD弹出默认界面,输入命令:IPCONFIG查看分配的地址,一般VPN拨号分配地址为以10或者以11开头的IP地址,假设该地址为:11.111.1.12在命令行界面,添加以11.111.1.12为网关的路由,目标地址为你需要访问的网段,总公司的服务器网段为:192.168.2.0/24命令为:route add 192.168.2.0 mask 255.255.255.0 10.111.1.12自此,路由添加完成,可同时访问公网和总公司网段192.168.2.0/24,拨号VPN的创建客户端设置-拨号VPN同时上内网和外网的方法,五、VPN的创建和
17、应用,源地址目的地址地址地址群服务预定义服务定制服务定制服务群,动作会话控制日志高级选项时间、流量控制/统计、认证,六、策略详解,策略的组成,1、确定源地址,目的地址和服务后,分别定义好源地址(或组),目的地址(或组)和服务(或组)。2、选择策略的区段。3、进入创建策略,进入策略的WEBUI4、选择好源地址、目的地址、服务和动作等。5、创建完成后,选择该策略合适的顺序。,六、策略详解,策略的创建,注意点:地址定义首先需要选择区段,六、策略详解,策略的创建-定义地址,Predefined为系统默认定义的服务在自定义里面,根据实际需要定义所需要的服务,六、策略详解,策略的创建自定义服务,组成选择F
18、rom与To的安全区源目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设定的服务行动允许, 拒绝, 安全隧道日志,六、策略详解,策略的创建建立策略,新策略加载在最后在所有策略的末尾有隐含的deny all的策略顺序非常重要,改变策略的顺序会影响到实际应用效果,六、策略详解,策略的创建策略的顺序,平时可能遇到的问题,P2P下载导致内网速度奇慢需要限制部分人员的上网管理,而不是全部需要屏蔽一些特殊网站两地间的VPN连通的可用性要求较高(如呼叫中心),七、高级管理功能,针对以上问题,我们需要了解以下几种功能:1、流量控制2、服务控制3、VPN的多线冗余,七、高级管理功能,七、高级管理功
19、能,几种流量控制1、按端口控制2、按应用控制(策略)3、按时间控制,流量控制,端口的流量控制,七、高级管理功能,端口的流量控制,七、高级管理功能,不同型号的防火墙的端口流量控制选项不一样,策略里的流量控制、统计,流量控制,流量统计,七、高级管理功能,针对不同的服务或者部门,可以制定不同的流量策略,保证其带宽。,策略里分组控制,七、高级管理功能,说明: 总公司对外有多条链路连接,因此都能够和分公司建立冗余vpn,保证总公司某一条对外线路断了以后,还能保证另外一条线路vpn接入进来。下面图例介绍。,VPN的冗余,七、高级管理功能,几种典型冗余模式:1、成都、重庆(两条ADLS线,两个VPN的GRO
20、UP)2、福建、陕西(单线,一个VPN的GROUP)3、呼叫中心(双线,一个VPN的GROUP),ADSL1,ADSL2,电信,网通,网通,电信,网通,电信,七、高级管理功能,选择VPNS-AUTOKEY ADVANCED-VPN GROUP,VPN的冗余建立VPN的GROUP,七、高级管理功能,VPN的冗余加入VPN的GROUP,七、高级管理功能,Weight代表GROUP中VPN的优先级。数字越大,优先级别越高。可以选择一条质量比较好的VPN作为主要VPN,数字小的则为备用VPN,当主VPN断掉时,会自动切换到备用VPN,VPN的冗余VPN的优先级,七、高级管理功能,日常维护过程中,需要重
21、点检查以下几条关键信息Session(会话):当Session资源正常使用到85%时,需要考虑设备容量限制并及时升级。CPU:正常在50%以下,如果CPU利用率过高,应高度重视,应检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关,可通过正确设置screening对应选项进行防范。Memory:采取“预分配”机制,空载时使用率约50-60%,流量不端增长,内存基本不变,如果出现使用率高达90%,检查是否有攻击流量。,八、日常维护和问题处理,常规维护,路径:configurationupdateconfig file,八、日常维护和问
22、题处理,防火墙配置的备份和恢复,防火墙设备因为是网络安全设备,因此,它的密码的设置一般比较复杂,因此,也比较容易遗忘,一旦发生这种情况,最好的情况是客户拥有之前的备份文件。对防火墙进行初始化操作,这个操作非常简单,将防火墙设备的序列号分别作为用户名和密码对防火墙设备进行登陆,之后,按照提示,一路YES,设备重新启动之后,就恢复到了出厂状态。这个操作一定要在控制台的模式下进行,需要用控制线连接防火墙的控制台端口,才能够操作。,八、日常维护和问题处理,防火墙恢复出产设置的方法,九、探讨,平时工作中发现的有借鉴意义的问题工作中碰到的疑难问题,请大家提出来共同探讨对防火墙目前设置策略的疑问其他问题,初始化防火墙A和B登陆防火墙A和B,并且备份防火墙配置文件如图所示配置A和B的防火墙的UNTRUST和TRUST端口地址A防火墙创建地址为10.101.1.2的VIP,并且发布C的7000服务,并使D可以访问建立VPN隧道,使C和D可以访问,192.168.101.2,Trust 192.168.101.1/24,Untrust10.101.1.1/30,Untrust 10.102.1.1/30,Trust 192.168.102.1/24,B,A,192.168.102.2,十、现场动手,C,D,根据拓扑完成实验,感谢大家,
