【文章內(nèi)容簡介】 過“ List”下拉菜單選擇合適的頁面顯示條目數(shù)；比如“ List 20”表示在這個頁面中最大的同時顯示策略條目為 20條。 ? Policy Policies 77 Policy基本設(shè)置 創(chuàng)建策略項 II 在 Source Address和 Destination Address的 Address Book Entry選擇前面創(chuàng)建好的地址對像。 在 Service的下拉菜單選取前面設(shè)定好的服務(wù)對象。 在 Action欄選擇相應(yīng)的處理行為，如 permit等。 78 Policy基本設(shè)置 策略的順序 ? 策略的執(zhí)行按照先后順序，即從上而下的尋找，直到遇到匹配的策略項為止。 ? 正常情況下，新的策略永遠加在整個策略序列的尾端。 ? 在策略序列的尾端，有一條隱含的“ deny all”的策略項。 ? 策略序列的基本排列原則：將影響范圍越小的策略項放在越前面。 ? 策略的調(diào)整通過 Move的兩個按鈕來實現(xiàn)。建議使用“－ ”。 79 Policy基本設(shè)置 策略的 Logging I ? Logging選項將提供匹配該策略條目的流量的日志信息。 ? Logging選項被選擇后，該策略條目的 Options欄會有相應(yīng)的條目產(chǎn)生。 ? 點擊該條目可以看到相關(guān)的日志內(nèi)容。 80 Policy基本設(shè)置 策略的 Logging II 81 Policy基本設(shè)置 策略的 Counting I ? Counting選項將提供匹配該策略條目的流量的實時統(tǒng)計圖表。 ? Counting選項被選擇后，該策略條目的 Options欄會有相應(yīng)的條目產(chǎn)生。 ? 點擊該條目可以看到相關(guān)的日志內(nèi)容。 82 Policy基本設(shè)置 策略的 Counting II 83 Policy基本設(shè)置 策略的 Schedule I Policy Policy Elements Schedules 84 Policy基本設(shè)置 策略的 Schedule II 85 Inter訪問驗證 Auth Server的選擇 ? Juniper FWV支持兩種方式的驗證服務(wù)器：本地（ local）和遠程（ Remote）。 ? 本地驗證服務(wù)器是系統(tǒng)默認的驗證服務(wù)器，它可以用來驗證 admin、 auth、 l2tp和 xauth用戶。 ? 如果要設(shè)置遠程驗證服務(wù)器，請點擊“ New”按鈕進行設(shè)置。 ? Juniper FWV支持的遠征驗證服務(wù)器類型有 RADIUS、 SecureID、 LDAP、 TACACS+ 。 ? 本例中使用本地驗證服務(wù)器，使用的驗證的用戶是 auth用戶。 Configuration Auth Auth Servers 86 Inter訪問驗證 Auth Server的選擇 ? Juniper FWV支持兩種方式的驗證服務(wù)器：本地（ local）和遠程（ Remote）。 ? 本地驗證服務(wù)器是系統(tǒng)默認的驗證服務(wù)器，它可以用來驗證 admin、 auth、 l2tp和 xauth用戶。 ? 如果要設(shè)置遠程驗證服務(wù)器，請點擊“ New”按鈕進行設(shè)置。 ? Juniper FWV支持的遠征驗證服務(wù)器類型有 RADIUS、 SecureID、 LDAP、 TACACS+ 。 ? 本例中使用本地驗證服務(wù)器，使用的驗證的用戶是 auth用戶。 Configuration Auth Auth Servers 87 Inter訪問驗證 Auth User的創(chuàng)建 88 Inter訪問驗證 用戶驗證的過程 89 基于策略的帶寬管理 ? Traffic Shaping選項用來控制匹配該策略的流量的大小及處理優(yōu)先級。 ? Guaranteed Bandwidth的數(shù)值為系統(tǒng)保證其的帶寬數(shù)值。 ? Maximum Bandwidth的數(shù)值為系統(tǒng)最大能分配給該策略的數(shù)值。 90 目標 ? Policy基本概念 ? Policy基本設(shè)置 ? NAT基本概念 ? NAT基本設(shè)置 NATsrc NATdst MIP VIP 91 NAT基本概念 NAT的種類 I NATsrc SA DA SA DA :21 :21 NATdst SA DA SA DA ? NAT是 Network Address Translation；很簡單，就是網(wǎng)絡(luò)設(shè)備來改變數(shù)據(jù)包 IP地址的功能。 ? 數(shù)據(jù)包的 IP地址有兩種，源地址和目的地址。所以 NAT也分兩種：一種叫 NATsrc（或者叫source based NAT），改變數(shù)據(jù)包的源地址。另外一種叫 NATdst(或者叫 destination based NAT),改變數(shù)據(jù)包的目的地址。 ? NATsrc常用在上網(wǎng)應(yīng)用，如企業(yè)內(nèi)部局域網(wǎng)用戶訪問 Inter。 ? NATdst常用在服務(wù)器映射應(yīng)用，如企業(yè)內(nèi)部的一臺服務(wù)器要提供給 Inter訪問。 92 NAT基本概念 NAT的種類 MIP SA DA SA DA VIP :21 :21 :80 SA DA SA DA :80 ? Juniper Firewall引進了兩種額外的 NAT形式 :MIP和 VIP。 ? MIP是 Mapped IP的意思，其特點是提供了雙向的 NAT功能，相當于 NATsrc與 NATdst的組合；尤其適合于用戶需要把內(nèi)部的服務(wù)器映射到一個公網(wǎng)地址，供 Inter訪問的需求。 ? VIP是 Virtual IP的意思，其特點是可以將同個目的地址的不同端口翻譯到不同的地址上去；尤其適合于用戶地址資源有限，許多不同的服務(wù)器需要共用同一個公網(wǎng)地址（不同的端口）的情況。 93 NAT基本概念 NAT的配置 ? NATsrc與 NATdst在 Juniper Firewall上又被稱為 Policy based NAT。 ? Juniper Firewall對 NAT的實現(xiàn)，一定要通過策略來實現(xiàn)。無論是 Policy based，還是 MIP、VIP。 NATsrc SA DA SA DA :21 :21 NATdst SA DA SA DA MIP SA DA SA DA VIP :21 :21 :80 SA DA SA DA :80 94 NAT基本配置 配置 NATsrc I ? 首先要創(chuàng)建一個地址對象，來表示將要被轉(zhuǎn)換的源地址，本例中我們要創(chuàng)建的地址對象是。 ? 然后需要設(shè)置一個 DIP，來表示轉(zhuǎn)換完成后的源地址，本例中我們要創(chuàng)建的 DIP是 。 ? 最后，我們要通過一條 Policy條目來完成這個 NAT。 NATsrc SA DA SA DA 95 目標 ? Policy基本概念 ? Policy基本設(shè)置 ? NAT基本概念 ? NAT基本設(shè)置 96 NAT基本配置 配置 NATsrc II ? 創(chuàng)建地址對象，請注意選擇正確的 Zone。 97 NAT基本配置 配置 NATsrc III ? 在創(chuàng)建 DIP時，請選擇正確的 Interface，一般情況下是帶有公網(wǎng)地址的那個 Interface。 98 NAT基本配置 配置 NATsrc IV ? 點擊“ Advanced”按鈕以進入 NAT配置界面。 ? 在新界面中點中 Source Translation，并選擇之前設(shè)置的 DIP地址條目。 ? 配置了 NAT的策略條目的顏色與其它策略有所不同。 99 NAT基本配置 配置 NATsrc V ? 點擊“ Advanced”按鈕以進入 NAT配置界面。 ? 在新界面中點中 Source Translation，并選擇之前設(shè)置的 DIP地址條目。 ? 配置了 NAT的策略條目的顏色與其它策略有所不同。 100 NAT基本配置 配置 NATdst I ? 首先要創(chuàng)建一個地址對象，來表示將要被轉(zhuǎn)換的目的地址，本例中我們要創(chuàng)建的地址對象是。 ? 然后，我們要通過一條 Policy條目來完成這個 NAT。 :21 :21 NATdst SA DA SA DA 101 NAT基本配置 配置 NATdst II ? 創(chuàng)建地址對象，請注意選擇正確的 Zone。 102 NAT基本配置 配置 NATdst III ? 點擊“ Advanced”按鈕以進入 NAT配置界面。 ? 在新界面中點中 Destination Translation，并在 Translate to IP項填寫轉(zhuǎn)換后的地址。 ? 配置了 NAT的策略條目的顏色與其它策略有所不同。 103 NAT基本配置 配置 NATdst IV ? 點擊“ Advanced”按鈕以進入 NAT配置界面。 ? 在新界面中點中 Destination Translation，并在 Translate to IP項填寫轉(zhuǎn)換后的地址。 ? 配置了 NAT的策略條目的顏色與其它策略有所不同。 104 NAT基本配置 配置 MIP I ? 首先，要創(chuàng)建一個 MIP，定義好 Mapped IP與 Host IP。 ? 然后，我們要通過一條 Policy條目來完成這個 NAT。 MIP SA DA SA DA 105 NAT基本配置 配置 MIP II ? 在創(chuàng)建 MIP時，請選擇正確的 Interface，一般情況下是帶有公網(wǎng)地址的那個 Interface。 ? Mapped IP填寫該接口處于同 Zone的虛擬地址。 ? Host IP填寫真實的主機的地址。 106 NAT基本配置 配置 MIP III ? 在 Destination Address欄選擇預(yù)先設(shè)置的 MIP條目。 ? 配置了 MIP的策略條目的顏色與其它策略沒有不同。 107 NAT基本配置 配置 VIP I ? 首先，要創(chuàng)建一個 VIP，定義好 Virtual IP Address以及 Port。 ? 然后，我們要通過一條 Policy條目來完成這個 NAT。 VIP :21 :21 :80 SA DA SA DA :80 108 NAT基本配置 配置 VIP II ? 在創(chuàng)建 MIP時，請選擇正確的 Interface，一般情況下是帶有公網(wǎng)地址的那個 Interface。 ? 點擊“ Add”按鈕，添加新的 Virtual IP Address。 ? 點擊“ New VIP Service”按鈕，進入 VIP Service設(shè)置頁面；該項可反復(fù)使用。 ? Virtual Port填入提供的虛擬端口， Map to Service選項選擇真實提供的服務(wù)。 ? Map to IP項填寫真實的主機地址。 109 NAT基本配置 配置 VIP III ? 在創(chuàng)建 MIP時，請選擇正確的 Interface，一般情況下是帶有公網(wǎng)地址的那個 Interface。 ? 點擊“ Add”按鈕，添加新的 Virtual IP Address。 ? 點擊“ New VIP Service”按鈕，進入 VIP Service設(shè)置頁面；該項可反復(fù)使用。 ? Virtual Port填入提供的虛擬端口， Map to Service選項選擇真實提供的服務(wù)。 ? Map to IP項填寫真實的主機地址。 110 NAT基本配置 配置 VIP IV ? 在創(chuàng)建 MIP時，請選擇正確的 Interface，一般情況下是帶有公網(wǎng)地址的那個 Interface。 ? 點擊“ Add”按鈕，添加新的 Virtual IP Address。 ? 點擊“ New VIP Service”按鈕，進入 VIP Service設(shè)置頁面；該項可反復(fù)使用。 ? Virtual Port填入提供的虛擬端口， Map to Service選項選擇真實提供的服務(wù)。 ? Map to IP項填寫真實的主機地址。 111 NAT基本配置 配置 VIP V ? 在創(chuàng)建 MIP時，請選擇正確的 Interface，一般情況下是帶有公網(wǎng)地址的那個 Interface。 ? 點擊“ Add”按鈕，添加新的 Virtual IP Address。 ? 點擊“ New VIP Service”按鈕，進入 VIP Service設(shè)置頁面；該項可反復(fù)使用。 ? Virtual Port填入提供的虛擬端口， Map to Service選項選擇真實提供的服務(wù)。 ? Map to IP項填寫真實的主機地址。 112 NAT基本配置 配置 VIP VI ? 在 Destination Address欄選擇預(yù)先設(shè)置的 VIP條目。 ? 配置了 VIP的策略條目的顏色與其它策略沒有不同。 VPN基本概念 課程目標 ? VPN的定義 ? 信息傳輸?shù)娜箨P(guān)注點及其解決方案 ? IPSec協(xié)議集的組成 ? IKE協(xié)議的工作流程 Objectives