資源描述:
《Juniper-防火墻的管理-透明模式.ppt》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在教育資源-天天文庫。
1、透明模式目標了解透明模式的好處描述V1ZONE和它的用處建立用戶自己定義的L2—zong在透明模式下,使用VLAN1的IP地址對防火墻進行管理2什么是透明模式?Netscreen防火墻的網(wǎng)卡在第二層的網(wǎng)橋模式或者是第二層的交換模式下進行工作。Learning,Flooding,Forwarding,Filtering通過安全策略讓風火墻對第二層的安全區(qū)之間的數(shù)據(jù)包進行流量的訪問控制。10.1.0.0/16E1E3zoneV1-TrustzoneV1-DMZzoneV1-UntrustE23V1-Untrust透明模式的工作由于沒有使用到網(wǎng)絡的第三層,因此,透明模式能夠讓防火墻更加
2、快速的部署。不需要定義拓撲結(jié)構對于直接連接的子網(wǎng)不需要定義安全策略增加安全性在netscreen的二層工作模式下可以使用VPNZone概念的提出,可以提供比基于路由的ACL更加安全的訪問控制V1-Trust10.1.0.0/16V1-DMZBBDABC10.100.1.0/1610.200.1.0/16E4Layer-2安全區(qū)預先定義的“V1”zonesV1-TrustV1-UntrustV1-DMZ用戶定義的安全區(qū)Layer-2(L2)區(qū)用戶在定義安全區(qū)的時候必須以“L2-”開頭。Int.Zone5透明模式中的網(wǎng)卡在ScreenOS5.0沒有定義任何網(wǎng)卡是屬于透明模式把一個網(wǎng)卡
3、放到第二層的域中,該網(wǎng)卡自動因此二層的網(wǎng)卡的域必須是以“V1-”or“L2-”開頭的。所有網(wǎng)卡在v1或者是L2域,是具有相同廣播域的第二層防火墻的成員。Inte1ZoneL2-privateInte2ZoneL2-public10.1.0.0/166VLAN1網(wǎng)卡在VLAN域中是第三層邏輯網(wǎng)卡該網(wǎng)卡可以幫定一個IP地址,用來管理netscreen防火墻。支持管理IP地址所有物理接口都可以接受arp請求。V1-Trust1.1.1.101.1.1.111.1.1.12V1-DMZV1-UntrustVLAN1isalogicalinterfacewhichisaccessiblef
4、romanytransparentzoneVLAN1interface:1.1.1.210/24E1E3E2ABC7V1-Trust1.1.1.101.1.1.111.1.1.12V1-DMZV1-UntrustVLAN1interface:1.1.1.210/24E1E3E2ABC管理行為VLAN1willinheritmanagementoptionsfromzonemembershipofphysicalinterfacesXVLAN1interface:1.1.1.210/24noneV1-UntrustnoneUser-defined(L2)PINGonlyV1-DM
5、ZPING,telnet,SSH,SNMP,web,SSL,nsmgtV1-TrustManagementServicesEnabledZone8透明模式的配置建立2層的域(在沒有使用默認域的情況下)分配網(wǎng)卡給2層域為VLAN1配置管理地址3a.配置IP地址3b.選擇廣播的方法3c.配置管理服務(可選項)配置每個域的管理服務在不同的域之間配置策略9Step1:配置2層域Network>Zones>NewsetzonenameL2Example:ns208->setzonenameL2-DemoL2110Step2:分配網(wǎng)卡到域Network>Int
6、erfaces(Edit)setinterfacezonens208->setinterfacee3zoneL2-Demo11Step3a:配置VLAN1的IP地址Network>Interfaces>Edit(VLAN1)UseforInterfaceIPwhenterminatingVPNsUseManage-IPasdestinationaddressofPING,telnet,WebUI,etc.setinterfacevlan1ip/ns208->setintvlan1ip1.1.7.1/24set
7、interfacevlan1manage-ip
ns208->setintvlan1manage-ip1.1.7.100/2412Step3b:選擇廣播的方法Flooding(default)如果MAC表中沒有,原數(shù)據(jù)包將向所有的接口進行廣播——除了流入數(shù)據(jù)包的接口。ARP/Trace-Route如果MAC表中沒有,ARP或traceroute將向所有的接口進行廣播——除了流入數(shù)據(jù)包的接口。Network>Interfaces>Edit(VLAN1)setvlan