NetScreen培训资料(基础篇).ppt

. 2、自定义服务 在访问策略的定制过程中，个别的用户会使用到非标准的自定义服务，对于这些特殊的服务，就需要进行自定义服务的设置。 设置的位置为： Objects Services Custom . 2、自定义服务的设置 . 2、自定义服务组 在通过防火墙的访问中，通常会出现，内部对外的访问不止一种的情况，如：普通的上网应用，除了需要打开HTTP应用之外，还要开放DNS服务，否则，对于网络域名的解析就无法实现。 在上面的情况中，我们可以通过两种方法解决问题： 第一种是，针对每种具体的应用，设置单独的策略。 第二种是，针对几个应用同时使用的情况，定制一组应用，再针对这一组应用设置一条策略。 . 2、服务组的设置 . 3、安全域的设置和自定义 安全域的概念，由NETSCREEN首先提出。 NETSCREEN认为：对于接入防火墙设备的每个网络，它们全部都是非信任的，针对每个安全域，全部可以自定义它的安全检测项目，即：安全级别。 最常用的的安全域为：trust、dmz、untrust三层的安全域；v1-trust、v1-dmz、v1-untrust二层的安全域；以上的名称都是防火墙的保留字。 . 3、安全域的自定义 为什么需要新定义安全域？ 防火墙的多端口特性，如：NS-208有8个物理端口，默认的保留域不足以保证每个端口都有一个安全域。 管理员需要个性化的安全域。 设置的位置： Network Zones New . 3、基于二层协议的安全域 在Network Zones New 设置名称：L2_任意 选择协议层为第二层 . 3、基于三层的安全域 在Network Zones New 设置名称：任意 选择协议层为第三层 . 3、防火墙的安全区域 . 4、一些特殊的应用MIP（图） . 4、一些特殊应用的实现MIP 一对一的地址映射，是在防火墙三层的工作模式下实现的。 通常这种设置的需求是：防火墙内部有一台或几台服务器对Internet的计算机网络用户提供网络服务。同时，网络内部又拥有大量的一般用户；注册地址的数量超过不能满足内部用户的要求。 . Page * Date: * 第*页 * 朝华软件应用服务有限公司 NetScreen防火墙应用培训 Juniper-NetScreen . 培训内容 基础部分 1、防火墙的概念 2、具有代表性的netscreen产品（NS-204) 防火墙的基础应用部分 1、应用模式的选择和实现 2、访问控制的实现（策略的设置） 3、安全域的自定义 4、一些特殊应用的实现（MIP、DIP、VIP） 5、配置文件的保存 . 基础部分的培训 基础部分 1、防火墙的概念 、特点 2、具有代表性的netscreen产品（NS-204) . 防火墙的基本概念 是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。 在网络边界上通过建立起来的相应网络通信监控系统来隔离内部信任网络和外部非信任网络，以阻档外部网络的侵入、窃取和破坏。 . 防火墙的作用 是基于TCP/IP七层协议中的2～4层协议开发的。 可以防止和缓解基于TCP/IP协议2～4层的攻击行为所造成的影响。 . 防火墙设备的特点 当前的防火墙是边界类网络安全设备. 防火墙通常部署在网络的边界位置. 作用是:隔离信任网络（内部网络）和非信任网络（外部网络，Internet）。 防火墙作为进出网络的唯一节点，对进出网络的数据流进行检测和控制。 . 一般网络拓扑 . 部署防火墙的网络拓扑 . 防火墙的分类 防火墙的分类： 软件防火墙产品（天网防火墙） PC架构的防火墙产品（Cisco PIX） 纯硬件设计的产品（NETSCREEN） . NetScreen-204 集成的防火墙，VPN和流量管理. 状态监控防火墙 NAT, PPPoE 和 DHCP client, server relay VPN Site to Site Client to Site Supports IPSec 3DES, DES AES encryption standards 支持 L2TP for Windows 带宽管理和DiffServ标记 支持 ScreenOS 5.0 性能和处理能力 400 Mbps 防火墙 128,000 同时的会话 200Mbps