返回
旁挂方式部署srx3400网络实现方案

旁挂方式部署srx3400网络实现方案

ID:13117347

大小:643.92 KB

页数:6页

时间:2018-07-20

旁挂方式部署srx3400网络实现方案_第1页
旁挂方式部署srx3400网络实现方案_第2页
旁挂方式部署srx3400网络实现方案_第3页
旁挂方式部署srx3400网络实现方案_第4页
旁挂方式部署srx3400网络实现方案_第5页
资源描述:

《旁挂方式部署srx3400网络实现方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、旁挂方式部署SRX3400网络实现方案目前按照设计要求,需要把Juniper防火墙SRX3400以旁挂的方式部署在平台核心交换机上,如图(一)、为实现外网经过防火墙可以远程访问平台的跳板机,从跳板机跳转到内网的网管服务器和采集数据,可以按照以下两种方式部署。1.将跳板机做目的地址映射1、把防火墙的外网子接口和内网子接口划分成两个不同的安全域zone。2、将内网的需要被外网访问的跳板机做目的地址翻译NAT。3、通过安全策略打开外网访问跳板机的远程桌面端口,跳板机通过交换机进行跳转到相应的服务器,从而实现远程连接跳板机对平台内网的网管服务器和采集数据。1.

2、防火墙做VPN远程连接通过防火墙VPN来实现远程连接到内网,从而远程访问跳板机,通过跳板机进行对内网的服务器进行管控,以及采集数据。SRXIPSECVPN支持Site-to-SiteVPN和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-siteVPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。(二)为实现外网经过防火墙可以远程访问内网的网管服务器和采集数据将需要管理的服务器群在防火墙直接进行映射到外网,通过外网地址进行访问内网服务器以及采集数据1、把防火墙的外网子接口和内网子接口划分成两个不同

3、的安全域zone。2、外网是通过路由器接入核心交换机,所以需要把防火墙的外接zone与核心接路由的接口划分到同一个二层VLAN中。3、防火墙内网zone接入内网服务器的VLAN或单独划分VLAN,但需保证与内网VLAN相通。2、将内网的需要被外网访问的服务器群做目的地址翻译3、通过安全策略映射外网访问服务器群的相应的服务端口,从而实现远程对平台内网的网管服务器和采集数据。参考资料SRX安全策略配置介绍安全策略是在SRX上定义的一系列规则告诉SRX如何处理在各个安全域(zone)之间或同一安全域内各个接口之间转发的报文应该如何处理,比如对其进行转发(pe

4、rmit),丢弃(deny),NAT,IPsecVPN加解密,IPS入侵防御检查或防病毒检查等等。安全策略配置包含若干要素。1.安全域zone配置Zone是共享相同安全级别的一组网络接口的集合。SRX3K/5K的所有接口默认都放在nullzone内。Nullzone是一种系统预定义的特殊的安全域,nullzone内的接口不能接受外界的任何报文,也不能对外发送任何报文,即nullzone内的接口是不参与业务转发的。因此要配置安全策略,必须先创建zone,并把接口分配到相应的zone里去配置举例:1.创建安全域zonesetsecurityzonessec

5、urity-zonetrustsetsecurityzonessecurity-zoneuntrust2.分配接口到相应安全域zonesetsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/1.0每个安全域都有自己的一套自定义属性,包括是否允许接受管理流量?接受那些类型的管理流量?是否接受路由信令?接受那些路由信令等?这些都是在[securityzone]下面相应zone的[host-inboun

6、d-traffic]里配置。SRX自己发出去的流量是不受限制的。3.允许trustzone接受telnet/ssh管理流量setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicessshsetsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicestelnet4.允许trustzone接受ospf/bgp路由信令setsecurityzonessecurity-zonetrusthost-inbou

7、nd-trafficprotocolsospfsetsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsbgp每个zone还可以定义自己的DDoS防护选项,这是通过[Screen]配置来实现的5.定义Screen的ips-options模板testsetsecurityscreenids-optiontesticmpfragmentsetsecurityscreenids-optiontesticmpfloodsetsecurityscreenids-optiontesttcpport

8、-scansetsecurityscreenids-optiontesttcpsyn-floo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。