Beruflich Dokumente
Kultur Dokumente
Firewalls Juniper
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
Tabla de Contenidos
Página 2 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
Si la conexión se realiza por telnet o ssh sólo tendremos que poner login y password para obtener la
conexión.
Si nos queremos conectar mediante el puerto de consola hay que configurar los siguientes
parámetros en hyperterminal.
Página 3 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
2 Zonas
- Zona Global : No tiene asociado ningún interface, en esta zona se crean los MIPs ( Mapped
IPs ) y VIPs ( Virtual IPs ).
- Zona Null : Sirve para almacenar los interfaces que no están asociados a ninguna zona.
- Zona MGT: Podemos asociar un interface sólo para gestión asociándolo a esta zona.
- Zona Self : Cuando nos conectamos al firewall por http, telnet, ssh … nos estamos conectando
a esta zona.
- Zona VLAN : Tiene asociado el interface VLAN1, que se utiliza para gestionar el firewall
cuando está funcionando en modo transparente.
Ejercicio:
Página 4 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
3 Interfaces
3.1 Subinterfaces
Se puede dividir un interface físico en varios subinterfaces virtuales. Cada subinterfaces toma el
ancho de banda necesario del interface físico al que está conectada. Los nombre de las
subinterfaces son ethernet1.1, trust.1 …
A diferencia de una interface normal, existe el campo “VLAN Tag”, donde tenemos que indicar el
número de VLAN del switch al que va conectado este interface.
Ejercicio :
3.2 IP Secundaria
En ocasiones necesitamos que una interface tenga varias direccines IP. Esta característica no se
puede aplicar a las interfaces que están asociadas a la zona Untrust.
Página 5 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
Ejercicio :
Una MIP es una traslación 1 a 1 del tráfico destinado a una IP hacia otra dirección. Se pueden crear
MIP para interfaces de tipo tunel y para interfaces en la zona Untrust.
Las MIP permiten que el tráfico entrante llegue a direcciones privadas de una zona cuyo interface
está en modo NAT
Página 6 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
Ejercicios :
Una DIP es un rango de direcciones IP del que el firewall puede elegir dinámicamente al hacer
NAT de la dirección origen.
Página 7 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
Ejercicios :
Las VIP mapean el tráfico recibido en un puerto de una dirección IP a otra dirección IP utilizando
el mismo puerto u otro distinto.
Al crear una VIP en un interface de la zona Untrust se crea una entrada en la zona Global, que
contiene todas las VIPs de todos los interfaces, independientemente de la zona a la que pertenece
el interface.
Podemos crear la VIP con misma IP del interface del firwall o en otra dirección diferente.
Una vez elegida la IP tenemos que añadir servicios a esta VIP, se pueden definir un máximo de 64
servicios por VIP.
Página 8 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
Ejercicios :
- Crear un VIP que redirija el tráfico de una dirección de la zona Untrust en el puerto 8080 al
puerto 80 de un equipo de la zona Trust
- Crear mediante consola un VIP que redirija el tráfico de una dirección de la zona Untrust en el
puerto 2222 al puerto 22 de un equipo de la zona Trust
3.6 DHCP
Página 9 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
El siguiente paso es configurar las direcciones que queremos ofrecer. Vamos a “Addresses” y
creamos un nuevo rango, que puede ser dinámico o reservado para una determinada MAC.
Ejercicio :
Página 10 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
4 Filtrado Web
Previene el acceso a contenidos web no apropiados, se basa en categorías predefinidas a las que se
pueden añadir de forma personalizada.
Hay 3 métodos :
- Redirigido ( SurfControl ) : Se envían las peticiones http al servidor de SurfControl. Una vez
categorizada la petición permite o deniega el acceso dependiendo del perfil.
Ejercicios :
Página 11 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
5 Objetos
5.1 Usuarios
Podemos definir usuarios locales sobre la máquina para permitir / denegar el acceso a políticas.
Ejercicio :
5.2 Schedules
Los objetos programados se utilizan para limitar el uso de políticas y controlar las horas de uso de
ciertas aplicaciones. Se pueden configurar como repeticiones o de sólo una ejecución.
Página 12 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
- Nombre
- Modo : Repetitivo o sólo una ejecución.
- Horas de ejecución
Ejercicios :
- Crear varios Schedules con diferentes configuraciones horarias que se ejecuten de forma
repetitiva
- Crear varios Schedules con diferentes configuraciones horarias que se ejecuten una sola vez
Página 13 de 14
Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007
6 Políticas
Ejercicios :
Página 14 de 14