Juniper-SRX-基于域控认证的用户防火墙

已于 2022-07-06 17:13:20 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: Juniper 文章标签: 网络安全 网络
于 2022-07-06 13:02:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yuechunqiqiqi/article/details/125595445
版权

目录

1:架构与环境说明

2:防火墙基础配置

3:Win-server部署

4:SRX-加域流量放行

5:Client相关域设置

6:Win-server联动SRX的相关设置

7:SRX-外部Server配置

8:SRX域控认证策略

9:配置访客用户认证策略

10:注意事项

1:架构与环境说明

环境说明(当前SRX版本为20.4R2.7)
Win7-client为SRX的office区域,即日常客户端办公区域
Win-Server为SRX的dmz区域,即内部服务器所在区域
ISP线路即为SRX的untrust区域

    随着如今网络安全的大范围普及,企业管理者对于网管安全也越来越重视,对于一些敏感企业而言,公司内部的网络安全极其重要,这就像我们日常的出入一些敏感场所,例如飞机场,高铁站,进出这些敏感场所必须携带身份证等类似证件,能够证明你的合法身份,而对于网络安全而言,最基本的安全就是接入认证,对于接入到该网络的终端设备进行认证,保证接入终端的合法性,避免非法终端带来的风险,基于SRX,根据下方模拟的用户需求,展开本次测试。

某公司需求
1:对于接入到该公司网络的终端,需要进行认证后才能通过该网络去访问internet资源。
2:对于公司内部员工,采用联动外部Server的方式进行域用户认证。
3:对于访客用户,采用portal的方式进行认证,认证的信息为防火墙本地。

2:防火墙基础配置

创建zone

set security zones security-zone office
set security zones security-zone dmz
set security zones security-zone untrust

接口配置

set interfaces ge-0/0/0 unit 0 family inet 192.168.59.72/24
set interfaces ge-0/0/1 unit 0 family inet address 192.168.24.1/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.20.2/24

接口加zone,进行区域划分,由于是测试,zone之间的https https等就全放行了,实际环境要要个根据需求来。

set security zones security-zone office host-inbound-traffic system-services all
set security zones security-zone office host-inbound-traffic protocols all
set security zones security-zone office interfaces ge-0/0/1.0
set security zones security-zone dmz host-inbound-traffic system-services ping
set security zones security-zone dmz interfaces ge-0/0/2.0
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces ge-0/0/0.0

source-nat

set security nat source rule-set internet from zone office
set security nat source rule-set internet to zone untrust
set security nat source rule-set internet rule 1 match source-address 192.168.24.0/24
set security nat source rule-set internet rule 1 then source-nat interface

缺省路由 

set routing-options static route 0.0.0.0/0 next-hop 192.168.59.253

SRX的DNS

set system name-server 114.114.114.114

地址对象(个人就习惯叫地址本)
安全策略中需要调用的地址组,一种是基于全局的,即所有zone都能调用,一种是基于zone的,只能在单个zone里创建并调用。
该命令中的两个 192.168.24.0/24,前者为对象名称,后者为具体的IP地址或网段

set security address-book global address 192.168.24.0/24 192.168.24.0/24

安全策略

set security policies from-zone office to-zone untrust policy internet match source-address 192.168.24.0/24
set security policies from-zone office to-zone untrust policy internet match destination-address any
set security policies from-zone office to-zone untrust policy internet match application any
set security policies from-zone office to-zone untrust policy internet then permit

上述配置完成后,即能实现最基本的访问internet的需求。

 防火墙也已经查看到相关session

Session ID: 3593, Policy name: ADuser/4, Timeout: 1762, Valid
  In: 192.168.24.2/49227 --> 183.136.216.38/443;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 11, Bytes: 1366,
  Out: 183.136.216.38/443 --> 192.168.59.76/16777;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 23, Bytes: 24942,

3:Win-server部署

1:在服务器管理器中安装AD域控服务,服务地址池,选择你域控服务的IP地址,前面的开始之前和安装类型直接下一步即可。

 2:选择AD域服务,下一步的功能和AD DS也可直接跳过

 3:勾选自动重启,点击安装

最低0.47元/天 解锁文章
J-姓岳不姓丘
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙智能分析工具(juniper srx
huybuser1的博客
12-09 3269
防火墙策略梳理及转换工具随便说说SRX配置文件分析及数据结构选则策略规则转表思路及实现过程功能展示策略和nat梳理表格输出配置文件转换 随便说说 防火墙作为网络安全的第一道防线,在网络中的地位是毋庸置疑的。防火墙自上线以来,其策略数量随着业务量增长日益增加,很多时候运维人员需要对现网的策略做些优化和梳理工作,了解墙的线上配置都开了哪些策略,这些策略都放行了什么IP的什么端口;又或者领导让出一下关于...
Juniper SRX300系列 —— 防火墙PPPOE配置详解
茉清语
09-04 465
PPPoE是以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。本质上,它是一个允许在以太网广播域中的两个以太网接口间创建点对点隧道的协议。它使用传统的基于PPP的软件来管理一个不是使用串行线路而是使用类似于以太网的有向分组网络的连接。
网络认证:一文带你了解Juniper认证体系!
网络技术联盟站
04-24 679
你好,这里是网络技术联盟站,我是瑞哥。在公众号后台,有粉丝留言想要我介绍一下Juniper认证,本文瑞哥带大家好好了解一下。Juniper Networks 是一家全球领先的网络设备和解决方案提供商,总部位于美国加州。该公司成立于 1996 年,致力于为全球企业、服务提供商和政府机构提供高性能的网络设备、软件和服务。Juniper Networks 的产品和解决方案涵盖了网络路由器、交换机、安全设备、软件定义网络 (SDN)、云计算等领域,为客户提供了高效、安全和可靠的网络基础设施。
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 1757
直接上配置,IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
域控环境下开启防火墙
qq_42890862的博客
01-05 1885
1、 在服务器上,打开注册表 2、 在注册表内找到HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ WindowsFirewall,将其删除(删除前记得备份,防止出问题时还原) 3、重启防火墙服务(点击管理) 4、 此时可以开启防火墙 ...
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
今天是几号的博客
03-12 1591
代理:流量转发至跳板机,可以是服务器或者肉鸡,最主要的特征是,无论代理后面挂了几个设备,代理对外只表现为一个设备。隧道:是通过特定的通讯方法,直接找到这个目标reverse_tcp:反向 后门主动连接自己服务器 目标防火墙 出bind_tcp:正向 自己服务器主动连接后门 目标防火墙 入。
Juniper-SRX防火墙Web配置手册.doc
12-04
Juniper-SRX防火墙Web配置手册.doc
Juniper-SRX防火墙Web配置说明.pdf
11-11
Juniper-SRX防火墙Web配置说明.pdf
Manual-Webfiltering-Juniper-SRX
最新发布
05-29
Manual_Webfiltering_Juniper_SRX
Juniper-SRX防火墙Web配置说明.doc
02-15
Juniper-SRX防火墙Web配置说明.doc
Juniper-SRX-防火墙配置管理手册.doc
11-05
Juniper-SRX-防火墙配置管理手册.doc
Juniper认证指南
09-25
Juniper认证指南 中文 一套Juniper的真题
部署Juniper vSRX 模拟器 模拟Juniper SRX 设备教学
06-30
部署Juniper vSRX 模拟器 是模拟Juniper SRX 设备的 也可以当路由器来模拟 需要用VMware 打开 文件名称:junos vsrx 12 1X44 D10 4 domestic ova 212MB 可以采用VMware vSphere 环境下模拟 vSphere包含VMware ESXi 服务器端 和VMware vSphere Client 客户端 模拟采用在VMware Workstation 软件上安装VMware ESXi 服务器端 然后使用VMware vSphere Client 客户端 登陆ESXi 服务器端 再导入junos vsrx 12 1X44 D10 4 domestic ova部署Juniper vSRX 模拟器 ">部署Juniper vSRX 模拟器 是模拟Juniper SRX 设备的 也可以当路由器来模拟 需要用VMware 打开 文件名称:junos vsrx 12 1X44 D10 4 domestic ova 212MB 可以采用VMware vSphere 环境下模拟 vSphere包含VMware ESXi 服务器端 和VMware vSphere Client 客户端 [更多]
JuniperSRX系列防火墙最全的中文配置手册
02-13
JuniperSRX系列防火墙最全的中文配置手册,涵盖了SRX防火墙所有功能CLI配置语句
WINDOWS 2003 SP2域控制器防火墙配置
07-22
如果域成员需要跨防火墙域控联系,加入域中,需要开放哪些策略。
juniper SRX防火墙配置详解
热门推荐
qq_22193519的博客
10-23 2万+
一、JUNOS 操作系统介绍 JUNOS 集成了路由、交换、安全性和一系列丰富的网络服务。目前 Juniper 公司的全系列路由器产品、交换机产品和 SRX 安全产品均采用统一源代码的 JUNOS 操作系统,JUNOS 是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统,支持 CLI 命令行和 WEBUI 两种设...
Juniper SRX 简单命令一
Tyrant的博客
07-04 2万+
Juniper为人所熟悉的一定是从netscreen开始的,作为一线防火墙品牌,还是有很高的地位。但是以前玩netscreen,都是用的网页版去配置,而且网页版做得很不错。但是现在netscreen要开始淘汰,取而代之的是SRX系列防火墙,这个家伙的网页版就是个渣,没事卡一下已经算是客气的了,很有可能卡完以后,他就再也进不去了,必须去重启这个进程,而且页面逻辑性极差,所以我也开始了SRX命令配置的
咋搭建域控服务器,Active Directory虚拟机搭建域控服务器环境
weixin_39699912的博客
07-31 1788
前言还是和上一章一样,痛苦过后还是记录下给后来人提供便利为妙。虚拟机选择:建议Hyper-V或者VMware系统选择:建议WIindows Server 2003及以上我这里是使用VMware Workstation Pro,Windows server 2012 R2系统。虚拟机网络的配置1.查看VMware【虚拟网络编辑器】,主要查看【NAT模式】。我这里:NAT模式,VMnet8网络,IP:...
Juniper SD-WAN解决方案文档
06-02
通过与友商对比,Juniper的SD-WAN解决方案在提高网络效率、降低成本和提升用户体验方面具有明显的优势。典型场景包括企业广域网,其中SD-WAN解决方案可以提供短期铺开全网,并且在网络波动导致服务中断时能够进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值