Juniper防火墙几种常用功能的配置
描述
Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP) ,并通过策略实现对服务器所提供服务进行访问控制。
MIP 应用的网络拓扑图:
“注:MIP 配置在防火墙的外网端口(连接Internet的端口) 。”
1.1 使用Web浏览器方式配置MIP
① 登录防火墙,将防火墙部署为三层模式(NAT 或路由模式);
② 定义 MIP: Netw ork=>Interface=>ethernet2=>MIP, 配置实现MIP 的地址映射。 Mapped IP:公网IP 地址,Host IP:内网服务器IP 地址.
③ 定义策略:在 POLICY 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
1.2 使用命令行方式配置MIP
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip 1.1.1.1/24
② 定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
③ 定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit save
2、VIP的配置
MIP 是一个公网 IP 地址对应一个私有 IP 地址,是一对一的映射关系;而 VIP 是一个公网IP 地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 IP 地址的不同服务端口的映射关系。通常应用在只有很少的公网 IP 地址,却拥有多个私有 IP 地址的服务器,并且,这些服务器是需要对外提供各种服务的。
VIP 应用的拓扑图:
“注:VIP 配置在防火墙的外网连接端口上(连接Internet的端口) 。”
2.1 使用Web浏览器方式配置VIP
① 登录防火墙,配置防火墙为三层部署模式。
② 添加VIP:Netw ork=>Interface=>ethernet8=>VIP
③ 添加与该VIP公网地址相关的访问控制策略。
2.2 使用命令行方式配置V IP
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
② 定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③ 定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit save
“注:VIP 的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。”
3、DIP的配置
DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT 模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP 地址, 并实现对外网 (互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP 地址外出访问时,动态转换为一个连续的公网IP 地址池中的IP 地址。
DIP 应用的网络拓扑图:
3.1 使用Web浏览器方式配置DIP
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口
定义IP地址池;
③ 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的 DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部 IP 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 IP 地址进行 NAT。
3.2 使用命令行方式配置DIP
① 配置接口参数
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
② 定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③ 定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit save
审核编辑:汤梓红
-
深信服防火墙和IR700建立IPSec VPN的配置说明2024-07-26 0
-
发现 STM32 防火墙的安全配置2018-07-27 0
-
防火墙技术2009-06-16 745
-
防火墙的配置2008-09-24 2137
-
防火墙的配置--过滤规则示例2008-12-07 9239
-
谈防火墙及防火墙的渗透技术2009-08-01 1042
-
防火墙的控制端口2010-01-08 1085
-
防火墙管理2010-01-08 1335
-
如何配置Cisco PIX防火墙2010-01-13 582
-
究竟什么是防火墙?2010-02-24 773
-
什么是防火墙?防火墙如何工作?2020-09-30 5282
-
对Juniper防火墙进行配置和管理2023-03-30 3272
-
Juniper防火墙IPSec VPN的配置2023-04-03 3975
-
中低端防火墙的UTM功能配置2023-04-03 1541
-
Juniper防火墙配置NAT映射的问题分析2024-10-29 172
全部0条评论
快来发表一下你的评论吧 !
