Juniper防火墻幾種常用功能的配置

這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實現(xiàn)，包括：MIP、VIP和DIP，這三種常用功能主要應(yīng)用于防火墻所保護(hù)服務(wù)器提供對外服務(wù)。

1、MIP的配置

MIP是“一對一”的雙向地址翻譯（轉(zhuǎn)換）過程。通常的情況是：當(dāng)你有若干個公網(wǎng)IP地址，又存在若干的對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器使用私有IP地址），為了實現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務(wù)器，可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對一映射（MIP） ，并通過策略實現(xiàn)對服務(wù)器所提供服務(wù)進(jìn)行訪問控制。

MIP 應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D：

“注：MIP 配置在防火墻的外網(wǎng)端口（連接Internet的端口） ?！?/p>

1.1 使用Web瀏覽器方式配置MIP

① 登錄防火墻，將防火墻部署為三層模式（NAT 或路由模式）；

② 定義 MIP： Netw ork=>Interface=>ethernet2=>MIP， 配置實現(xiàn)MIP 的地址映射。 Mapped IP：公網(wǎng)IP 地址，Host IP：內(nèi)網(wǎng)服務(wù)器IP 地址.

③ 定義策略：在 POLICY 中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問。

1.2 使用命令行方式配置MIP

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet2zoneuntrust
setinterfaceethernet2ip1.1.1.1/24

② 定義MIP

setinterfaceethernet2mip1.1.1.5host10.1.1.5netmask255.255.255.255vrouter
trust-vr

③ 定義策略

setpolicyfromuntrusttotrustanymip(1.1.1.5)httppermit
save

2、VIP的配置

MIP 是一個公網(wǎng) IP 地址對應(yīng)一個私有 IP 地址，是一對一的映射關(guān)系；而 VIP 是一個公網(wǎng)IP 地址的不同端口（協(xié)議端口如：21、25、110 等）與內(nèi)部多個私有 IP 地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng) IP 地址，卻擁有多個私有 IP 地址的服務(wù)器，并且，這些服務(wù)器是需要對外提供各種服務(wù)的。

VIP 應(yīng)用的拓?fù)鋱D：

“注：VIP 配置在防火墻的外網(wǎng)連接端口上（連接Internet的端口） ?！?/p>

2.1 使用Web瀏覽器方式配置VIP

① 登錄防火墻，配置防火墻為三層部署模式。

② 添加VIP：Netw ork=>Interface=>ethernet8=>VIP

③ 添加與該VIP公網(wǎng)地址相關(guān)的訪問控制策略。

2.2 使用命令行方式配置V IP

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義VIP

setinterfaceethernet3vip1.1.1.1080http10.1.1.10

③ 定義策略

setpolicyfromuntrusttotrustanyvip(1.1.1.10)httppermit
save

“注：VIP 的地址可以利用防火墻設(shè)備的外網(wǎng)端口地址實現(xiàn)（限于低端設(shè)備）?！?/p>

3、DIP的配置

DIP 的應(yīng)用一般是在內(nèi)網(wǎng)對外網(wǎng)的訪問方面。當(dāng)防火墻內(nèi)網(wǎng)端口部署在NAT 模式下，通過防火墻由內(nèi)網(wǎng)對外網(wǎng)的訪問會自動轉(zhuǎn)換為防火墻設(shè)備的外網(wǎng)端口IP 地址， 并實現(xiàn)對外網(wǎng) （互聯(lián)網(wǎng)）的訪問，這種應(yīng)用存在一定的局限性。解決這種局限性的辦法就是DIP，在內(nèi)部網(wǎng)絡(luò)IP 地址外出訪問時，動態(tài)轉(zhuǎn)換為一個連續(xù)的公網(wǎng)IP 地址池中的IP 地址。

DIP 應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D：

3.1 使用Web瀏覽器方式配置DIP

① 登錄防火墻設(shè)備，配置防火墻為三層部署模式；

② 定義DIP：Network=>Interface=>ethernet3=>DIP，在定義了公網(wǎng)IP地址的untrust端口

定義IP地址池；

③ 定義策略：定義由內(nèi)到外的訪問策略，在策略的高級（ADV）部分NAT的相關(guān)內(nèi)容中，啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的 DIP地址池，保存策略，完成配置；

策略配置完成之后擁有內(nèi)部 IP 地址的網(wǎng)絡(luò)設(shè)備在訪問互聯(lián)網(wǎng)時會自動從該地址池中選擇一個公網(wǎng) IP 地址進(jìn)行 NAT。

3.2 使用命令行方式配置DIP

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義DIP

setinterfaceethernet3dip51.1.1.301.1.1.30

③ 定義策略

setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permit
save

審核編輯：湯梓紅