3、Juniper防火牆幾種常用功能的配置
這裏講述的Juniper防火牆的幾種常用功能主要是指基於策略的NAT的實現,包括:MIP、VIP和DIP,這三種常用功能主要應用於防火牆所保護服務器提供對外服務。
3.1、MIP的配置
MIP是“一對一”的雙向地址翻譯(轉換)過程。通常的情況是:當你有若干個公網IP地址,又存在若干的對外提供網絡服務的服務器(服務器使用私有IP地址),爲了實現互聯網用戶訪問這些服務器,可在Internet出口的防火牆上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),並通過策略實現對服務器所提供服務進行訪問控制。
MIP應用的網絡拓撲圖:
注:MIP配置在防火牆的外網端口(連接Internet的端口)。
3.1.1、使用Web瀏覽器方式配置MIP
登錄防火牆,將防火牆部署爲三層模式(NAT或路由模式);
定義MIP:Network=>Interface=>ethernet2=>MIP,配置實現MIP的地址映射。Mapped IP:公網IP地址,Host IP:內網服務器IP地址
定義策略:在POLICY中,配置由外到內的訪問控制策略,以此允許來自外部網絡對內部網絡服務器應用的訪問。
3.1.2、使用命令行方式配置MIP
配置接口參數
set interface ethernet1 zone trust
setinterface ethernet1 ip 10.1.1.1/24
setinterface ethernet1 nat
setinterface ethernet2 zone untrust
setinterface ethernet2 ip 1.1.1.1/24
定義MIP
setinterface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr
定義策略
setpolicy from untrust to trust any mip(1.1.1.5) http permit
save
3.2、VIP的配置
MIP是一個公網IP地址對應一個私有IP地址,是一對一的映射關係;而VIP是一個公網IP地址的不同端口(協議端口如:21、25、110等)與內部多個私有IP地址的不同服務端口的映射關係。通常應用在只有很少的公網IP地址,卻擁有多個私有IP地址的服務器,並且,這些服務器是需要對外提供各種服務的。
注:VIP配置在防火牆的外網連接端口上(連接Internet的端口)。
3.2.1、使用Web瀏覽器方式配置VIP
登錄防火牆,配置防火牆爲三層部署模式。
添加VIP:Network=>Interface=>ethernet8=>VIP
添加與該VIP公網地址相關的訪問控制策略。
添加與該VIP公網地址相關的訪問控制策略。
使用命令行方式配置VIP
配置接口參數
set interfaceethernet1 zone trust
setinterface ethernet1 ip 10.1.1.1/24
setinterface ethernet1 nat
setinterface ethernet3 zone untrust
setinterface ethernet3 ip 1.1.1.1/24
定義VIP
setinterface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
定義策略
set policyfrom untrust to trust any vip(1.1.1.10) http permit
save
注:VIP的地址可以利用防火牆設備的外網端口地址實現(限於低端設備)。
3.3、DIP的配置
DIP的應用一般是在內網對外網的訪問方面。當防火牆內網端口部署在NAT模式下,通過防火牆由內網對外網的訪問會自動轉換爲防火牆設備的外網端口IP地址,並實現對外網(互聯網)的訪問,這種應用存在一定的侷限性。解決這種侷限性的辦法就是DIP,在內部網絡IP地址外出訪問時,動態轉換爲一個連續的公網IP地址池中的IP地址。
DIP應用的網絡拓撲圖:
3.3.1、使用Web瀏覽器方式配置DIP
登錄防火牆設備,配置防火牆爲三層部署模式;
定義DIP:Network=>Interface=>ethernet3=>DIP,在定義了公網IP地址的untrust端口定義IP地址池;
定義策略:定義由內到外的訪問策略,在策略的高級(ADV)部分NAT的相關內容中,啓用源地址NAT,並在下拉菜單中選擇剛剛定義好的DIP地址池,保存策略,完成配置
策略配置完成之後擁有內部IP地址的網絡設備在訪問互聯網時會自動從該地址池中選擇一個公網IP地址進行NAT。
使用命令行方式配置DIP
配置接口參數
setinterface ethernet1 zone trust
setinterface ethernet1 ip 10.1.1.1/24
setinterface ethernet1 nat
setinterface ethernet3 zone untrust
setinterface ethernet3 ip 1.1.1.1/24
定義DIP
setinterface ethernet3 dip 5 1.1.1.30 1.1.1.30
定義策略
setpolicy from trust to untrust any any http nat src dip-id 5 permit
save