Juniper防火墙培训材料.ppt

★Network/Routing/Destination管理界面 ★ Policy/Policies管理界面 第一步：选择区域 第二步：创建策略 ★ Policies创建 ★ Policy/Policy Elements/Services/Custom对象创建 Reports/Event界面 3、Juniper 防火墙几种常用功能的配置 这里讲述的Juniper 防火墙的几种常用功能主要是指基于策略的NAT 的实现，包括：MIP、VIP 和 DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。 3.1、MIP 的配置 MIP 是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网 IP 地址，又存在若干的对外提供网络服务的服务器（服务器使用私有 IP 地址），为了实现互联网用户访问这些服务器，可在 Internet 出口的防火墙上建立公网IP 地址与服务器私有 IP 地址的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。 MIP 应用的网络拓扑图 注：MIP 配置在防火墙的外网端口（连接 Internet 的端口）。 3.1.1、使用Web 浏览器方式配置 MIP ①登录防火墙，将防火墙部署为三层模式（NAT或路由模式）； ②定义 MIP：Network=>Interface=>ethernet2=>MIP，配置实现 MIP 的地址映射。Mapped IP：公网IP 地址，Host IP：内网服务器IP 地址 ③定义策略：在 POLICY 中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。 3.1.2、使用命令行方式配置MIP ①配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip /24 ②定义MIP set interface ethernet2 mip host netmask 55 vrouter trust-vr ③定义策略 set policy from untrust to trust any mip() http permit ④保存 save 3.2、VIP 的配置 MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端口（协议端口如：21、25、110 等）与内部多个私有 IP 地址的不同服务端 口的映射关系。通常应用在只有很少的公网IP 地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。 VIP 应用的网络拓扑图 注：VIP 配置在防火墙的外网端口（连接 Internet 的端口）。 3.2.1、使用Web 浏览器方式配置VIP ① 登录防火墙，配置防火墙为三层部署模式。 ② 添加VIP：Network=>Interface=>ethernetX=>VIP ③ 添加与该VIP公网地址相关的访问控制策略。 3.2.2、使用命令行方式配置VIP ①配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip /24 ②定义VIP set interface ethernet3 vip 0 80 http 0 ③定义策略 set policy from untrust to trust any vip(0) http permit ④保存 save 3.3、DIP 的配置 DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP 地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是 DIP，在内部网络IP 地址外出访问时，动态转换为一个连续的公网 IP 地址池中的 IP 地址。 DIP 应用的网络拓扑图 3.3.1、使用Web 浏览器方式配置 DIP ① 登录防火墙设备，