Juniper防火墻幾種常用功能的配置

這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實(shí)現(xiàn)，包括：MIP、VIP和DIP，這三種常用功能主要應(yīng)用于防火墻所保護(hù)服務(wù)器提供對(duì)外服務(wù)。

1、MIP的配置

MIP是“一對(duì)一”的雙向地址翻譯（轉(zhuǎn)換）過(guò)程。通常的情況是：當(dāng)你有若干個(gè)公網(wǎng)IP地址，又存在若干的對(duì)外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器使用私有IP地址），為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問(wèn)這些服務(wù)器，可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對(duì)一映射（MIP） ，并通過(guò)策略實(shí)現(xiàn)對(duì)服務(wù)器所提供服務(wù)進(jìn)行訪問(wèn)控制。

MIP 應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D：

“注：MIP 配置在防火墻的外網(wǎng)端口（連接Internet的端口） 。”

1.1 使用Web瀏覽器方式配置MIP

① 登錄防火墻，將防火墻部署為三層模式（NAT 或路由模式）；

② 定義 MIP： Netw ork=>Interface=>ethernet2=>MIP， 配置實(shí)現(xiàn)MIP 的地址映射。 Mapped IP：公網(wǎng)IP 地址，Host IP：內(nèi)網(wǎng)服務(wù)器IP 地址.

③ 定義策略：在 POLICY 中，配置由外到內(nèi)的訪問(wèn)控制策略，以此允許來(lái)自外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問(wèn)。

1.2 使用命令行方式配置MIP

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet2zoneuntrust
setinterfaceethernet2ip1.1.1.1/24

② 定義MIP

setinterfaceethernet2mip1.1.1.5host10.1.1.5netmask255.255.255.255vrouter
trust-vr

③ 定義策略

setpolicyfromuntrusttotrustanymip(1.1.1.5)httppermit
save

2、VIP的配置

MIP 是一個(gè)公網(wǎng) IP 地址對(duì)應(yīng)一個(gè)私有 IP 地址，是一對(duì)一的映射關(guān)系；而 VIP 是一個(gè)公網(wǎng)IP 地址的不同端口（協(xié)議端口如：21、25、110 等）與內(nèi)部多個(gè)私有 IP 地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng) IP 地址，卻擁有多個(gè)私有 IP 地址的服務(wù)器，并且，這些服務(wù)器是需要對(duì)外提供各種服務(wù)的。

VIP 應(yīng)用的拓?fù)鋱D：

“注：VIP 配置在防火墻的外網(wǎng)連接端口上（連接Internet的端口） ?！?/p>

2.1 使用Web瀏覽器方式配置VIP

① 登錄防火墻，配置防火墻為三層部署模式。

② 添加VIP：Netw ork=>Interface=>ethernet8=>VIP

③ 添加與該VIP公網(wǎng)地址相關(guān)的訪問(wèn)控制策略。

2.2 使用命令行方式配置V IP

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義VIP

setinterfaceethernet3vip1.1.1.1080http10.1.1.10

③ 定義策略

setpolicyfromuntrusttotrustanyvip(1.1.1.10)httppermit
save

“注：VIP 的地址可以利用防火墻設(shè)備的外網(wǎng)端口地址實(shí)現(xiàn)（限于低端設(shè)備）。”

3、DIP的配置

DIP 的應(yīng)用一般是在內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)方面。當(dāng)防火墻內(nèi)網(wǎng)端口部署在NAT 模式下，通過(guò)防火墻由內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)會(huì)自動(dòng)轉(zhuǎn)換為防火墻設(shè)備的外網(wǎng)端口IP 地址， 并實(shí)現(xiàn)對(duì)外網(wǎng) （互聯(lián)網(wǎng)）的訪問(wèn)，這種應(yīng)用存在一定的局限性。解決這種局限性的辦法就是DIP，在內(nèi)部網(wǎng)絡(luò)IP 地址外出訪問(wèn)時(shí)，動(dòng)態(tài)轉(zhuǎn)換為一個(gè)連續(xù)的公網(wǎng)IP 地址池中的IP 地址。

DIP 應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D：

3.1 使用Web瀏覽器方式配置DIP

① 登錄防火墻設(shè)備，配置防火墻為三層部署模式；

② 定義DIP：Network=>Interface=>ethernet3=>DIP，在定義了公網(wǎng)IP地址的untrust端口

定義IP地址池；

③ 定義策略：定義由內(nèi)到外的訪問(wèn)策略，在策略的高級(jí)（ADV）部分NAT的相關(guān)內(nèi)容中，啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的 DIP地址池，保存策略，完成配置；

策略配置完成之后擁有內(nèi)部 IP 地址的網(wǎng)絡(luò)設(shè)備在訪問(wèn)互聯(lián)網(wǎng)時(shí)會(huì)自動(dòng)從該地址池中選擇一個(gè)公網(wǎng) IP 地址進(jìn)行 NAT。

3.2 使用命令行方式配置DIP

① 配置接口參數(shù)

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義DIP

setinterfaceethernet3dip51.1.1.301.1.1.30

③ 定義策略

setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permit
save

審核編輯：湯梓紅