3Juniper防火墙几种常用功能的配置

这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIPVIPDIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

3.1MIP的配置

MIP一对一的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。

MIP应用的网络拓扑图:

注:MIP配置在防火墙的外网端口(连接Internet的端口)。

juniper配置MIP/VIP/DIP_第1张图片

3.1.1、使用Web浏览器方式配置MIP

     登录防火墙,将防火墙部署为三层模式(NAT或路由模式);

     定义MIPNetwork=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射。Mapped IP:公网IP地址,Host IP:内网服务器IP地址

juniper配置MIP/VIP/DIP_第2张图片

 

     定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。

juniper配置MIP/VIP/DIP_第3张图片

3.1.2、使用命令行方式配置MIP

 配置接口参数

set interface ethernet1 zone trust

setinterface ethernet1 ip 10.1.1.1/24

setinterface ethernet1 nat

setinterface ethernet2 zone untrust

setinterface ethernet2 ip 1.1.1.1/24

定义MIP

setinterface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr

定义策略

setpolicy from untrust to trust any mip(1.1.1.5) http permit

save

 

3.2VIP的配置

MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。

juniper配置MIP/VIP/DIP_第4张图片

注:VIP配置在防火墙的外网连接端口上(连接Internet的端口)。

3.2.1、使用Web浏览器方式配置VIP

     登录防火墙,配置防火墙为三层部署模式。

         添加VIPNetwork=>Interface=>ethernet8=>VIP

     添加与该VIP公网地址相关的访问控制策略。

 


juniper配置MIP/VIP/DIP_第5张图片

juniper配置MIP/VIP/DIP_第6张图片


添加与该VIP公网地址相关的访问控制策略。

juniper配置MIP/VIP/DIP_第7张图片

使用命令行方式配置VIP

 配置接口参数

set interfaceethernet1 zone trust

setinterface ethernet1 ip 10.1.1.1/24

setinterface ethernet1 nat

setinterface ethernet3 zone untrust

setinterface ethernet3 ip 1.1.1.1/24

定义VIP

setinterface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

定义策略

set policyfrom untrust to trust any vip(1.1.1.10) http permit

save

 

注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。

 

3.3DIP的配置

DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。

DIP应用的网络拓扑图:

 

 

0.png?responseCacheControl=max-age%3D388


 


 

 

 

3.3.1、使用Web浏览器方式配置DIP

      登录防火墙设备,配置防火墙为三层部署模式;

      定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;

 

juniper配置MIP/VIP/DIP_第8张图片

 

 

 

 

     定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置

 

juniper配置MIP/VIP/DIP_第9张图片

策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT

juniper配置MIP/VIP/DIP_第10张图片

 

 

使用命令行方式配置DIP

 配置接口参数

setinterface ethernet1 zone trust

setinterface ethernet1 ip 10.1.1.1/24

setinterface ethernet1 nat

setinterface ethernet3 zone untrust

setinterface ethernet3 ip 1.1.1.1/24

定义DIP

setinterface ethernet3 dip 5 1.1.1.30 1.1.1.30

定义策略

setpolicy from trust to untrust any any http nat src dip-id 5 permit

save