Juniper防火墙几种常用功能的配置
juniper防火墙几种常用功能的配置
这里讲述的juniper防火墙的几种常用功能主要是指基于策略的nat的实现,包括:mip、vip和dip,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
1、mip的配置
mip是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网ip地址,又存在若干的对外提供网络服务的服务器(服务器使用私有ip地址),为了实现互联网用户访问这些服务器,可在internet出口的防火墙上建立公网ip地址与服务器私有ip地址之间的一对一映射(mip) ,并通过策略实现对服务器所提供服务进行访问控制。
mip 应用的网络拓扑图:
“注:mip 配置在防火墙的外网端口(连接internet的端口) 。”
1.1 使用web浏览器方式配置mip
① 登录防火墙,将防火墙部署为三层模式(nat 或路由模式);
② 定义 mip: netw ork=>interface=>ethernet2=>mip, 配置实现mip 的地址映射。 mapped ip:公网ip 地址,host ip:内网服务器ip 地址.
③ 定义策略:在 policy 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
1.2 使用命令行方式配置mip
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24
② 定义mip
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr
③ 定义策略
set policy from untrust to trust any mip(1.1.1.5) http permitsave
2、vip的配置
mip 是一个公网 ip 地址对应一个私有 ip 地址,是一对一的映射关系;而 vip 是一个公网ip 地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 ip 地址的不同服务端口的映射关系。通常应用在只有很少的公网 ip 地址,却拥有多个私有 ip 地址的服务器,并且,这些服务器是需要对外提供各种服务的。
vip 应用的拓扑图:
“注:vip 配置在防火墙的外网连接端口上(连接internet的端口) 。”
2.1 使用web浏览器方式配置vip
① 登录防火墙,配置防火墙为三层部署模式。
② 添加vip:netw ork=>interface=>ethernet8=>vip
③ 添加与该vip公网地址相关的访问控制策略。
2.2 使用命令行方式配置v ip
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
② 定义vip
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③ 定义策略
set policy from untrust to trust any vip(1.1.1.10) http permitsave
“注:vip 的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。”
3、dip的配置
dip 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在nat 模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口ip 地址, 并实现对外网 (互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是dip,在内部网络ip 地址外出访问时,动态转换为一个连续的公网ip 地址池中的ip 地址。
dip 应用的网络拓扑图:
3.1 使用web浏览器方式配置dip
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义dip:network=>interface=>ethernet3=>dip,在定义了公网ip地址的untrust端口
定义ip地址池;
③ 定义策略:定义由内到外的访问策略,在策略的高级(adv)部分nat的相关内容中,启用源地址nat,并在下拉菜单中选择刚刚定义好的 dip地址池,保存策略,完成配置;
策略配置完成之后拥有内部 ip 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 ip 地址进行 nat。
3.2 使用命令行方式配置dip
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
② 定义dip
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③ 定义策略
set policy from trust to untrust any any http nat src dip-id 5 permitsave
中国移动7月1日起取消流量"漫游"费
应用这4个方面对大数据进行阐述
储能系统有哪些 储能系统的功率和容量
哪款蓝牙耳机好用?推荐四款高性价比的蓝牙耳机
阿里云成为Hyperledger超级账本全球会员,发力区块链生态建设
Juniper防火墙几种常用功能的配置
上海首家第三方整车OTA测试实验室携手MVG 填补智能网联汽车测试领域空白
Android电源管理基础知识介绍
SCL问题:CASE指令如何实现顺控功能?
工业码垛机器人自动装箱码垛工作站
雄安新区智能城市建设标准体系框架和第一批标准成果正式发布
金士顿展示两款32GB单条笔记本内存条,与最新的AMD和Intel平台兼容
新晋网红阿尔法机器狗
小米6什么时候上市?小米6最新消息:小米6手机明天发布 现货600万台不用抢购
PCB电路板菲林线路短路的改善措施介绍
TCL在MWC上演示双内折柔性屏概念机
世强与泰高签署代理协议 满足市场对氮化镓充电器的需求
LibreOffice 7.4.4 发布,Microsoft Office强大替代
专核专用 联发科提前布局AI
PA放大芯片-AT2401C功能简介
这里讲述的juniper防火墙的几种常用功能主要是指基于策略的nat的实现,包括:mip、vip和dip,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
1、mip的配置
mip是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网ip地址,又存在若干的对外提供网络服务的服务器(服务器使用私有ip地址),为了实现互联网用户访问这些服务器,可在internet出口的防火墙上建立公网ip地址与服务器私有ip地址之间的一对一映射(mip) ,并通过策略实现对服务器所提供服务进行访问控制。
mip 应用的网络拓扑图:
“注:mip 配置在防火墙的外网端口(连接internet的端口) 。”
1.1 使用web浏览器方式配置mip
① 登录防火墙,将防火墙部署为三层模式(nat 或路由模式);
② 定义 mip: netw ork=>interface=>ethernet2=>mip, 配置实现mip 的地址映射。 mapped ip:公网ip 地址,host ip:内网服务器ip 地址.
③ 定义策略:在 policy 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
1.2 使用命令行方式配置mip
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24
② 定义mip
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr
③ 定义策略
set policy from untrust to trust any mip(1.1.1.5) http permitsave
2、vip的配置
mip 是一个公网 ip 地址对应一个私有 ip 地址,是一对一的映射关系;而 vip 是一个公网ip 地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 ip 地址的不同服务端口的映射关系。通常应用在只有很少的公网 ip 地址,却拥有多个私有 ip 地址的服务器,并且,这些服务器是需要对外提供各种服务的。
vip 应用的拓扑图:
“注:vip 配置在防火墙的外网连接端口上(连接internet的端口) 。”
2.1 使用web浏览器方式配置vip
① 登录防火墙,配置防火墙为三层部署模式。
② 添加vip:netw ork=>interface=>ethernet8=>vip
③ 添加与该vip公网地址相关的访问控制策略。
2.2 使用命令行方式配置v ip
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
② 定义vip
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③ 定义策略
set policy from untrust to trust any vip(1.1.1.10) http permitsave
“注:vip 的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。”
3、dip的配置
dip 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在nat 模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口ip 地址, 并实现对外网 (互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是dip,在内部网络ip 地址外出访问时,动态转换为一个连续的公网ip 地址池中的ip 地址。
dip 应用的网络拓扑图:
3.1 使用web浏览器方式配置dip
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义dip:network=>interface=>ethernet3=>dip,在定义了公网ip地址的untrust端口
定义ip地址池;
③ 定义策略:定义由内到外的访问策略,在策略的高级(adv)部分nat的相关内容中,启用源地址nat,并在下拉菜单中选择刚刚定义好的 dip地址池,保存策略,完成配置;
策略配置完成之后拥有内部 ip 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 ip 地址进行 nat。
3.2 使用命令行方式配置dip
① 配置接口参数
set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
② 定义dip
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③ 定义策略
set policy from trust to untrust any any http nat src dip-id 5 permitsave
中国移动7月1日起取消流量"漫游"费
应用这4个方面对大数据进行阐述
储能系统有哪些 储能系统的功率和容量
哪款蓝牙耳机好用?推荐四款高性价比的蓝牙耳机
阿里云成为Hyperledger超级账本全球会员,发力区块链生态建设
Juniper防火墙几种常用功能的配置
上海首家第三方整车OTA测试实验室携手MVG 填补智能网联汽车测试领域空白
Android电源管理基础知识介绍
SCL问题:CASE指令如何实现顺控功能?
工业码垛机器人自动装箱码垛工作站
雄安新区智能城市建设标准体系框架和第一批标准成果正式发布
金士顿展示两款32GB单条笔记本内存条,与最新的AMD和Intel平台兼容
新晋网红阿尔法机器狗
小米6什么时候上市?小米6最新消息:小米6手机明天发布 现货600万台不用抢购
PCB电路板菲林线路短路的改善措施介绍
TCL在MWC上演示双内折柔性屏概念机
世强与泰高签署代理协议 满足市场对氮化镓充电器的需求
LibreOffice 7.4.4 发布,Microsoft Office强大替代
专核专用 联发科提前布局AI
PA放大芯片-AT2401C功能简介