Juniper防火墻幾種常用功能的配置

這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實現，包括：MIP、VIP和DIP，這三種常用功能主要應用于防火墻所保護服務器提供對外服務。

1、MIP的配置

MIP是“一對一”的雙向地址翻譯（轉換）過程。通常的情況是：當你有若干個公網IP地址，又存在若干的對外提供網絡服務的服務器（服務器使用私有IP地址），為了實現互聯網用戶訪問這些服務器，可在Internet出口的防火墻上建立公網IP地址與服務器私有IP地址之間的一對一映射（MIP） ，并通過策略實現對服務器所提供服務進行訪問控制。

MIP 應用的網絡拓撲圖：

“注：MIP 配置在防火墻的外網端口（連接Internet的端口） 。”

1.1 使用Web瀏覽器方式配置MIP

① 登錄防火墻，將防火墻部署為三層模式（NAT 或路由模式）；

② 定義 MIP： Netw ork=>Interface=>ethernet2=>MIP， 配置實現MIP 的地址映射。 Mapped IP：公網IP 地址，Host IP：內網服務器IP 地址.

③ 定義策略：在 POLICY 中，配置由外到內的訪問控制策略，以此允許來自外部網絡對內部網絡服務器應用的訪問。

1.2 使用命令行方式配置MIP

① 配置接口參數

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet2zoneuntrust
setinterfaceethernet2ip1.1.1.1/24

② 定義MIP

setinterfaceethernet2mip1.1.1.5host10.1.1.5netmask255.255.255.255vrouter
trust-vr

③ 定義策略

setpolicyfromuntrusttotrustanymip(1.1.1.5)httppermit
save

2、VIP的配置

MIP 是一個公網 IP 地址對應一個私有 IP 地址，是一對一的映射關系；而 VIP 是一個公網IP 地址的不同端口（協議端口如：21、25、110 等）與內部多個私有 IP 地址的不同服務端口的映射關系。通常應用在只有很少的公網 IP 地址，卻擁有多個私有 IP 地址的服務器，并且，這些服務器是需要對外提供各種服務的。

VIP 應用的拓撲圖：

“注：VIP 配置在防火墻的外網連接端口上（連接Internet的端口） 。”

2.1 使用Web瀏覽器方式配置VIP

① 登錄防火墻，配置防火墻為三層部署模式。

② 添加VIP：Netw ork=>Interface=>ethernet8=>VIP

③ 添加與該VIP公網地址相關的訪問控制策略。

2.2 使用命令行方式配置V IP

① 配置接口參數

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義VIP

setinterfaceethernet3vip1.1.1.1080http10.1.1.10

③ 定義策略

setpolicyfromuntrusttotrustanyvip(1.1.1.10)httppermit
save

“注：VIP 的地址可以利用防火墻設備的外網端口地址實現（限于低端設備）?！?/p>

3、DIP的配置

DIP 的應用一般是在內網對外網的訪問方面。當防火墻內網端口部署在NAT 模式下，通過防火墻由內網對外網的訪問會自動轉換為防火墻設備的外網端口IP 地址， 并實現對外網 （互聯網）的訪問，這種應用存在一定的局限性。解決這種局限性的辦法就是DIP，在內部網絡IP 地址外出訪問時，動態轉換為一個連續的公網IP 地址池中的IP 地址。

DIP 應用的網絡拓撲圖：

3.1 使用Web瀏覽器方式配置DIP

① 登錄防火墻設備，配置防火墻為三層部署模式；

② 定義DIP：Network=>Interface=>ethernet3=>DIP，在定義了公網IP地址的untrust端口

定義IP地址池；

③ 定義策略：定義由內到外的訪問策略，在策略的高級（ADV）部分NAT的相關內容中，啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的 DIP地址池，保存策略，完成配置；

策略配置完成之后擁有內部 IP 地址的網絡設備在訪問互聯網時會自動從該地址池中選擇一個公網 IP 地址進行 NAT。

3.2 使用命令行方式配置DIP

① 配置接口參數

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定義DIP

setinterfaceethernet3dip51.1.1.301.1.1.30

③ 定義策略

setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permit
save

審核編輯：湯梓紅