0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Juniper防火墙几种常用功能的配置

网络威廉希尔官方网站 干货圈 来源:网络威廉希尔官方网站 干货圈 2023-04-03 10:52 次阅读

Juniper防火墙几种常用功能的配置

这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

1、MIP的配置

MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP) ,并通过策略实现对服务器所提供服务进行访问控制。

MIP 应用的网络拓扑图:

89837592-d085-11ed-bfe3-dac502259ad0.png

“注:MIP 配置在防火墙的外网端口(连接Internet的端口) 。”

1.1 使用Web浏览器方式配置MIP

① 登录防火墙,将防火墙部署为三层模式(NAT 或路由模式);

② 定义 MIP: Netw ork=>Interface=>ethernet2=>MIP, 配置实现MIP 的地址映射。 Mapped IP:公网IP 地址,Host IP:内网服务器IP 地址.

89aefb36-d085-11ed-bfe3-dac502259ad0.png

③ 定义策略:在 POLICY 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。

89d75842-d085-11ed-bfe3-dac502259ad0.png8a00b2d2-d085-11ed-bfe3-dac502259ad0.png

1.2 使用命令行方式配置MIP

① 配置接口参数

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet2zoneuntrust
setinterfaceethernet2ip1.1.1.1/24

② 定义MIP

setinterfaceethernet2mip1.1.1.5host10.1.1.5netmask255.255.255.255vrouter
trust-vr

③ 定义策略

setpolicyfromuntrusttotrustanymip(1.1.1.5)httppermit
save

2、VIP的配置

MIP 是一个公网 IP 地址对应一个私有 IP 地址,是一对一的映射关系;而 VIP 是一个公网IP 地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 IP 地址的不同服务端口的映射关系。通常应用在只有很少的公网 IP 地址,却拥有多个私有 IP 地址的服务器,并且,这些服务器是需要对外提供各种服务的。

VIP 应用的拓扑图:

8a27ea64-d085-11ed-bfe3-dac502259ad0.png

“注:VIP 配置在防火墙的外网连接端口上(连接Internet的端口) 。”

2.1 使用Web浏览器方式配置VIP

① 登录防火墙,配置防火墙为三层部署模式。

② 添加VIP:Netw ork=>Interface=>ethernet8=>VIP

8a43e336-d085-11ed-bfe3-dac502259ad0.png

③ 添加与该VIP公网地址相关的访问控制策略。

8a710884-d085-11ed-bfe3-dac502259ad0.png

2.2 使用命令行方式配置V IP

① 配置接口参数

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定义VIP

setinterfaceethernet3vip1.1.1.1080http10.1.1.10

③ 定义策略

setpolicyfromuntrusttotrustanyvip(1.1.1.10)httppermit
save

“注:VIP 的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。”

3、DIP的配置

DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT 模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP 地址, 并实现对外网 (互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP 地址外出访问时,动态转换为一个连续的公网IP 地址池中的IP 地址。

DIP 应用的网络拓扑图:

8a893490-d085-11ed-bfe3-dac502259ad0.png

3.1 使用Web浏览器方式配置DIP

① 登录防火墙设备,配置防火墙为三层部署模式;

② 定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口

定义IP地址池;

8b448ad8-d085-11ed-bfe3-dac502259ad0.png

③ 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的 DIP地址池,保存策略,完成配置;

8b694f76-d085-11ed-bfe3-dac502259ad0.png

策略配置完成之后拥有内部 IP 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 IP 地址进行 NAT。

8b8f543c-d085-11ed-bfe3-dac502259ad0.png

3.2 使用命令行方式配置DIP

① 配置接口参数

setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24

② 定义DIP

setinterfaceethernet3dip51.1.1.301.1.1.30

③ 定义策略

setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permit
save

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9129

    浏览量

    85339
  • 防火墙
    +关注

    关注

    0

    文章

    417

    浏览量

    35608
  • MIP
    MIP
    +关注

    关注

    0

    文章

    37

    浏览量

    14054
  • Juniper
    +关注

    关注

    1

    文章

    17

    浏览量

    11567
  • 端口
    +关注

    关注

    4

    文章

    964

    浏览量

    32057

原文标题:Juniper防火墙系列-03-防火墙几种常用功能的配置

文章出处:【微信号:网络威廉希尔官方网站 干货圈,微信公众号:网络威廉希尔官方网站 干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    深信服防火墙和IR700建立IPSec VPN的配置说明

    、IR700相关配置 3、总结 Ping截图如上图所示短暂的测试认为深信服的防火墙有以下优点3.1日志较为直观,中文描述,基本可以反应问题 3.2支持较为完善的web配置界面。3.3包含行为管理
    发表于 07-26 07:43

    发现 STM32 防火墙的安全配置

    、共享执行、设置,只能在防火墙打开时才能修改,因此在推荐配置下,典型的调用门代码执行序列应如下:结论本文根据STM32参考手册, 提出了一个STM32防火墙的安全配置,可在实际STM3
    发表于 07-27 11:04

    防火墙威廉希尔官方网站

    防火墙威廉希尔官方网站 .ppt 防火墙及相关概念包过滤型防火墙代理服务型防火墙 防火墙配置分布
    发表于 06-16 23:41 0次下载

    防火墙配置

    实验十三、防火墙配置 一. 实验原理1.1 防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。网络安全威廉希尔官方网站 的主
    发表于 09-24 13:55 2154次阅读
    <b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>

    防火墙配置--过滤规则示例

    防火墙配置--过滤规则示例
    发表于 12-07 14:16 9267次阅读
    <b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>--过滤规则示例

    防火墙防火墙的渗透威廉希尔官方网站

    防火墙防火墙的渗透威廉希尔官方网站 传统的防火墙工作原理及优缺点: 1.(传统的)包过滤防火墙的工作原理   包过滤是在IP层实现的,因
    发表于 08-01 10:26 1056次阅读

    防火墙的控制端口

    防火墙的控制端口 防火墙的控制端口通常为Console端口,防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口(RS-232
    发表于 01-08 10:37 1093次阅读

    防火墙管理

     防火墙管理  防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理,管理员的行为主要包括:通过防火墙
    发表于 01-08 10:39 1340次阅读

    如何配置Cisco PIX防火墙

    如何配置Cisco PIX防火墙配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙
    发表于 01-13 13:26 584次阅读

    究竟什么是防火墙

    究竟什么是防火墙?     Q:防火墙初级入门:究竟什么是防火墙?     A:防火墙定义
    发表于 02-24 11:51 781次阅读

    什么是防火墙防火墙如何工作?

    防火墙是网络与万维网之间的关守,它位于网络的入口和出口。 它评估网络流量,仅允许某些流量进出。防火墙分析网络数据包头,其中包含有关要进入或退出网络的流量的信息。然后,基于防火墙配置
    的头像 发表于 09-30 14:35 5331次阅读

    Juniper防火墙进行配置和管理

    Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;
    的头像 发表于 03-30 10:33 3359次阅读

    Juniper防火墙IPSec VPN的配置

    Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最
    的头像 发表于 04-03 11:31 4400次阅读

    中低端防火墙的UTM功能配置

    Juniper 中低端防火墙(目前主要以 SSG 系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus)、防垃圾邮件(Anti-Spam)、U
    的头像 发表于 04-03 14:50 1616次阅读

    Juniper防火墙配置NAT映射的问题分析

    记录一下Juniper SSG或者ISG 系列防火墙配置一对多NAT映射 VIP(Viritual Internet Protocol)时碰到的一个特殊的问题, 就是在内部服务器ICMP报文被阻断
    的头像 发表于 10-29 09:55 306次阅读
    <b class='flag-5'>Juniper</b><b class='flag-5'>防火墙</b><b class='flag-5'>配置</b>NAT映射的问题分析