防火墙配置vip.doc

Netscreen 配置 VIP writer: demonalex[at]dark2s[dot]org NS 设备默认有三种 NAT 方式：DIP、MIP、VIP。其中： DIP 用于针对 NAT-scr 方式的地址映射（连接发起端的 NAT 方式）； MIP 用于针对主机地址的映射； VIP 用于针对服务的映射。 本文的主要内容是针对 VIP 的映射方式进行下面的叙述的。 实验设备： 端口配置： ns204- get int all box is not in pure_l2_mode A - Active, I - Inactive, U - Up, D - Down, R - Ready Total interface: 13 Name IP Address Zone MAC VLAN State VSD eth1 /0 Trust 0012.1ea0.0ae0 - D - eth2 /24 Untrust 0012.1ea0.0ae5 - U - eth3 /0 Untrust 0012.1ea0.0ae6 - D - eth4 /24 Trust 0012.1ea0.0ae7 - U - vlan1 /0 VLAN 0012.1ea0.0aef 1 D -  具体操作步骤： 1）首先登陆 WEB UI，进入 Network-Interfaces 界面： 2）选定 Untrust 区域的网络接口—本例是 eth2，进入其 Basic 页面： 3）切换至 VIP 分页，在 Virtual IP Address 栏输入 VIP NAT 后的地址（注意：这个地址一定  要与你的 NAT 出口同一网段，但系统默认不支持使用与 NAT 出口同一地址，具体内容请参 照本文最后的“小技巧”部分），本例使用的是 ，按 Add 按钮添加： 4）添加完成后可以在主页面偏下方看到我们添加的 VIP 记录，设置 VIP---在主页面右上角 有一个 New VIP Service 的按钮，点击它…  5）在 Virtual IP 中选定我们刚新建好的、VIP NAT 后的地址；Virtual Port 中输入 VIP NAT 后的传输层端口；Map to Service 是我们需要映射的传输层端口（这个可以在 NetScreen 设备 的 Objects-Services-Custom 中自行定义）；Map to IP 中输入我们要映射的主机 IP 地址； Server Auto Detection 用于防火墙以 PING 的方式检测该 Map to IP 的主机是否‘存在’的功 能（作用不大…）；按 OK 按钮进入下一步操作… 6）现在我们回到 VIP 的主界面后就可以观赏到一条完整的 VIP 记录了：  7）建立了 VIP 后需要定义一条策略使其生效，进入 Policies 页面，建立一条 Untrust 到 Global 的 策 略 ： Source Address=Any ； Destination Address=VIP() ； Service=Any ； Application=None；Action=Permit；（忽略其它通用的选项）… 8）建立后我们可以在 Policies 主界面看到该策略：  9）现在我们重新回到 eth2 的 VIP 界面，可以看到我们原来新建的那条 VIP 记录的 Status 了 吧？? 下面提供一个我在项目实施中的具体案例：  拓扑： cfg 配置： set clock timezone 0 set vrouter trust-vr sharable unset vrouter trust-vr auto-route-export set service 20 protocol tcp src-port 0-65535 dst-port 20-20 set service 21 protocol tcp src-port 0-65535 dst-port 21-21 set service 8023 protocol tcp src-port 0-65535 dst-port 8023-8023 set service 80 protocol tcp src-port 0-65535 dst-port 80-80 set service 80 + udp src-port 0-65535 dst-port 80-80 set service 6633 protocol tcp src-port 0-65535 dst-port 6633-6633 set service 6633 + udp src-port 0-65535 dst-port 6633-6633 set service