logo

您所在位置网站首页 > 海量文档  > 计算机 > 网络信息安全

Juniper防火墙培训材料.ppt 56页

本文档一共被下载: ,您可全文免费在线阅读后下载本文档。

  • 支付并下载
  • 收藏该文档
  • 百度一下本文档
  • 修改文档简介
全屏预览

下载提示

1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
★Network/Routing/Destination管理界面 ★ Policy/Policies管理界面 第一步:选择区域 第二步:创建策略 ★ Policies创建 ★ Policy/Policy Elements/Services/Custom对象创建 Reports/Event界面 3、Juniper 防火墙几种常用功能的配置 这里讲述的Juniper 防火墙的几种常用功能主要是指基于策略的NAT 的实现,包括:MIP、VIP 和 DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。 3.1、MIP 的配置 MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网 IP 地址,又存在若干的对外提供网络服务的服务器(服务器使用私有 IP 地址),为了实现互联网用户访问这些服务器,可在 Internet 出口的防火墙上建立公网IP 地址与服务器私有 IP 地址的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。 MIP 应用的网络拓扑图 注:MIP 配置在防火墙的外网端口(连接 Internet 的端口)。 3.1.1、使用Web 浏览器方式配置 MIP ①登录防火墙,将防火墙部署为三层模式(NAT或路由模式); ②定义 MIP:Network=>Interface=>ethernet2=>MIP,配置实现 MIP 的地址映射。Mapped IP:公网IP 地址,Host IP:内网服务器IP 地址 ③定义策略:在 POLICY 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。 3.1.2、使用命令行方式配置MIP ①配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip /24 ②定义MIP set interface ethernet2 mip host netmask 55 vrouter trust-vr ③定义策略 set policy from untrust to trust any mip() http permit ④保存 save 3.2、VIP 的配置 MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 IP 地址的不同服务端 口的映射关系。通常应用在只有很少的公网IP 地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。 VIP 应用的网络拓扑图 注:VIP 配置在防火墙的外网端口(连接 Internet 的端口)。 3.2.1、使用Web 浏览器方式配置VIP ① 登录防火墙,配置防火墙为三层部署模式。 ② 添加VIP:Network=>Interface=>ethernetX=>VIP ③ 添加与该VIP公网地址相关的访问控制策略。 3.2.2、使用命令行方式配置VIP ①配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip /24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip /24 ②定义VIP set interface ethernet3 vip 0 80 http 0 ③定义策略 set policy from untrust to trust any vip(0) http permit ④保存 save 3.3、DIP 的配置 DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP 地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是 DIP,在内部网络IP 地址外出访问时,动态转换为一个连续的公网 IP 地址池中的 IP 地址。 DIP 应用的网络拓扑图 3.3.1、使用Web 浏览器方式配置 DIP ① 登录防火墙设备,

发表评论

请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 验证码: 点击我更换图片

“原创力文档”前称为“文档投稿赚钱网”,本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。原创力文档是网络服务平台方,若您的权利被侵害,侵权客服QQ:3005833200 电话:19940600175 欢迎举报,上传者QQ群:784321556