Junipe防火墙操作手册-地址映射.docxVIP

— — — — Juniper防火墙操作手册 一、映射步骤 (1 ) MIP MIP (Mapped IP )是“一对一”的双向地址翻译(转换)过程。通常的情况是：当 你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器，为了实现互联网用户 访问这些服务器，可在 Internet出口的防火墙上建立公网 IP地址与服务器私有IP地址之 间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。 1、在 Network=Interface 界面下选择 Untrust 接口，点击 edit ,进入编辑界面后上方 点击MIP 2、选择右上角的“ new ?ce5 : Interface: ethernetD/2 ([P/l\Jetmask Properties; Haste viip 圆力 丫史 1GMP M阳血@! S02,1X LiuSTiP Mapped IP Host IP \ Netm^^k [255.2S5.25E.25S Host Virtual Router Mame [trust-*vc ▼二 OK Cancel Mapped IP :公网IP地址 Host IP :内网服务器IP地址 （在POLICY中，配置由外到内的访问控制策略， 以此允许来自外部网络对内部网络服务器 应用的访问） — — Mfime (optional) Mfime (optional) Source AddressDestination AddressService「New Address [ _ 飒 Source Address Destination Address Service 国 Address Bsok Entry3 —吧!卬？ 「New Address f \ G Address Book Entry ]M1P(123.121 21. 3) H Multip厄 | [AHY Multiple Application [Mono j￡| V WEB Filtering Action [permn v] LiuSuPing^.com Turin f Modify matching bidinectiorial VPN policy L2TP | 布ne，| Lodging 厂 3t Session Beginning 厂 Position at Top 厂 Untrust 的源地址选择any trust的目的地址选择刚才建立的 MIP action 选择 permit 这样一个简单的 MIP就建立好了，通过访问 MIP的外网IP防火墙就会自动映射到 MIP指 定内网IP的服务器上了。 (2) vip VIP是一个公网IP地址的不同端口(协议端口如： 23、80、110等)与内部多个私有 IP地址的不同服务端口的映射关系。通常应用在只有很少的公网 IP地址，却拥有多个私有 IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。 1、在 Network=Interface 界面下选择 Untrust接口，点击 edit ,进入编辑界面后上方 点击VIP Same as the interface IP address 如果你只有一个外网 IP地址，那就只能选这个了。需 要注意白^是该ip的80、23、443端口默认情况是给防火墙占用了， 如果要将这几个端口映 射给内网服务器则需要修改防火墙的管理端口，将这些端口让出了。 Virtual IP Address 是用在有多的ip ,那就可以在这里填一个 ip 了。 2、点击“ new VIP services ”建过沪徽射 Server Anta DetectionR EnableOK ]Cancel Server Anta Detection R Enable OK ] Cancel Virtual Port 是外网访问的端口，这里可以随便填，没冲突就行了 Map to Service 是对于内网服务的端口号，可以自定义的 Server Auto Detection 建议不要打钩，不然比较容易出错。 （最后建立一条策略允许外网对 VIP对应的服务器进行访问） — — — — Untrust 端的源地址为any trust的目的地址为新建的 VIP地址 action 为允许 这样一个简单的 VIP就建立好了，通过访问 VIP的外网IP+端口号防火墙就会自动映射到 VIP指定内网IP的服务器上了。 二、策略步骤 1、点击左边视图的 Policy — — Home + Con figuration + IJetwork , Security -Policy Policies MCast Policies [-Policy E emerits + VPMs 白 O