Juniper防火墻連網(wǎng)端口映射

Junipernetscreen防火墻培訓(xùn)

課程目標(biāo)NS防火墻部署方式介紹，部署方式主要有以下幾種1、路由模式2、透明模式3、混合模式〔1、2兩種模式的結(jié)合〕內(nèi)網(wǎng)各種應(yīng)用效勞器〔WEB、ERP、EMAIL〕的發(fā)布1、MIP、VIP、DIP2、訪問應(yīng)用效勞器的平安策略路由模式防火墻最常用的一種部署方式，主要是取代原有網(wǎng)絡(luò)中的網(wǎng)關(guān)路由器。如圖：防火墻部署方式一、路由模式原網(wǎng)絡(luò)環(huán)境架墻之后的拓?fù)銼WROUTE內(nèi)網(wǎng)PCFWSW內(nèi)網(wǎng)PCNAT轉(zhuǎn)換路由模式的配置步驟第一步、配置防火墻的接口地址第二步、配置防火墻的缺省路由第三步、配置防火墻平安策略下面以截圖具體說明網(wǎng)絡(luò)拓?fù)銭0/0E0/2接口地址一覽表(初始)編輯缺省外網(wǎng)接口配置缺省外網(wǎng)接口IP及管理項(xiàng)配置靜態(tài)公網(wǎng)IP公網(wǎng)遠(yuǎn)程管理開關(guān)選擇管理項(xiàng)外網(wǎng)口為ROUTE內(nèi)網(wǎng)口為NAT內(nèi)外網(wǎng)接口配置完成后一覽表路由一覽表添加路由條目按鍵添加缺省路由缺省路由配置格式防火墻互聯(lián)網(wǎng)網(wǎng)關(guān)地址選擇外網(wǎng)接口添加缺省路由后路由表創(chuàng)立Trust-Untrust區(qū)域策略源區(qū)域目的區(qū)域創(chuàng)立創(chuàng)立TrustUntrust區(qū)域策略自定義策略名稱內(nèi)網(wǎng)的所有地址可以訪問外網(wǎng)的所有地址開啟LOG;并把該策略置頂執(zhí)行創(chuàng)立Trust-Untrust區(qū)域策略完成策略配置點(diǎn)擊此處可以查看策略日志路由模式配置完成配置完成后:Ping測(cè)試,使用內(nèi)網(wǎng)PC用地址進(jìn)行連通測(cè)試.Ping測(cè)試,使用內(nèi)網(wǎng)PC用Ping外網(wǎng)地址進(jìn)行互聯(lián)網(wǎng)測(cè)試.透明模式的部署環(huán)境分兩種

1、標(biāo)準(zhǔn)包下的透明模式

2、TRUNK模式下的透明模式

下面結(jié)合具體環(huán)境說明一下防火墻部署方式二、透明模式架墻之后的拓?fù)湓W(wǎng)絡(luò)環(huán)境標(biāo)準(zhǔn)包下的透明模式SWROUTE內(nèi)網(wǎng)PCFWSW內(nèi)網(wǎng)PCROUTE標(biāo)準(zhǔn)包下的透明模式配置步驟第一步、配置防火墻的接口為二層模式第二步、配置防火墻的VLAN1的地址第三步、配置防火墻平安策略下面以截圖具體說明網(wǎng)絡(luò)拓?fù)銿LAN1Router透明模式步驟外網(wǎng)接口配置初始未配置頁面透明模式步驟外網(wǎng)接口配置改變Untrust->V1-Untrust透明模式--外網(wǎng)接口配置設(shè)置VLAN1管理地址配置用于管理的VLAN1IP地址配置與缺省地址的不同私有地址用于管理透明模式--內(nèi)網(wǎng)接口配置刪除原有IP透明模式--內(nèi)網(wǎng)接口配置更改Trust

V1-Trust透明配置完成后再次登陸使用配置的VALN1IP地址登錄WEB界面創(chuàng)立V1-Trust-V1-Untrust區(qū)域策略源區(qū)域目的區(qū)域創(chuàng)立透明模式配置完成配置完成后:Ping測(cè)試,使用內(nèi)網(wǎng)PC用Ping“路由器內(nèi)網(wǎng)接口地址”進(jìn)行連通測(cè)試.Ping測(cè)試,使用內(nèi)網(wǎng)PC用Ping外網(wǎng)地址進(jìn)行互聯(lián)網(wǎng)測(cè)試.TRUNK模式下的透明模式

下面結(jié)合具體環(huán)境說明一下防火墻部署方式二、透明模式架墻之后的拓?fù)銻OUTE內(nèi)網(wǎng)PCFW原網(wǎng)絡(luò)環(huán)境TRUNK模式下的透明模式SWTRUNKROUTE內(nèi)網(wǎng)PCSWTRUNKTRUNKTRUNK模式下的典型應(yīng)用--TRUNK透?jìng)鱒LAN2/3ROUTERSWVLAN4/5SWFWFWTrunkTrunkTrunkTrunkVLAN2ROUTERSWVLAN3FWSWTrunkTrunkTrunk192.168.1.0/24192.168.2.0/24192.168.1.1192.168.2.1透明模式支持VLAN透?jìng)鱒LAN需終結(jié)于FWTRUNK模式下的典型應(yīng)用--內(nèi)網(wǎng)訪問控制VLAN3用戶vlan2用戶FirewallVLAN2Cisco3550應(yīng)用1聚合端口+中繼端口Trustzone:Vlan2.gwUntrustzone:Vlan3.gwVLAN3Vlan4.gw

Vlan5.gwVLAN5VLAN4應(yīng)用2互連VLAN:Vlan10TRUNK下的透明模式配置步驟第一步、配置防火墻的接口為二層模式第二步、配置防火墻的VLAN1的地址第三步、配置防火墻的VLAN1接口支持TRUNK第三步、配置防火墻平安策略混合模式是前兩種模式的結(jié)合，是針對(duì)兩條外網(wǎng)線路環(huán)境下而設(shè)計(jì)的防火墻部署方式三、混合模式架墻之后的拓?fù)銻OUTE1內(nèi)網(wǎng)PCFW原網(wǎng)絡(luò)環(huán)境SWROUTE1內(nèi)網(wǎng)PCSWROUTE2透明模式路由模式混合模式配置步驟第一步、配置防火墻的兩個(gè)接口為二層模式第二步、配置防火墻的另外兩個(gè)接口為路由模式第三步、配置防火墻的VLAN1接口地址第三步、配置防火墻平安策略企業(yè)內(nèi)部有各種應(yīng)用效勞器，需要對(duì)外發(fā)布或外部辦公人員訪問，在此種情況下，就需設(shè)置NS墻的MIP、VIP、DIP〔防火墻部署方式需路由〕內(nèi)網(wǎng)各種應(yīng)用效勞器〔WEB、ERP、EMAIL〕的發(fā)布內(nèi)網(wǎng)PCFWSWWEBMIP、VIP、DIP之間的區(qū)別1、MIP是一對(duì)一的地址映射，即一個(gè)公網(wǎng)地址只對(duì)應(yīng)一臺(tái)內(nèi)網(wǎng)效勞器，公網(wǎng)所有端口都映射到內(nèi)部效勞器。2、VIP是一對(duì)多地址轉(zhuǎn)換，即一個(gè)公網(wǎng)地址的不同端口，可以轉(zhuǎn)換到對(duì)應(yīng)多臺(tái)內(nèi)部效勞器，如外網(wǎng)80可轉(zhuǎn)換到效勞器1上，而外網(wǎng)的21(或其它端口)同時(shí)可轉(zhuǎn)換到效勞器2上；而MIP要么映射到效勞器1，要么映射到效勞器2上，兩者不能同時(shí)存在。3、DIP是一組公網(wǎng)地址，讓內(nèi)網(wǎng)機(jī)器隨機(jī)地轉(zhuǎn)換成組內(nèi)任意一個(gè)公網(wǎng)地址。MIP、VIP配置步驟第一步、選擇做MIP、VIP對(duì)應(yīng)的外網(wǎng)口第二步、確定是用MIP還是VIP發(fā)布效勞器第三步、設(shè)置MIP或VIP與內(nèi)網(wǎng)效勞器對(duì)應(yīng)關(guān)系第三步、配置與MIP、VIP對(duì)應(yīng)的平安策略下面以最常用的VIP發(fā)布WEB效勞為例具體說明，MIP的設(shè)置方法與之根本相同。

VIP配置

網(wǎng)絡(luò)拓?fù)鋀EBServer:平安網(wǎng)關(guān)VIP配置當(dāng)網(wǎng)絡(luò)只有一個(gè)公網(wǎng)IP時(shí)選擇添加VIP的公網(wǎng)效勞器IP當(dāng)網(wǎng)絡(luò)有多個(gè)公網(wǎng)IP時(shí)選擇并輸入公網(wǎng)IP選擇外網(wǎng)口平安網(wǎng)關(guān)VIP配置內(nèi)網(wǎng)效勞器地址此時(shí)和外網(wǎng)