【正文】 擬 IP (VIP) 地址防火墻不會自動(dòng)實(shí)施地址翻譯；② 與透明模式下不同，當(dāng)防火墻接口都處于路由模式時(shí)，其所有接口都處于不同的子網(wǎng)中。防火墻的作用更像是處于同一VLAN 的2 層交換機(jī)或者橋接器，防火墻對于用戶來說是透明的。、基于向?qū)Х绞降?NAT/Route 模式下的基本配置Juniper 防火墻 NAT 和路由模式的配置可以在防火墻保持出廠配置啟動(dòng)后通過 Web 瀏覽器配置向?qū)瓿?。防火墻配置?guī)劃：① 防火墻部署在網(wǎng)絡(luò)的 Inter 出口位置，內(nèi)部網(wǎng)絡(luò)使用的 IP 地址為，內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的網(wǎng)關(guān)地址為防火墻內(nèi)網(wǎng)端口的 IP 地址： ；② 防火墻外網(wǎng)接口 IP 地址（通常情況下為公網(wǎng) IP 地址，在這里我們使用私網(wǎng) IP 地址模擬公網(wǎng) IP 地址）為： ，網(wǎng)關(guān)地址為：要求：實(shí)現(xiàn)內(nèi)部訪問 Inter 的應(yīng)用。JUNIPER 防火墻快速安裝手冊第 11 頁 共 53 頁3. 使用向?qū)渲梅阑饓Γ堉苯舆x擇：Next，彈出下面的界面：4. “歡迎使用配置向?qū)А?，再選擇 Next。這種模式是應(yīng)用最多的模式，防火墻可以被看作是只有一進(jìn)一出的部署模式。外網(wǎng)端口 IP 配置有三個(gè)選項(xiàng)分別是：DHCP 自動(dòng)獲取 IP 地址；通過 PPPoE 撥號獲得 IP 地址；手工設(shè)置靜態(tài) IP 地址，并配置子網(wǎng)掩碼和網(wǎng)關(guān) IP 地址。否則請選擇“NO”跳過。此時(shí)防火墻對來自內(nèi)網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的 NAT，同時(shí)防火墻設(shè)備會自動(dòng)在策略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略：? 策略：策略方向由 Trust 到 Untrust，源地址：ANY ，目標(biāo)地址：ANY，網(wǎng)絡(luò)服務(wù)內(nèi)容：ANY；? 策略作用：允許來自內(nèi)網(wǎng)的任意 IP 地址穿過防火墻訪問外網(wǎng)的任意地址。通過配置向?qū)В梢栽诓皇煜し阑饓υO(shè)備的情況下，配置簡單環(huán)境的防火墻應(yīng)用。① Unset interface trust ip （清除防火墻內(nèi)網(wǎng)端口的 IP 地址） ；② Set interface trust zone trust（將內(nèi)網(wǎng)端口分配到 trust zone） ；③ Set interface trust ip （設(shè)置內(nèi)網(wǎng)端口的 IP 地址，必須先定義 zone，之后再定義 IP 地址） ；④ Set interface untrust zone untrust（將外網(wǎng)口分配到 untrust zone） ；⑤ Set interface untrust ip （設(shè)置外網(wǎng)口的 IP 地址） ；⑥ Set route （設(shè)置防火墻對外的缺省路由網(wǎng)關(guān)地址） ；JUNIPER 防火墻快速安裝手冊第 20 頁 共 53 頁⑦ Set policy from trust to untrust any any any permit log（定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略。、基于非向?qū)Х绞降耐该髂Ｊ较碌幕九渲脤?shí)現(xiàn)透明模式配置建議采用命令行的方式，因?yàn)椴捎?Web 的方式實(shí)現(xiàn)時(shí)相對命令行的方式麻煩。通常的情況是：當(dāng)你有若干個(gè)公網(wǎng) IP 地址，又存在若干的對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器使用私有 IP 地址） ，為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務(wù)器，可在 Inter 出口的防火墻上建立公網(wǎng) IP 地址與服務(wù)器私有 IPJUNIPER 防火墻快速安裝手冊第 23 頁 共 53 頁地址之間的一對一映射（MIP ） ，并通過策略實(shí)現(xiàn)對服務(wù)器所提供服務(wù)進(jìn)行訪問控制。JUNIPER 防火墻快速安裝手冊第 25 頁 共 53 頁、使用命令行方式配置 MIP① 配置接口參數(shù)set interface ether1 zone trustset interface ether1 ip set interface ether1 natset interface ether2 zone untrustset interface ether2 ip ② 定義MIPset interface ether2 mip host mask vrouter trustvr③ 定義策略set policy from untrust to trust any mip() permitsave、VIP 的配置MIP 是一個(gè)公網(wǎng) IP 地址對應(yīng)一個(gè)私有 IP 地址，是一對一的映射關(guān)系；而 VIP 是一個(gè)公網(wǎng)IP 地址的不同端口（協(xié)議端口如：22110 等）與內(nèi)部多個(gè)私有 IP 地址的不同服務(wù)端口的映射關(guān)系。② 添加VIP： Network=Interface=ether8=VIP③ 添加與該VIP 公網(wǎng)地址相關(guān)的訪問控制策略。解決這種局限性的辦法就是 DIP，在內(nèi)部網(wǎng)絡(luò) IP 地址外出訪問時(shí)，動(dòng)態(tài)轉(zhuǎn)換為一個(gè)連續(xù)的公網(wǎng) IP 地址池中的 IP 地址。站點(diǎn)間（SitetoSite ）的 VPN 是 IPSec VPN 的典型應(yīng)用，這里我們介紹兩種站點(diǎn)間基于策略 VPN 的實(shí)現(xiàn)方式：站點(diǎn)兩端都具備靜態(tài)公網(wǎng) IP 地址；站點(diǎn)兩端其中一端具備靜態(tài)公網(wǎng) IP 地址，另一端動(dòng)態(tài)公網(wǎng) IP 地址。和站點(diǎn)兩端都具備靜態(tài) IP 地址的配置的不同之處在于 VPN 第一階段的相關(guān)配置，在主動(dòng)發(fā)起端（只有動(dòng)態(tài)公網(wǎng) IP 地址一端）需要指定 VPN 網(wǎng)關(guān)地址，需配置一個(gè)本地 ID，配置VPN 發(fā)起模式為：主動(dòng)模式；在站點(diǎn)另外一端（擁有靜態(tài)公網(wǎng) IP 地址一端）需要指定VPN 網(wǎng)關(guān)地址為對端設(shè)備的 ID 信息，不需要配置本地 ID，其它部分相同。② VPN 第一階段的高級配置：動(dòng)態(tài)公網(wǎng) IP 地址端。⑤ VPN 的訪問控制策略，和在”static iptostatic ip”模式下相同。防火墻 HA 網(wǎng)絡(luò)拓?fù)鋱D（主備模式）：、使用 Web 瀏覽器方式配置WebUI ( 設(shè)備A)① 接口Network Interfaces Edit ( 對于 ether7): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: HANetwork Interfaces Edit ( 對于 ether8): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: HAJUNIPER 防火墻快速安裝手冊第 45 頁 共 53 頁Network Interfaces Edit ( 對于 ether1): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: UntrustStatic IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: Network Interfaces Edit ( 對于 ether3): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: Manage IP: 輸入以下內(nèi)容，然后單擊 OK:Interface Mode: NAT② NSRPNetwork NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入以下內(nèi)容，然后單擊 Apply:ether1: ( 選擇)。WebUI ( 設(shè)備B)① 接口Network Interfaces Edit ( 對于 ether7): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: HANetwork Interfaces Edit ( 對于 ether8): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: HANetwork Interfaces Edit ( 對于 ether1): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: UntrustJUNIPER 防火墻快速安裝手冊第 46 頁 共 53 頁Static IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: Network Interfaces Edit ( 對于 ether3): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: Manage IP: 輸入以下內(nèi)容，然后單擊 OK:Interface Mode: NAT② NSRPNetwork NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入以下內(nèi)容，然后單擊 Apply:ether1: ( 選擇)。、使用命令行方式配置CLI ( 設(shè)備A)① 接口set interface ether7 zone haset interface ether8 zone haset interface ether1 zone untrustset interface ether1 ip set interface ether3 zone trustset interface ether3 ip set interface ether3 manageip JUNIPER 防火墻快速安裝手冊第 47 頁 共 53 頁set interface ether3 nat② NSRPset nsrp rtomirror syncset nsrp monitor interface ether1set nsrp monitor interface ether3set nsrp cluster id 1saveCLI ( 設(shè)備B)① 接口set interface ether7 zone haset interface ether8 zone haset interface ether1 zone untrustset interface ether1 ip set interface ether3 zone trustset interface ether3 ip set interface ether3 manageip set interface ether3 nat② NSRPset nsrp rtomirror syncset nsrp monitor interface ether1set nsrp monitor interface ether3set nsrp cluster id 1save注：基于主主方式的 HA 應(yīng)用的說明：詳見《概念與范例 screenOS 參考指南》可以在： 免費(fèi)獲得。配置文件的導(dǎo)出（CLI）：ns208 save config from flash to tftp 、配置文件的導(dǎo)入配置文件的導(dǎo)入（WebUI）：在 Configuration Update Config File 位置，點(diǎn)選：Merge to Current Configuration，覆蓋當(dāng)前配置并保留不同之處；點(diǎn)選：Replace Current JUNIPER 防火墻快速安裝手冊第 49 頁 共 53 頁Configuration 替換當(dāng)前配置文件。在升級的過程中，一定要保持電源的供應(yīng)、網(wǎng)線連接的穩(wěn)定，最好是將防火墻從網(wǎng)絡(luò)中暫時(shí)取出，待 OS 升級完成后再將防火墻設(shè)備接入網(wǎng)絡(luò)。當(dāng)不同安全區(qū)域之間相互通訊時(shí)，必須通過事先定義的策略檢查才能通過；當(dāng)在同一個(gè)安全區(qū)域進(jìn)行通訊時(shí)，默認(rèn)狀態(tài)下允許不通過策略檢查，經(jīng)過配置后也可以強(qiáng)制進(jìn)行策略檢查以提高安全性。為了使網(wǎng)絡(luò)信息流能流入和流出安全區(qū)，必須將一個(gè)接口綁定到一個(gè)安全區(qū)，如果屬于第3 層安全區(qū)，則需要給接口分配一個(gè) IP地址。在客戶自行定義通過防火墻的服務(wù)時(shí)，需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無流量情況下的超時(shí)定義等。映射IP（ MIP）：MIP是從一個(gè) IP 地址到另一個(gè) IP 地址雙向的一對一映射。JUNIPER 防火墻快速安裝手冊第 53 頁 共 53 頁