【文章內容簡介】 plications applicationset apptest application junosicmpallset applications applicationset apptest application junostftp配置允許untrust zone訪問trust set security zones securityzone trust addressbook address staticnatpc1 set security policies fromzone untrust tozone trust policy permitstaticnat match sourceaddress anyset security policies fromzone untrust tozone trust policy permitstaticnat match destinationaddress staticnatpc1set security policies fromzone untrust tozone trust policy permitstaticnat match application anyset security policies fromzone untrust tozone trust policy permitstaticnat then permitset security policies fromzone untrust tozone trust policy permitstaticnat then log sessioninitset security policies fromzone untrust tozone trust policy defaultdeny match sourceaddress anyset security policies fromzone untrust tozone trust policy defaultdeny match destinationaddress anyset security policies fromzone untrust tozone trust policy defaultdeny match application anyset security policies fromzone untrust tozone trust policy defaultdeny then denyset security policies fromzone untrust tozone trust policy defaultdeny then log sessioninit 測試表格測試號Test4設備名稱Juniper SRX防火墻：SRX240H1設備軟件版本測試項目設備靜態(tài)NAT測試測試目的驗證設備的防火墻靜態(tài)NAT功能測試配置見本節(jié)的設備配置部分測試步驟： 按配置步驟進行配置 配置2臺測試PC在防火墻兩端，分別配置地址為： 在外網PC：（ping）、TCP（）、UDP（tftp），如正常則表示untrust zone的pc能通過NAT正常訪問通過NAT對外提供服務的服務器。 在內網PC：（ping）、TCP（）、UDP（tftp），如正常則表示trust zone的pc能通過NAT正常訪問外網服務器，并且在外網服務器上能看到訪問的源地址為： 檢查命令：A、查看session連接：lab@SRX240H1 show security flow sessionB、檢查是否所有服務都正常允許或拒絕從內網訪問外網：從外網訪問內網：C、檢查log信息：lab@SRX240H1 show log rtlogdD、show結果及配置文件： 預期結果： 在靜態(tài)NAT的情況下，內網PC：、TFTP訪問外網PC：，能正常訪問，： 在靜態(tài)NAT的情況下，外網PC：、TFTP訪問內網PC：：，能正常訪問，：測試結果：測試結果： 通過 ( ) 失敗 ( )測試通過：(簽字)測試失敗：(簽字)失敗原因：注釋： 基于rule的目的NAT測試 測試內容基于rule的目的NAT功能的要求是：對SRX內網側的服務器主機地址進行一對一NAT映射，即對于從SRX外網側進入內網側的數(shù)據(jù)流，對目的地址進行NAT；NAT地址池可以為1到多個，用于分別對應內網1到多個服務器。具體的測試需求：n 在SRX防火墻上對PC。n PC－PC3作為業(yè)務服務器端，PC－2作為業(yè)務客戶端進行業(yè)務測試，包括ICMP（ping）、TCP（）、UDP（TFTP）測試n PC－PC3作為業(yè)務客戶端，PC－2作為業(yè)務服務器端進行業(yè)務測試，包括ICMP（ping）、TCP（）、UDP（TFTP）測試 測試拓撲圖PC6InternetDestination NATPC2TrustUntrustSRX、2Ge0/0/0Ge0/0/8 設備配置配置接口IP地址set interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 family inet address 配置基于rule的目的NATset security nat destination pool server5 address set security nat destination pool server6 address set security nat destination ruleset dnat1 from zone untrustset security nat destination ruleset dnat1 rule rulednat1 match destinationaddress set security nat destination ruleset dnat1 rule rulednat1 then destinationnat pool server5set security nat destination ruleset dnat1 rule rulednat2 match destinationaddress set security nat destination ruleset dnat1 rule rulednat2 then destinationnat pool server6配置zone及將接口加到zone中，將ge0/0/ zone，將ge0/0/ zoneset security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust hostinboundtraffic protocols allset security zones securityzone trust interfaces ge0/0/set security zones securityzone untrust hostinboundtraffic systemservices allset security zones securityzone untrust hostinboundtraffic protocols allset security zones securityzone untrust interfaces ge0/0/配置icmp、tftp應用允許從trust訪問untrustset security policies fromzone trust tozone untrust policy policyapptest match sourceaddress anyset security policies fromzone trust tozone untrust policy policyapptest match destinationaddress anyset security policies fromzone trust tozone untrust policy policyapptest match application apptestset security policies fromzone trust tozone untrust policy policyapptest then permitset security policies fromzone trust tozone untrust policy policyapptest then log sessioninitset applications application protocol tcpset applications application destinationport set applications applicationset apptest application set applications applicationset apptest application junosicmpallset applications applicationset apptest application junostftp配置允許untrust zone訪問trust 、set security zones securityzone trust addressbook address dnatpc1 set security zones securityzone trust addressbook address dnatpc2 set security zones securityzone trust addressbook addressset dnatpc address dnatpc1set security zones securityzone trust addressbook addressset dnatpc address dnatpc2set security policies fromzone untrust tozone trust policy permitdnat match sourceaddress anyset security policies fromzone untrust tozone trust policy permitdnat match destinationaddress dnatpcset security policies fromzone untrust tozone trust policy permitdnat match application anyset security policies fromzone untrust tozone trust policy permitdnat then permitset security policies fromzone untrust tozone trust policy permitdnat then log sessioninit 測試表格測試號Test4設備名稱Juniper SRX防火墻：SRX240H1設備軟件版本測試項目設備基于rule的目的NAT測試測試目的驗證設備的防火墻基于rule的目的NAT功能測試配置見本節(jié)的設備配置部分測試步驟： 按配置步驟進行配置 配置2臺測試PC在防火墻內網側，1臺測試PC在防火墻外網側，分別配置地址為：、6/ 在外網PC：（ping）、TCP（）、UDP（tftp）、如正常則表示untrust zone的pc能通過NAT正常訪問通過NAT對外提供服務的服務器。 檢查命令：A、 查看session連接：lab@SRX240H1 show security flow sessionB、 檢查目的NAT Pool：lab@SRX240H1 show security nat destination pool allC、 檢查是否所有服務都正常允許或拒絕：、：D、 檢查log信息：lab@SRX240H1 show log rtlogdE、 show結果及配置文件： 預期結果： 在目的NAT的情況下，外網PC：、TFTP訪問內網PC：、6對外的NAT地址：、2，能正常訪問，、6上看到源地址為NAT后的地址：測試結果：測試結果： 通過 ( ) 失敗 ( )測試通過：(簽字)測試失敗：(簽字)失敗原因：注釋： 基于接口的源NAT測試 測試內容基于接口