【文章內(nèi)容簡(jiǎn)介】 olicies fromzone untrust tozone trust policy defaultdeny match destinationaddress anyset security policies fromzone untrust tozone trust policy defaultdeny match application anyset security policies fromzone untrust tozone trust policy defaultdeny then denyset security policies fromzone untrust tozone trust policy defaultdeny then log sessioninit 測(cè)試表格測(cè)試號(hào)Test4設(shè)備名稱Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測(cè)試項(xiàng)目設(shè)備靜態(tài)NAT測(cè)試測(cè)試目的驗(yàn)證設(shè)備的防火墻靜態(tài)NAT功能測(cè)試配置見本節(jié)的設(shè)備配置部分測(cè)試步驟： 按配置步驟進(jìn)行配置 配置2臺(tái)測(cè)試PC在防火墻兩端，分別配置地址為： 在外網(wǎng)PC：（ping）、TCP（）、UDP（tftp），如正常則表示untrust zone的pc能通過NAT正常訪問通過NAT對(duì)外提供服務(wù)的服務(wù)器。 在內(nèi)網(wǎng)PC：（ping）、TCP（）、UDP（tftp），如正常則表示trust zone的pc能通過NAT正常訪問外網(wǎng)服務(wù)器，并且在外網(wǎng)服務(wù)器上能看到訪問的源地址為： 檢查命令：A、查看session連接：lab@SRX240H1 show security flow sessionB、檢查是否所有服務(wù)都正常允許或拒絕從內(nèi)網(wǎng)訪問外網(wǎng)：從外網(wǎng)訪問內(nèi)網(wǎng)：C、檢查log信息：lab@SRX240H1 show log rtlogdD、show結(jié)果及配置文件： 預(yù)期結(jié)果： 在靜態(tài)NAT的情況下，內(nèi)網(wǎng)PC：、TFTP訪問外網(wǎng)PC：，能正常訪問，： 在靜態(tài)NAT的情況下，外網(wǎng)PC：、TFTP訪問內(nèi)網(wǎng)PC：：，能正常訪問，：測(cè)試結(jié)果：測(cè)試結(jié)果： 通過 ( ) 失敗 ( )測(cè)試通過：(簽字)測(cè)試失?。?簽字)失敗原因：注釋： 基于rule的目的NAT測(cè)試 測(cè)試內(nèi)容基于rule的目的NAT功能的要求是：對(duì)SRX內(nèi)網(wǎng)側(cè)的服務(wù)器主機(jī)地址進(jìn)行一對(duì)一NAT映射，即對(duì)于從SRX外網(wǎng)側(cè)進(jìn)入內(nèi)網(wǎng)側(cè)的數(shù)據(jù)流，對(duì)目的地址進(jìn)行NAT；NAT地址池可以為1到多個(gè)，用于分別對(duì)應(yīng)內(nèi)網(wǎng)1到多個(gè)服務(wù)器。具體的測(cè)試需求：n 在SRX防火墻上對(duì)PC。n PC－PC3作為業(yè)務(wù)服務(wù)器端，PC－2作為業(yè)務(wù)客戶端進(jìn)行業(yè)務(wù)測(cè)試，包括ICMP（ping）、TCP（）、UDP（TFTP）測(cè)試n PC－PC3作為業(yè)務(wù)客戶端，PC－2作為業(yè)務(wù)服務(wù)器端進(jìn)行業(yè)務(wù)測(cè)試，包括ICMP（ping）、TCP（）、UDP（TFTP）測(cè)試 測(cè)試拓?fù)鋱DPC6InternetDestination NATPC2TrustUntrustSRX、2Ge0/0/0Ge0/0/8 設(shè)備配置配置接口IP地址set interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 family inet address 配置基于rule的目的NATset security nat destination pool server5 address set security nat destination pool server6 address set security nat destination ruleset dnat1 from zone untrustset security nat destination ruleset dnat1 rule rulednat1 match destinationaddress set security nat destination ruleset dnat1 rule rulednat1 then destinationnat pool server5set security nat destination ruleset dnat1 rule rulednat2 match destinationaddress set security nat destination ruleset dnat1 rule rulednat2 then destinationnat pool server6配置zone及將接口加到zone中，將ge0/0/ zone，將ge0/0/ zoneset security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust hostinboundtraffic protocols allset security zones securityzone trust interfaces ge0/0/set security zones securityzone untrust hostinboundtraffic systemservices allset security zones securityzone untrust hostinboundtraffic protocols allset security zones securityzone untrust interfaces ge0/0/配置icmp、tftp應(yīng)用允許從trust訪問untrustset security policies fromzone trust tozone untrust policy policyapptest match sourceaddress anyset security policies fromzone trust tozone untrust policy policyapptest match destinationaddress anyset security policies fromzone trust tozone untrust policy policyapptest match application apptestset security policies fromzone trust tozone untrust policy policyapptest then permitset security policies fromzone trust tozone untrust policy policyapptest then log sessioninitset applications application protocol tcpset applications application destinationport set applications applicationset apptest application set applications applicationset apptest application junosicmpallset applications applicationset apptest application junostftp配置允許untrust zone訪問trust 、set security zones securityzone trust addressbook address dnatpc1 set security zones securityzone trust addressbook address dnatpc2 set security zones securityzone trust addressbook addressset dnatpc address dnatpc1set security zones securityzone trust addressbook addressset dnatpc address dnatpc2set security policies fromzone untrust tozone trust policy permitdnat match sourceaddress anyset security policies fromzone untrust tozone trust policy permitdnat match destinationaddress dnatpcset security policies fromzone untrust tozone trust policy permitdnat match application anyset security policies fromzone untrust tozone trust policy permitdnat then permitset security policies fromzone untrust tozone trust policy permitdnat then log sessioninit 測(cè)試表格測(cè)試號(hào)Test4設(shè)備名稱Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測(cè)試項(xiàng)目設(shè)備基于rule的目的NAT測(cè)試測(cè)試目的驗(yàn)證設(shè)備的防火墻基于rule的目的NAT功能測(cè)試配置見本節(jié)的設(shè)備配置部分測(cè)試步驟： 按配置步驟進(jìn)行配置 配置2臺(tái)測(cè)試PC在防火墻內(nèi)網(wǎng)側(cè)，1臺(tái)測(cè)試PC在防火墻外網(wǎng)側(cè)，分別配置地址為：、6/ 在外網(wǎng)PC：（ping）、TCP（）、UDP（tftp）、如正常則表示untrust zone的pc能通過NAT正常訪問通過NAT對(duì)外提供服務(wù)的服務(wù)器。 檢查命令：A、 查看session連接：lab@SRX240H1 show security flow sessionB、 檢查目的NAT Pool：lab@SRX240H1 show security nat destination pool allC、 檢查是否所有服務(wù)都正常允許或拒絕：、：D、 檢查log信息：lab@SRX240H1 show log rtlogdE、 show結(jié)果及配置文件： 預(yù)期結(jié)果： 在目的NAT的情況下，外網(wǎng)PC：、TFTP訪問內(nèi)網(wǎng)PC：、6對(duì)外的NAT地址：、2，能正常訪問，、6上看到源地址為NAT后的地址：測(cè)試結(jié)果：測(cè)試結(jié)果： 通過 ( ) 失敗 ( )測(cè)試通過：(簽字)測(cè)試失?。?簽字)失敗原因：注釋： 基于接口的源NAT測(cè)試 測(cè)試內(nèi)容基于接口的源NAT功能的要求是：對(duì)SRX內(nèi)網(wǎng)側(cè)的主機(jī)地址訪問外網(wǎng)進(jìn)行NAT轉(zhuǎn)換，即對(duì)于從SRX內(nèi)網(wǎng)側(cè)進(jìn)入外網(wǎng)側(cè)的數(shù)據(jù)流，對(duì)源地址進(jìn)行NAT，NAT地址為外網(wǎng)側(cè)的接口IP地址。具體的測(cè)試要求為：n 在SRX防火墻上對(duì)PC－，轉(zhuǎn)換后的地址為SRX的外網(wǎng)接口地址：。n PC－1作為業(yè)務(wù)客戶端，PC－2作為業(yè)務(wù)服務(wù)器端進(jìn)行業(yè)務(wù)測(cè)試，包括ICMP（ping）、TCP（）、UDP（TFTP）測(cè)試n 檢查在基于接口的源NAT的情況下，訪問外網(wǎng)服務(wù)器的PC2的源地址應(yīng)該為防火墻的外網(wǎng)接口地址。 測(cè)試拓?fù)鋱DPC1InternetSource NATPC2TrustUntrustSRXGe0/0/0Ge0/0/8 設(shè)備配置配置接口IP地址set interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 family inet address 配置具有外網(wǎng)接口的源NATset security nat source ruleset snatinterface1 from interface ge0/0/set security nat source ruleset snatinterface1 to zone untrustset security nat source ruleset snatinterface1 rule rulesnatinterface1 match destinationaddress set security nat source ruleset snatinterface1 rule rulesnatinterface1 then sourcenat interface配置往外訪問的策略set security policies fromzo