【導(dǎo)讀】Juniper防火墻配置手冊。5，現(xiàn)有設(shè)備或新設(shè)備添加防病毒、Web過濾、反垃圾郵件和深入檢查...........87

　　

【正文】 當(dāng)回復(fù)封包到達(dá)安全設(shè)備時，該設(shè)備轉(zhuǎn)換內(nèi)向封包的 IP 包頭中的兩個組件 : 目的地地址和端口號，它們被轉(zhuǎn)換回初始號碼。安全設(shè)備于是將封包轉(zhuǎn)發(fā)到其目的地。 NAT 添加透明模式中未提供的一個安全級別 : 通過 NAT 模式下的入口接口 ( 如 Trust 區(qū)段接口 ) 發(fā)送信息流的主機(jī)地址決不對出口區(qū)段 ( 如 Untrust 區(qū)段 ) 中的主機(jī)公開，除非這兩個區(qū)段在相同的虛擬路由選擇域中并且安全設(shè)備通過動態(tài)路由選擇協(xié)議 (DRP) 向?qū)Φ确酵ǜ媛酚?。盡管這樣，如果有策略允許入站信息流到達(dá)，也僅僅可到達(dá) Trust 區(qū)段地址。 ( 如果希望在使用 DRP 時隱藏 Trust 區(qū)段地址，則可將 Untrust 區(qū)段放置在 untrustvr 中，將 Trust 區(qū)段放置在 trustvr 中，并且不將 trustvr 中外部地址的路由導(dǎo)出到 untrustvr。 ) 如果安全設(shè)備使用靜態(tài)路由選擇并且僅有一個虛擬路由器，由于基于接口的 NAT，內(nèi)部地址在信息流出站時保持隱藏。配置的策略控制入站信息流。如果僅使用映射 IP (MIP) 和虛擬 IP (VIP) 地址作為入站策略中的目的地，則內(nèi)部地址仍保持隱藏。 另外， NAT 還保留對公共 IP 地址的使用。在許多環(huán)境中，資源不可用，不能為網(wǎng)絡(luò)上的所有設(shè)備提供公共 IP 地址。 NAT 服務(wù)允許多個私有 IP 地址通過一個或幾個公共 IP 地址訪問互聯(lián)網(wǎng)資源。以下 IP 地址范圍保留給私有 IP 網(wǎng)絡(luò)，并且不必在互聯(lián)網(wǎng)上設(shè)定路由 : ?? ?? ?? 入站和出站 NAT 信息流 通過 NAT 模式 下的接口發(fā)送信息流的區(qū)段內(nèi)的主機(jī)，能夠發(fā)出流向 Untrust 區(qū)段的信息流 ( 假定策略允許 )。在 ScreenOS 之前的版本中， NAT 模式下的接口后的主機(jī)無法接收 Untrust 區(qū)段的信息流，除非為它設(shè)置了“映射 IP (MIP)”、“虛擬 IP (VIP)”或 VPN 通道。不過，在 ScreenOS 版本中，從任意區(qū)段 ( 包括 Untrust 區(qū)段 ) 向擁有已啟用 NAT 的接口的區(qū)段發(fā)送信息流時，不需要使用 MIP、 VIP 或 VPN。如果要保護(hù)地址的私密性或使用不在 公開網(wǎng)絡(luò) ( 如互聯(lián)網(wǎng) ) 上出現(xiàn)的私有地址，仍可為到達(dá)他們的信息流定義 MIP、 VIP 或 VPN。不過，如果不關(guān)注私密性和私有 IP 地址的問題，則 Untrust 區(qū)段的信息流可直接到達(dá) NAT 模式接口后的主機(jī)，而不必使用 MIP、 VIP 或 VPN。 NAT 信息流 接口設(shè)置 對于 NAT 模式，定義以下接口設(shè)置，其中 ip_addr1 和 ip_addr2 代表 IP 地址中的數(shù)字， mask 代表網(wǎng)絡(luò)掩碼中的數(shù)字， vlan_id_num 代表 VLAN 標(biāo)記的編號， zone代表 區(qū)段名稱， number 代表以 kbps 為單位的帶寬大小 : IP 地址。主要目的是為從網(wǎng)絡(luò)信息流中分離出來的管理信息流提供 IP 地址。當(dāng)某特定設(shè)備具備高可用性配置時，也可使用管理 IP 地址來訪問它。 。 NAT 可將接口模式定義為 NAT。選擇“路由”可將接口模式定義為“路由”。 IP: ip_addr1 Netmask: mask VLAN Tag: vlan_id_num Zone Name: zone NAT 3: ( 選擇 ) Untrust4 NAT 作為綁定到 Untrust 區(qū)段的接口模式 ， 但是 ， 安全設(shè)備不在該接口上執(zhí)行任何 NAT 操作。 配置 NAT 模式 以下范例說明了 Trust 區(qū)段中有單獨子網(wǎng)的 LAN 的簡單配置。 LAN 受 NAT 模式下的安全設(shè)備保護(hù)。策略允許 Trust 區(qū)段中所有主機(jī)的外向信息流和郵件服務(wù)器的內(nèi)向郵件。內(nèi)向郵件通過虛擬 IP 地址被發(fā)送到郵件服務(wù)器。 Trust 和 Untrust 區(qū)段都在 trustvr 路由選擇域中。 WebUI 1. 接口 Network Interfaces Edit ( 對于 ether1): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時選擇此選項 ) IP Address/Netmask: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: NAT Network Interfaces Edit ( 對于 ether3): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時選擇此選項 ) IP Address/Netmask: Interface Mode: Route 2. VIP Network Interfaces Edit ( 對于 ether3) VIP: 輸入以下內(nèi)容，然后單擊 Add: Virtual IP Address: Network Interfaces Edit ( 對于 ether3) VIP New VIP Service: 輸入以下內(nèi)容，然后單擊 OK: Virtual Port: 25 Map to Service: Mail Map to IP: 3. 路由 Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊 OK: Network Address/Netmask: Gateway: ( 選擇 ) Interface: ether3 Gateway IP Address: 4. 策略 Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊 OK: Source Address: Address Book Entry: ( 選擇 ), Any Destination Address: Address Book Entry: ( 選擇 ), Any Service: ANY Action: Permit Policies (From: Untrust, To: Global) New: 輸入以下內(nèi)容，然后單擊 OK: Source Address: Address Book Entry: ( 選擇 ), Any Destination Address: Address Book Entry: ( 選擇 ), VIP() Service: MAIL Action: Permit CLI 1. 接口 set interface ether1 zone trust set interface ether1 ip set interface ether1 nat set interface ether3 zone untrust set interface ether3 ip set interface ether3 route 2. VIP set interface ether3 vip 25 mail 3. 路由 set vrouter trustvr route 4. 策略 set policy from trust to untrust any any any permit set policy from untrust to global any vip() mail permit save 七 ,接口 路由模式 接口為路由模式時，安全設(shè)備在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行源 NAT (NATsrc) ；即，當(dāng)信息流穿過安全設(shè)備時， IP 封包包頭中的源地址和端口號保持不變。與 NATsrc 不同，目的地區(qū)段接口為路由模式時，不需要為了允許入站信息流到達(dá)主機(jī)而建立映射 IP (MIP) 和虛擬 IP (VIP) 地址 。與透明模式不同，每個區(qū)段內(nèi)的接口都在不同的子網(wǎng)中。 不必在接口級應(yīng)用“源網(wǎng)絡(luò)地址轉(zhuǎn)換” (NATsrc)，這樣做會使發(fā)出外向信息流的所有源地址都被轉(zhuǎn)換為目的地區(qū)段接口的 IP 地址。相反，可以在策略級選擇性地執(zhí)行 NATsrc。通過為內(nèi)向或外向信息流上的指定源地址創(chuàng)建啟用 NATsrc 的策略，可確定要確定路由的信息流，以及對哪些信息流執(zhí)行 NATsrc。對于網(wǎng)絡(luò)信息流， NAT 可使用 IP 地址或動態(tài) IP (DIP) 池的目的地區(qū)段接口地址，動態(tài) IP 池與目的地區(qū)段接口在同一子網(wǎng)中。對 于 VPN 信息流， NAT 可使用通道接口 IP 地址或與其關(guān)聯(lián)的 DIP 池的地址。 接口設(shè)置 對于路由模式，定義以下接口設(shè)置，其中 ip_addr1 和 ip_addr2 代表 IP 地址中的數(shù)字， mask 代表網(wǎng)絡(luò)掩碼中的數(shù)字， vlan_id_num 代表 VLAN 標(biāo)記的編號， zone 代表區(qū)段名稱， number 代表以 kbps 為單位的帶寬大小 : 配置路由模式 在第 90 頁上的“配置 NAT 模式”中， Trust 區(qū)段 LAN 中的主機(jī)具有私有 IP 地址和郵件服務(wù)器的映射 IP。在以 下相同網(wǎng)絡(luò) ( 受運行在路由模式下的安全設(shè)備保護(hù) ) 的范例中，要注意，主機(jī)具有公共 IP 地址，且郵件服務(wù)器不需要 MIP。所有安全區(qū)段都在 trustvr 路由選擇域中。 WebUI 1. 接口 Network Interfaces Edit ( 對于 ether1): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時選擇此選項 ) IP Address/Netmask: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: Route Network Interfaces Edit ( 對于 ether3): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時選擇此選項 ) IP Address/Netmask: 2. 地址 Objects Addresses List New: 輸入以下內(nèi)容，然后單擊 OK: Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 選擇 ), Zone: Trust 3. 路由 Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊 OK: Network Address/Netmask: Gateway: ( 選擇 ) Interface: ether3 Gateway IP Address: 4. 策略 Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊 OK: Source Address: Address Book Entry: ( 選擇 ), Any Destination Address: Address Book Entry: ( 選擇 ), Any Service: ANY Action: Permit Policies (From: Untrust, To: Trust) New: 輸入以下內(nèi)容，然后單擊 OK: Source Address: Address Book Entry: ( 選擇 ), Any Destination Address: Address Book Entry: ( 選擇 ), Mail Server Service: MAIL Action: Permit CLI 1. 接口 set interface ether1 zone trust set interface ether1 ip set interface ether1 route set interface ether3 zone untrust set interface ether3 ip set interface ether3 route 2. 地址 set address trust mail_server 3. 路由 set vrouter trustvr route 4. 策略 set policy from trust to untrust any any any permit set policy from untrust to trust any mail_server mail permit save 地址 ScreenOS 通過位置和網(wǎng)絡(luò)掩碼對所有其它設(shè)備的地址進(jìn)行分類。每個區(qū)段都具有自己的地址和地址組列表。 單個主機(jī)只定義一個單一的 IP 地址，因此，必須具有設(shè)置為 的網(wǎng)絡(luò)掩碼 ( 它掩蔽除該主機(jī)以外的所有其它設(shè)