【正文】 每個區(qū)段都具有自己的地址和地址組列表。 接口設(shè)置 對于路由模式，定義以下接口設(shè)置，其中 ip_addr1 和 ip_addr2 代表 IP 地址中的數(shù)字， mask 代表網(wǎng)絡(luò)掩碼中的數(shù)字， vlan_id_num 代表 VLAN 標記的編號， zone 代表區(qū)段名稱， number 代表以 kbps 為單位的帶寬大小 : 配置路由模式 在第 90 頁上的“配置 NAT 模式”中， Trust 區(qū)段 LAN 中的主機具有私有 IP 地址和郵件服務(wù)器的映射 IP。相反，可以在策略級選擇性地執(zhí)行 NATsrc。 WebUI 1. 接口 Network Interfaces Edit ( 對于 ether1): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時選擇此選項 ) IP Address/Netmask: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: NAT Network Interfaces Edit ( 對于 ether3): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時選擇此選項 ) IP Address/Netmask: Interface Mode: Route 2. VIP Network Interfaces Edit ( 對于 ether3) VIP: 輸入以下內(nèi)容，然后單擊 Add: Virtual IP Address: Network Interfaces Edit ( 對于 ether3) VIP New VIP Service: 輸入以下內(nèi)容，然后單擊 OK: Virtual Port: 25 Map to Service: Mail Map to IP: 3. 路由 Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊 OK: Network Address/Netmask: Gateway: ( 選擇 ) Interface: ether3 Gateway IP Address: 4. 策略 Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊 OK: Source Address: Address Book Entry: ( 選擇 ), Any Destination Address: Address Book Entry: ( 選擇 ), Any Service: ANY Action: Permit Policies (From: Untrust, To: Global) New: 輸入以下內(nèi)容，然后單擊 OK: Source Address: Address Book Entry: ( 選擇 ), Any Destination Address: Address Book Entry: ( 選擇 ), VIP() Service: MAIL Action: Permit CLI 1. 接口 set interface ether1 zone trust set interface ether1 ip set interface ether1 nat set interface ether3 zone untrust set interface ether3 ip set interface ether3 route 2. VIP set interface ether3 vip 25 mail 3. 路由 set vrouter trustvr route 4. 策略 set policy from trust to untrust any any any permit set policy from untrust to global any vip() mail permit save 七 ,接口 路由模式 接口為路由模式時，安全設(shè)備在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行源 NAT (NATsrc) ；即，當信息流穿過安全設(shè)備時， IP 封包包頭中的源地址和端口號保持不變。 LAN 受 NAT 模式下的安全設(shè)備保護。 NAT 可將接口模式定義為 NAT。 NAT 信息流 接口設(shè)置 對于 NAT 模式，定義以下接口設(shè)置，其中 ip_addr1 和 ip_addr2 代表 IP 地址中的數(shù)字， mask 代表網(wǎng)絡(luò)掩碼中的數(shù)字， vlan_id_num 代表 VLAN 標記的編號， zone代表 區(qū)段名稱， number 代表以 kbps 為單位的帶寬大小 : IP 地址。在 ScreenOS 之前的版本中， NAT 模式下的接口后的主機無法接收 Untrust 區(qū)段的信息流，除非為它設(shè)置了“映射 IP (MIP)”、“虛擬 IP (VIP)”或 VPN 通道。 另外， NAT 還保留對公共 IP 地址的使用。 ( 如果希望在使用 DRP 時隱藏 Trust 區(qū)段地址，則可將 Untrust 區(qū)段放置在 untrustvr 中，將 Trust 區(qū)段放置在 trustvr 中，并且不將 trustvr 中外部地址的路由導(dǎo)出到 untrustvr。 NAT 拓撲 結(jié)構(gòu) 當回復(fù)封包到達安全設(shè)備時，該設(shè)備轉(zhuǎn)換內(nèi)向封包的 IP 包頭中的兩個組件 : 目的地地址和端口號，它們被轉(zhuǎn)換回初始號碼。 基本透明模式 WebUI 1. VLAN1 接口 Network Interfaces Edit ( 對于 VLAN1 interface): 輸入以下內(nèi)容，然后單擊 OK: IP Address/Netmask: Management Services: WebUI, Tel ( 選擇 ) Other Services: Ping ( 選擇 ) 2. HTTP 端口 Configuration Admin Management: 在 HTTP Port 字段中，鍵入 5555，然后單擊 Apply。使用 VLAN1 IP 地址 區(qū)段的安全設(shè)備。所有安全區(qū)域都在 trustvr 路由域中。要在其它區(qū)段中啟用主機以管理設(shè)備，必須設(shè)置它們所屬的區(qū)段上的那些選項。第 2 層區(qū)段中的所有主機必須在同一子網(wǎng)上以進行通信?？蔀楣芾硇畔⒘髟O(shè)置“ VLAN1 管理 IP”，并將 VLAN1 接口 IP 專用于 VPN 通道終端。安全設(shè)備處于透明模式時，使用 VLAN1 接口來管理設(shè)備和終止 VPN 信息流。在“透明”模式下，接口的 IP地址被設(shè)置為 ，使得安 全設(shè)備對于用戶來說是透明 ( 不可見 ) 的。無法從一個或多個目標得到響應(yīng)可能使安全設(shè)備中斷與該接口相關(guān)的路由。例如，如果接口直接連接到路由器，則可跟蹤接口的下一跳點地址，以確定該路由器是否仍舊可達。如果沒有星號，則表明該路由處于非活動狀態(tài)。 可以在 get interface 命令的輸出中的 State 列以及在 WebUI 的 Network Interfaces 頁面上的 Link 列中查看接口狀態(tài)。 接口可以監(jiān)控對象的以下一個或多個事件。要補償因丟失接口而引起的路由丟失，可以使用備用接口來配置備用路由。接口可以處于物理連接狀態(tài)，也可以處于邏輯連接或邏輯中斷狀態(tài)。 ?? 物理中斷狀態(tài) 當未使用電纜將接口連接到另一臺網(wǎng)絡(luò)設(shè)備或者雖然使用電纜將其連接到了另一臺網(wǎng)絡(luò)設(shè)備但卻不能建立鏈接時，該接口處于物理中斷狀態(tài)。 WebUI Network Interfaces Edit ( 對于 ether1) Secondary IP: 輸入以下內(nèi) 容，然后單擊 Add: IP Address/Netmask: CLI set interface ether1 ip save 四 ,接口狀態(tài)更改 接口可以處于以下幾種狀態(tài) : ?? 物理連接狀態(tài) 適用于在“開放式系統(tǒng)互連” (OSI) 模式下運行在第 2 層 ( 透明模式 ) 或第3 層 ( 路由模式 ) 的物理以太 網(wǎng)接口。刪除二級 IP 地址時，設(shè)備會自動刪除其路由選擇表條目。 ?? 通過二級 IP 地址管理安全設(shè)備時，該地址總是具有與主 IP 地址相同的管理屬性。要解決這樣的問題，可將 二級 IP 地址添加到 Trust、 DMZ或用戶定義區(qū)段中的接口。 單擊 Yes 刪除子接口。然后必須刪除子接口上的 MIP、 VIP 和 DIP 池。為其分配子接口 ID IP 地址 。請注意雖然子接口源自物理接口，并借用其需要的帶寬，但是可將子接口綁定到任何區(qū)段，不必綁定到其“父級”接口綁定到的區(qū)段。為了確保管理信息流的絕對安全，還更改了管理服務(wù)選項，啟用 SCS 和 SSL 并禁用 Tel 和 WebUI。如果強迫物理鏈接狀態(tài)處于不在工作中狀態(tài)，則可模擬電纜與接口端口的斷開。 ?? ( 物理接口 ) 信息流帶寬設(shè)置 ( 請參閱第 181 頁上的“信息流整形” )。 ?? 管理 IP 地址。 WebUI Network Interfaces Edit ( 對于 ether3): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Null IP Address/Netmask: CLI set interface ether3 ip set interface ether3 zone null save 編址接口 在本例中，將給 ether5 分配 IP 地址 ,“管理 IP”地址 。如果接口已編號，則必須首先將其 IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 。將接口綁定到 L3 安全區(qū)段后，才能將 IP 地址指定給接口。 ?? Link: 此字段確定接口是否為活動 (up) 或非活動 (down)。 接口表顯示每個接口的下列信息 : ?? Name: 此字段確定接口的名稱。而對于子接口和通道接口來說，只有在創(chuàng)建和配置后才列出。 3. 解除來自 vpn1 的 綁定 VPNs AutoKey IKE Edit ( 對于 vpn1) Advanced: 在 Bind to: Tunnel Interface 下拉列表中選擇 None，單擊 Return，然后 單擊 OK。然后，必須解除 到 vpn 1 的綁定。如果基于路由的 VPN 配置引用一個通道接口，則必須首先刪除 VPN 配置，然后刪除通道接口。 Juniper Networks 安全設(shè)備支持可在 IPv4 單播數(shù)據(jù)包中封裝 IP 數(shù)據(jù)包的 GREv1。必須將一個沒有編號的通道接口綁定到安全區(qū)段；同時不能將其綁定到 Tunnel 區(qū)段。管道始終存在，只要路由引擎將流量引導(dǎo)到接口之一就可隨時使用。這時，必須有一個 IP 地址。將通道通向的所有目標地址放置在 VPN 區(qū)段中。通道接口可以從相同或不同安全區(qū)段的接口借用 IP 地址，只要這兩個區(qū)段位于同一個路由選擇域中。 必須將基于路由的 VPN 通道綁定到通道接口，以便安全設(shè)備可以路由信息流出和流入設(shè)備。如果沒有通道接口綁定到 VPN 通道，則必須在策略中指定通道并選擇 tunnel 作為操作。信息流通過通道接口進出 VPN 通道。每個虛擬子接口都從自己來源的物理接口借用所需的帶寬，因此其名稱是物理接口名稱的擴展，例如， ether3/ 或 。 在支持對“接口至區(qū)段綁定”進行修改的安全設(shè)備上，三個物理以太網(wǎng)接口被預(yù)先綁定到各特定第 2 層安全區(qū)段 V1Trust、 V1Untrust 和 V1DMZ。 物理接口 安全設(shè)備上的每個端口表示一個物理接口，且該接口的名稱是預(yù)先定義的。 設(shè)置端口模式之前，請注意以下方面 : ?? 更改端口模式會 刪除 設(shè)備上任何現(xiàn)有的配置，并要求系統(tǒng)重置。 Self 區(qū)段 此區(qū)段是遠程管理連接接口的宿主區(qū)段。 MGT 區(qū)段 此區(qū)段是帶外管理接口 MGT 的宿主區(qū)段。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計。除用戶定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段 : Trust、 Untrust 和 DMZ (用于第 3 層操作 )，或者 V1Trust、 V1Untrust 和 V1DMZ ( 用于第 2 層操作 )。 Juniper 防火墻 配置手冊 202011 目 錄 目 錄 .....................................................................................