您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > Juniper防火墙新手教程18Juniper防火墙的网络地址映射
Juniper防火墙作为网络的一道关卡,除了控制内网用户访问外网之外还可以控制外网对内网的访问,如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能,这里介绍两个最常用的方式MIP和VIP。Juniper防火墙MIP的配置MIP(MappedIP)是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器对外提供IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。在Network=Interface界面下选择Untrust接口,点击edit,进入编辑界面后上方点击MIP选择右上角的“new”MappedIP:公网IP地址HostIP:内网服务器IP地址在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。Untrust的源地址选择anytrust的目的地址选择刚才建立的MIPaction选择permit这样一个简单的MIP就建立好了,通过访问MIP的外网IP防火墙就会自动映射到MIP指定内网IP的服务器上了。Juniper防火墙VIP的配置MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:23、80、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。在Network=Interface界面下选择Untrust接口,点击edit,进入编辑界面后上方点击VIPSameastheinterfaceIPaddress如果你只有一个外网IP地址,那就只能选这个了。需要注意的是该ip的80、23、443端口默认情况是给防火墙占用了,如果要将这几个端口映射给内网服务器则需要修改防火墙的管理端口,将这些端口让出了。另外再一些旧款的防火墙如,netscreenns-204以上的型号是没有这个选项的。VirtualIPAddress如果你公司比较有钱,有多的ip,那就可以在这里填一个ip了。点击“newVIPservices”建立一条VIP映射.VirtualPort是外网访问的端口,这里可以随便填,没冲突就行了MaptoService是对于内网服务的端口号,可以自定义的ServerAutoDetection建议不要打钩,不然比较容易出错。最后建立一条策略允许外网对VIP对应的服务器进行访问Untrust端的源地址为anytrust的目的地址为新建的VIP地址action为允许这样一个简单的VIP就建立好了,通过访问VIP的外网IP+端口号防火墙就会自动映射到VIP指定内网IP的服务器上了。
本文标题:Juniper防火墙新手教程18Juniper防火墙的网络地址映射
链接地址:https://www.777doc.com/doc-2879542 .html