Juniper防火墙作为网络的一道关卡,除了控制内网用户访问外网之外还可以控制外网对内网的访问,如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能,这里介绍两个最常用的方式MIP和VIP。
Juniper 防火墙MIP的配置
MIP(Mapped IP)是“一对一”的双向地址翻译(转换)过程。
通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器对外提供IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
在 Network=>Interface界面下选择Untrust接口,点击edit,进入编辑界面后上方点击MIP
选择右上角的“new”
Mapped IP:公网IP地址
Host IP:内网服务器IP地址
在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
Untrust的源地址选择any
trust的目的地址选择刚才建立的MIP
action选择permit
这样一个简单的MIP就建立好了,通过访问MIP的外网IP防火墙就会自动映射到MIP指定内网IP的服务器上了。
Juniper 防火墙VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:23、80、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
在 Network=>Interface 界面下选择Untrust接口,点击edit,进入编辑界面后上方点击VIP
Same as the interface IP address 如果你只有一个外网IP地址,那就只能选这个了。需要注意的是该ip的80、23、443端口默认情况是给防火墙占用了,如果要将这几个端口映射给内网服务器则需要修改防火墙的管理端口,将这些端口让出了。
另外再一些旧款的防火墙如,netscreen ns-204以上的型号是没有这个选项的。
Virtual IP Address 如果你公司比较有钱,有多的ip,那就可以在这里填一个ip了。
点击“new VIP services”建立一条VIP映射
Virtual Port 是外网访问的端口,这里可以随便填,没冲突就行了
Map to Service 是对于内网服务的端口号,可以自定义的
Server Auto Detection 建议不要打钩,不然比较容易出错。
最后建立一条策略允许外网对VIP对应的服务器进行访问
Untrust端的源地址为any
trust的目的地址为新建的VIP地址
action为允许
这样一个简单的VIP就建立好了,通过访问VIP的外网IP+端口号防火墙就会自动映射到VIP指定内网IP的服务器上了。
本文转自 yhw85 51CTO博客,原文链接:http://blog.51cto.com/yanghuawu/662452,如需转载请自行联系原作者