Juniper netscreen 防火牆三種部署模式及基本配置

Juniper防火牆在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：

① 基於TCP/IP協議三層的NAT模式；

② 基於TCP/IP協議三層的路由模式；

③ 基於二層協議的透明模式。

一.NAT模式當Juniper防火牆入口接口（內網端口）處於NAT模式時，防火牆

Juniper防火牆在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：

① 基於TCP/IP協議三層的NAT模式；

② 基於TCP/IP協議三層的路由模式；

③ 基於二層協議的透明模式。

2.1、NAT模式

當Juniper防火牆入口接口（“內網端口”）處於NAT模式時，防火牆將通往 Untrust 區（外網或者公網）的IP 數據包包頭中的兩個組件進行轉換：源 IP 地址和源端口號。

防火牆使用 Untrust 區（外網或者公網）接口的 IP 地址替換始發端主機的源 IP 地址；同時使用由防火牆生成的任意端口號替換源端口號

NAT模式應用的環境特徵：

① 註冊IP地址（公網IP地址）的數量不足；

② 內部網絡使用大量的非註冊IP地址（私網IP地址）需要合法訪問Internet；

③ 內部網絡中有需要外顯並對外提供服務的服務器。

2.2、Route-路由模式

當Juniper防火牆接口配置爲路由模式時，防火牆在不同安全區間（例如：Trust/Utrust/DMZ）轉發信息流時IP 數據包包頭中的源地址和端口號保持不變。

① 與NAT模式下不同，防火牆接口都處於路由模式時，不需要爲了允許入站數據流到達某個主機而建立映射 IP (MIP) 和虛擬 IP (VIP) 地址；

② 與透明模式下不同，當防火牆接口都處於路由模式時，其所有接口都處於不同的子網中。

路由模式應用的環境特徵：

① 註冊IP（公網IP地址）的數量較多；

② 非註冊IP地址（私網IP地址）的數量與註冊IP地址（公網IP地址）的數量相當；

③ 防火牆完全在內網中部署應用。

2.3、透明模式

當Juniper防火牆接口處於“透明”模式時，防火牆將過濾通過的IP數據包，但不會修改 IP數據包包頭中的任何信息。防火牆的作用更像是處於同一VLAN的2 層交換機或者橋接器，防火牆對於用戶來說是透明的。

透明模式是一種保護內部網絡從不可信源接收信息流的方便手段。使用透明模式有以下優點：

① 不需要修改現有網絡規劃及配置；

② 不需要爲到達受保護服務器創建映射或虛擬 IP 地址；

③ 在防火牆的部署過程中，對防火牆的系統資源消耗最低。