Juniper防火牆作爲網絡的一道關卡,除了控制內網用戶訪問外網之外還可以控制外網對內網的訪問,如果用戶內網的服務器需要對外網發佈服務的話就需要使用Juniper防火牆的網絡映射功能,這裏介紹兩個最常用的方式MIP和VIP。
Juniper 防火牆MIP的配置
MIP(Mapped IP)是“一對一”的雙向地址翻譯(轉換)過程。
通常的情況是:當你有若干個公網IP地址,又存在若干的對外提供網絡服務的服務器(服務器對外提供IP地址),爲了實現互聯網用戶訪問這些服務器,可在 Internet出口的防火牆上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),並通過策略實現對服務器所提供服務進行訪問控制。
在 Network=>Interface界面下選擇Untrust接口,點擊edit,進入編輯界面後上方點擊MIP
選擇右上角的“new”
Mapped IP:公網IP地址
Host IP:內網服務器IP地址
在POLICY中,配置由外到內的訪問控制策略,以此允許來自外部網絡對內部網絡服務器應用的訪問。
Untrust的源地址選擇any
trust的目的地址選擇剛纔建立的MIP
action選擇permit
這樣一個簡單的MIP就建立好了,通過訪問MIP的外網IP防火牆就會自動映射到MIP指定內網IP的服務器上了。
Juniper 防火牆VIP的配置
MIP 是一個公網IP地址對應一個私有IP地址,是一對一的映射關係;而VIP是一個公網IP地址的不同端口(協議端口如:23、80、110等)與內部多個私有IP地址的不同服務端口的映射關係。通常應用在只有很少的公網IP地址,卻擁有多個私有IP地址的服務器,並且,這些服務器是需要對外提供各種服務的。
在 Network=>Interface 界面下選擇Untrust接口,點擊edit,進入編輯界面後上方點擊VIP
Same as the interface IP address 如果你只有一個外網IP地址,那就只能選這個了。需要注意的是該ip的80、23、443端口默認情況是給防火牆佔用了,如果要將這幾個端口映射給內網服務器則需要修改防火牆的管理端口,將這些端口讓出了。
另外再一些舊款的防火牆如,netscreen ns-204以上的型號是沒有這個選項的。
Virtual IP Address 如果你公司比較有錢,有多的ip,那就可以在這裏填一個ip了。
點擊“new VIP services”建立一條VIP映射
Virtual Port 是外網訪問的端口,這裏可以隨便填,沒衝突就行了
Map to Service 是對於內網服務的端口號,可以自定義的
Server Auto Detection 建議不要打鉤,不然比較容易出錯。
最後建立一條策略允許外網對VIP對應的服務器進行訪問
Untrust端的源地址爲any
trust的目的地址爲新建的VIP地址
action爲允許
這樣一個簡單的VIP就建立好了,通過訪問VIP的外網IP+端口號防火牆就會自動映射到VIP指定內網IP的服務器上了