juniper防火牆透明模式實戰

一、網絡環境說明,100M光纖,30M光纖用戶上網使用,70M光纖服務器使用,因此使用控流交換機。

二、拓撲圖


161543581.jpg


三、配置控流交換機(h3c 5024E交換機,只要配置1端口流量最大達到30M即可)


142502444.jpg

四、配置H3C ER5200路由器

      1、配置靜態IP地址


143415272.jpg

      2、配置DHCP服務器


143535237.jpg

        客戶端自動獲取IP即可上網

五、防火牆透明模式設置(jnuiper ssg-320m)

       首先理解什麼是防火牆的透明模式,就是相當於把防火牆當成交換機,防火牆將過濾通過的IP數據包,但不會修改IP數據包包頭中的任何信息。

      透明模式的優點:

              1、 不需要改變已有的網絡和配置

              2、不需要創建映射或者虛擬的IP

              3、透明模式對系統資源消耗最少

配置如下:

           1、配置透明模式的內網接口

144714696.jpg

              2、配置路由模式的外網接口



144912813.jpg

      3  配置vlan 1 的IP,也就是管理IP:


145606446.jpg

   4、查看下所有端口配置圖如下:


145933550.jpg

     5、配置信任IP


150321130.jpg

       6、配置防火牆ACL

             ACL配置有兩部分,一部分是內部對外部,另一個是外部對內部


150940853.jpg

   v1-trust  to v1-untrust   ###這個是內部對外部,是所有動作都放行

  v1-untrust to v1-trust    #### 這個是外部對內問訪問權限,這裏只允許外問訪問"WEB IP地址" 這臺服務器(注意由於這裏不方便透露IP,web IP地址==是後端服務器的IP地址)

################################到些配置完成#############################

六、配置web服務器(這裏只測試一臺)

     IP=“web IP 地址”

     vi /var/www/html/index.html

        the is juniper firewall test   !!!

七、測試

   v1-untrust to v1-trust  ACL對http服務信任,訪問如下:

151824566.jpg

  v1-untrust to v1-trust  ACL拒絕了http服務


152505654.jpg

測試結果如下:

152528479.jpg

另外注意下需要遠程管理的設置:


091108626.jpg



發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章