欢迎来到天天文库
浏览记录
ID:37678329
大小:404.86 KB
页数:10页
时间:2019-05-28
《防火墙配置vip》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Netscreen配置VIPwriter:demonalex[at]dark2s[dot]orgNS设备默认有三种NAT方式:DIP、MIP、VIP。其中:DIP用于针对NAT-scr方式的地址映射(连接发起端的NAT方式);MIP用于针对主机地址的映射;VIP用于针对服务的映射。本文的主要内容是针对VIP的映射方式进行下面的叙述的。实验设备:端口配置:ns204->getintallboxisnotinpure_l2_modeA-Active,I-Inactive,U-Up,D-Down,R-ReadyTotalinterface:13NameIPAddressZoneMACVLANStat
2、eVSDeth10.0.0.0/0Trust0012.1ea0.0ae0-D-eth2192.168.2.1/24Untrust0012.1ea0.0ae5-U-eth30.0.0.0/0Untrust0012.1ea0.0ae6-D-eth4192.168.1.1/24Trust0012.1ea0.0ae7-U-vlan10.0.0.0/0VLAN0012.1ea0.0aef1D-具体操作步骤:1)首先登陆WEBUI,进入Network->Interfaces界面:2)选定Untrust区域的网络接口—本例是eth2,进入其Basic页面:3)切换至VIP分页,在VirtualIPAddre
3、ss栏输入VIPNAT后的地址(注意:这个地址一定要与你的NAT出口同一网段,但系统默认不支持使用与NAT出口同一地址,具体内容请参照本文最后的“小技巧”部分),本例使用的是192.168.2.3,按Add按钮添加:4)添加完成后可以在主页面偏下方看到我们添加的VIP记录,设置VIP---在主页面右上角有一个NewVIPService的按钮,点击它…5)在VirtualIP中选定我们刚新建好的、VIPNAT后的地址;VirtualPort中输入VIPNAT后的传输层端口;MaptoService是我们需要映射的传输层端口(这个可以在NetScreen设备的Objects->Services->
4、Custom中自行定义);MaptoIP中输入我们要映射的主机IP地址;ServerAutoDetection用于防火墙以PING的方式检测该MaptoIP的主机是否‘存在’的功能(作用不大…);按OK按钮进入下一步操作…6)现在我们回到VIP的主界面后就可以观赏到一条完整的VIP记录了:7)建立了VIP后需要定义一条策略使其生效,进入Policies页面,建立一条Untrust到Global的策略:SourceAddress=Any;DestinationAddress=VIP(192.168.2.3);Service=Any;Application=None;Action=Permit;(
5、忽略其它通用的选项)…8)建立后我们可以在Policies主界面看到该策略:9)现在我们重新回到eth2的VIP界面,可以看到我们原来新建的那条VIP记录的Status了吧?☺下面提供一个我在项目实施中的具体案例:拓扑:cfg配置:setclocktimezone0setvroutertrust-vrsharableunsetvrouter"trust-vr"auto-route-exportsetservice"20"protocoltcpsrc-port0-65535dst-port20-20setservice"21"protocoltcpsrc-port0-65535dst-port2
6、1-21setservice"8023"protocoltcpsrc-port0-65535dst-port8023-8023setservice"80"protocoltcpsrc-port0-65535dst-port80-80setservice"80"+udpsrc-port0-65535dst-port80-80setservice"6633"protocoltcpsrc-port0-65535dst-port6633-6633setservice"6633"+udpsrc-port0-65535dst-port6633-6633setservice"1554"protocoltcp
7、src-port0-65535dst-port1554-1554setservice"1554"+udpsrc-port0-65535dst-port1554-1554setservice"3389"protocoltcpsrc-port0-65535dst-port3389-3389setservice"3389"+udpsrc-port0-65535dst-port3389-3389setau
此文档下载收益归作者所有