返回
防火墙配置vip

防火墙配置vip

ID:37678329

大小:404.86 KB

页数:10页

时间:2019-05-28

防火墙配置vip_第1页
防火墙配置vip_第2页
防火墙配置vip_第3页
防火墙配置vip_第4页
防火墙配置vip_第5页
资源描述:

《防火墙配置vip》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Netscreen配置VIPwriter:demonalex[at]dark2s[dot]orgNS设备默认有三种NAT方式:DIP、MIP、VIP。其中:DIP用于针对NAT-scr方式的地址映射(连接发起端的NAT方式);MIP用于针对主机地址的映射;VIP用于针对服务的映射。本文的主要内容是针对VIP的映射方式进行下面的叙述的。实验设备:端口配置:ns204->getintallboxisnotinpure_l2_modeA-Active,I-Inactive,U-Up,D-Down,R-ReadyTotalinterface:13NameIPAddressZoneMACVLANStat

2、eVSDeth10.0.0.0/0Trust0012.1ea0.0ae0-D-eth2192.168.2.1/24Untrust0012.1ea0.0ae5-U-eth30.0.0.0/0Untrust0012.1ea0.0ae6-D-eth4192.168.1.1/24Trust0012.1ea0.0ae7-U-vlan10.0.0.0/0VLAN0012.1ea0.0aef1D-具体操作步骤:1)首先登陆WEBUI,进入Network->Interfaces界面:2)选定Untrust区域的网络接口—本例是eth2,进入其Basic页面:3)切换至VIP分页,在VirtualIPAddre

3、ss栏输入VIPNAT后的地址(注意:这个地址一定要与你的NAT出口同一网段,但系统默认不支持使用与NAT出口同一地址,具体内容请参照本文最后的“小技巧”部分),本例使用的是192.168.2.3,按Add按钮添加:4)添加完成后可以在主页面偏下方看到我们添加的VIP记录,设置VIP---在主页面右上角有一个NewVIPService的按钮,点击它…5)在VirtualIP中选定我们刚新建好的、VIPNAT后的地址;VirtualPort中输入VIPNAT后的传输层端口;MaptoService是我们需要映射的传输层端口(这个可以在NetScreen设备的Objects->Services->

4、Custom中自行定义);MaptoIP中输入我们要映射的主机IP地址;ServerAutoDetection用于防火墙以PING的方式检测该MaptoIP的主机是否‘存在’的功能(作用不大…);按OK按钮进入下一步操作…6)现在我们回到VIP的主界面后就可以观赏到一条完整的VIP记录了:7)建立了VIP后需要定义一条策略使其生效,进入Policies页面,建立一条Untrust到Global的策略:SourceAddress=Any;DestinationAddress=VIP(192.168.2.3);Service=Any;Application=None;Action=Permit;(

5、忽略其它通用的选项)…8)建立后我们可以在Policies主界面看到该策略:9)现在我们重新回到eth2的VIP界面,可以看到我们原来新建的那条VIP记录的Status了吧?☺下面提供一个我在项目实施中的具体案例:拓扑:cfg配置:setclocktimezone0setvroutertrust-vrsharableunsetvrouter"trust-vr"auto-route-exportsetservice"20"protocoltcpsrc-port0-65535dst-port20-20setservice"21"protocoltcpsrc-port0-65535dst-port2

6、1-21setservice"8023"protocoltcpsrc-port0-65535dst-port8023-8023setservice"80"protocoltcpsrc-port0-65535dst-port80-80setservice"80"+udpsrc-port0-65535dst-port80-80setservice"6633"protocoltcpsrc-port0-65535dst-port6633-6633setservice"6633"+udpsrc-port0-65535dst-port6633-6633setservice"1554"protocoltcp

7、src-port0-65535dst-port1554-1554setservice"1554"+udpsrc-port0-65535dst-port1554-1554setservice"3389"protocoltcpsrc-port0-65535dst-port3389-3389setservice"3389"+udpsrc-port0-65535dst-port3389-3389setau

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。