研发服务中心
十四、 部署模式的选择
1. Juniper netscreen 防火墙有三种的应用模式:
1. 透明模式 2. NAT模式 3. 路由模式 2. 特殊模式:
二层模式与三层模式混合部署 (需要一些条件的支持)
十五、 透明模式
1. 透明模式:
看上去于基于TCP/ip协议二层的设备类似,防火墙的端口上没有IP地址,只有一个用于管理的全局IP。 2. 适用用的环境:
一般用于处于相同网段的不同网络之间的安全隔离。
3. 优点:
不需要重新配置路由器或受保护服务器的IP设置。
不需要为到达受保护服务器的内向信息流创建地址映射或端口映射。 4. 基于透明模式的拓扑图
研发服务中心
5. 透明模式的实现(命令行)
因为防火墙在默认情况下,不是透明模式的,因此需要进行调试,更改防火墙的应用模式为透明模式。
命令实现:
Unset interface ethernet1 ip
Set interface ethernet1 zone v1-trust Set interface ethernet2 zone v1-dmz Set interface ethernet3 zone v1-untrust Set interface vlan1 ip 192.168.1.1/24 Save
在命令行下进行调试,需要进行手动保存。
十六、 NAT模式
类似于基于TCP/IP第三层协议的设备,通过协议端口或IP头替换的方式实现地址转发和共享访问互联网的应用。(源自Juniper OS手册) 1. 适用的网络环境:
客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公网IP地址的情况。 2. 优点:
针对内网对互联网的访问,可以大量节省公网IP地址,路由结构清晰。
3. 网络拓扑图(NAT/ROUTE)
研发服务中心
4. NAT模式的实现(命令行)
命令实现:
Set interface ethernet1 zone trust Set interface ethernet2 zone dmz Set interface ethernet3 zone untrust
Set interface ethernet1 ip 192.168.1.1/24 Set interface ethernet2 ip 172.16.1.1/24 Set interface ethernet3 ip 10.10.1.1 /24
Set interface Ethernet3 ip gateway 10.10.0.251 Set interface ethernet1 nat Save
十七、 路由模式
与NAT模式类似,也是基于TCP/IP第三层协议的设备,数据流在通过防火墙设备时,IP地址信息部发生替换,以源地址的方式访问互联网或进入网络访问。(源自Juniper OS手册)
1. 适用的网络环境:
拥有足够多的公网IP地址,可以满足网络中的所有设备全部适用和拥有公网IP地址的情况。
2. 优点:
路由关系清晰,系统资源损耗较小。
3. 网络拓扑图(NAT/ROUTE)
研发服务中心
4. 路由模式的实现(命令行)
命令实现:
Set interface ethernet1 zone trust Set interface ethernet2 zone dmz Set interface ethernet3 zone untrust
Set interface ethernet1 ip 192.168.1.1/24 Set interface ethernet2 ip 172.16.1.1/24 Set interface ethernet3 ip 10.10.1.1/24 Set interface ethernet3 gateway 10.10.0.251 Set interface Ethernet1 route Save
十八、 登录防火墙WEB界面
1. 通过微软IE浏览器,在地址栏中输入防火墙的IP地址,登录防火墙的WEB管理页
面,获得管理权限。
2. 防火墙拥有一个默认的IP地址:192.168.1.1,在透明模式下,该IP为:VLAN1
的ip地址,在NAT的模式下,该地址为trust的ip地址,默认在eth1接口上。
研发服务中心
十九、 NS防火墙的WEB界面
二十、 WEB下的基本设置
1. 设置路由网关:
Network > Routing > Routing Entries