Juniper SRX防火墙配置说明
“Address Persistent”是指地址附着,设备会将相同的 IP 地址分配给主机的多个同时会话,即保证在一段时间内,设备在给同一个客户端在进行源地址转换时,会替换成同一个源地址,以保证部分应用的正常
“Pool Utilization Alarm”中可以配置地址池的利用率告警阀值
在源地址转换的“rule sets”配置中需要指定“from”和“to”区域,并在该前提下配置具体的“rule”。因此,可以根据防火墙实际使用的区域,来进行排列组合,将同一个“from”和“to”区域nat的配置写在一个“rule sets”下,根据不同的“rule”来进行区分。
34
Juniper SRX防火墙配置说明
在源地址转换中,可以配置一个地址池用来进行源地址转换,也可以使用接口地址作为地址池。需要配置的地方包括:
? Name。地址池的名称,根据需要填写
? Port。用户地址转换的范围。默认为使用1024-63487。选择“no translation”则表示保持
数据包的源端口不变,即不进行端口转换,如需要指定端口转换的范围,则选择“translation”,然后在“port range”中配置端口转换的范围,绝大多数情况下,该选项保持默认即可
? Source addresses。填入用于该地址池的地址,可以填前缀+子网掩码的方式,也可以填一
段地址,如只有1个地址,则在range中填写同样的地址即可 完成配置后点击“ok”提交配置。
接下来需要配置nat的规则,在“Source Rule Sets”下点击“add”,添加1条nat规则
35
Juniper SRX防火墙配置说明
36
Juniper SRX防火墙配置说明
需要配置的部分包括:
? Name。规则的名称。根据需要填写
? From。选择soucre nat的起始区域。起始区域可以是路由实例、接口或是安全区域 ? To。选择source nat的终止区域。终止区域可以是路由实例、接口或是安全区域,也可以
与起始区域相同
完成配置后点击“ok”确认配置。
此处只是配置了nat规则的起始和终止区域,并没有配置详细的nat规则,再次点击该规则,继续配置。
37
Juniper SRX防火墙配置说明
“source nat rule”中需要配置的内容包括: ? Name。规则名称。根据需要填写
? Source address。源地址段。填入需要的地址段后点击“add”进行添加。可添加多个 ? Destination address。目的地址段。填入需要的地址段后点击“add”进行添加。可添加多
个
? Then。匹配后的动作。可以选择停止nat、使用接口地址作为地址池、使用已定义好的地
址池
完成配置后点击“ok”提交配置。
注意:同一个“rule sets”下的“rule”名称不能相同。
9.4 Proxy arp配置
38