收藏 分享(赏)
下载资源 加入VIP,免费下载

网络地址翻译方法总结和实验.doc

上传人:hwpkd79526 文档编号:6823530 上传时间:2019-04-23 格式:DOC 页数:34 大小:620.50KB
下载 相关 举报
网络地址翻译方法总结和实验.doc_第1页
第1页 / 共34页
网络地址翻译方法总结和实验.doc_第2页
第2页 / 共34页
网络地址翻译方法总结和实验.doc_第3页
第3页 / 共34页
网络地址翻译方法总结和实验.doc_第4页
第4页 / 共34页
网络地址翻译方法总结和实验.doc_第5页
第5页 / 共34页
点击查看更多>>
资源描述

1、 1网络地址翻译方法总结和实验目录一、 前言 1二、 Netscreen 防火墙各种地址翻译方法的特点总结 .1三、 地址翻译方法实验 5. Netscreen 防火墙的地址翻译实验环境 .5. Netscreen 防火墙的策略地址翻译实验 .63.1 由外向内的地址翻译 63.2 由内向外的地址翻译 15. Netscreen 防火墙的接口地址翻译实验 .204.1 MIP 地址翻译 204.2 VIP 地址翻译 .23. 将 MIP 和 VIP 用策略地址翻译替代实验 265.1 MIP 地址翻译的替代 265.2 VIP 地址翻译的替代 .30正文一、 前言企业网络需要和上下级单位及各种

2、合作伙伴进行互联,其中需要涉及到在边界网关防火墙处进行地址翻译和路由,由于许多企业内部应用程序对地址和端口进行了绑定,外部合作伙伴对网络地址和端口的要求也是多种多样,并且网络不断改造调整,造成了地址翻译和路由要求异常复杂多变。希望通过本文对 Netscreen 防火墙的各种地址翻译功能进行归纳总结,帮助企业网管人员理解如何将 Netscreen 的各种地址翻译功能和企业网络的具体实践有效结合,提出适合企业网络管理的地址翻译解决方案。二、 Netscreen 防火墙各种地址翻译方法的特点总结Netscreen 防火墙的地址翻译主要包括五类: NAT-src2 NAT-dst Mapped IP

3、(MIP) Virtual IP (VIP) Untrust 口的源地址翻译这五类地址翻译可以从两个角度分类:一、 是源地址翻译还是目的地址翻译? NAT-src 和 Untrust 口的源地址翻译是源地址翻译。 NAT-dst 和 VIP 是目的地址翻译。 MIP 是双向地址翻译。二、 是基于策略的地址翻译还是基于接口的地址翻译? NAT-src 和 NAT-dst 是基于策略的地址翻译。 Untrust 口的源地址翻译、MIP 和 VIP 是基于接口的地址翻译。也就是说,NAT-src 和 NAT-dst 是在制订的防火墙 Policy 的基础之上,即规定了源地址、目的地址、源端口、目的端

4、口等之后,对符合这条策略的信息流进行 NAT-src 和 NAT-dst 方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定,而和 Policy 策略无关。因此,这几种地址翻译方法总结来说具有以下应用特点: NAT-src 和 NAT-dst 可以完全覆盖另外三种地址翻译方法,也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的 NAT-src和 NAT-dst,反之则不行。 NAT-src 和 NAT-dst 由于是基于 Policy 进行地址翻译,具有更好的信息流控制粒度。 NAT-src 和 NAT-dst 可以在任意两个安全域(zone )之间进行设置。3 NAT-src

5、 和 NAT-dst 可以在一条 Policy 中同时设置执行,对源和目的地址同时翻译,但是仅仅是单向的地址翻译。 单向翻译可以提供更好的控制与安全性能。 Untrust 口的源地址翻译只能在 Untrust 口实现。尽管可以将绑定到任意第 3 层区段的接口的操作模式定义为 NAT,但是,安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流,ScreenOS 不执行 NAT。还要注意,ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式,但是这样做并不会激活任何 NAT 操作。 VIP 只能在 Un

6、trust 口实现。 MIP 和 VIP 一般需要与所配置的接口处于同一网段,但是为 Untrust 区段中接口定义的 MIP 例外。该 MIP 可以在不同于 Untrust 区段接口 IP 地址的子网中。但是,如果真是这样,就必须在外部路由器上添加一条路由,指向 Untrust 区段接口,以便内向信息流能到达 MIP。此外,必须在与 MIP 相关的防火墙上定义一个静态路由。另外这几种策略发生冲突重叠时具有以下规律: 入口接口处于“路由”或 NAT 模式时,可以使用基于策略的 NAT-src。如果配置策略以应用 NAT-src,且入口接口处于 NAT 模式下,则基于策略的 NAT-src 设置

7、会覆盖基于接口的 NAT。 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP,安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用 MIP 或 VIP。换言之,如果安全设备偶然将 MIP 和 VIP 应用于同一信息流,则 MIP 和 VIP 将禁用基于策略的 NAT-dst。 应该避免将接口 IP 地址、MIP、VIP、DIP 设置重复,否则会不可设置或引起冲突。4通过实际调查,可以发现很多网管人员习惯于使用 MIP、VIP 和 Untrust 口的源地址翻译来进行地址翻译,这主要是因为: 这三种地址翻译方法是目前大多数防火墙普

8、遍采用的地址翻译方法,网管人员不需要学习就已经掌握。 一对一的静态地址映射便于理解,也是目前大多数防火墙普遍采用的地址翻译方法。 如果从其它防火墙迁移到 Netscreen 防火墙,这种配置迁移便于一对一的翻译。但是,以 MIP 为主的地址翻译也存在着一些问题: MIP 和 VIP 属于 Global 区段,这一点容易让一些网管人员在理解上产生偏差,而不能正确配置。 从不同区段到达 MIP 需要配置两条策略,也容易产生配置错误。 对于策略配置中何时使用 MIP,何时使用服务器的真实 IP,经常容易搞错。 当涉及到多个安全区段都存在 MIP 时,并且这些 MIP 地址有可能引起各种地址段重合的现

9、象时,配置更加复杂和难于理解,甚至无法实现。 这些传统的地址翻译方法粒度太粗,可控性不强,不能实现最大程度的安全性和灵活性。 一对一的地址映射在实践中无法满足企业用户复杂的网络需求,如实现一对多、多对一的翻译,实现源地址和目的地址的同时翻译,等等。因此,考虑到企业业务的实践,建议尽可能采用 NAT-src 和 NAT-dst来实现业务需要,理由如下: NAT-src 和 NAT-dst 可以完全覆盖另外三种地址翻译方法。 NAT-src 和 NAT-dst 由于是基于 Policy 进行地址翻译,具有更好的信息流控制粒度。 NAT-src 和 NAT-dst 可以在任意两个安全域(zone )

10、之间进行设置。另外三种地址翻译方法都有一些安全域限制,无法实现任意方向的5地址翻译。 NAT-src 和 NAT-dst 可以在一条 Policy 中同时设置执行,对源和目的地址同时翻译。 单向翻译可以提供更好的控制与安全性能。如果需要双向翻译可以在反方向单独再定义一条策略。 基于策略的 NAT-src 和 NAT-dst 容易理解和配置。 可以更好地将地址翻译和策略管理结合起来,更加方便企业的日常策略维护工作。当然,另外三种翻译方法在实现从其它防火墙向 Netscreen 防火墙的策略迁移,适应不同管理员的配置习惯,适应特定的网络环境等方面具有自己的优点。以下将结合企业网络的常见需求来看看如

11、何通过 NAT-src 和 NAT-dst来实现地址翻译,并且如何取代其它三种地址翻译方法。三、 地址翻译方法实验. Netscreen 防火墙的地址翻译实验环境为了帮助理解地址翻译的实践,以下各节配置均采用下图所示的实验环境:6. Netscreen 防火墙的策略地址翻译实验3.1 由外向内的地址翻译分以下几种情况(注意:其中需要在防火墙和路由器上添加路由的部分都省略,请自行添加路由):一、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2) ,同时源地址(2.2.2.2) 在 Trust 区域可以路由,不需要做源地址转换。配置如下

12、:WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击7Apply:Zone Name: TrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内容,然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/242. 策略Policies (Fro

13、m: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Destination Address:Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象 )Service: HTTPAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:NAT:Destination Translation: ( 选择)Translate

14、 to IP: ( 选择) , 192.168.1.2CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 route8set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet1 route2. Address Listset address Trust “3.3.3.2/32“ 3.3.3.2

15、255.255.255.255set address Untrust “2.2.2.2/32“ 2.2.2.2 255.255.255.2553. Policyset policy id 1 from “Untrust“ to “Trust“ “2.2.2.2/32“ “3.3.3.2/32“ “HTTP“ nat dst ip 192.168.1.2 permit save二、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2) ,同时源地址(2.2.2.2) 在 Trust 区域不可路由,需要做源地址转换,将其转换为内部可以路由的

16、地址(100.2.2.2)。配置如下:WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击Apply:Zone Name: Trust9Static IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内容,然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/24

17、2. DIPNetwork Interfaces Edit ( 对于 ethernet1) DIP New: 输入以下内容,然后单击 OK:ID: 6IP Address Range: ( 选择), 10.2.2.2 10.2.2.2Port Translation: ( 清除)(假设合作伙伴服务器访问企业服务器需要特定源端口,基于此原因,必须禁用 DIP 池 6 的 PAT)In the same subnet as the extended IP: ( 选择 ),10.2.2.1/24 3. 策略Policies (From: Untrust, To:Trust) New: 输入以下内容,

18、然后单击 OK:Source Address:Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Destination Address:Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象 )Service: HTTPAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:NAT:Source Translation: ( 选择)DIP on: ( 选择), 6 (10.2.2.2 10.2.2.2)/fix-port10D

19、estination Translation: ( 选择)Translate to IP: ( 选择) , 192.168.1.2CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet1 route2.DIPset interfac

20、e ethernet1 ext ip 10.2.2.1 255.255.255.0 dip 6 10.2.2.2 10.2.2.2 fix-port3. Address Listset address Trust “3.3.3.2/32“ 3.3.3.2 255.255.255.255set address Untrust “2.2.2.2/32“ 2.2.2.2 255.255.255.2554. Policyset policy id 1 from “Untrust“ to “Trust“ “2.2.2.2/32“ “3.3.3.2/32“ “HTTP“ nat src dip-id 6

21、dst ip 192.168.1.2 permit save三、合作伙伴服务器(2.2.2.2)和(4.4.4.2) 需要访问企业服务器(192.168.1.2),访问的映射地址分别是(3.3.3.2)和(5.5.5.2) ,同时源地址(2.2.2.2)和(4.4.4.2) 在Trust 区域不可路由,将两个源地址都翻译成防火墙 E1 口地址。11配置如下:WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击Apply:Zone Name: TrustStatic IP: ( 出现时选择此选项)IP Address/Ne

22、tmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内容,然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/242. 策略Policies (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Destination

23、 Address:Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象 )12Service: HTTPAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:NAT:Source Translation: ( 选择)DIP on: ( 选择), None (Use Egress Interface IP)Destination Translation: ( 选择)Translate to IP: ( 选择) , 192.168.1.2Policies (From: Untrust

24、, To:Trust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), 4.4.4.2/32(假设我们先前定义了此地址对象 )Destination Address:Address Book Entry: ( 选择), 5.5.5.2/32(假设我们先前定义了此地址对象 )Service: HTTPAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:NAT:Source Translation: ( 选择)DIP on: ( 选择), None (Use

25、 Egress Interface IP)Destination Translation: ( 选择)Translate to IP: ( 选择) , 192.168.1.2CLI1. Interfaceset interface ethernet1 zone trust13set interface ethernet1 ip 10.1.1.1/24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet

26、1 route2. Address Listset address Trust “3.3.3.2/32“ 3.3.3.2 255.255.255.255set address Trust “5.5.5.2/32“ 5.5.5.2 255.255.255.255set address Untrust “2.2.2.2/32“ 2.2.2.2 255.255.255.255set address Untrust “4.4.4.2/32“ 4.4.4.2 255.255.255.2553. Policyset policy id 1 from “Untrust“ to “Trust“ “2.2.2.

27、2/32“ “3.3.3.2/32“ “HTTP“ nat src dst ip 192.168.1.2 permit set policy id 2 from “Untrust“ to “Trust“ “4.4.4.2/32“ “5.5.5.2/32“ “HTTP“ nat src dst ip 192.168.1.2 permit save四、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2) ,端口是 80,而企业服务器(192.168.1.2)的实际端口是 8080,同时源地址(2.2.2.2) 在 Trust 区域可以路由

28、,不需要做源地址转换。配置如下:WebUI141. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击Apply:Zone Name: TrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内容,然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/242.

29、 策略Policies (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Destination Address:Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象 )Service: HTTPAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:NAT:Destination Translation

30、: ( 选择)Translate to IP: ( 选择) , 192.168.1.2Map to Port:( 选择) , 8080CLI1. Interface15set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet1 route2. Address Li

31、stset address Trust “3.3.3.2/32“ 3.3.3.2 255.255.255.255set address Untrust “2.2.2.2/32“ 2.2.2.2 255.255.255.2553. Policyset policy id 1 from “Untrust“ to “Trust“ “2.2.2.2/32“ “3.3.3.2/32“ “HTTP“ nat dst ip 192.168.1.2 port 8080 permit save四、设置步骤总结如下:1. 定义端口地址。2. 如果需要对外网的服务器做源地址转换的话,要在 Trust 口定义 DIP

32、。 3. 定义地址对象:可以将策略中用到的源和目的地址均定义为地址对象,这样可以为其取一个便于记忆的名称,方便管理,定义对象时要将该对象放到正确的安全域当中,有时还需要在防火墙和路由器上做路由。4. 定义 Policy:从 Untrust 到 Trust,源是公网服务器地址,目的是“定义的地址对象” ,选择服务端口。5. 目的地址转换:将策略中的“目的地址对象”转换到真实服务器地址,选择是否做端口转换。 (IP 地址可以实现一对一、多对一、一对多、多对多的转换,端口也可以基于源地址和源端口的组合实现特定的转换)6. 源地址转换(如果 Trust 区段没有外网 IP 地址的路由的话):选择 DI

33、P 地址池。163.2 由内向外的地址翻译分以下几种情况(注意:其中需要在防火墙和路由器上添加路由的部分都省略,请自行添加路由):一、企业服务器(192.168.1.2)需要访问合作伙伴服务器(2.2.2.2),访问的目标地址(2.2.2.2) 在企业内网是可以路由,不需要做地址翻译,源地址(192.168.1.2)在外网是不可以路由的,需要做源地址转换,翻译成可以路由的 DIP(100.2.2.2)配置如下:WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击Apply:Zone Name: TrustStatic I

34、P: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内容,然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/242. DIPNetwork Interfaces Edit ( 对于 ethernet3) DIP New: 输入以下内容,然17后单击 OK:ID: 5IP Address Range: ( 选择), 100.2.2.2 1

35、00.2.2.2Port Translation: ( 清除)(假设企业服务器访问合作伙伴服务器需要特定源端口,基于此原因,必须禁用 DIP 池 5 的 PAT)In the same subnet as the extended IP: ( 选择 ),100.2.2.1/24 3. 策略Policies (From: Trust, To:Untrust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), 192.168.1.2/32(假设我们先前定义了此地址对象)Destination Address:Address

36、Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Service: TelnetAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:NAT:Source Translation: ( 选择)DIP on: ( 选择), 5 (100.2.2.2 100.2.2.2)/fix-portCLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface eth

37、ernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/2418set interface ethernet1 route2. DIPset interface ethernet3 ext ip 100.2.2.1 255.255.255.0 dip 5 100.2.2.2 100.2.2.2 fix-port3. Address Listset address Trust “192.168.1.2/32“ 192.168.1.2 255.255.255.255set address

38、Untrust “2.2.2.2/32“ 2.2.2.2 255.255.255.2554. Policyset policy id 3 from “Trust“ to “Untrust“ “192.168.1.2/32“ “2.2.2.2/32“ “TELNET“ nat src dip-id 5 permit save二、企业服务器(192.168.1.2)需要访问合作伙伴服务器(2.2.2.2),访问的目标地址(2.2.2.2) 在企业内网是不可路由的,需要做地址翻译,翻译成可以路由的内网地址 (192.168.2.2)。源地址(192.168.1.2) 在外网是不可以路由的,需要做源地

39、址转换,翻译成可以路由的 DIP(100.2.2.2)。另外需要访问的服务是 telnet,但是合作伙伴服务器的端口已经改为 2323。配置如下:WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击Apply:19Zone Name: TrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内容,然后单击 OK:Zone Name: Untr

40、ustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/242. DIPNetwork Interfaces Edit ( 对于 ethernet3) DIP New: 输入以下内容,然后单击 OK:ID: 5IP Address Range: ( 选择), 100.2.2.2 100.2.2.2Port Translation: ( 清除)(假设企业服务器访问合作伙伴服务器需要特定源端口,基于此原因,必须禁用 DIP 池 5 的 PAT)In the same subnet as the extended IP: ( 选择 ),100.2.2

41、.1/24 3. 策略Policies (From: Trust, To:Untrust) New: 输入以下内容,然后单击 OK:Source Address:Address Book Entry: ( 选择), 192.168.1.2/32(假设我们先前定义了此地址对象)Destination Address:Address Book Entry: ( 选择), 192.168.2.2/32(假设我们先前定义了此地址对象)Service: TelnetAction: Permit Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:20NAT:Sourc

42、e Translation: ( 选择)DIP on: ( 选择), 5 (100.2.2.2 100.2.2.2)/fix-portDestination Translation: ( 选择)Translate to IP: ( 选择) , 2.2.2.2Map to Port:( 选择) , 2323CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 routeset interface ethernet3 zone un

43、trustset interface ethernet3 ip 1.1.1.1/24set interface ethernet1 route2. DIPset interface ethernet3 ext ip 100.2.2.1 255.255.255.0 dip 5 100.2.2.2 100.2.2.2 fix-port3. Address Listset address Trust “192.168.1.2/32“ 192.168.1.2 255.255.255.255set address Untrust “192.168.2.2/32“ 192.168.2.2 255.255.

44、255.2554. Policyset policy id 3 from “Trust“ to “Untrust“ “192.168.1.2/32“ “192.168.2.2/32“ “TELNET“ nat src dip-id 5 dst ip 2.2.2.2 port 2323 permit save三、设置步骤总结如下:1. 定义端口地址。2. 如果需要对内网的服务器做源地址转换的话,要在 Untrust 口定义 DIP。 213. 定义地址对象:可以将策略中用到的源和目的地址均定义为地址对象,这样可以为其取一个便于记忆的名称,方便管理,定义对象时要将该对象放到正确的安全域当中,有时还

45、需要在防火墙和路由器上做路由。4. 定义 Policy:从 Trust 到 Untrust,源是企业服务器地址,目的是合作伙伴服务器地址或者该服务器映射的内网地址,选择服务端口。5. 源地址转换:选择 DIP 地址池。6. 目的地址转换(如果需要的话):将策略中的“目的地址对象”转换到真实服务器地址,选择是否做端口转换。 (IP 地址可以实现一对一、多对一、一对多、多对多的转换,端口也可以基于源地址和源端口的组合实现特定的转换) 。. Netscreen 防火墙的接口地址翻译实验4.1 MIP 地址翻译合作伙伴服务器(2.2.2.2) 需要访问企业服务器(192.168.1.2)的 HTTP

46、服务,访问的映射地址是(100.2.2.2),同时企业服务器(192.168.1.2)也可以通过源地址(100.2.2.2)访问合作伙伴服务器(2.2.2.2) 的 Telnet 服务。配置如下:WebUI221. 接口Network Interfaces Edit ( 对于 ethernet1) : 输入以下内容,然后单击Apply:Zone Name: TrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24选择以下内容,然后单击 OK:Network Interfaces Edit ( 对于 ethernet3) : 输入以下内

47、容,然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/242. MIPNetwork Interfaces Edit ( 对于 ethernet3) MIP New: 输入以下内容,然后单击 OK:Mapped IP: 100.2.2.2Host IP: 192.168.1.2 3. 策略(根据实际需要可能只需要其中一个方向的策略)Policies (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:Source Address:Address Book

48、 Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Destination Address:Address Book Entry: ( 选择), MIP(100.2.2.2)Service: HTTPAction: PermitPolicies (From: Trust, To:Untrust) New: 输入以下内容,然后单击 OK:Source Address:23Address Book Entry: ( 选择), 192.168.1.2/32(假设我们先前定义了此地址对象)Destination Address:Address Book Entry: (

49、 选择), 2.2.2.2/32(假设我们先前定义了此地址对象 )Service: TelnetAction: PermitCLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet1 route2. MIPset interface “ethernet3“ mip 100.2.2.2 host 192.168.1.2 netmask 255.255.255.255 vr “trust-vr“3. Address Listset address Trust “192.168.1.2/32“ 192.168.1.2 255.255.255.255set address Untrust “2.2.2.2/32“ 2.2.2.2 255.255.255.2554. Policyset policy

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 实用文档 > 工作总结

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报