juniper防火牆裡面MIP DIP VIP說明

2021-06-03 08:13:49 字數 1339 閱讀 4066

juniper防火牆裡面mip、dip、vip是用來做位址轉換使用。但有區別

1.mip 是一對一的位址對映,工作在第三層。

主要應用在公網ip與內網ip的一一對映,內網對網際網路提供服務。

2.dip是動態的位址池。

通常用在擁有大量的註冊ip,但又擁有大量的非註冊ip

小多對大多。

3.vip 是埠位址對映,面對的是只有乙個註冊的公網ip位址,有大量的內網位址需要上網際網路

eg:   10.28.1.2    80         176.99.68.5   80

10.28.1.3    123       176.99.68.5   123

有兩個內網的ip要上公網,通過一公網ip位址的不同埠達到要求 (防火牆部署模式nat結合)

mip是靜態一對一的雙向位址對映。

vip是位址+埠的對映,將不同位址的不同埠,對映到規定位址的規定埠。

dip分2種一種是pat,另一種就是用位址池中的位址對映。和cisco 的nat相同。

1、配置由外網到內網的vip:

在e3埠上配置vip,可將乙個外網ip和埠號對應到乙個內網ip。通過這種方法可以將web伺服器,郵件伺服器或其他服務放到內網,而從外網只看到乙個公網ip,增加安全性。

zone name: trust

ip address/netmask: 10.1.1.1/24(當地內部網閘道器ip)

2. network > inte***ces > edit(對於ethernet3):輸入以下內容,然後單擊ok:

zone name: untrust

ip address/netmask: 210.1.1.1/24(當地電信所分配的ip位址)

vipvirtual ip address: 210.1.1.10(對外的伺服器位址)

4. network > inte***ces > edit(對於ethernet3)> vip > new vip service:輸入以下內容,然後單擊ok:

virtual port: 80

map to service: http (80):(此例為web伺服器的配置,如果是其他的伺服器,就加入其服務與對應的埠號)

map to ip: 10.1.1.10(此為伺服器本身ip,內網ip)

策略5. policies > (from: untrust, to: global) > new:輸入以下內容,然後單擊ok:

source address:

address book:(選擇), any

destination address:

service: http(web伺服器選項)

action: permit

juniper防火牆定義策略生效時間

一般情況下,防火牆策略刷上後立即生效。在無改變情況下,將一直保持生效狀態。但在某些特殊情況下,需要實現在指定時間段內,防火牆策略生效。此時,在juniper防火牆上,可採用呼叫scheduler進行指定生效時間段。例子 1 先定義定時任務 set schedulers scheduler 20171...

juniper防火牆之回傳介面

回傳介面,並不是物理實際介面,是邏輯介面,模擬安全裝置上的物理介面,只要裝置開啟了,該介面就是處於工作狀態,名稱一般為 lookback.id num,id num的值根據平台而定 處於回傳介面組,其他型別的介面 物理介面,子介面,通道介面,冗餘介面或vsi 也可以處於此介面組,當其他處於介面組的介...

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...