⑤ Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);
⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省路由网关);
⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略); ⑧ Save (保存上述的配置文件)
注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口。
如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改: ① Set interface ethernet2 NAT (设置端口2为NAT模式) ② Save 总结:
① NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这 种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);
② 关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper在2006年全新推出的SSG系列防火墙,除了端口命名不一 样,和NS-25等设备管理配置方式一样。
2.6、基于非向导方式的透明模式下的基本配置
实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口,登录命令行管理界面,通 过如下命令及步骤进行二层透明模式的配置:
① Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除); ② Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);
③ Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);
④ Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone);
⑤ Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使 用); ⑥ Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略); ⑦ Save(保存当前的配置); 总结:
① 带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;
② 虽然Juniper防火墙可以工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混 用:NAT和路由)。 (责任编辑:admin)
相关推荐:
loading