Juniper FW网络地址翻译方法总结和实验.docx

资源描述

《Juniper FW网络地址翻译方法总结和实验.docx》由会员分享，可在线阅读，更多相关《Juniper FW网络地址翻译方法总结和实验.docx（31页珍藏版）》请在三一办公上搜索。

1、Juniper FW网络地址翻译方法总结和实验网络地址翻译方法总结和实验目录一、二、前言. 1 Netscreen防火墙各种地址翻译方法的特点总结. 1 三、地址翻译方法实验. 5 . Netscreen防火墙的地址翻译实验环境 . 5 . Netscreen防火墙的策略地址翻译实验 . 5 3.1 由外向内的地址翻译. 5 3.2 . 由内向外的地址翻译. 14 Netscreen防火墙的接口地址翻译实验 . 19 4.1 MIP地址翻译. 19 4.2 VIP地址翻译 . 22 . 将MIP和VIP用策略地址翻译替代实验 . 24 5.1 MIP地址翻译的替代 . 24 5.2

2、VIP地址翻译的替代. 28 正文一、前言企业网络需要和上下级单位及各种合作伙伴进行互联，其中需要涉及到在边界网关防火墙处进行地址翻译和路由，由于许多企业内部应用程序对地址和端口进行了绑定，外部合作伙伴对网络地址和端口的要求也是多种多样，并且网络不断改造调整，造成了地址翻译和路由要求异常复杂多变。希望通过本文对Netscreen防火墙的各种地址翻译功能进行归纳总结，帮助企业网管人员理解如何将Netscreen的各种地址翻译功能和企业网络的具体实践有效结合，提出适合企业网络管理的地址翻译解决方案。二、 Netscreen防火墙各种地址翻译方法的特点总结 Netscreen防火墙的地址翻

3、译主要包括五类： l l l NAT-src NAT-dst Mapped IP (MIP) 1 l l Virtual IP (VIP) Untrust口的源地址翻译这五类地址翻译可以从两个角度分类：一、是源地址翻译还是目的地址翻译？ l l l 二、是基于策略的地址翻译还是基于接口的地址翻译？ l l NAT-src和NAT-dst是基于策略的地址翻译。 Untrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。 NAT-src和Untrust口的源地址翻译是源地址翻译。 NAT-dst和VIP是目的地址翻译。 MIP是双向地址翻译。也就是说，NAT-src和NAT-dst是

4、在制订的防火墙Policy的基础之上，即规定了源地址、目的地址、源端口、目的端口等之后，对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定，而和Policy策略无关。因此，这几种地址翻译方法总结来说具有以下应用特点： l NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法，也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst，反之则不行。 l NAT-src和NAT-dst由于是基于Policy进行地址翻译，具有更好的信息流控制粒度。 l l NAT-src和NAT-dst可以在任

5、意两个安全域之间进行设置。 NAT-src和NAT-dst可以在一条Policy中同时设置执行，对源和目的地址同时翻译，但是仅仅是单向的地址翻译。 l l 单向翻译可以提供更好的控制与安全性能。 Untrust口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第 3 层2 区段的接口的操作模式定义为 NAT，但是，安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流，ScreenOS 不执行 NAT。还要注意，ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式，但是这样做并不会激活任何

6、 NAT 操作。 l l VIP只能在Untrust口实现。 MIP和VIP一般需要与所配置的接口处于同一网段，但是为 Untrust 区段中接口定义的 MIP 例外。该 MIP 可以在不同于 Untrust 区段接口IP 地址的子网中。但是，如果真是这样，就必须在外部路由器上添加一条路由，指向 Untrust 区段接口，以便内向信息流能到达 MIP。此外，必须在与 MIP 相关的防火墙上定义一个静态路由。另外这几种策略发生冲突重叠时具有以下规律： l 入口接口处于“路由”或 NAT 模式时，可以使用基于策略的 NAT-src。如果配置策略以应用 NAT-src，且入口接口处于 NAT 模式

7、下，则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。 l 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之，如果安全设备偶然将 MIP 和 VIP 应用于同一信息流，则MIP 和 VIP 将禁用基于策略的 NAT-dst。 l 应该避免将接口IP地址、MIP、VIP、DIP设置重复，否则会不可设置或引起冲突。通过实际调查，可以发现很多网管人员习惯于使用MIP、VIP和Untrust口的源地址翻译来进行地址翻译，这主要是因为： l 这三种

8、地址翻译方法是目前大多数防火墙普遍采用的地址翻译方法，网管人员不需要学习就已经掌握。 l 一对一的静态地址映射便于理解，也是目前大多数防火墙普遍采用的地址翻译方法。 l 如果从其它防火墙迁移到Netscreen防火墙，这种配置迁移便于一对一的翻译。 3 但是，以MIP为主的地址翻译也存在着一些问题： l MIP和VIP属于Global区段，这一点容易让一些网管人员在理解上产生偏差，而不能正确配置。 l l l 从不同区段到达MIP需要配置两条策略，也容易产生配置错误。对于策略配置中何时使用MIP，何时使用服务器的真实IP，经常容易搞错。当涉及到多个安全区段都存在MIP时，并且这些MIP地址

9、有可能引起各种地址段重合的现象时，配置更加复杂和难于理解，甚至无法实现。 l 这些传统的地址翻译方法粒度太粗，可控性不强，不能实现最大程度的安全性和灵活性。 l 一对一的地址映射在实践中无法满足企业用户复杂的网络需求，如实现一对多、多对一的翻译，实现源地址和目的地址的同时翻译，等等。因此，考虑到企业业务的实践，建议尽可能采用NAT-src和NAT-dst来实现业务需要，理由如下： l l NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法。 NAT-src和NAT-dst由于是基于Policy进行地址翻译，具有更好的信息流控制粒度。 l NAT-src和NAT-dst可以在任意两

10、个安全域之间进行设置。另外三种地址翻译方法都有一些安全域限制，无法实现任意方向的地址翻译。 l NAT-src和NAT-dst可以在一条Policy中同时设置执行，对源和目的地址同时翻译。 l 单向翻译可以提供更好的控制与安全性能。如果需要双向翻译可以在反方向单独再定义一条策略。 l l 基于策略的NAT-src和NAT-dst容易理解和配置。可以更好地将地址翻译和策略管理结合起来，更加方便企业的日常策略维护工作。当然，另外三种翻译方法在实现从其它防火墙向Netscreen防火墙的策略迁移，适应不同管理员的配置习惯，适应特定的网络环境等方面具有自己的优点。 4 以下将结合企业网络的常见需求

11、来看看如何通过NAT-src和NAT-dst来实现地址翻译，并且如何取代其它三种地址翻译方法。三、地址翻译方法实验 . Netscreen防火墙的地址翻译实验环境为了帮助理解地址翻译的实践，以下各节配置均采用下图所示的实验环境： . Netscreen防火墙的策略地址翻译实验 3.1 由外向内的地址翻译分以下几种情况：一、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2)，访问的映射地址是(3.3.3.2)，同时源地址(2.2.2.2)在Trust区域可以路由，不需要做源地址转换。 5 配置如下： WebUI 1. 接口 Network Interfaces

12、 Edit ( 对于 ethernet1)：输入以下内容，然后单击Apply： Zone Name： Trust Static IP： ( 出现时选择此选项) IP Address/Netmask： 10.1.1.1/24 选择以下内容，然后单击 OK： Network Interfaces Edit ( 对于 ethernet3)：输入以下内容，然后单击 OK： Zone Name： Untrust Static IP： ( 出现时选择此选项) IP Address/Netmask： 1.1.1.1/24 2. 策略 Policies (From： Untrust， To：Trust)

13、New：输入以下内容，然后单击 OK： Source Address： Address Book Entry： ( 选择)， 2.2.2.2/32(假设我们先前定义了此地址对象) Destination Address： Address Book Entry： ( 选择)， 3.3.3.2/32(假设我们先前定义了此地址对象) Service： HTTP Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： 6 Destination Translation： ( 选择) Translate to IP： ( 选择)

14、， 192.168.1.2 CLI 1. Interface set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet1 route 2. Address List set address Trust 3.3.3.2/32 3.3.3.2 255.255

15、.255.255 set address Untrust 2.2.2.2/32 2.2.2.2 255.255.255.255 3. Policy set policy id 1 from Untrust to Trust 2.2.2.2/32 3.3.3.2/32 HTTP nat dst ip 192.168.1.2 permit save 二、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2)，访问的映射地址是(3.3.3.2)，同时源地址(2.2.2.2)在Trust区域不可路由，需要做源地址转换，将其转换为内部可以路由的地址(100.2.2.2)。 7 配置

16、如下： WebUI 1. 接口 Network Interfaces Edit ( 对于 ethernet1)：输入以下内容，然后单击Apply： Zone Name： Trust Static IP： ( 出现时选择此选项) IP Address/Netmask： 10.1.1.1/24 选择以下内容，然后单击 OK： Network Interfaces Edit ( 对于 ethernet3)：输入以下内容，然后单击 OK： Zone Name： Untrust Static IP： ( 出现时选择此选项) IP Address/Netmask： 1.1.1.1/24 2. DIP

17、Network Interfaces Edit ( 对于 ethernet1) DIP New：输入以下内容，然后单击 OK： ID： 6 IP Address Range： ( 选择)， 10.2.2.2 10.2.2.2 Port Translation： ( 清除) In the same subnet as the extended IP： ( 选择)，10.2.2.1/24 3. 策略 Policies (From： Untrust， To：Trust) New：输入以下内容，然后单击 OK： Source Address： 8 Address Book Entry： ( 选择)

18、， 2.2.2.2/32(假设我们先前定义了此地址对象) Destination Address： Address Book Entry： ( 选择)， 3.3.3.2/32(假设我们先前定义了此地址对象) Service： HTTP Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： Source Translation： ( 选择) DIP on： ( 选择)， 6 (10.2.2.2 10.2.2.2)/fix-port Destination Translation： ( 选择) Translate to I

19、P： ( 选择)， 192.168.1.2 CLI 1. Interface set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet1 route 2.DIP set interface ethernet1 ext ip 10.2.2.1 255.25

20、5.255.0 dip 6 10.2.2.2 10.2.2.2 fix-port 3. Address List set address Trust 3.3.3.2/32 3.3.3.2 255.255.255.255 set address Untrust 2.2.2.2/32 2.2.2.2 255.255.255.255 4. Policy set policy id 1 from Untrust to Trust 2.2.2.2/32 3.3.3.2/32 HTTP nat src dip-id 6 dst ip 192.168.1.2 permit save 9 三、合作伙伴服务器(

21、2.2.2.2)和(4.4.4.2)需要访问企业服务器(192.168.1.2)，访问的映射地址分别是(3.3.3.2)和(5.5.5.2)，同时源地址(2.2.2.2)和(4.4.4.2)在Trust区域不可路由，将两个源地址都翻译成防火墙E1口地址。配置如下： WebUI 1. 接口 Network Interfaces Edit ( 对于 ethernet1)：输入以下内容，然后单击Apply： Zone Name： Trust Static IP： ( 出现时选择此选项) IP Address/Netmask： 10.1.1.1/24 选择以下内容，然后单击 OK： Network

22、 Interfaces Edit ( 对于 ethernet3)：输入以下内容，然后单击 OK： Zone Name： Untrust Static IP： ( 出现时选择此选项) IP Address/Netmask： 1.1.1.1/24 2. 策略 Policies (From： Untrust， To：Trust) New：输入以下内容，然后单击 OK： Source Address： Address Book Entry： ( 选择)， 2.2.2.2/32(假设我们先前定义了此地址对象) Destination Address： 10 Address Book Entry： (

23、选择)， 3.3.3.2/32(假设我们先前定义了此地址对象) Service： HTTP Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： Source Translation： ( 选择) DIP on： ( 选择)， None (Use Egress Interface IP) Destination Translation： ( 选择) Translate to IP： ( 选择)， 192.168.1.2 Policies (From： Untrust， To：Trust) New：输入以下内容，然后

24、单击 OK： Source Address： Address Book Entry： ( 选择)， 4.4.4.2/32(假设我们先前定义了此地址对象) Destination Address： Address Book Entry： ( 选择)， 5.5.5.2/32(假设我们先前定义了此地址对象) Service： HTTP Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： Source Translation： ( 选择) DIP on： ( 选择)， None (Use Egress Interface I

25、P) Destination Translation： ( 选择) Translate to IP： ( 选择)， 192.168.1.2 CLI 1. Interface set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust 11 set interface ethernet3 ip 1.1.1.1/24 set interface ethernet1 route 2

26、. Address List set address Trust 3.3.3.2/32 3.3.3.2 255.255.255.255 set address Trust 5.5.5.2/32 5.5.5.2 255.255.255.255 set address Untrust 2.2.2.2/32 2.2.2.2 255.255.255.255 set address Untrust 4.4.4.2/32 4.4.4.2 255.255.255.255 3. Policy set policy id 1 from Untrust to Trust 2.2.2.2/32 3.3.3.2/32

27、 HTTP nat src dst ip 192.168.1.2 permit set policy id 2 from Untrust to Trust 4.4.4.2/32 5.5.5.2/32 HTTP nat src dst ip 192.168.1.2 permit save 四、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2)，访问的映射地址是(3.3.3.2)，端口是80，而企业服务器(192.168.1.2)的实际端口是8080，同时源地址(2.2.2.2)在Trust区域可以路由，不需要做源地址转换。配置如下： WebUI 1. 接口 Netw

28、ork Interfaces Edit ( 对于 ethernet1)：输入以下内容，然后单击Apply： 12 Zone Name： Trust Static IP： ( 出现时选择此选项) IP Address/Netmask： 10.1.1.1/24 选择以下内容，然后单击 OK： Network Interfaces Edit ( 对于 ethernet3)：输入以下内容，然后单击 OK： Zone Name： Untrust Static IP： ( 出现时选择此选项) IP Address/Netmask： 1.1.1.1/24 2. 策略 Policies (From： Un

29、trust， To：Trust) New：输入以下内容，然后单击 OK： Source Address： Address Book Entry： ( 选择)， 2.2.2.2/32(假设我们先前定义了此地址对象) Destination Address： Address Book Entry： ( 选择)， 3.3.3.2/32(假设我们先前定义了此地址对象) Service： HTTP Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： Destination Translation： ( 选择) Transla

30、te to IP： ( 选择)， 192.168.1.2 Map to Port：( 选择)， 8080 CLI 1. Interface set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet1 route 13 2. Address List se

31、t address Trust 3.3.3.2/32 3.3.3.2 255.255.255.255 set address Untrust 2.2.2.2/32 2.2.2.2 255.255.255.255 3. Policy set policy id 1 from Untrust to Trust 2.2.2.2/32 3.3.3.2/32 HTTP nat dst ip 192.168.1.2 port 8080 permit save 四、设置步骤总结如下： 1. 定义端口地址。 2. 如果需要对外网的服务器做源地址转换的话，要在Trust口定义DIP。 3. 定义地址对象：可以将

32、策略中用到的源和目的地址均定义为地址对象，这样可以为其取一个便于记忆的名称，方便管理，定义对象时要将该对象放到正确的安全域当中，有时还需要在防火墙和路由器上做路由。 4. 定义Policy：从Untrust到Trust，源是公网服务器地址，目的是“定义的地址对象”，选择服务端口。 5. 目的地址转换：将策略中的“目的地址对象”转换到真实服务器地址，选择是否做端口转换。 6. 源地址转换：选择DIP地址池。 3.2 由内向外的地址翻译分以下几种情况：一、企业服务器(192.168.1.2)需要访问合作伙伴服务器(2.2.2.2)，访问的目标地址(2.2.2.2)在企业内网是可以路由，不需要做

33、地址翻译，源地址(192.168.1.2)在外网是不可以路由的，需要做源地址转换，翻译成可以路由的DIP(100.2.2.2) 14 配置如下： WebUI 1. 接口 Network Interfaces Edit ( 对于 ethernet1)：输入以下内容，然后单击Apply： Zone Name： Trust Static IP： ( 出现时选择此选项) IP Address/Netmask： 10.1.1.1/24 选择以下内容，然后单击 OK： Network Interfaces Edit ( 对于 ethernet3)：输入以下内容，然后单击 OK： Zone Name：

34、Untrust Static IP： ( 出现时选择此选项) IP Address/Netmask： 1.1.1.1/24 2. DIP Network Interfaces Edit ( 对于 ethernet3) DIP New：输入以下内容，然后单击 OK： ID： 5 IP Address Range： ( 选择)， 100.2.2.2 100.2.2.2 Port Translation： ( 清除) In the same subnet as the extended IP： ( 选择)，100.2.2.1/24 3. 策略 Policies (From： Trust， To：U

35、ntrust) New：输入以下内容，然后单击 OK： Source Address： 15 Address Book Entry： ( 选择)， 192.168.1.2/32(假设我们先前定义了此地址对象) Destination Address： Address Book Entry： ( 选择)， 2.2.2.2/32(假设我们先前定义了此地址对象) Service： Telnet Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： Source Translation： ( 选择) DIP on： ( 选择

36、)， 5 (100.2.2.2 100.2.2.2)/fix-port CLI 1. Interface set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet1 route 2. DIP set interface ethernet3 ext ip

37、100.2.2.1 255.255.255.0 dip 5 100.2.2.2 100.2.2.2 fix-port 3. Address List set address Trust 192.168.1.2/32 192.168.1.2 255.255.255.255 set address Untrust 2.2.2.2/32 2.2.2.2 255.255.255.255 4. Policy set policy id 3 from Trust to Untrust 192.168.1.2/32 2.2.2.2/32 TELNET nat src dip-id 5 permit save

38、二、企业服务器(192.168.1.2)需要访问合作伙伴服务器(2.2.2.2)，访问的目标地址(2.2.2.2)在企业内网是不可路由的，需要做地址翻译，翻译成可以路由的内网地址 (192.168.2.2)。源16 地址(192.168.1.2)在外网是不可以路由的，需要做源地址转换，翻译成可以路由的DIP(100.2.2.2)。另外需要访问的服务是telnet，但是合作伙伴服务器的端口已经改为2323。配置如下： WebUI 1. 接口 Network Interfaces Edit ( 对于 ethernet1)：输入以下内容，然后单击Apply： Zone Name： Trust

39、Static IP： ( 出现时选择此选项) IP Address/Netmask： 10.1.1.1/24 选择以下内容，然后单击 OK： Network Interfaces Edit ( 对于 ethernet3)：输入以下内容，然后单击 OK： Zone Name： Untrust Static IP： ( 出现时选择此选项) IP Address/Netmask： 1.1.1.1/24 2. DIP Network Interfaces Edit ( 对于 ethernet3) DIP New：输入以下内容，然后单击 OK： ID： 5 IP Address Range： ( 选

40、择)， 100.2.2.2 100.2.2.2 Port Translation： ( 清除) In the same subnet as the extended IP： ( 选择)，100.2.2.1/24 3. 策略 17 Policies (From： Trust， To：Untrust) New：输入以下内容，然后单击 OK： Source Address： Address Book Entry： ( 选择)， 192.168.1.2/32(假设我们先前定义了此地址对象) Destination Address： Address Book Entry： ( 选择)， 192.168

41、.2.2/32(假设我们先前定义了此地址对象) Service： Telnet Action： Permit Advanced：输入以下内容，然后单击 Return，设置高级选项并返回基本配置页： NAT： Source Translation： ( 选择) DIP on： ( 选择)， 5 (100.2.2.2 100.2.2.2)/fix-port Destination Translation： ( 选择) Translate to IP： ( 选择)， 2.2.2.2 Map to Port：( 选择)， 2323 CLI 1. Interface set interface eth

42、ernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet1 route 2. DIP set interface ethernet3 ext ip 100.2.2.1 255.255.255.0 dip 5 100.2.2.2 100.2.2.2 fix-port 3. Address

43、List set address Trust 192.168.1.2/32 192.168.1.2 255.255.255.255 set address Untrust 192.168.2.2/32 192.168.2.2 255.255.255.255 4. Policy set policy id 3 from Trust to Untrust 192.168.1.2/32 192.168.2.2/32 TELNET nat 18 src dip-id 5 dst ip 2.2.2.2 port 2323 permit save 三、设置步骤总结如下： 1. 定义端口地址。 2. 如果需

44、要对内网的服务器做源地址转换的话，要在Untrust口定义DIP。 3. 定义地址对象：可以将策略中用到的源和目的地址均定义为地址对象，这样可以为其取一个便于记忆的名称，方便管理，定义对象时要将该对象放到正确的安全域当中，有时还需要在防火墙和路由器上做路由。 4. 定义Policy：从Trust到Untrust，源是企业服务器地址，目的是合作伙伴服务器地址或者该服务器映射的内网地址，选择服务端口。 5. 源地址转换：选择DIP地址池。 6. 目的地址转换：将策略中的“目的地址对象”转换到真实服务器地址，选择是否做端口转换。 . Netscreen防火墙的接口地址翻译实验 4.1 MIP地址翻译合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2)的HTTP服务，访问的映射地址是(100.2.2.2)，同时企业服务器(192.168.1

展开阅读全文