 CCNA培训 |
|
| CCNP培训 |
|
| CCIE直通车培训 |
|
| CCIP培训 |
|
| CCVP培训 |
|
| CCSP培训 |
|
| CCIE集中营培训 |
|
| windows server 2008培训 |
|
| Windows 7培训 |
|
| SQL Server 2008培训 |
|
| Windows Server 2003培训 |
|
| RHCSA培训 |
|
| RHCE培训 |
|
| RHCVA培训 |
|
| RHCDS培训 |
|
| RHCSS培训 |
|
| RHCA培训 |
|
| JBCAA培训 |
|
| JBCD培训 |
|
| OCA 认证专员培训 |
|
| Oracle 10g OCP培训 |
|
| Oracle 10g OCM培训 |
|
| H3CNA培训 |
|
| H3CNE培训 |
|
| H3CSE培训 |
|
| H3CTE培训 |
|
| H3CIE Routing&Switching培训 |
|
| BIG-IP培训 |
|
| Firepass培训 |
|
| ARX培训 |
|
| ITIL V3 Foundation培训 |
|
| ITIL V3 Capability培训 |
|
| ITIL V3 Lifecycle培训 |
|
| ITIL V3 Expert培训 |
|
| PMP培训 |
|
| Junos初级专员培训 |
|
| 电信运营商科目SP培训 |
|
| Junos(SEC)培训 |
|
| E系列认证培训 |
|
| 防火墙VPN认证培训 |
|
| 入侵检测与防御IDP培训 |
|
| SSL认证培训 |
|
| WX认证培训 |
|
| 统一接入控制UAC培训 |
|
| 企业路由和交换培训 |
|
| VCP培训 |
|
| VCAP-DCA培训 |
|
| VCAP-DCD培训 |
|
| VCA-DT培训 |
|
| VCP-DT培训 |
|
| 业务连续性/灾难恢复培训 |
|
| 存储技师EMCST培训 |
|
| 存储管理员EMCSA培训 |
|
| 应用开发EMCApD培训 |
|
| 系统管理员EMCSysA培训 |
|
| 产品特定技术培训 |
|
Juniper防火墙三种部署模式及基本配置
2011-8-29 10:25:00
文章摘要:Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是: ①基于TCP/IP协议三层的NAT模式; ②...
Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
① 基于TCP/IP协议三层的NAT模式;
② 基于TCP/IP协议三层的路由模式;
③ 基于二层协议的透明模式。
NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。
防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT模式应用的环境特征:
① 注册IP地址(公网IP地址)的数量不足;
② 内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③ 内部网络中有需要外显并对外提供服务的服务器。
Route-路由模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间
例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。
① 与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址;
② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
① 注册IP(公网IP地址)的数量较多;
② 非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;
③ 防火墙完全在内网中部署应用。
透明模式
当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:
① 不需要修改现有网络规划及配置;
② 不需要为到达受保护服务器创建映射或虚拟 IP 地址;
③ 在防火墙的部署过程中,对防火墙的系统资源消耗最低。
① 基于TCP/IP协议三层的NAT模式;
② 基于TCP/IP协议三层的路由模式;
③ 基于二层协议的透明模式。
NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。
防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT模式应用的环境特征:
① 注册IP地址(公网IP地址)的数量不足;
② 内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③ 内部网络中有需要外显并对外提供服务的服务器。
Route-路由模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间
例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。
① 与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址;
② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
① 注册IP(公网IP地址)的数量较多;
② 非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;
③ 防火墙完全在内网中部署应用。
透明模式
当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:
① 不需要修改现有网络规划及配置;
② 不需要为到达受保护服务器创建映射或虚拟 IP 地址;
③ 在防火墙的部署过程中,对防火墙的系统资源消耗最低。
| 上一篇:Juniper防火墙管理配置的基本信息 |
| 下一篇:使用Web浏览器方式配置 |
文章摘要:VPN第一阶段的配置:动态公网IP地址端。 VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN 阶段一的配置中,需指定对端VPN设备的静态IP地址。同时,在本端设置一个Local ID,提供给对端作为识别信息使用。 ②VPN第一阶段的高级配置:动态公网IP地址端。 在VPN阶段一的高级配置中动态公网IP一端...