防火墙三种部署模式及基本配置

防火墙三种部署模式及基本配置

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：

① 基于TCP/IP协议三层的NAT模式；

② 基于TCP/IP协议三层的路由模式；

③ 基于二层协议的透明模式。

2.1、NAT模式

当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：

① 注册IP地址（公网IP地址）的数量不足；

② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；

③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式

当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；

② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：

① 注册IP（公网IP地址）的数量较多；

② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；

③ 防火墙完全在内网中部署应用。

2.3、透明模式

当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：

① 不需要修改现有网络规划及配置；

② 不需要为到达受保护服务器创建映射或虚拟 IP 地址；

③ 在防火墙的部署过程中，对防火墙的系统资源消耗最低。

2.4、基于向导方式的NAT/Route模式下的基本配置

Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。

注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。

通过Web浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：

① 缺省IP：192.168.1.1/255.255.255.0；

② 缺省用户名/密码：netscreen/ netscreen；

注：缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找！！

在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。

防火墙配置规划：

① 防火墙部署在网络的Internet出口位置，内部网络使用的IP地址为

192.168.1.0/255.255.255.0所在的网段，内部网络计算机的网关地址为防火墙内网端口的IP地址：192.168.1.1；

② 防火墙外网接口IP地址（通常情况下为公网IP地址，在这里我们使用私网IP地址模拟公网IP地址）为：10.10.10.1/255.255.255.0，网关地址为：

10.10.10.251

要求：

实现内部访问Internet的应用。

注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。

1. 通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省

IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相

同网段，直接相连）。

2. 使用缺省IP登录之后，出现安装向导：

注：对于熟悉Juniper防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。

3. 使用向导配置防火墙，请直接选择：Next，弹出下面的界面：

4. “欢迎使用配置向导”，再选择Next。

注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。

5. 在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式：

选择Enable NAT，则防火墙工作在NAT模式；

不选择Enable NAT，则防火墙工作在路由模式。

6. 防火墙设备工作模式选择，选择：Trust-Untrust Mode模式。这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。

注：NS-5GT防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper 在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前，除

NS-5GT以外，Juniper其他系列防火墙不存在另外两种模式的选择。