压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　今天在客戶那邊處理防火墻故障，以前都是以路由交換機為主，基本上在項目中沒有接觸來防火墻，就是平時自己學一下，看一下文檔，好歹了解一下，真的是書到用時方恨少呀；在這里只貼出VIP的部分，方便需要參考的攻城師看一上，對于不同的GUI界面來說，有可能是平一樣的，只供簡單參考；

　　根據(jù) TCP 或 UDP 片段包頭的目標端口號，虛擬 IP (VIP) 地址將在一個 IP 地址處接

　　收到的信息流映射到另一個地址。例如，

　　目標地址為 1.1.1.3：80 ( 也就是 IP 地址為 1.1.1.3，端口號為 80) 的 HTTP 封包

　　可能映射到地址為 10.1.1.10 的 Web 服務器。

　　目標地址為 1.1.1.3：21 的 FTP 封包可能映射到地址為 10.1.1.20 的 FTP 服務器。

　　目標地址為 1.1.1.3：25 的 SMTP 封包可能映射到地址為 10.1.1.30 的郵件服務器。

　　目標 IP 地址相同。目標端口號確定安全設備將信息流轉發(fā)到的主機。

　　wKioL1MwL76T_86mAAHn4GPEZ5k383.jpg

　　Untrust 區(qū)段中的接口 IP Global 區(qū)段中的 VIP 端口轉發(fā)至Trust 區(qū)段中的主機 IP

　　1.1.1.1/24           1.1.1.3 80 (HTTP)                  10.1.1.10

　　1.1.1.1/24           1.1.1.3 21 (FTP)                   10.1.1.20

　　1.1.1.1/24           1.1.1.3 25 (SMTP)                  10.1.1.30

　　安全設備將去往 VIP 的內向信息流轉發(fā)到 VIP 指向地址上的主機。但是，當 VIP 主

　　機發(fā)起出站信息流時，如果先前在入口接口或應用到來自該主機信息流的策略中的

　　NAT-src 上配置了 NAT，則安全設備會僅將初始源 IP 地址轉換為其它地址。否則，

　　安全設備不會對來自 VIP 主機的信息流進行源 IP 地址轉換。

　　需要以下信息來定義“虛擬 IP”：

　　VIP 的 IP 地址必須與 Untrust 區(qū)段中的接口 ( 或某些安全設備上的接口) 在同一

　　子網中，甚至可以是該接口使用的地址

　　在某些安全設備上，Untrust 區(qū)段中的接口可以通過 DHCP 或 PPPoE 動態(tài)接收

　　IP 地址。如果希望在上述情況中使用 VIP，請使用 WebUI (Network >

　　Interfaces > Edit ( 對于 Untrust 區(qū)段中的接口) > VIP) 執(zhí)行以下操作之一：

　　如果配置 VIP，將同一 IP 地址用作支持多個 VIP 的設備的 Untrust 區(qū)段接

　　口，其它“常規(guī)”VIP 將不可用。

　　如果配置了常規(guī) VIP，除非先刪除常規(guī) VIP，否則無法使用 Untrust 區(qū)段接

　　口創(chuàng)建 VIP。

　　處理請求的服務器的 IP 地址

　　希望安全設備從 VIP 轉發(fā)到主機 IP 地址的服務類型

　　在本例中，將接口 ethernet1 綁定到 Trust 區(qū)段，并為其分配 IP 地址 10.1.1.1/24。

　　將接口 ethernet3 綁定到 Untrust 區(qū)段，并為其分配 IP 地址 1.1.1.1/24。

　　然后，在 1.1.1.10 配置 VIP，以便將入站 HTTP 信息流轉發(fā)到地址為 10.1.1.10 的

　　Web 服務器，并創(chuàng)建一個策略，允許 Untrust 區(qū)段的信息流到達 Trust 區(qū)段中的

　　VIP ( 始終到達 VIP 指向地址上的主機)。

　　由于 VIP 與 Untrust 區(qū)段接口 (1.1.1.0/24) 在同一子網中，因此無需定義路由，以

　　便 Untrust 區(qū)段的信息流到達 VIP。此外，VIP 將信息流轉發(fā)到的主機不需要通訊

　　簿條目。所有安全區(qū)域都在 trust-vr 路由域中。

　　如果希望安全區(qū)段 ( 而非 Untrust 區(qū)段) 的 HTTP 信息流到達 VIP，則必須在安全

　　區(qū)段的路由器上設置到達 1.1.1.10 的路由，從而指向綁定到該區(qū)段的接口。例

　　如，假設 ethernet2 被綁定到用戶定義區(qū)段上，且配置了該區(qū)段的路由器，將目

　　標地址為 1.1.1.10 的信息流發(fā)送到 ethernet2。路由器將信息流發(fā)送到 ethernet2

　　后，安全設備中的轉發(fā)機制將 VIP 定位在 ethernet3，它將信息流映射到

　　10.1.1.10 并發(fā)送出 ethernet1，到達 Trust 區(qū)段。此過程與第 61 頁上的“范例：

　　從不同區(qū)段到達 MIP”中描述的類似。此外，還必須設置一個策略，允許 HTTP

　　信息流從源區(qū)段流向 Trust 區(qū)段中的 VIP。

　　1. 接口

　　set interface ethernet1 zone trust

　　set interface ethernet1 ip 10.1.1.1/24

　　set interface ethernet1 nat

　　set interface ethernet3 zone untrust

　　set interface ethernet2 ip 1.1.1.1/24

　　2. VIP

　　set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

　　3. 策略

　　set policy from untrust to trust any vip(1.1.1.10) http permit

　　save