网络工程 - 来自辅助不可信区域的瞻博网络 NetScreen NAT - 吾爱随笔录

来自辅助不可信区域的瞻博网络 NetScreen NAT

网络工程纳特杜松屏幕

2021-07-29 21:26:49

我们有多个公共 IP 地址子网用于各种目的。我需要在 NAT 后面创建一个内部区域，该区域将自己显示为在外部区域 B 中具有外部 IP。

                [UNTRUST]         [TRUST]

ISP---<---External Zone A ---<--- Internal Zone C
           (Public IPs)     nat    (Private IPs)
              |                                   
       routed ^
              |
          External Zone B ---<--- Internal Zone D
           (Public IPs)     nat    (Private IPs)

将 DIP 池放在区域 B 上似乎是一个合乎逻辑的步骤，但是我如何构建路由，以便从 D 到 A 的策略与通过 ISP 流出的流量相关？

这甚至可能吗？我知道我可以在 D 和 B 之间使用第二个防火墙来做到这一点，因为 ssg 很乐意将源在 B 中的流量路由到 ISP，但我不确定我是否可以从 D 到 B 获得 NAT，然后从B 到 A 再出。

（今天A、B和C都正常工作并且路由正确，目前C&D显示为A区的出口IP，我很乐意接受D显示为B区接口IP的解决方案）

硬件：SSG320M 软件：6.3.0r21.0

2个回答

虽然这是一个老问题，但它可能仍然与搜索相关 - 所以我会尝试一个通用的答案。我认为您通过尝试级联多个区域而不必要地使事情复杂化。

您可以按信任级别定义区域。如果两个区域具有相同的信任级别，则它们实际上应该只是一个区域。如果您需要在同一区域中的子网之间进行路由，则不需要防火墙 - 您可以使用简单的第 3 层交换机。

需要 NAT 将私有 IP 地址映射到公共地址（或池）以访问 Internet。如果您在自己的公共地址区域中控制路由，则无需对私有地址进行 NAT。删除 NAT 可以简化事情并减轻路由器的负载；它还支持正确的日志记录。

现在，您希望在区域之间放置防火墙规则以控制流量。您可以在任意两个区域之间配置策略，开放 Internet 就是其中之一。对于任何连接，您当然不希望使用多个策略。

在您的场景中，每个 C/D 到 A/B（无 NAT）、C/D 到 Internet（使用源 NAT）、Internet 到 A/B、A/B 到 Internet，可能是 A/ B 到 C/D（无 NAT），依此类推。

无论您对所有内容使用单个防火墙还是多个防火墙，逻辑上都不重要，只在性能上重要。

你有没有想过在设备上配置PIM....

如

set protocols pim rib-group inet RPF_RIB
set protocols pim rp static address IP-OF-RP
set protocols pim interface OUTSIDE
set protocols pim interface INSIDE
set security zones security-zone OUTSIDE host-inbound-traffic protocols pim
set security zones security-zone INSIDE interfaces INTERFACE host-inbound-traffic protocols pim

set protocols igmp interface INTERFACE-OUTSIDE version 2
set protocols igmp interface INTERFACE_INSIDE version 2
set security zones security-zone OUTSIDE host-inbound-traffic protocols igmp
set security zones security-zone INSIDE interfaces INTERFACE host-inbound-traffic protocols igmp
set security policies from-zone OUTSIDE to-zone INSIDE policy IN_MULTICAST match source-address 224.0.0.0/4
set security policies from-zone OUTSIDE to-zone INSIDE policy IN_MULTICAST match destination-address any
set security policies from-zone OUTSIDE to-zone INSIDE policy IN_MULTICAST match application junos-udp-any
set security policies from-zone OUTSIDE to-zone INSIDE policy IN_MULTICAST then permit
set security policies from-zone OUTSIDE to-zone INSIDE policy IN_MULTICAST then log session-init
set security policies from-zone OUTSIDE to-zone INSIDE policy IN_MULTICAST then log session-close
set security policies from-zone INSIDE to-zone OUTSIDE policy OUT_MULTICAST match source-address any
set security policies from-zone INSIDE to-zone OUTSIDE policy OUT_MULTICAST match destination-address 224.0.0.0/4
set security policies from-zone INSIDE to-zone OUTSIDE policy OUT_MULTICAST match application junos-udp-any
set security policies from-zone INSIDE to-zone OUTSIDE policy OUT_MULTICAST then permit
set security policies from-zone INSIDE to-zone OUTSIDE policy OUT_MULTICAST then log session-init
set security policies from-zone INSIDE to-zone OUTSIDE policy OUT_MULTICAST then log session-close

或者类似于您的环境建模的东西。只是一个想法，它是实现目标的安全方式。

其它你可能感兴趣的问题

上一篇VLSM 和 FLSM 的子网重叠下一篇为什么 TCP 快速重传能够检测“最多”3 个丢弃的数据包？