在Juniper防火墙设备的OS中,集成了虚拟路由和策略路由功能,在一般的情况下,这两个功能都很少使用,但是,在某些特殊的环境中就需要这两个功能的应用了。
虚拟路由在逻辑上,可以看做是一个独立的路由器,并有独立的路由列表。在Juniper防火墙的OS中,默认有两个虚拟路由:trust-vr和untrust-vr。防火墙中的各种基于流量转发的安全区(ZONE),则默认工作在trust-vr中。 虚拟路由的功能在一些特殊的环境下,可以将一个独立的多端口防火墙,在逻辑上作为两台独立的防火墙使用(不启用虚拟系统:VSYS),则两个拥有独立路由列表的安全设备可以拥有各自独立的外网线路,并且,互相之间不受影响。
策略路由,在Juniper的防火墙中也被称为源地址路由,该路由的作用是:对内部地址外出访问互联网或其它网络时,进行外出线路选择。
策 略路由一般的应用环境是:在防火墙设备实现多链路接入应用并有负载分配需求时,对内部网络IP地址的外出访问互联网时进行人为指定方式的外出链路选择。策 略路由的优先级别在默认的情况下为最高,所以在使用策略路由时,如果防火墙设备还定义了基于trust-vr的DMZ区应用时,一定会受到策略路由优先的 影响,从而导致对DMZ区访问的失败。为了解决这个问题,则需要对防火墙的安全域进行调整,从而,应用到了另外一个虚拟路由:untrust-vr。
具体的实例说明:
某客户的网络环境描述:电信和网通的两条专线连接,内部有若干台服务器,若干台内部办公计算机。
某客户的网络应用需求:
1、服务器需要与内部办公网络进行隔离;
2、内部办公网络中的计算机在访问互联网时,指定部分计算机强制使用网通线路,部分计算机强制使用电信线路。
3、实现访问控制。
仔细分析客户的网络环境和应用需求我们可以知道确定防火墙应用中的如下信息:
1)防火墙设备要工作在三层的NAT/ROUTE模式下。
2) 客户有双链路和链路负载分配的需求,则要求防火墙设备在进行配置时,要对连接两条外网线路的接口定义一个统一的untrust安全域,如此,可以实现外出 链路的自动负载分配。同时,因为需要强制指定部分内部计算机在外出时由指定链路外出,则防火墙设备中应该启用策略路由
3)内部的服务器所在的网络需要与内部办公网络进行隔离,则防火墙的配置中,应该启用DMZ区域,使服务器所在的网络位于DMZ区域中,并在物理和逻辑上实现隔离。
4)实现访问控制。
由上述的应用分析中,我们客户发现,防火墙在部署的过程中应用了策略路由,而且,还有DMZ区的应用,那么,就会出现我们前面提到的,在一般情况下配置策略路由时将会出现的问题:因为策略路由的优先导致的无法访问DMZ的问题。
如何解决这个问题呢?下面我们提供解决办法。
我们假设客户采用的防火墙设备是Juniper SSG 550网络安全防火墙设备,该防火墙设备的基本配置是:4个千兆以太网接口,所有的安全域在默认情况下全部工作在trust-vr中,防火墙的OS版本为:5.4.0R2.0。
首 先,我们规划四个以太网接口所连接的各自的功能网络,定义Eth1为连接内部办公网路的接口,安区域为:trust;定义Eth2为连接服务器所在网络的 接口,安区域为:DMZ;定义Eth3为连接网通线路的接口,安全域为:untrust;定义Eth4为连接电信网络的接口,安全域同 为:untrust。
其次,修改untrust安全域所在的虚拟路由关系,将untrust由trust-vr中修改到untrust-vr中,如此配置,则保证的内部网络和外部网络在路由列表中就是独立的关系了。
然 后,按照上述规划,将各自安全域绑定设置到防火墙的各个物理端口上,配置各个端口的IP地址;因为连接电信和网通的接口的安全域是untrust,同时, 该安全域又在untrust-vr虚拟路由中,则定义访问互联网的默认路由必须在untrust-vr中进行配置。Trust和dmz安区域则工作在 trust-vr中,此时,trust-vr和untrust-vr之间因为没有路由关系,则它们之间是无法进行数据转发的,因此,我们需要在 trust-vr中配置一条默认外出路由,路由指向:untrust-vr;
最 后,策略路由也必须工作在确定的路由列表中,因此,在此配置中,我们需要将策略路由定义在untrust-vr路由表中,指定部分IP地址由电信线路外 出,另外部分IP由网通线路外出。如此配置可以保证,在trust-vr中,内部办公网络可以不受策略路由的影响,正常的访问dmz区的服务器资源;同 时,也可以实现内部IP地址在访问互联网时,由untrust-vr中的策略路由进行线路指定。
总 结:在Juniper防火墙OS中,策略路由的优先级是最高的,但是,策略路由不能够影响到跨路由表的应用,所有,在此种类型的应用中,我们推荐使用了双 untrust安全域的应用和双虚拟路由的应用,并且在untrust-vr中,设置使用策略路由,实现了多链路负载分配的应用。
虚拟路由在逻辑上,可以看做是一个独立的路由器,并有独立的路由列表。在Juniper防火墙的OS中,默认有两个虚拟路由:trust-vr和untrust-vr。防火墙中的各种基于流量转发的安全区(ZONE),则默认工作在trust-vr中。 虚拟路由的功能在一些特殊的环境下,可以将一个独立的多端口防火墙,在逻辑上作为两台独立的防火墙使用(不启用虚拟系统:VSYS),则两个拥有独立路由列表的安全设备可以拥有各自独立的外网线路,并且,互相之间不受影响。
策略路由,在Juniper的防火墙中也被称为源地址路由,该路由的作用是:对内部地址外出访问互联网或其它网络时,进行外出线路选择。
策 略路由一般的应用环境是:在防火墙设备实现多链路接入应用并有负载分配需求时,对内部网络IP地址的外出访问互联网时进行人为指定方式的外出链路选择。策 略路由的优先级别在默认的情况下为最高,所以在使用策略路由时,如果防火墙设备还定义了基于trust-vr的DMZ区应用时,一定会受到策略路由优先的 影响,从而导致对DMZ区访问的失败。为了解决这个问题,则需要对防火墙的安全域进行调整,从而,应用到了另外一个虚拟路由:untrust-vr。
具体的实例说明:
某客户的网络环境描述:电信和网通的两条专线连接,内部有若干台服务器,若干台内部办公计算机。
某客户的网络应用需求:
1、服务器需要与内部办公网络进行隔离;
2、内部办公网络中的计算机在访问互联网时,指定部分计算机强制使用网通线路,部分计算机强制使用电信线路。
3、实现访问控制。
仔细分析客户的网络环境和应用需求我们可以知道确定防火墙应用中的如下信息:
1)防火墙设备要工作在三层的NAT/ROUTE模式下。
2) 客户有双链路和链路负载分配的需求,则要求防火墙设备在进行配置时,要对连接两条外网线路的接口定义一个统一的untrust安全域,如此,可以实现外出 链路的自动负载分配。同时,因为需要强制指定部分内部计算机在外出时由指定链路外出,则防火墙设备中应该启用策略路由
3)内部的服务器所在的网络需要与内部办公网络进行隔离,则防火墙的配置中,应该启用DMZ区域,使服务器所在的网络位于DMZ区域中,并在物理和逻辑上实现隔离。
4)实现访问控制。
由上述的应用分析中,我们客户发现,防火墙在部署的过程中应用了策略路由,而且,还有DMZ区的应用,那么,就会出现我们前面提到的,在一般情况下配置策略路由时将会出现的问题:因为策略路由的优先导致的无法访问DMZ的问题。
如何解决这个问题呢?下面我们提供解决办法。
我们假设客户采用的防火墙设备是Juniper SSG 550网络安全防火墙设备,该防火墙设备的基本配置是:4个千兆以太网接口,所有的安全域在默认情况下全部工作在trust-vr中,防火墙的OS版本为:5.4.0R2.0。
首 先,我们规划四个以太网接口所连接的各自的功能网络,定义Eth1为连接内部办公网路的接口,安区域为:trust;定义Eth2为连接服务器所在网络的 接口,安区域为:DMZ;定义Eth3为连接网通线路的接口,安全域为:untrust;定义Eth4为连接电信网络的接口,安全域同 为:untrust。
其次,修改untrust安全域所在的虚拟路由关系,将untrust由trust-vr中修改到untrust-vr中,如此配置,则保证的内部网络和外部网络在路由列表中就是独立的关系了。
然 后,按照上述规划,将各自安全域绑定设置到防火墙的各个物理端口上,配置各个端口的IP地址;因为连接电信和网通的接口的安全域是untrust,同时, 该安全域又在untrust-vr虚拟路由中,则定义访问互联网的默认路由必须在untrust-vr中进行配置。Trust和dmz安区域则工作在 trust-vr中,此时,trust-vr和untrust-vr之间因为没有路由关系,则它们之间是无法进行数据转发的,因此,我们需要在 trust-vr中配置一条默认外出路由,路由指向:untrust-vr;
最 后,策略路由也必须工作在确定的路由列表中,因此,在此配置中,我们需要将策略路由定义在untrust-vr路由表中,指定部分IP地址由电信线路外 出,另外部分IP由网通线路外出。如此配置可以保证,在trust-vr中,内部办公网络可以不受策略路由的影响,正常的访问dmz区的服务器资源;同 时,也可以实现内部IP地址在访问互联网时,由untrust-vr中的策略路由进行线路指定。
总 结:在Juniper防火墙OS中,策略路由的优先级是最高的,但是,策略路由不能够影响到跨路由表的应用,所有,在此种类型的应用中,我们推荐使用了双 untrust安全域的应用和双虚拟路由的应用,并且在untrust-vr中,设置使用策略路由,实现了多链路负载分配的应用。
No comments:
Post a Comment