Juniper防火墻作為網(wǎng)絡(luò)的一道關(guān)卡，除了控制內(nèi)網(wǎng)用戶訪問外網(wǎng)之外還可以控制外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問，如果用戶內(nèi)網(wǎng)的服務(wù)器需要對(duì)外網(wǎng)發(fā)布服務(wù)的話就需要使用Juniper防火墻的網(wǎng)絡(luò)映射功能，這里介紹兩個(gè)最常用的方式MIP和VIP。Juniper防火墻MIP的配置MIP（MappedIP）是“一對(duì)一”的雙向地址翻譯（轉(zhuǎn)換）過程。通常的情況是：當(dāng)你有若干個(gè)公網(wǎng)IP地址，又存在若干的對(duì)外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器對(duì)外提供IP地址），為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務(wù)器，可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對(duì)一映射（MIP），并通過策略實(shí)現(xiàn)對(duì)服務(wù)器所提供服務(wù)進(jìn)行訪問控制。在Network=>Interface界面下選擇Untrust接口，點(diǎn)擊edit，進(jìn)入編輯界面后上方點(diǎn)擊MIP

選擇右上角的“new”MappedIP：公網(wǎng)IP地址HostIP：內(nèi)網(wǎng)服務(wù)器IP地址在POLICY中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問。

Untrust的源地址選擇anytrust的目的地址選擇剛才建立的MIPaction選擇permit這樣一個(gè)簡(jiǎn)單的MIP就建立好了，通過訪問MIP的外網(wǎng)IP防火墻就會(huì)自動(dòng)映射到MIP指定內(nèi)網(wǎng)IP的服務(wù)器上了。Juniper防火墻VIP的配置MIP是一個(gè)公網(wǎng)IP地址對(duì)應(yīng)一個(gè)私有IP地址，是一對(duì)一的映射關(guān)系；而VIP是一個(gè)公網(wǎng)IP地址的不同端口（協(xié)議端口如：23、80、110等）與內(nèi)部多個(gè)私有IP地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)IP地址，卻擁有多個(gè)私有IP地址的服務(wù)器，并且，這些服務(wù)器是需要對(duì)外提供各種服務(wù)的。在Network=>Interface界面下選擇Untrust接口，點(diǎn)擊edit，進(jìn)入編輯界面后上方點(diǎn)擊VIPSameastheinterfaceIPaddress如果你只有一個(gè)外網(wǎng)IP地址，那就只能選這個(gè)了。需要注意的是該ip的80、23、443端口默認(rèn)情況是給防火墻占用了，如果要將這幾個(gè)端口映射給內(nèi)網(wǎng)服務(wù)器則需要修改防火墻的管理端口，將這些端口讓出了。另外再一些舊款的防火墻如，netscreenns-204以上的型號(hào)是沒有這個(gè)選項(xiàng)的。VirtualIPAddress如果你公司比較有錢，有多的ip，那就可以在這里填一個(gè)ip了。點(diǎn)擊“newVIPservices”建立一條VIP映射VirtualPort是外網(wǎng)訪問的端口，這里可以隨便填，沒沖突就行了MaptoService是對(duì)于內(nèi)網(wǎng)服務(wù)的端口號(hào)，可以自定義的ServerAutoDetection建議不要打鉤，不然比較容易出錯(cuò)。最后建立一條策略允許外網(wǎng)對(duì)VIP對(duì)應(yīng)的服務(wù)器進(jìn)行訪問Untrust端的源地址為anytrust的目的地址為新建的VIP地址acti