Juniper Netscreen常見

Netscreen常見問題匯總

1.netscreen防火墻可不可以作HA? 
目前為止NetScreen-100以上的型號都可以做HA，NetScreen-50在新的OS版本中或許也能做HA。 

2.Netscreen是否支持負載均衡?在哪一端? 
是,Trust和DMZ區(qū)均支持負載均衡。 

3.netscreen防火墻支不支持PPPoE撥號？ 
netscreen防火墻的低端產(chǎn)品都支持PPPoE撥號。

4.什么是A/A Full Mesh HA？ 
netscreen防火墻的高端產(chǎn)品支持A/A Full Mesh方式的HA。這種HA特點在于，組成HA的每臺機器都處于活動狀態(tài)(A),而且經(jīng)過交叉接線，大大增強了HA的健壯性。 

5.netscreen防火墻能否與Cisco的Pix防火墻建立×××,都有哪些型號？ 
netscreen防火墻可以與Cisco防火墻任意一款建立×××連接。

6.除了內(nèi)置用戶NetScreen還支持那些用戶認證？ 
還支持Radius數(shù)據(jù)庫、RSA SecureID數(shù)據(jù)庫、LDAP數(shù)據(jù)庫認證。

7.NetScreen系列產(chǎn)品都有哪些型號？ 
NetScreen產(chǎn)品從低端到高端有：NS-5XP、NS-5XT、NS-25、NS-50、NS-204、NS-208、NS-500、NS-1000、NS-5200、NS-5400。其中NS-208以下包括NS-208都屬中低端產(chǎn)品，NS-208以上屬于高端產(chǎn)品。NetScreen早期產(chǎn)品還有NS-10、NS-100系列。 

8.虛擬路由器和域的關(guān)系如何？ 
虛擬路由器包含域，每個域都屬于某個虛擬路由器。比如：Untrust Zone、DMZ Zone缺省都屬于Untrust-VR，而Trust Zone和用戶自定義的Zone缺省都屬于Trust-VR。 

9.域(Zone)與接口(interface)的關(guān)系如何？ 
每個interface都屬于不同的Zone,只有當(dāng)interface與某個Zone綁定的時候才能對interface配置IP地址。每個Zone都包含若干interface（物理的和邏輯的）。 

10.為什么Gloable PRO 3.1不能管理處于Transparent模式的Screen OS 3.1系統(tǒng)？ 
因為Global PRO 不支持Transparent下對Screen OS 3.1的管理。 

11.NetScreen Global PRO Express與NetScreen Global PRO 有什么不同？ 
PRO Express是PRO的簡化版，PRO Express通過一個Sun Netra Server來收集、監(jiān)視防火墻信息。PRO 則是三層結(jié)構(gòu)，所有信息會被收集到Oracle數(shù)據(jù)庫里，通過第三方軟件生成報表。 

12.netscreen防火墻是否在做NAT前實施安全策略? 
是的,netscreen防火墻首先檢查安全策略,并保存了所有的TCP/IP狀態(tài)連接表,所以防火墻知道真正的內(nèi)部IP。 

13.什么是Hub & Spoke？ 
Hub & Spoke是netscreen防火墻的一種專利技術(shù)。它是一種×××的連接模式，以一個防火墻為中心，另外一些防火墻為分支，建立一種集中星型結(jié)構(gòu)模式的×××，這種×××易于管理、實施。 

14.netscreen防火墻的內(nèi)容過濾功能如何？ 
所有NetScreen設(shè)備可以和Websense內(nèi)容過濾解決方案集成，封鎖不適當(dāng)?shù)膬?nèi)容。 

15.數(shù)據(jù)在域(Zone)之間流動是否需要策略控制？接口(interface)之間呢？ 
在Screen OS 3.1中，數(shù)據(jù)在域(Zone)間流動是通過策略來控制的。數(shù)據(jù)在同一個域的不同接口之間流動不需要通過策略來控制?？梢酝ㄟ^命令來控制是否允許同一個域內(nèi)各接口之間數(shù)據(jù)相互流通。 


16.netscreen防火墻在QoS方面做得如何？ 
NetScreen特有的流量管理可以根據(jù)IP地址、用戶、應(yīng)用或時間以八種優(yōu)先等級設(shè)定保障帶寬和最大帶寬為流量分配優(yōu)先權(quán)。保證用戶的關(guān)鍵性應(yīng)用不會受影響。 

17.NetScreen ×××的延遲是怎樣計算的? 
平均延遲為500毫秒,實際的延遲是根據(jù)包的大小和處理器的速率確定的,最小64 byte的包,最大到1518 byte的包的處理時間可以從10ms到2500ms,加上發(fā)送和接受的時間即是一個平均值。 

18.什么是安全域? 
在一個netscreen防火墻設(shè)備上，把網(wǎng)絡(luò)劃分為多個分段，每個分段可以實施不同的安全策略，這樣的分段就是一個安全域。 

19.netscreen防火墻和國內(nèi)的硬件防火墻有什么不同？ 
netscreen防火墻是純硬件防火墻，國內(nèi)大多數(shù)防火墻都是軟硬結(jié)合的防火墻，不是純硬件防火墻。netscreen防火墻采用ASIC芯片來處理防火墻以及×××加密等功能，比通過軟件程序驅(qū)動CPU來實現(xiàn)這些功能要快很多。 

20.Screen OS 3.1與Screen OS 3.0有什么不同。 
Screen OS 3.1與Screen OS 3.0的不同之處很多。概括來說有以下幾點：內(nèi)置了兩個虛擬路由器、引入了安全域的概念。 

21.NetScreen的哪些產(chǎn)品帶有虛擬路由器？有什么用處？ 
使用Screen OS 3.1的產(chǎn)品都有內(nèi)置的虛擬路由器。虛擬路由器的基本功能是路由流經(jīng)防火墻的數(shù)據(jù)報，可以加強防火墻的數(shù)據(jù)功能。第二引入虛擬路由器的概念可以極大地加強防火墻的安全，除此之外，每個虛擬路由器可以連接一個Internet接入。 

22.A/A方式的HA與平常所說的HA有什么不同？ 
我們平常所說的HA指的是A/P方式的HA,這種方式的HA一般是一臺機器工作，另一臺待機，只有當(dāng)工作機因某種原因不能工作的時候另一臺防火墻才接替工作。而A/A方式的HA兩臺防火墻都處于工作狀態(tài)，所以防火墻的速度等于兩臺防火墻的之和。但是這種方式HA的其他一些參數(shù)比如Session數(shù)、×××隧道數(shù)，仍然保持不變。這是因為這兩臺防火墻上的數(shù)據(jù)是一致的。 

23.NetScreen-1000有幾種型號？ 
NetScreen-1000分為NetScreen-1000SP、NetScreen-1000ES。 

24.netscreen防火墻的集群管理軟件都有哪些？ 
NetScreen產(chǎn)品的集群管理軟件有:NetScreen Global Manager,NetScreen Global Pro,NetScreen Global Pro Express。其中NetScreen Global Manager屬于早期產(chǎn)品，只可以管理早期產(chǎn)品。 

25.NetScreen-500有幾種型號？ 
NetScreen-500有兩種型號：NetScreen-500SP、NetScreen-500ES。 

26.在設(shè)置認證策略時,每次認證的生效時間? 
缺省有效時間為10分鐘,但是可以修改,其范圍是2分---10000分。 

27.netscreen防火墻都有哪些功能？ 
NetScreen總體來說主要有三大功能：防火墻、×××、流量管理。 

28.為什么在208、204這些防火墻上找不到Untrust、Trust、DMZ接口？ 
在NetScreen-208、NetScreen-204這幾款防火墻中，由于使用的Screen OS 3.1引入了域的概念，所以已經(jīng)取消了Untrust、Trust、DMZ這些對接口的稱謂。它的接口稱為Ethernet1、Ethernet2、Ethernet3等等。但在Screen OS 3.1域里缺省有Untrust、Trust、DMZ這三個域。 

29.什么是虛擬系統(tǒng)(Virtual System)? 
虛擬系統(tǒng)是netscreen防火墻的專有技術(shù)，它目前只在高端防火墻上實現(xiàn)。通過它可以把一個防火墻劃分為相對獨立的多個系統(tǒng)，每個系統(tǒng)都擁有獨立的策略、地址本等等。 

30.NetScreen-Remote是不是NetScreen公司的軟件防火墻？ 
眾所周知，NetScreen是專做硬件防火墻的公司。他沒有軟件防火墻。NetScreen公司有一款客戶端軟件，NetScreen-Remote，它是用來使移動用戶或者撥號用戶與防火墻建立×××連接的客戶端軟件，它不是軟件防火墻。