Juniper Screenos 概念和術(shù)語

1.Netscreen防火墻的概述：

a. 具備的功能 ： 二層和三層的轉(zhuǎn)發(fā)

基本的包過濾

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換

×××的功能

b. UTM統(tǒng)一威脅管理

防火墻、路由器，IPS,IDS,防病毒集成在一起；

（如天融信，聯(lián)想網(wǎng)域）

2.Netscreen的透明橋接功能：

將防火墻配置成透明橋接：

透明橋接：

a.Forward轉(zhuǎn)發(fā)數(shù)據(jù)幀

b.Flood 泛洪數(shù)據(jù)幀

c.Filter過濾數(shù)據(jù)幀（基于目的MAC地址）

3.Netscree的三層包轉(zhuǎn)發(fā)功能

基于目的IP地址進行三層的包轉(zhuǎn)發(fā)

基于三張表：

a.靜態(tài)路由表 （用的比較多）

b.動態(tài)路由表

c.默認路由表

4.Netscreen 的防火墻功能

基于IP包頭的包過濾

a.IP源和目的地址 IP的協(xié)議位

b.TCP/UDP的端口號

c.預定的防火墻策略

5.Netscreen的NAT轉(zhuǎn)換功能

源NAT和目NAT轉(zhuǎn)換

6． Netscreen的×××功能

a. 基于策略的×××(IPSEC ×××)

b. 基于路由的×××

Juniper防火墻體系架構(gòu)：

1.Juniper的防火墻術(shù)語和基本組成部分

a.接口

Zone

虛擬路由器

虛擬系統(tǒng)

查看防火墻的接口：

fire-> get interface

查看防火墻的Zone：

Fire->get zone

查看防火墻的虛擬路由器：

Fire-> get vrouter

在物理防火墻中虛擬多個路由系統(tǒng)

查看防火墻的虛擬系統(tǒng)：

Fire->get vsys

在物理防火墻中虛擬多個防火墻稱之為虛擬系統(tǒng)

b.組成部分的關(guān)系：

IP屬于接口

接口屬于Zone

Zone屬于虛擬路由器

虛擬路由器屬于虛擬系統(tǒng)

* 防火墻策略是基于Zone之間的

à exec port-mode 更改5GT的端口， 有四種模式； 可以改變接口的模式；

* 當配置IP地址給接口的時候，必須將接口配置在一個Zone中；

C. 防火墻的接口定義

1.物理接口

Eth0/0 , serial 串行接口，F(xiàn)astEthernet0/0 ,Gi0/0

2.虛擬接口

VLAN接口，loopback接口，Tunnel（主要用于×××），Multilink 捆綁接口；

d.防火墻的高級功能

1.基于狀態(tài)的防火墻檢測

2.ALG 應(yīng)用層網(wǎng)關(guān)

3.***防御

防止Ddos分布式拒絕服務(wù)***

病毒掃描

IPS功能（基于簽名的防御）

URL網(wǎng)址的保護與過濾

8. 數(shù)據(jù)流量通過Juniper防火墻的步驟：

a. 流量進入接口，屬于Source Zone

b. 經(jīng)過Screen Filter

c. Session的查找，當前有沒有會話存在

流量能夠匹配Session的話，直接進入防火墻內(nèi)部進程；

如果流量不能夠匹配任何的Session的話，進入下一步

d.檢測是否匹配MIP/VIP（是否做了地址映射）

e.檢測是否匹配路由進程

f檢測是否匹配防火墻的策略

g.檢測是否匹配NAT（NAT-src ,/dst）

h.建立防火墻的Session；

i.進入防火墻內(nèi)部進程（轉(zhuǎn)發(fā)數(shù)據(jù)包）；

Screen Filter > Session > MIP/VIP > Route lookup > Route Policy > 普通的NAT > 建立會話

9. Juniper的產(chǎn)品線：

a. 基于應(yīng)用的

僅僅支持一個虛擬系統(tǒng)Root（小型的辦公，企業(yè)，家庭用戶）

5GT/HSC /SSG-20 /SSG 140 /SSG 520 550

b. 基于系統(tǒng)的

支持多個虛擬系統(tǒng)（大型的企業(yè)或ISP）;

ISG 1000 /2000 NS 5400 /NS 5200 / NS 500

(ISG 集成服務(wù)網(wǎng)關(guān))