Juniper Screenos 概念和術語

1.Netscreen防火墻的概述：

a. 具備的功能 ： 二層和三層的轉發

基本的包過濾

NAT網絡地址轉換

×××的功能

b. UTM統一威脅管理

防火墻、路由器，IPS,IDS,防病毒集成在一起；

（如天融信，聯想網域）

2.Netscreen的透明橋接功能：

將防火墻配置成透明橋接：

透明橋接：

a.Forward轉發數據幀

b.Flood 泛洪數據幀

c.Filter過濾數據幀（基于目的MAC地址）

3.Netscree的三層包轉發功能

基于目的IP地址進行三層的包轉發

基于三張表：

a.靜態路由表 （用的比較多）

b.動態路由表

c.默認路由表

4.Netscreen 的防火墻功能

基于IP包頭的包過濾

a.IP源和目的地址 IP的協議位

b.TCP/UDP的端口號

c.預定的防火墻策略

5.Netscreen的NAT轉換功能

源NAT和目NAT轉換

6． Netscreen的×××功能

a. 基于策略的×××(IPSEC ×××)

b. 基于路由的×××

Juniper防火墻體系架構：

1.Juniper的防火墻術語和基本組成部分

a.接口

Zone

虛擬路由器

虛擬系統

查看防火墻的接口：

fire-> get interface

查看防火墻的Zone：

Fire->get zone

查看防火墻的虛擬路由器：

Fire-> get vrouter

在物理防火墻中虛擬多個路由系統

查看防火墻的虛擬系統：

Fire->get vsys

在物理防火墻中虛擬多個防火墻稱之為虛擬系統

b.組成部分的關系：

IP屬于接口

接口屬于Zone

Zone屬于虛擬路由器

虛擬路由器屬于虛擬系統

* 防火墻策略是基于Zone之間的

à exec port-mode 更改5GT的端口， 有四種模式； 可以改變接口的模式；

* 當配置IP地址給接口的時候，必須將接口配置在一個Zone中；

C. 防火墻的接口定義

1.物理接口

Eth0/0 , serial 串行接口，FastEthernet0/0 ,Gi0/0

2.虛擬接口

VLAN接口，loopback接口，Tunnel（主要用于×××），Multilink 捆綁接口；

d.防火墻的高級功能

1.基于狀態的防火墻檢測

2.ALG 應用層網關

3.***防御

防止Ddos分布式拒絕服務***

病毒掃描

IPS功能（基于簽名的防御）

URL網址的保護與過濾

8. 數據流量通過Juniper防火墻的步驟：

a. 流量進入接口，屬于Source Zone

b. 經過Screen Filter

c. Session的查找，當前有沒有會話存在

流量能夠匹配Session的話，直接進入防火墻內部進程；

如果流量不能夠匹配任何的Session的話，進入下一步

d.檢測是否匹配MIP/VIP（是否做了地址映射）

e.檢測是否匹配路由進程

f檢測是否匹配防火墻的策略

g.檢測是否匹配NAT（NAT-src ,/dst）

h.建立防火墻的Session；

i.進入防火墻內部進程（轉發數據包）；

Screen Filter > Session > MIP/VIP > Route lookup > Route Policy > 普通的NAT > 建立會話

9. Juniper的產品線：

a. 基于應用的

僅僅支持一個虛擬系統Root（小型的辦公，企業，家庭用戶）

5GT/HSC /SSG-20 /SSG 140 /SSG 520 550

b. 基于系統的

支持多個虛擬系統（大型的企業或ISP）;

ISG 1000 /2000 NS 5400 /NS 5200 / NS 500

(ISG 集成服務網關)