ScreenOS-体系结构.docxVIP

第 1 章 ScreenOS 体系结构 Juniper Networks ScreenOS 体系结构为网络安全布局的设计提供了灵活性。在具有 两个以上接口的 Juniper Networks 安全设备上，可以创建多个安全区段并配置策略 以调节区段内部及区段之间的信息流。可为每个区段绑定一个或多个接口，并在每 个区段上启用不同的管理和防火墙选项。利用 ScreenOS 可以创建网络环境所需的 区段数、分配每个区段所需的接口数，并且可以根据自己的需要来设计每个接口。 本章对 ScreenOS 进行了简要介绍。本章包括以下部分: ???第 2 页上的“安全区段” ???第 3 页上的“安全区段接口” ???第 4 页上的“虚拟路由器” ???第 5 页上的“策略” ???第 7 页上的“虚拟专用网” ???第 9 页上的“虚拟系统” ???第 10 页上的“封包流序列” ???第 12 页上的“巨型帧” 本章结束时给出了一个由四部分组成的范例，它例举了使用 ScreenOS 的安全设备 的基本配置: ???第 13 页上的“范例: ( 第 1 部分) 具有六个区段的企业” ???第 15 页上的“范例: ( 第 2 部分) 六个区段的接口” ???第 17 页上的“范例: ( 第 3 部分) 两个路由选择域” ???第 19 页上的“范例: ( 第 4 部分) 策略” 概念与范例 ScreenOS 参考指南 2 ???安全区段 安全区段 安全区段是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进 行调整 ( 请参阅第 5 页上的“策略”)。安全区段是绑定了一个或多个接口的逻辑实 体。通过多种类型的 Juniper Networks 安全设备，您可以定义多个安全区段，确切 数目可根据网络需要来确定。除用户定义的区段外，您还可以使用预定义的区段: Trust、Untrust 和 DMZ ( 用于第3 层操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作)。如果愿意，可以继续使用这些预定义区段。也可以忽略预定义 区段而只使用用户定义的区段。另外，您还可以同时使用这两种区段- 预定义和用 户定义。利用区段配置的这种灵活性，您可以创建能够最好地满足您的具体需要的 网络设计。请参阅图2。 图2 显示了配置有五个安全区段的网络 - 三个缺省区段 (Trust、Untrust、DMZ) 和 两个用户定义的区段 (Finance、Eng)。信息流只有在策略允许时才能由一个安全区 段传递到另一区段。 图2: 预定义安全区段 注意: 无需任何网段的安全区段是全域区段。( 有关详细信息，请参阅第 26 页上的 “Global 区段”。) 另外，任何区段，如果既没有绑定到它的接口也没有通讯簿 条目，则也可以说它不包含任何网段。 如果是从 ScreenOS 的早期版本进行升级，则这些区段的所有配置将保持不变。 不能删除预定义安全区段。但是，可以删除用户定义的安全区段。删除安全区段 时，还会同时自动删除为该区段配置的所有地址。 Trust Eng Finance Untrust 安全设备 DMZ 策略 引擎 安全区段接口???3 第 1 章: ScreenOS 体系结构 安全区段接口 安全区段的接口可以视为一个入口，TCP/IP 信息流可通过它在该区段和其它任何 区段之间进行传递。 通过定义的策略，可以使两个区段间的信息流向一个或两个方向流动。利用定义 的路由，可指定信息流从一个区段到另一个区段必须使用的接口。由于可将多个 接口绑定到一个区段上，所以您制定的路由对于将信息流引向您所选择的接口十 分重要。 要允许信息流从一个区段流到另一个区段，需要将一个接口绑定到该区段，而且 要 - 对于“路由”或 NAT 模式的接口 ( 请参阅第 73 页上的“接口模式”) - 为该接 口分配一个 IP 地址。两种常见的接口类型为物理接口和 - 对于那些具有虚拟系统 支持的设备 - 子接口 ( 即，物理接口的第2 层具体体现)。有关详细信息，请参阅 第 31 页上的“接口”。 物理接口 物理接口与安全设备上实际存在的组件有关。接口命名约定因设备而异。 子接口 在支持虚拟 LAN (VLAN) 的设备上，可以在逻辑上将一个物理接口分为几个虚拟的 子接口，每个子接口都从它来自的物理接口借用需要的带宽。子接口是一个抽象的 概念，但它在功能上与物理接口相同，子接口由 802.1Q VLAN 标记进行区分。安 全设备用子接口通过它的 IP 地址和 VLAN 标记来指引信息流流入和流出区段。为 方便起见，网络管理员使用的 VLAN 标记号通常与子接口号相同。例如，使用 VLAN 标记 3 的接口 ethernet1/2 命名为 eth