juniper 防火墙基本原理.docxVIP

PAGE1 / NUMPAGES1 juniper 防火墙基本原理 一、安全区 1、安全区是绑定一个或多个接口的逻辑实体。 2、可以定义多个安全区，除预定义发全区： trust、untrust和DMZ以外，还要以自定义安全区段。 3、安全区之间的数据流通需要用策略进行控制。通过定义策略，使两个区段间的信息流向一个或两个方向流动。 二、接口 1、接口： 物理接口： 防火墙上实际存在的接口组件。 子接口： 在逻辑上将一个物理接口分为几个虚拟子接口。每个子接口都从它的物理接口上借用需要的带宽。 2、信息流的只从一个区段到另一个区段。所以需要将接口绑定到安全区段才能使接口有作用。一个或多个接口可以绑定到一个安全区段。 三、策略 2、策略服务： 策略的实现可以细化到从某区段到某区段能实现某种服务。所以需要细化到某种服务时，要预先定义服务。 四、虚拟路由器 untrust-vr和trust-vr。这两个虚拟路由器维护两个单独的的路由表，并且虚拟路由器彼此之间隐藏路由信息，即互不相干。 untrust-vr通常用来与不可信方通信。trust-vr与可信方通信。 2、从一个虚拟路由器的区段发出的信息流不能自动转发到另一个虚拟路由器区段，即使存在策略允许转发这样的信息流。如果希望信息流在虚拟路由器之间传递，需要导出VR之间的路由，或者定义静态路由，将另一个VR定义为下一跳。 3、命令： 五、虚拟系统 六、常规配置流程 1、建立zone，即建立区段（在不使用默认区段的情况下） 2、把zone分配置vr(虚拟路由器） 3、把网络接口分配给zone 4、给接口设置ip地址 5、配置虚拟路由 6、配置策略。 第2xx： 区段详解 一、预定义区段的类型： 1、安全区: untrust、trust 、 DMZ 、global 、V1-untrust 、v1-trunst 、 V1-dmz 2、通道区段： untrust-tun 3、功能区段： NULL、self、MGT、H A、VLAN 二、安全区 1、global global区域不具有其他区都有的特性–接口。即Global区不包含接口。 global区可充当映射ip（MIP)和虚拟ip(VIP）地址的存储区域。 预定义global区段地址“any”应用于global区段中所有mip、vip和其他用户定义的地址组。 global区段还包含全域策略中使用的地址。 global区域类似于CISCO防火墙中的全局映射。 2、untrust和trust区域 是三层的区域。untrust是不信任区域。 trust是信任区域。 3、V1-untrust 和v1-trust 是二层区域。在透明模式下时使用。 注： screen选项： 二、通道区段 untrust-tun 1、通道区段: 是一个逻辑区段。附属于某个实际的安全区段。通道区段可包含一个或多个通道接口，并对承载的信息流提供防火墙保护，并支持对数据的封装和解封，还提供NAT服务。 2、默认情况下，通道区段在trunst-vr路由选择域。也可以把通道区段划分到trust-vr路由选择域。 3、每个虚拟系统上的每个承载区段（理解为实际区段，如trust区段）最多只能有一个通道区段。（即一个实际安全区下面只能有一个通道区段） 4、需配置的要点有: 通道接口属于哪个通道区段，通道区段附属于哪个实际区段，并属于哪一个路由选择域。 注意： 要修改通道区域的名称，或更改通道区段的承载区段，必须先删除该区段，再重建。但可以直接更改区段所属的虚拟路由选择域。 三、功能区段 1、NULL区段: 用于临时存储没有绑定到任何其它区段的接口。 2、MGT区段: 是带外管理接口MGT的宿主区段。可以在此区段上设置防火墙选项以保护管理接口。 3、HA区段: 此区段是高可用性接口HA1和HA2的宿主区段。虽然可以为此区段设置接口，但此区段是不可配置的。 4、Self区段： 此区段是远程管理连接接口的宿主区段。当您通过 5、vlan区段： 此区段是VLAN1接口的宿主区段。可用于管理设备。设备是透明模式时，终止vpn信息流。 四、端口模式 1、trust-untrust模式。缺省端口模式 将untrusted以太网端口绑定到untrust接口，并将接口绑定到untrust区段。 将modem端口绑定到serial接口，并作备份接口绑定到untrust区段。 将以太网端口1到4绑定到trunst接口，并将接口绑定到trust区段。 注： 端口指设备的物理接口。接口是指通过cli或webui配置的逻辑接口。多个端口可以绑定到一个接口。 2、trust\untrust\Dmz 端口模式 3、双untrust端口模式 即将两个接口绑定到untru