ScreenOS-体系结构.docxVIP

  1. 1、本文档共19页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
ScreenOS-体系结构

第 1 章 ScreenOS 体系结构 Juniper Networks ScreenOS 体系结构为网络安全布局的设计提供了灵活性。在具有 两个以上接口的 Juniper Networks 安全设备上,可以创建多个安全区段并配置策略 以调节区段内部及区段之间的信息流。可为每个区段绑定一个或多个接口,并在每 个区段上启用不同的管理和防火墙选项。利用 ScreenOS 可以创建网络环境所需的 区段数、分配每个区段所需的接口数,并且可以根据自己的需要来设计每个接口。 本章对 ScreenOS 进行了简要介绍。本章包括以下部分: ???第 2 页上的“安全区段” ???第 3 页上的“安全区段接口” ???第 4 页上的“虚拟路由器” ???第 5 页上的“策略” ???第 7 页上的“虚拟专用网” ???第 9 页上的“虚拟系统” ???第 10 页上的“封包流序列” ???第 12 页上的“巨型帧” 本章结束时给出了一个由四部分组成的范例,它例举了使用 ScreenOS 的安全设备 的基本配置: ???第 13 页上的“范例: ( 第 1 部分) 具有六个区段的企业” ???第 15 页上的“范例: ( 第 2 部分) 六个区段的接口” ???第 17 页上的“范例: ( 第 3 部分) 两个路由选择域” ???第 19 页上的“范例: ( 第 4 部分) 策略” 概念与范例 ScreenOS 参考指南 2 ???安全区段 安全区段 安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进 行调整 ( 请参阅第 5 页上的“策略”)。安全区段是绑定了一个或多个接口的逻辑实 体。通过多种类型的 Juniper Networks 安全设备,您可以定义多个安全区段,确切 数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段: Trust、Untrust 和 DMZ ( 用于第3 层操作),或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作)。如果愿意,可以继续使用这些预定义区段。也可以忽略预定义 区段而只使用用户定义的区段。另外,您还可以同时使用这两种区段- 预定义和用 户定义。利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的 网络设计。请参阅图2。 图2 显示了配置有五个安全区段的网络 - 三个缺省区段 (Trust、Untrust、DMZ) 和 两个用户定义的区段 (Finance、Eng)。信息流只有在策略允许时才能由一个安全区 段传递到另一区段。 图2: 预定义安全区段 注意: 无需任何网段的安全区段是全域区段。( 有关详细信息,请参阅第 26 页上的 “Global 区段”。) 另外,任何区段,如果既没有绑定到它的接口也没有通讯簿 条目,则也可以说它不包含任何网段。 如果是从 ScreenOS 的早期版本进行升级,则这些区段的所有配置将保持不变。 不能删除预定义安全区段。但是,可以删除用户定义的安全区段。删除安全区段 时,还会同时自动删除为该区段配置的所有地址。 Trust Eng Finance Untrust 安全设备 DMZ 策略 引擎 安全区段接口???3 第 1 章: ScreenOS 体系结构 安全区段接口 安全区段的接口可以视为一个入口,TCP/IP 信息流可通过它在该区段和其它任何 区段之间进行传递。 通过定义的策略,可以使两个区段间的信息流向一个或两个方向流动。利用定义 的路由,可指定信息流从一个区段到另一个区段必须使用的接口。由于可将多个 接口绑定到一个区段上,所以您制定的路由对于将信息流引向您所选择的接口十 分重要。 要允许信息流从一个区段流到另一个区段,需要将一个接口绑定到该区段,而且 要 - 对于“路由”或 NAT 模式的接口 ( 请参阅第 73 页上的“接口模式”) - 为该接 口分配一个 IP 地址。两种常见的接口类型为物理接口和 - 对于那些具有虚拟系统 支持的设备 - 子接口 ( 即,物理接口的第2 层具体体现)。有关详细信息,请参阅 第 31 页上的“接口”。 物理接口 物理接口与安全设备上实际存在的组件有关。接口命名约定因设备而异。 子接口 在支持虚拟 LAN (VLAN) 的设备上,可以在逻辑上将一个物理接口分为几个虚拟的 子接口,每个子接口都从它来自的物理接口借用需要的带宽。子接口是一个抽象的 概念,但它在功能上与物理接口相同,子接口由 802.1Q VLAN 标记进行区分。安 全设备用子接口通过它的 IP 地址和 VLAN 标记来指引信息流流入和流出区段。为 方便起见,网络管理员使用的 VLAN 标记号通常与子接口号相同。例如,使用 VLAN 标记 3 的接口 ethernet1/2 命名为 eth

文档评论(0)

pengyou2017 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档