Juniper防火墙安全区的一些概念):Juniper防火墙增加了一个全新的安全区概念,这是一个逻辑结构。
是同一属性区域中多个物理接口的集合。当不同的安全区域相互通信时,它们必须通过预定义的策略检查。在同一个安全区域内通信时,默认允许通过策略检查。
配置后,您还可以强制执行策略检查以提高安全性。
安全区域概念的出现,使得防火墙的配置更加灵活,可以与现有的网络结构相结合。以下图为例。通过实现安全区域的配置,内网不同部门之间的通信也必须通过策略检查,进一步提高系统的安全性。
接口:信息流可以通过物理接口和子接口进出安全区域。为了使网络信息流进出安全区域,必须将一个接口绑定到一个安全区域。如果它属于第三层安全区域,
您需要为接口分配一个IP地址。
虚拟路由器):Juniper防火墙支持虚拟路由器技术。在防火墙设备中,原来的单个路由表演变成多个虚拟路由器和相应的独立路由表。
提高了防火墙系统的安全性和IP地址配置的灵活性。
安全策略):Juniper防火墙在定义策略时主要需要设置源IP地址、目的IP地址、网络服务和防火墙动作。在设置网络服务时,Juniper firewall内置了大量常见的网络服务类型。
同时,客户也可以定义自己的网络服务。
客户在通过防火墙定义自己的服务时,需要选择网络服务的协议,是UDP,TCP还是其他,需要定义源端口或端口范围,目的端口或端口范围,以及网络服务在无流量情况下的超时定义。因此,通过网络服务的定义,
以及IP地址的定义,Juniper防火墙的策略细节大大增强,安全性也有所提高。
除了定义这些主要参数,策略还可以定义用户认证、是否做地址转换、带宽管理等功能。通过控制这些主要安全元素和附加元素,
系统管理员可以严格控制进出防火墙的数据流,从而保护内网系统资源的安全。
映射IP (MIP): MIP是从一个IP地址到另一个IP地址的双向一对一映射。当防火墙接收到目标地址为MIP的入站数据流时,
通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源IP 地址转换成MIP 地址。
虚拟IP(VIP):VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,
却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。
