绿色资源网:您身边最放心的安全下载站! 最新软件|热门排行|软件分类|软件专题|厂商大全

绿色资源网

技术教程
您的位置:首页系统集成网络安全 → Juniper防火墙的技术概念解析

Juniper防火墙的技术概念解析

我要评论 2011/09/21 12:29:25 来源:绿色资源网 编辑:downcc.com [ ] 评论:0 点击:284次

Juniper防火墙的一些概念
 
安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后也可以强制进行策略检查以提高安全性。

安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。

接口(Interface):
信息流可通过物理接口和子接口进出安全区(Security Zone)。为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3 层安全区,则需要给接口分配一个 IP地址。

虚拟路由器(Virtual Router):
Juniper防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。

安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。

在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。

除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。

映射IP(MIP):
MIP是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到一个目标地址为 MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源 IP 地址转换成 MIP 地址。

虚拟IP(VIP):
VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。

关键词:Juniper,防火墙

阅读本文后您有什么感想? 已有 人给出评价!

  • 0 欢迎喜欢
  • 0 白痴
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙视