資源描述:
《screenos體系結構》由會員上傳分享,免費在線閱讀����,更多相關內容在應用文檔-天天文庫�。
1�、第1章ScreenOS體系結構JuniperNetworksScreenOS體系結構為網(wǎng)絡安全布局的設計提供了靈活性���。在具有兩個以上接口的JuniperNetworks安全設備上����,可以創(chuàng)建多個安全區(qū)段并配置策略以調節(jié)區(qū)段內部及區(qū)段之間的信息流�。可為每個區(qū)段綁定一個或多個接口�,并在每個區(qū)段上啟用不同的管理和防火墻選項。利用ScreenOS可以創(chuàng)建網(wǎng)絡環(huán)境所需的區(qū)段數(shù)���、分配每個區(qū)段所需的接口數(shù)�,并且可以根據(jù)自己的需要來設計每個接口�����。本章對ScreenOS進行了簡要介紹��。本章包括以下部分:?第2頁上的“安全區(qū)段”?第3頁上的“安全區(qū)段接口”?第4頁上的“虛擬路由器”?第5頁
2���、上的“策略”?第7頁上的“虛擬專用網(wǎng)”?第9頁上的“虛擬系統(tǒng)”?第10頁上的“封包流序列”?第12頁上的“巨型幀”本章結束時給出了一個由四部分組成的范例����,它例舉了使用ScreenOS的安全設備的基本配置:?第13頁上的“范例:(第1部分)具有六個區(qū)段的企業(yè)”?第15頁上的“范例:(第2部分)六個區(qū)段的接口”?第17頁上的“范例:(第3部分)兩個路由選擇域”?第19頁上的“范例:(第4部分)策略”概念與范例ScreenOS參考指南2?安全區(qū)段安全區(qū)段安全區(qū)段是由一個或多個網(wǎng)段組成的集合,需要通過策略來對入站和出站信息流進行調整(請參閱第5頁上的“策略”)�����。安全區(qū)段是綁定
3���、了一個或多個接口的邏輯實體�。通過多種類型的JuniperNetworks安全設備,您可以定義多個安全區(qū)段�,確切數(shù)目可根據(jù)網(wǎng)絡需要來確定�����。除用戶定義的區(qū)段外���,您還可以使用預定義的區(qū)段:Trust���、Untrust和DMZ(用于第3層操作)�����,或者V1-Trust、V1-Untrust和V1-DMZ(用于第2層操作)��。如果愿意��,可以繼續(xù)使用這些預定義區(qū)段�。也可以忽略預定義區(qū)段而只使用用戶定義的區(qū)段����。另外�,您還可以同時使用這兩種區(qū)段-預定義和用戶定義���。利用區(qū)段配置的這種靈活性���,您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡設計��。請參閱圖2�����。圖2顯示了配置有五個安全區(qū)段的網(wǎng)絡-三個缺
4���、省區(qū)段(Trust�、Untrust����、DMZ)和兩個用戶定義的區(qū)段(Finance�����、Eng)。信息流只有在策略允許時才能由一個安全區(qū)段傳遞到另一區(qū)段�。圖2:預定義安全區(qū)段注意:無需任何網(wǎng)段的安全區(qū)段是全域區(qū)段。(有關詳細信息���,請參閱第26頁上的“Global區(qū)段”��。)另外�,任何區(qū)段,如果既沒有綁定到它的接口也沒有通訊簿條目���,則也可以說它不包含任何網(wǎng)段。如果是從ScreenOS的早期版本進行升級����,則這些區(qū)段的所有配置將保持不變。不能刪除預定義安全區(qū)段�����。但是�,可以刪除用戶定義的安全區(qū)段。刪除安全區(qū)段時��,還會同時自動刪除為該區(qū)段配置的所有地址���。TrustEngFinanceU
5���、ntrust安全設備DMZ策略引擎安全區(qū)段接口?3第1章:ScreenOS體系結構安全區(qū)段接口安全區(qū)段的接口可以視為一個入口���,TCP/IP信息流可通過它在該區(qū)段和其它任何區(qū)段之間進行傳遞�。通過定義的策略,可以使兩個區(qū)段間的信息流向一個或兩個方向流動�。利用定義的路由,可指定信息流從一個區(qū)段到另一個區(qū)段必須使用的接口����。由于可將多個接口綁定到一個區(qū)段上�����,所以您制定的路由對于將信息流引向您所選擇的接口十分重要�����。要允許信息流從一個區(qū)段流到另一個區(qū)段��,需要將一個接口綁定到該區(qū)段,而且要-對于“路由”或NAT模式的接口(請參閱第73頁上的“接口模式”)-為該接口分配一個IP地址���。兩
6�����、種常見的接口類型為物理接口和-對于那些具有虛擬系統(tǒng)支持的設備-子接口(即,物理接口的第2層具體體現(xiàn))�。有關詳細信息,請參閱第31頁上的“接口”����。物理接口物理接口與安全設備上實際存在的組件有關�����。接口命名約定因設備而異��。子接口在支持虛擬LAN(VLAN)的設備上���,可以在邏輯上將一個物理接口分為幾個虛擬的子接口�,每個子接口都從它來自的物理接口借用需要的帶寬。子接口是一個抽象的概念�����,但它在功能上與物理接口相同���,子接口由802.1QVLAN標記進行區(qū)分。安全設備用子接口通過它的IP地址和VLAN標記來指引信息流流入和流出區(qū)段���。為方便起見,網(wǎng)絡管理員使用的VLAN標記號通常與子接
7�����、口號相同��。例如�����,使用VLAN標記3的接口ethernet1/2命名為ethernet1/2.3��。這表示接口模塊在第一槽位�,第二個端口在該模塊上�����,子接口號為3(ethernet1/2.3)�����。請注意,雖然子接口與物理接口共享部分標識����,但是其綁定的區(qū)段并不依賴于物理接口綁定的區(qū)段�����。您可以將子接口ethernet1/2.3綁定到與物理接口ethernet1/2或ethernet1/2.2所綁定的不同區(qū)段上����。同樣,IP地址的分配也沒有限制��。術語子接口并不意味著它的地址在物理接口的地址空間的子網(wǎng)中�。注意:對于在綁定到同一區(qū)段的兩個接口間流動的信息流��,因為兩個接口
