資源描述:
《screenos體系結(jié)構(gòu)》由會(huì)員上傳分享��,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)���。
1���、第1章ScreenOS體系結(jié)構(gòu)JuniperNetworksScreenOS體系結(jié)構(gòu)為網(wǎng)絡(luò)安全布局的設(shè)計(jì)提供了靈活性。在具有兩個(gè)以上接口的JuniperNetworks安全設(shè)備上���,可以創(chuàng)建多個(gè)安全區(qū)段并配置策略以調(diào)節(jié)區(qū)段內(nèi)部及區(qū)段之間的信息流�?�?蔀槊總€(gè)區(qū)段綁定一個(gè)或多個(gè)接口��,并在每個(gè)區(qū)段上啟用不同的管理和防火墻選項(xiàng)����。利用ScreenOS可以創(chuàng)建網(wǎng)絡(luò)環(huán)境所需的區(qū)段數(shù)、分配每個(gè)區(qū)段所需的接口數(shù)�,并且可以根據(jù)自己的需要來(lái)設(shè)計(jì)每個(gè)接口。本章對(duì)ScreenOS進(jìn)行了簡(jiǎn)要介紹����。本章包括以下部分:?第2頁(yè)上的“安全區(qū)段”?第3頁(yè)上的“安全區(qū)段接口”?第4頁(yè)上的“虛擬路由器”?第5頁(yè)
2、上的“策略”?第7頁(yè)上的“虛擬專用網(wǎng)”?第9頁(yè)上的“虛擬系統(tǒng)”?第10頁(yè)上的“封包流序列”?第12頁(yè)上的“巨型幀”本章結(jié)束時(shí)給出了一個(gè)由四部分組成的范例,它例舉了使用ScreenOS的安全設(shè)備的基本配置:?第13頁(yè)上的“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”?第15頁(yè)上的“范例:(第2部分)六個(gè)區(qū)段的接口”?第17頁(yè)上的“范例:(第3部分)兩個(gè)路由選擇域”?第19頁(yè)上的“范例:(第4部分)策略”概念與范例ScreenOS參考指南2?安全區(qū)段安全區(qū)段安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合�����,需要通過策略來(lái)對(duì)入站和出站信息流進(jìn)行調(diào)整(請(qǐng)參閱第5頁(yè)上的“策略”)��。安全區(qū)段是綁定
3��、了一個(gè)或多個(gè)接口的邏輯實(shí)體���。通過多種類型的JuniperNetworks安全設(shè)備�,您可以定義多個(gè)安全區(qū)段�,確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來(lái)確定。除用戶定義的區(qū)段外�,您還可以使用預(yù)定義的區(qū)段:Trust��、Untrust和DMZ(用于第3層操作)�����,或者V1-Trust�����、V1-Untrust和V1-DMZ(用于第2層操作)。如果愿意����,可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段���。另外���,您還可以同時(shí)使用這兩種區(qū)段-預(yù)定義和用戶定義。利用區(qū)段配置的這種靈活性�,您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。請(qǐng)參閱圖2���。圖2顯示了配置有五個(gè)安全區(qū)段的網(wǎng)絡(luò)-三個(gè)缺
4�����、省區(qū)段(Trust��、Untrust���、DMZ)和兩個(gè)用戶定義的區(qū)段(Finance、Eng)����。信息流只有在策略允許時(shí)才能由一個(gè)安全區(qū)段傳遞到另一區(qū)段�。圖2:預(yù)定義安全區(qū)段注意:無(wú)需任何網(wǎng)段的安全區(qū)段是全域區(qū)段��。(有關(guān)詳細(xì)信息�����,請(qǐng)參閱第26頁(yè)上的“Global區(qū)段”����。)另外,任何區(qū)段�����,如果既沒有綁定到它的接口也沒有通訊簿條目��,則也可以說它不包含任何網(wǎng)段�。如果是從ScreenOS的早期版本進(jìn)行升級(jí)��,則這些區(qū)段的所有配置將保持不變���。不能刪除預(yù)定義安全區(qū)段����。但是,可以刪除用戶定義的安全區(qū)段��。刪除安全區(qū)段時(shí)��,還會(huì)同時(shí)自動(dòng)刪除為該區(qū)段配置的所有地址�����。TrustEngFinanceU
5�、ntrust安全設(shè)備DMZ策略引擎安全區(qū)段接口?3第1章:ScreenOS體系結(jié)構(gòu)安全區(qū)段接口安全區(qū)段的接口可以視為一個(gè)入口,TCP/IP信息流可通過它在該區(qū)段和其它任何區(qū)段之間進(jìn)行傳遞���。通過定義的策略����,可以使兩個(gè)區(qū)段間的信息流向一個(gè)或兩個(gè)方向流動(dòng)�。利用定義的路由,可指定信息流從一個(gè)區(qū)段到另一個(gè)區(qū)段必須使用的接口��。由于可將多個(gè)接口綁定到一個(gè)區(qū)段上���,所以您制定的路由對(duì)于將信息流引向您所選擇的接口十分重要���。要允許信息流從一個(gè)區(qū)段流到另一個(gè)區(qū)段���,需要將一個(gè)接口綁定到該區(qū)段,而且要-對(duì)于“路由”或NAT模式的接口(請(qǐng)參閱第73頁(yè)上的“接口模式”)-為該接口分配一個(gè)IP地址���。兩
6��、種常見的接口類型為物理接口和-對(duì)于那些具有虛擬系統(tǒng)支持的設(shè)備-子接口(即��,物理接口的第2層具體體現(xiàn))����。有關(guān)詳細(xì)信息�,請(qǐng)參閱第31頁(yè)上的“接口”。物理接口物理接口與安全設(shè)備上實(shí)際存在的組件有關(guān)���。接口命名約定因設(shè)備而異�����。子接口在支持虛擬LAN(VLAN)的設(shè)備上�,可以在邏輯上將一個(gè)物理接口分為幾個(gè)虛擬的子接口��,每個(gè)子接口都從它來(lái)自的物理接口借用需要的帶寬����。子接口是一個(gè)抽象的概念,但它在功能上與物理接口相同�����,子接口由802.1QVLAN標(biāo)記進(jìn)行區(qū)分���。安全設(shè)備用子接口通過它的IP地址和VLAN標(biāo)記來(lái)指引信息流流入和流出區(qū)段��。為方便起見�,網(wǎng)絡(luò)管理員使用的VLAN標(biāo)記號(hào)通常與子接
7���、口號(hào)相同����。例如�����,使用VLAN標(biāo)記3的接口ethernet1/2命名為ethernet1/2.3���。這表示接口模塊在第一槽位���,第二個(gè)端口在該模塊上��,子接口號(hào)為3(ethernet1/2.3)�。請(qǐng)注意�,雖然子接口與物理接口共享部分標(biāo)識(shí),但是其綁定的區(qū)段并不依賴于物理接口綁定的區(qū)段�。您可以將子接口ethernet1/2.3綁定到與物理接口ethernet1/2或ethernet1/2.2所綁定的不同區(qū)段上。同樣���,IP地址的分配也沒有限制���。術(shù)語(yǔ)子接口并不意味著它的地址在物理接口的地址空間的子網(wǎng)中。注意:對(duì)于在綁定到同一區(qū)段的兩個(gè)接口間流動(dòng)的信息流��,因?yàn)閮蓚€(gè)接口
