資源描述:
《ScreenOS體系結(jié)構(gòu).doc》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、.專業(yè).專注.第1章ScreenOS體系結(jié)構(gòu)JuniperNetworksScreenOS體系結(jié)構(gòu)為網(wǎng)絡(luò)安全布局的設(shè)計(jì)提供了靈活性。在具有兩個(gè)以上接口的JuniperNetworks安全設(shè)備上���,可以創(chuàng)建多個(gè)安全區(qū)段并配置策略以調(diào)節(jié)區(qū)段內(nèi)部及區(qū)段之間的信息流?�?蔀槊總€(gè)區(qū)段綁定一個(gè)或多個(gè)接口����,并在每個(gè)區(qū)段上啟用不同的管理和防火墻選項(xiàng)。利用ScreenOS可以創(chuàng)建網(wǎng)絡(luò)環(huán)境所需的區(qū)段數(shù)���、分配每個(gè)區(qū)段所需的接口數(shù),并且可以根據(jù)自己的需要來設(shè)計(jì)每個(gè)接口��。本章對(duì)ScreenOS進(jìn)行了簡要介紹�����。本章包括以下部分:?
2�����、第2頁上的“安全區(qū)段”?第3頁上的“安全區(qū)段接口”?第4頁上的“虛擬路由器”?第5頁上的“策略”?第7頁上的“虛擬專用網(wǎng)”?第9頁上的“虛擬系統(tǒng)”?第10頁上的“封包流序列”?第12頁上的“巨型幀”本章結(jié)束時(shí)給出了一個(gè)由四部分組成的范例���,它例舉了使用ScreenOS的安全設(shè)備的基本配置:?第13頁上的“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”?第15頁上的“范例:(第2部分)六個(gè)區(qū)段的接口”?第17頁上的“范例:(第3部分)兩個(gè)路由選擇域”?第19頁上的“范例:(第4部分)策略”.word可編輯..專
3����、業(yè).專注.概念與范例ScreenOS參考指南2?安全區(qū)段安全區(qū)段安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合���,需要通過策略來對(duì)入站和出站信息流進(jìn)行調(diào)整(請(qǐng)參閱第5頁上的“策略”)���。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。通過多種類型的JuniperNetworks安全設(shè)備����,您可以定義多個(gè)安全區(qū)段�����,確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來確定���。除用戶定義的區(qū)段外,您還可以使用預(yù)定義的區(qū)段:Trust����、Untrust和DMZ(用于第3層操作),或者V1-Trust�����、V1-Untrust和V1-DMZ(用于第2層操作)����。如果愿
4�����、意�,可以繼續(xù)使用這些預(yù)定義區(qū)段�����。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段����。另外,您還可以同時(shí)使用這兩種區(qū)段-預(yù)定義和用戶定義�����。利用區(qū)段配置的這種靈活性��,您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)��。請(qǐng)參閱圖2���。圖2顯示了配置有五個(gè)安全區(qū)段的網(wǎng)絡(luò)-三個(gè)缺省區(qū)段(Trust、Untrust�、DMZ)和兩個(gè)用戶定義的區(qū)段(Finance��、Eng)���。信息流只有在策略允許時(shí)才能由一個(gè)安全區(qū)段傳遞到另一區(qū)段。圖2:預(yù)定義安全區(qū)段注意:無需任何網(wǎng)段的安全區(qū)段是全域區(qū)段��。(有關(guān)詳細(xì)信息��,請(qǐng)參閱第26頁上的“Gl
5����、obal區(qū)段”。)另外�����,任何區(qū)段�,如果既沒有綁定到它的接口也沒有通訊簿條目,則也可以說它不包含任何網(wǎng)段���。如果是從ScreenOS的早期版本進(jìn)行升級(jí),則這些區(qū)段的所有配置將保持不變��。不能刪除預(yù)定義安全區(qū)段�����。但是����,可以刪除用戶定義的安全區(qū)段����。刪除安全區(qū)段時(shí)���,還會(huì)同時(shí)自動(dòng)刪除為該區(qū)段配置的所有地址���。TrustEngFinance.word可編輯..專業(yè).專注.Untrust安全設(shè)備DMZ策略引擎安全區(qū)段接口?3第1章:ScreenOS體系結(jié)構(gòu)安全區(qū)段接口安全區(qū)段的接口可以視為一個(gè)入口���,TCP/IP信息流可
6、通過它在該區(qū)段和其它任何區(qū)段之間進(jìn)行傳遞�。通過定義的策略��,可以使兩個(gè)區(qū)段間的信息流向一個(gè)或兩個(gè)方向流動(dòng)�。利用定義的路由��,可指定信息流從一個(gè)區(qū)段到另一個(gè)區(qū)段必須使用的接口。由于可將多個(gè)接口綁定到一個(gè)區(qū)段上�,所以您制定的路由對(duì)于將信息流引向您所選擇的接口十分重要。要允許信息流從一個(gè)區(qū)段流到另一個(gè)區(qū)段��,需要將一個(gè)接口綁定到該區(qū)段����,而且要-對(duì)于“路由”或NAT模式的接口(請(qǐng)參閱第73頁上的“接口模式”)-為該接口分配一個(gè)IP地址��。兩種常見的接口類型為物理接口和-對(duì)于那些具有虛擬系統(tǒng)支持的設(shè)備-子接口(即���,物
7、理接口的第2層具體體現(xiàn))����。有關(guān)詳細(xì)信息,請(qǐng)參閱第31頁上的“接口”�����。物理接口物理接口與安全設(shè)備上實(shí)際存在的組件有關(guān)�。接口命名約定因設(shè)備而異�����。子接口在支持虛擬LAN(VLAN)的設(shè)備上��,可以在邏輯上將一個(gè)物理接口分為幾個(gè)虛擬的子接口,每個(gè)子接口都從它來自的物理接口借用需要的帶寬�。子接口是一個(gè)抽象的概念���,但它在功能上與物理接口相同,子接口由802.1QVLAN標(biāo)記進(jìn)行區(qū)分�。安全設(shè)備用子接口通過它的IP地址和VLAN標(biāo)記來指引信息流流入和流出區(qū)段�。為.word可編輯..專業(yè).專注.方便起見��,網(wǎng)絡(luò)管理員使用
8���、的VLAN標(biāo)記號(hào)通常與子接口號(hào)相同。例如���,使用VLAN標(biāo)記3的接口ethernet1/2命名為ethernet1/2.3。這表示接口模塊在第一槽位�����,第二個(gè)端口在該模塊上,子接口號(hào)為3(ethernet1/2.3)��。請(qǐng)注意����,雖然子接口與物理接口共享部分標(biāo)識(shí)���,但是其綁定的區(qū)段并不依賴于物理接口綁定的區(qū)段���。您可以將子接口ethernet1/2.3綁定到與物理接口ethernet1/2或ethernet1/2.2所綁定的不同區(qū)段上�����。同樣,IP地址的分配也沒有限制���。術(shù)語子接口并
