欢迎来到天天文库
浏览记录
ID:10019303
大小:1.40 MB
页数:38页
时间:2018-05-21
《juniper防火墙用户手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Juniper防火墙用户手册JuniperNetworks,Inc.Jan.2008保密和变更申明这份文档包含了来自JuniperNetworks的可靠、权威的信息,这些信息是作为公司的技术信息专用,文档的阅读者应对其内容保密,未经JuniperNetworks,Inc.书面请求和书面认可,不得复制、泄露或散布这份文档。对这份文档内容的任何形式的泄露、复制或散布都是被禁止的。38目录第1章Juniper防火墙基本工作原理31.1.基于状态检测的ASIC硬件防火墙31.2.Juniper防火墙组件结构3第2章管理52.1.Web用户界面52.2.命令行界面62.3.
2、串行控制台72.4.如何实现对防火墙的远程管理8第3章路由9第4章访问控制策略104.1.策略的三种类型104.2.策略和规则104.3.策略查看和建立11第5章NSRP(Netscreen冗余协议)135.1.NSRP工作原理135.2.CCB一级分行防火墙部署结构145.3.NSRP日常维护命令155.4.Juniper防火墙NSRP双机软件升级步骤155.5.如何快速配置NSRP集群备用设备16第6章防火墙日常监控与维护176.1.Juniper防火墙日常监控内容176.2.防火墙健康检查信息表186.3.常规维护建议196.4.设备运行档案表206.5.防
3、火墙应急处理216.6.故障处理工具226.7.策略配置与优化(Policy)236.8.特殊应用处理24第7章附录NetScreen防火墙安装指南257.1.如何进入图形化界面257.2.NetScreen防火墙图形化界面配置267.3.简单故障分析及系统维护327.4.如何清掉已有的系统设置,恢复出厂默认设置3338Juniper防火墙用户手册第1章Juniper防火墙基本工作原理1.1.基于状态检测的ASIC硬件防火墙防火墙通过在网络边界上建立起来的相应网络安全系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,阻挡外
4、部非法人侵,以保护网络的信息安全。针对用户请求的新建应用连接,防火墙状态检测机制检查预先设置的访问控制策略,仅允许通过访问控制策略检查的应用连接报文才能够通过防火墙,同时防火墙在内存中记录下该连接的相关信息,生成应用流(flow)的会话表(session),将进出网络的数据当成一个个的应用流来处理。对该连接的后续(双向)数据包,只要匹配会话表,报文就可以通过防火墙。状态检测防火墙好处在于:由于不需要对每个数据包进行规则检查,而是一个连接(应用流)的后续数据包通过ASIC硬件芯片执行高速散列算法,直接进行状态检查且包的转发由ASIC芯片直接进行处理,使防火墙性能得到
5、大幅提高;同时由于会话表是动态的,故可以有选择地、动态地开放整个应用流需要的后续动态端口,使防火墙能够增强对复杂协议的安全检查。1.2.Juniper防火墙组件结构JuniperNetworksScreenOS体系结构为网络安全规划和设计提供了很强的灵活性。在具有两个以上接口的防火墙上,可以创建多个安全区并配置策略以调节安全区内部及安全区之间的信息流。可以为每个安全区绑定一个或多个接口,并在每个安全区上启用一组唯一的管理。利用ScreenOS可以创建网络环境所需的安全区数,分配每个区所需的接口数,并且可以根据自己的特殊要求来设计每个接口。Zone(安全区)是由一个
6、或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。可以定义多个安全区,确切数目可根据网络需要来确定。除用户定义的安全区外,通常使用预定义的安全区:Trust、Untrust和DMZ。38Interface(接口):安全区的接口可以视为一个入口,TCP/IP信息流可通过它在该安全区和其它任何安全区之间进行传递。通过定义的策略,可以使两个安全区的信息流向一个或两个方向流动。利用定义的路由,可指定信息流从一个安全区到另一个安全区必须使用的接口。由于可将多个接口绑定到一个安全区上,因此制定的路由对于将信息流引向所选择的
7、接口十分重要。VR(虚拟路由器):VR的功能与路由器相同。它拥有自己的安全区及自己的单播和组播路由表。在ScreenOS中,安全设备支持两个预定义的虚拟路由器,这将允许安全设备维护两个单独的单播和组播路由表,同时隐藏虚拟路由器彼此之间的路由信息。Policy(策略):Juniper防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区到另一安全区的通路的所有连接尝试,然后予以允许或拒绝。在缺省情况下,安全设备拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类,可以控制安全区间的信息流。范围最大时,可以允许所有
8、类型的信息
此文档下载收益归作者所有