1.Netscreen防火墙的概述:
创新互联是一家集网站建设,延津企业网站建设,延津品牌网站建设,网站定制,延津网站建设报价,网络营销,网络优化,延津网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
a. 具备的功能 : 二层和三层的转发
基本的包过滤
NAT网络地址转换
×××的功能
b. UTM统一威胁管理
防火墙、路由器,IPS,IDS,防病毒集成在一起;
(如天融信,联想网域)
2.Netscreen的透明桥接功能:
将防火墙配置成透明桥接:
透明桥接:
a.Forward转发数据帧
b.Flood 泛洪数据帧
c.Filter过滤数据帧(基于目的MAC地址)
3.Netscree的三层包转发功能
基于目的IP地址进行三层的包转发
基于三张表:
a.静态路由表 (用的比较多)
b.动态路由表
c.默认路由表
4.Netscreen 的防火墙功能
基于IP包头的包过滤
a.IP源和目的地址 IP的协议位
b.TCP/UDP的端口号
c.预定的防火墙策略
5.Netscreen的NAT转换功能
源NAT和目NAT转换
6. Netscreen的×××功能
a. 基于策略的×××(IPSEC ×××)
b. 基于路由的×××
Juniper防火墙体系架构:
1.Juniper的防火墙术语和基本组成部分
a.接口
Zone
虚拟路由器
虚拟系统
查看防火墙的接口:
fire-> get interface
查看防火墙的Zone:
Fire->get zone
查看防火墙的虚拟路由器:
Fire-> get vrouter
在物理防火墙中虚拟多个路由系统
查看防火墙的虚拟系统:
Fire->get vsys
在物理防火墙中虚拟多个防火墙称之为虚拟系统
b.组成部分的关系:
IP属于接口
接口属于Zone
Zone属于虚拟路由器
虚拟路由器属于虚拟系统
* 防火墙策略是基于Zone之间的
à exec port-mode 更改5GT的端口, 有四种模式; 可以改变接口的模式;
* 当配置IP地址给接口的时候,必须将接口配置在一个Zone中;
C. 防火墙的接口定义
1.物理接口
Eth0/0 , serial 串行接口,FastEthernet0/0 ,Gi0/0
2.虚拟接口
VLAN接口,loopback接口,Tunnel(主要用于×××),Multilink 捆绑接口;
d.防火墙的高级功能
1.基于状态的防火墙检测
2.ALG 应用层网关
3.***防御
防止Ddos分布式拒绝服务***
病毒扫描
IPS功能(基于签名的防御)
URL网址的保护与过滤
8. 数据流量通过Juniper防火墙的步骤:
a. 流量进入接口,属于Source Zone
b. 经过Screen Filter
c. Session的查找,当前有没有会话存在
流量能够匹配Session的话,直接进入防火墙内部进程;
如果流量不能够匹配任何的Session的话,进入下一步
d.检测是否匹配MIP/VIP(是否做了地址映射)
e.检测是否匹配路由进程
f检测是否匹配防火墙的策略
g.检测是否匹配NAT(NAT-src ,/dst)
h.建立防火墙的Session;
i.进入防火墙内部进程(转发数据包);
Screen Filter > Session > MIP/VIP > Route lookup > Route Policy > 普通的NAT > 建立会话
9. Juniper的产品线:
a. 基于应用的
仅仅支持一个虚拟系统Root(小型的办公,企业,家庭用户)
5GT/HSC /SSG-20 /SSG 140 /SSG 520 550
b. 基于系统的
支持多个虚拟系统(大型的企业或ISP);
ISG 1000 /2000 NS 5400 /NS 5200 / NS 500
(ISG 集成服务网关)