Juniper防火墻的技術(shù)概念解析
Juniper防火墻的一些概念
安全區(qū)(Security Zone):
Juniper 防火墻增加了全新的安全區(qū)域(Security Zone)的概念,安全區(qū)域是一個(gè)邏輯的結(jié)構(gòu),是多個(gè)處于相同屬性區(qū)域的物理接口的集合。當(dāng)不同安全區(qū)域之間相互通訊時(shí),必須通過事先定義的策略檢查才能通過;當(dāng)在同一個(gè)安全區(qū)域進(jìn)行通訊時(shí),默認(rèn)狀態(tài)下允許不通過策略檢查,經(jīng)過配置后也可以強(qiáng)制進(jìn)行策略檢查以提高安全性。
安全區(qū)域概念的出現(xiàn),使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合。以下圖為例,通過實(shí)施安全區(qū)域的配置,內(nèi)網(wǎng)的不同部門之間的通訊也必須通過策略的檢查,進(jìn)一步提高的系統(tǒng)的安全。
接口(Interface):
信息流可通過物理接口和子接口進(jìn)出安全區(qū)(Security Zone)。為了使網(wǎng)絡(luò)信息流能流入和流出安全區(qū),必須將一個(gè)接口綁定到一個(gè)安全區(qū),如果屬于第3 層安全區(qū),則需要給接口分配一個(gè) IP地址。
虛擬路由器(Virtual Router):
Juniper防火墻支持虛擬路由器技術(shù),在一個(gè)防火墻設(shè)備里,將原來單一路由方式下的單一路由表,進(jìn)化為多個(gè)虛擬路由器以及相應(yīng)的多張獨(dú)立的路由表,提高了防火墻系統(tǒng)的安全性以及IP地址配置的靈活性。
安全策略(Policy):
Juniper防火墻在定義策略時(shí),主要需要設(shè)定源IP地址、目的IP地址、網(wǎng)絡(luò)服務(wù)以及防火墻的動(dòng)作。在設(shè)定網(wǎng)絡(luò)服務(wù)時(shí),Juniper防火墻已經(jīng)內(nèi)置預(yù)設(shè)了大量常見的網(wǎng)絡(luò)服務(wù)類型,同時(shí),也可以由客戶自行定義網(wǎng)絡(luò)服務(wù)。
在客戶自行定義通過防火墻的服務(wù)時(shí),需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議,是UDP、TCP還是其它,需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無流量情況下的超時(shí)定義等。因此,通過對(duì)網(wǎng)絡(luò)服務(wù)的定義,以及IP地址的定義,使Juniper防火墻的策略細(xì)致程度大大加強(qiáng),安全性也提高了。
除了定義上述這些主要參數(shù)以外,在策略中還可以定義用戶的認(rèn)證、在策略里定義是否要做地址翻譯、帶寬管理等功能。通過這些主要的安全元素和附加元素的控制,可以讓系統(tǒng)管理員對(duì)進(jìn)出防火墻的數(shù)據(jù)流量進(jìn)行嚴(yán)格的訪問控制,達(dá)到保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全的目的。
映射IP(MIP):
MIP是從一個(gè) IP 地址到另一個(gè) IP 地址雙向的一對(duì)一映射。當(dāng)防火墻收到一個(gè)目標(biāo)地址為 MIP 的內(nèi)向數(shù)據(jù)流時(shí),通過策略控制防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)至MIP 指向地址的主機(jī);當(dāng)MIP映射的主機(jī)發(fā)起出站數(shù)據(jù)流時(shí),通過策略控制防火墻將該主機(jī)的源 IP 地址轉(zhuǎn)換成 MIP 地址。
虛擬IP(VIP):
VIP是一個(gè)通過防火墻外網(wǎng)端口可用的公網(wǎng)IP地址的不同端口(協(xié)議端口如:21、25、110等)與內(nèi)部多個(gè)私有IP地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)IP地址,卻擁有多個(gè)私有IP地址的服務(wù)器,并且這些服務(wù)器是需要對(duì)外提供各種服務(wù)的。
關(guān)鍵詞:Juniper,防火墻
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0