1.Netscreen防火墙的概述:

a. 具备的功能 : 二层和三层的转发

基本的包过滤

NAT网络地址转换

***的功能

b. UTM统一威胁管理

防火墙、路由器,IPS,IDS,防病毒集成在一起;

(如天融信,联想网域)

2.Netscreen的透明桥接功能:

将防火墙配置成透明桥接:

透明桥接:

a.Forward转发数据帧

b.Flood 泛洪数据帧

c.Filter过滤数据帧(基于目的MAC地址)

3.Netscree的三层包转发功能

基于目的IP地址进行三层的包转发

基于三张表:

a.静态路由表 (用的比较多)

b.动态路由表

c.默认路由表

4.Netscreen 的防火墙功能

基于IP包头的包过滤

a.IP源和目的地址 IP的协议位

b.TCP/UDP的端口号

c.预定的防火墙策略

5.Netscreen的NAT转换功能

源NAT和目NAT转换

6. Netscreen的***功能

a. 基于策略的***(IPSEC ***)

b. 基于路由的***


Juniper防火墙体系架构:

1.Juniper的防火墙术语和基本组成部分

a.接口

Zone

虚拟路由器

虚拟系统

查看防火墙的接口:

fire-> get interface

查看防火墙的Zone:

Fire->get zone

查看防火墙的虚拟路由器:

Fire-> get vrouter

在物理防火墙中虚拟多个路由系统

查看防火墙的虚拟系统:

Fire->get vsys

在物理防火墙中虚拟多个防火墙称之为虚拟系统

b.组成部分的关系:

IP属于接口

接口属于Zone

Zone属于虚拟路由器

虚拟路由器属于虚拟系统

spacer.gif091933581.jpg
spacer.gif

* 防火墙策略是基于Zone之间的

à exec port-mode 更改5GT的端口, 有四种模式; 可以改变接口的模式;

* 当配置IP地址给接口的时候,必须将接口配置在一个Zone中;


C. 防火墙的接口定义

1.物理接口

Eth0/0 , serial 串行接口,FastEthernet0/0 ,Gi0/0

2.虚拟接口

VLAN接口,loopback接口,Tunnel(主要用于***),Multilink 捆绑接口;


d.防火墙的高级功能

1.基于状态的防火墙检测

2.ALG 应用层网关

3.***防御

防止Ddos分布式拒绝服务***

病毒扫描

IPS功能(基于签名的防御)

URL网址的保护与过滤


8. 数据流量通过Juniper防火墙的步骤:

a. 流量进入接口,属于Source Zone

b. 经过Screen Filter

c. Session的查找,当前有没有会话存在

流量能够匹配Session的话,直接进入防火墙内部进程;

如果流量不能够匹配任何的Session的话,进入下一步

d.检测是否匹配MIP/VIP(是否做了地址映射)

e.检测是否匹配路由进程

f检测是否匹配防火墙的策略

g.检测是否匹配NAT(NAT-src ,/dst)

h.建立防火墙的Session;

i.进入防火墙内部进程(转发数据包);

Screen Filter > Session > MIP/VIP > Route lookup > Route Policy > 普通的NAT > 建立会话


9. Juniper的产品线:

a. 基于应用的

仅仅支持一个虚拟系统Root(小型的办公,企业,家庭用户)

5GT/HSC /SSG-20 /SSG 140 /SSG 520 550

b. 基于系统的

支持多个虚拟系统(大型的企业或ISP);

ISG 1000 /2000 NS 5400 /NS 5200 / NS 500

(ISG 集成服务网关)