返回
ScreenOS 体系结构

ScreenOS 体系结构

ID:76627665

大小:128.50 KB

页数:20页

时间:2022-01-18

ScreenOS 体系结构_第1页
ScreenOS 体系结构_第2页
ScreenOS 体系结构_第3页
ScreenOS 体系结构_第4页
ScreenOS 体系结构_第5页
ScreenOS 体系结构_第6页
ScreenOS 体系结构_第7页
ScreenOS 体系结构_第8页
ScreenOS 体系结构_第9页
ScreenOS 体系结构_第10页
资源描述:

《ScreenOS 体系结构》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、如有侵权,请联系网站删除,仅供学习与交流ScreenOS体系结构【精品文档】第20页如有侵权,请联系网站删除,仅供学习与交流第1章ScreenOS体系结构JuniperNetworksScreenOS体系结构为网络安全布局的设计提供了灵活性。在具有两个以上接口的JuniperNetworks安全设备上,可以创建多个安全区段并配置策略以调节区段内部及区段之间的信息流。可为每个区段绑定一个或多个接口,并在每个区段上启用不同的管理和防火墙选项。利用ScreenOS可以创建网络环境所需的区段数、分配每个区段所需的接口数,并且可以根据自己的需要来设计每个接口。本章对ScreenOS

2、进行了简要介绍。本章包括以下部分:􀂄第2页上的“安全区段”􀂄第3页上的“安全区段接口”􀂄第4页上的“虚拟路由器”􀂄第5页上的“策略”􀂄第7页上的“虚拟专用网”􀂄第9页上的“虚拟系统”􀂄第10页上的“封包流序列”􀂄第12页上的“巨型帧”本章结束时给出了一个由四部分组成的范例,它例举了使用ScreenOS的安全设备的基本配置:􀂄第13页上的“范例:(第1部分)具有六个区段的企业”􀂄第15页上的“范例:(第2部分)六个区段的接口”􀂄第17页上的“范例:(第3部分)两个路由选择域”􀂄第19页上的“范例:(第4部分)策略”概念与范例ScreenOS参考指南2􀂄安全区段安全区段安全区

3、段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整(请参阅第5页上的“策略”)。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的JuniperNetworks安全设备,您可以定义多个安全区段,确切数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段:Trust、Untrust和DMZ(用于第3层操作),或者V1-Trust、V1-Untrust和V1-DMZ(用于第2层操作)。如果愿意,可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外,您还可以同时使用这两种区段-预定义和用户定义。利用区段配置的这

4、种灵活性,您可以创建能够最好地满足您的具体需要的网络设计。请参阅图2。图2显示了配置有五个安全区段的网络-三个缺省区段(Trust、Untrust、DMZ)和两个用户定义的区段(Finance、Eng)。信息流只有在策略允许时才能由一个安全区段传递到另一区段。图2:预定义安全区段注意:无需任何网段的安全区段是全域区段。(有关详细信息,请参阅第26页上的“Global区段”。)另外,任何区段,如果既没有绑定到它的接口也没有通讯簿条目,则也可以说它不包含任何网段。如果是从ScreenOS的早期版本进行升级,则这些区段的所有配置将保持不变。【精品文档】第20页如有侵权,请联系网

5、站删除,仅供学习与交流不能删除预定义安全区段。但是,可以删除用户定义的安全区段。删除安全区段时,还会同时自动删除为该区段配置的所有地址。TrustEngFinanceUntrust安全设备DMZ策略引擎安全区段接口􀂄3第1章:ScreenOS体系结构安全区段接口安全区段的接口可以视为一个入口,TCP/IP信息流可通过它在该区段和其它任何区段之间进行传递。通过定义的策略,可以使两个区段间的信息流向一个或两个方向流动。利用定义的路由,可指定信息流从一个区段到另一个区段必须使用的接口。由于可将多个接口绑定到一个区段上,所以您制定的路由对于将信息流引向您所选择的接口十分重要。要允

6、许信息流从一个区段流到另一个区段,需要将一个接口绑定到该区段,而且要-对于“路由”或NAT模式的接口(请参阅第73页上的“接口模式”)-为该接口分配一个IP地址。两种常见的接口类型为物理接口和-对于那些具有虚拟系统支持的设备-子接口(即,物理接口的第2层具体体现)。有关详细信息,请参阅第31页上的“接口”。物理接口物理接口与安全设备上实际存在的组件有关。接口命名约定因设备而异。子接口在支持虚拟LAN(VLAN)的设备上,可以在逻辑上将一个物理接口分为几个虚拟的子接口,每个子接口都从它来自的物理接口借用需要的带宽。子接口是一个抽象的概念,但它在功能上与物理接口相同,子接口由

7、802.1QVLAN标记进行区分。安全设备用子接口通过它的IP地址和VLAN标记来指引信息流流入和流出区段。为方便起见,网络管理员使用的VLAN标记号通常与子接口号相同。例如,使用VLAN标记3的接口ethernet1/2命名为ethernet1/2.3。这表示接口模块在第一槽位,第二个端口在该模块上,子接口号为3(ethernet1/2.3)。请注意,虽然子接口与物理接口共享部分标识,但是其绑定的区段并不依赖于物理接口绑定的区段。您可以将子接口ethernet1/2.3绑定到与物理接口ethern

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。