Juniper防火墙的一些概念
安全区域:
Juniper防火墙增加了安全区域的新概念,安全区域是一个逻辑结构,是同一属性区域内多个物理接口的集合。当不同的安全区域相互通信时,它们必须通过预先定义的策略检查。当在相同的安全区域中通信时,默认情况下允许策略检查失败。配置后,可以强制执行策略检查以提高安全性。
安全概念的出现使得防火墙的配置更加灵活,可以与现有的网络结构相结合。下图就是一个例子。通过实现安全区域的配置,内网不同部门之间的通信也必须通过策略检查,进一步提高系统的安全性。
接口(接口):
信息流可以通过物理接口和子接口进出安全区域。为了使网络信息流进出安全区域,必须将一个接口绑定到一个安全区域。如果它属于第3层安全区域,则有必要为该接口分配一个IP地址。
虚拟路由器:
Juniper防火墙支持虚拟路由器技术。在一个防火墙设备中,将原来单一的路由表演化为多个虚拟路由器和相应的独立路由表,提高了防火墙系统的安全性和IP地址配置的灵活性。
安全策略(策略):
Juniper防火墙在定义策略时主要需要设置源IP地址、目的IP地址、网络服务以及防火墙的动作。在设置网络服务时,Juniper firewall内置预设了大量常见的网络服务类型。同时,客户也可以自己定义网络服务。
客户在通过防火墙定义自己的服务时,需要选择网络服务的协议,是UDP、TCP还是其他,并定义源端口或端口范围、目的端口或端口范围、无流量时网络服务的超时定义等。因此,通过网络服务和IP地址的定义,Juniper防火墙的策略得到了极大的加强,其安全性也得到了提高。
除了定义上述主要参数之外,还可以在策略中定义用户认证、地址转换和带宽管理。通过对这些主要安全元素和附加元素的控制,系统管理员可以严格控制进出防火墙的数据流,从而保护内网系统的资源。
映射IP(MIP):
MIP是从一个IP地址到另一个IP地址的双向一对一映射。当防火墙接收到目标地址为MIP的内向数据流时,通过策略控制防火墙将数据转发到MIP指向的地址的主机;当MIP映射的主机发起出站数据流时,主机的源IP地址被策略控制防火墙转换为MIP地址。
虚拟IP(VIP):
VIP是不同端口(协议端口如21、25、110等)之间的映射关系。)的公共IP地址,可通过防火墙的外部端口和内部私有IP地址的不同服务端口获得。通常应用于公有IP地址少,私有IP地址多的服务器,这些服务器需要对外提供各种服务。