1.Netscreen防火墻的概述：

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),延津企業(yè)網(wǎng)站建設(shè),延津品牌網(wǎng)站建設(shè),網(wǎng)站定制,延津網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,延津網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

a. 具備的功能 ： 二層和三層的轉(zhuǎn)發(fā)

基本的包過濾

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換

×××的功能

b. UTM統(tǒng)一威脅管理

防火墻、路由器，IPS,IDS,防病毒集成在一起；

（如天融信，聯(lián)想網(wǎng)域）

2.Netscreen的透明橋接功能：

將防火墻配置成透明橋接：

透明橋接：

a.Forward轉(zhuǎn)發(fā)數(shù)據(jù)幀

b.Flood 泛洪數(shù)據(jù)幀

c.Filter過濾數(shù)據(jù)幀（基于目的MAC地址）

3.Netscree的三層包轉(zhuǎn)發(fā)功能

基于目的IP地址進(jìn)行三層的包轉(zhuǎn)發(fā)

基于三張表：

a.靜態(tài)路由表 （用的比較多）

b.動(dòng)態(tài)路由表

c.默認(rèn)路由表

4.Netscreen 的防火墻功能

基于IP包頭的包過濾

a.IP源和目的地址 IP的協(xié)議位

b.TCP/UDP的端口號

c.預(yù)定的防火墻策略

5.Netscreen的NAT轉(zhuǎn)換功能

源NAT和目NAT轉(zhuǎn)換

6． Netscreen的×××功能

a. 基于策略的×××(IPSEC ×××)

b. 基于路由的×××

Juniper防火墻體系架構(gòu)：

1.Juniper的防火墻術(shù)語和基本組成部分

a.接口

Zone

虛擬路由器

虛擬系統(tǒng)

查看防火墻的接口：

fire-> get interface

查看防火墻的Zone：

Fire->get zone

查看防火墻的虛擬路由器：

Fire-> get vrouter

在物理防火墻中虛擬多個(gè)路由系統(tǒng)

查看防火墻的虛擬系統(tǒng)：

Fire->get vsys

在物理防火墻中虛擬多個(gè)防火墻稱之為虛擬系統(tǒng)

b.組成部分的關(guān)系：

IP屬于接口

接口屬于Zone

Zone屬于虛擬路由器

虛擬路由器屬于虛擬系統(tǒng)

* 防火墻策略是基于Zone之間的

à exec port-mode 更改5GT的端口， 有四種模式； 可以改變接口的模式；

* 當(dāng)配置IP地址給接口的時(shí)候，必須將接口配置在一個(gè)Zone中；

C. 防火墻的接口定義

1.物理接口

Eth0/0 , serial 串行接口，F(xiàn)astEthernet0/0 ,Gi0/0

2.虛擬接口

VLAN接口，loopback接口，Tunnel（主要用于×××），Multilink 捆綁接口；

d.防火墻的高級功能

1.基于狀態(tài)的防火墻檢測

2.ALG 應(yīng)用層網(wǎng)關(guān)

3.***防御

防止Ddos分布式拒絕服務(wù)***

病毒掃描

IPS功能（基于簽名的防御）

URL網(wǎng)址的保護(hù)與過濾

8. 數(shù)據(jù)流量通過Juniper防火墻的步驟：

a. 流量進(jìn)入接口，屬于Source Zone

b. 經(jīng)過Screen Filter

c. Session的查找，當(dāng)前有沒有會(huì)話存在

流量能夠匹配Session的話，直接進(jìn)入防火墻內(nèi)部進(jìn)程；

如果流量不能夠匹配任何的Session的話，進(jìn)入下一步

d.檢測是否匹配MIP/VIP（是否做了地址映射）

e.檢測是否匹配路由進(jìn)程

f檢測是否匹配防火墻的策略

g.檢測是否匹配NAT（NAT-src ,/dst）

h.建立防火墻的Session；

i.進(jìn)入防火墻內(nèi)部進(jìn)程（轉(zhuǎn)發(fā)數(shù)據(jù)包）；

Screen Filter > Session > MIP/VIP > Route lookup > Route Policy > 普通的NAT > 建立會(huì)話

9. Juniper的產(chǎn)品線：

a. 基于應(yīng)用的

僅僅支持一個(gè)虛擬系統(tǒng)Root（小型的辦公，企業(yè)，家庭用戶）

5GT/HSC /SSG-20 /SSG 140 /SSG 520 550

b. 基于系統(tǒng)的

支持多個(gè)虛擬系統(tǒng)（大型的企業(yè)或ISP）;

ISG 1000 /2000 NS 5400 /NS 5200 / NS 500

(ISG 集成服務(wù)網(wǎng)關(guān))