版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、第1章ScreenOS體系結(jié)構(gòu)JuniperwksScreenOS體系結(jié)構(gòu)為網(wǎng)絡(luò)安全布局的設(shè)計(jì)提供了靈活性。在具有兩個(gè)以上接口的Juniperwks安全設(shè)備上,可以創(chuàng)建多個(gè)安全區(qū)段并配置策略以調(diào)節(jié)區(qū)段內(nèi)部及區(qū)段之間的信息流。可為每個(gè)區(qū)段綁定一個(gè)或多個(gè)接口,并在每個(gè)區(qū)段上啟用不同的管理和防火墻選項(xiàng)。利用ScreenOS可以創(chuàng)建網(wǎng)絡(luò)環(huán)境所需的區(qū)段數(shù)、分配每個(gè)區(qū)段所需的接口數(shù),并且可以根據(jù)自己的需要來(lái)設(shè)計(jì)每個(gè)接口。本章對(duì)ScreenOS進(jìn)行了
2、簡(jiǎn)要介紹。本章包括以下部分:?第2頁(yè)上的“安全區(qū)段”?第3頁(yè)上的“安全區(qū)段接口”?第4頁(yè)上的“虛擬路由器”?第5頁(yè)上的“策略”?第7頁(yè)上的“虛擬專(zhuān)用網(wǎng)”?第9頁(yè)上的“虛擬系統(tǒng)”?第10頁(yè)上的“封包流序列”?第12頁(yè)上的“巨型幀”本章結(jié)束時(shí)給出了一個(gè)由四部分組成的范例,它例舉了使用ScreenOS的安全設(shè)備的基本配置:?第13頁(yè)上的“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”?第15頁(yè)上的“范例:(第2部分)六個(gè)區(qū)段的接口”?第17頁(yè)上的“范
3、例:(第3部分)兩個(gè)路由選擇域”?第19頁(yè)上的“范例:(第4部分)策略”概念與范例ScreenOS參考指南2?安全區(qū)段安全區(qū)段安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合,需要通過(guò)策略來(lái)對(duì)入站和出站信息流進(jìn)行調(diào)整(請(qǐng)參閱第5頁(yè)上的“策略”)。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。通過(guò)多種類(lèi)型的Juniperwks安全設(shè)備,您可以定義多個(gè)安全區(qū)段,確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來(lái)確定。除用戶(hù)定義的區(qū)段外,您還可以使用預(yù)定義的區(qū)段:Trust、Untr
4、ust和DMZ(用于第3層操作),或者V1Trust、V1Untrust和V1DMZ(用于第2層操作)。如果愿意,可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶(hù)定義的區(qū)段。另外,您還可以同時(shí)使用這兩種區(qū)段預(yù)定義和用戶(hù)定義。利用區(qū)段配置的這種靈活性,您可以創(chuàng)建能夠最好地滿(mǎn)足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。請(qǐng)參閱圖2。圖2顯示了配置有五個(gè)安全區(qū)段的網(wǎng)絡(luò)三個(gè)缺省區(qū)段(Trust、Untrust、DMZ)和兩個(gè)用戶(hù)定義的區(qū)段(Financ
5、e、Eng)。信息流只有在策略允許時(shí)才能由一個(gè)安全區(qū)段傳遞到另一區(qū)段。圖2:預(yù)定義安全區(qū)段注意:無(wú)需任何網(wǎng)段的安全區(qū)段是全域區(qū)段。(有關(guān)詳細(xì)信息,請(qǐng)參閱第26頁(yè)上的“Global區(qū)段”。)另外,任何區(qū)段,如果既沒(méi)有綁定到它的接口也沒(méi)有通訊簿條目,則也可以說(shuō)它不包含任何網(wǎng)段。如果是從ScreenOS的早期版本進(jìn)行升級(jí),則這些區(qū)段的所有配置將保持不變。注意:802.1Q是一個(gè)IEEE標(biāo)準(zhǔn),它定義了實(shí)現(xiàn)虛擬橋接LAN的機(jī)制以及用來(lái)通過(guò)VLAN
6、標(biāo)記指示VLAN從屬關(guān)系的以太網(wǎng)幀格式。概念與范例ScreenOS參考指南4?虛擬路由器虛擬路由器虛擬路由器(VR)的功能與路由器相同。它擁有自己的接口及自己的單播和組播路由表。在ScreenOS中,安全設(shè)備支持兩個(gè)預(yù)定義的虛擬路由器,這將允許安全設(shè)備維護(hù)兩個(gè)單獨(dú)的單播和組播路由表,同時(shí)隱藏虛擬路由器彼此之間的路由信息。例如,untrustvr通常用來(lái)與不可信方進(jìn)行通信,并且不含有保護(hù)區(qū)段的任何路由信息。保護(hù)區(qū)段的路由信息由trustv
7、r進(jìn)行維護(hù)。因此,通過(guò)從untrustvr中秘密提取路由的方式,收集不到任何內(nèi)部網(wǎng)絡(luò)信息,請(qǐng)參閱圖3。圖3:虛擬路由器安全區(qū)段安全設(shè)備上存在兩個(gè)虛擬路由器時(shí),不能在駐留于不同VR中的區(qū)段之間自動(dòng)轉(zhuǎn)發(fā)信息流,即使存在允許信息流的策略。如果希望信息流在虛擬路由器之間傳遞,則需要導(dǎo)出VR之間的路由或在將另一個(gè)VR定義為下一跳躍的VR中配置靜態(tài)路由。有關(guān)使用兩個(gè)虛擬路由器的詳細(xì)信息,請(qǐng)參閱第7卷:路由。trustvr路由選擇域FinanceTr
8、ustEngDMZUntrustuntrustvr路由選擇域注意:堡壘圖標(biāo)代表安全區(qū)段的接口。路由轉(zhuǎn)發(fā)策略?5第1章:ScreenOS體系結(jié)構(gòu)策略Juniperwks安全設(shè)備用于保護(hù)網(wǎng)絡(luò)的安全,具體做法是先檢查要求從一個(gè)安全區(qū)段到另一區(qū)段的通路的所有連接嘗試,然后予以允許或拒絕。在缺省情況下,安全設(shè)備拒絕所有方向的所有信息流。通過(guò)創(chuàng)建策略,定義允許在預(yù)定時(shí)間通過(guò)指定源地點(diǎn)到達(dá)指定目的地點(diǎn)的信息流的種類(lèi),您可以控制區(qū)段間的信息流。范圍最大
9、時(shí),可以允許所有類(lèi)型的信息流從一個(gè)區(qū)段中的任何源地點(diǎn)到其它所有區(qū)段中的任何目的地點(diǎn),而且沒(méi)有任何預(yù)定時(shí)間限制。范圍最小時(shí),可以創(chuàng)建一個(gè)策略,只允許一種信息流在預(yù)定的時(shí)間段內(nèi)、在一個(gè)區(qū)段中的指定主機(jī)與另一區(qū)段中的指定主機(jī)之間流動(dòng),請(qǐng)參閱圖4。圖4:缺省策略每次當(dāng)封包嘗試從一個(gè)區(qū)段向另一區(qū)段或在綁定到同一區(qū)段的兩個(gè)接口間傳遞時(shí),安全設(shè)備會(huì)檢查其策略組列表中是否有允許這種信息流的策略(請(qǐng)參閱第148頁(yè)上的“策略組列表”)。要使信息流可以從一個(gè)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 體系結(jié)構(gòu)
- arm體系結(jié)構(gòu)
- mips體系結(jié)構(gòu)
- 軟件體系結(jié)構(gòu)作業(yè)
- 軟件體系結(jié)構(gòu)題庫(kù)
- 軟件體系結(jié)構(gòu)文檔
- npms系統(tǒng)體系結(jié)構(gòu)
- 軟件體系結(jié)構(gòu)及基于軟件體系結(jié)構(gòu)的系統(tǒng)開(kāi)發(fā).pdf
- arm體系結(jié)構(gòu)與編程
- 軟件體系結(jié)構(gòu)期末論文
- webservice軟件體系結(jié)構(gòu)分析
- 軟件體系結(jié)構(gòu)大作業(yè)
- 體系結(jié)構(gòu)第13章
- 芯片體系結(jié)構(gòu)的發(fā)展
- 淺談軟件體系結(jié)構(gòu)評(píng)估
- cnc系統(tǒng)體系結(jié)構(gòu)開(kāi)發(fā)
- cnc系統(tǒng)體系結(jié)構(gòu)開(kāi)發(fā)
- 并行處理與體系結(jié)構(gòu)
- 軟件體系結(jié)構(gòu)描述方法
- cnc系統(tǒng)體系結(jié)構(gòu)開(kāi)發(fā)
評(píng)論
0/150
提交評(píng)論