【正文】 由模式下的 主備方式 。 ? Limit session（限制會話）： NetScreen 設(shè)備可限制由單個 IP 地址 (源或目的 )建立的會話數(shù)量。 ? 開放式簽名格式允許管理員查看攻擊字符串如何匹配攻擊簽名，并根據(jù)需求對簽名進(jìn)行編輯。 Juniper 特點 應(yīng)用層攻擊防護(hù) 為進(jìn)一步提高 網(wǎng)絡(luò)和應(yīng)用的 安全性， Juniper 的 防火墻上均配置了深層檢測（ Deep Inspection）服務(wù)，以提供應(yīng)用層級別的攻擊防護(hù)。 安全模塊：可選項，可配置 0－ 3 塊。 包過濾 檢查每個在網(wǎng)絡(luò)間被傳送的 IP 數(shù)據(jù) 包中的內(nèi)容，并根據(jù)它們的地址及指定的應(yīng)用服務(wù)來決定接受或拒絕這個數(shù)據(jù)包。 由于操作系統(tǒng)平臺的限制，極易造成網(wǎng)絡(luò)帶寬瓶頸 實際所能達(dá)到的帶寬通常只有理論值的20%70%。第 一 章 方案概述 防火墻技術(shù)比較 通過對目前網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用現(xiàn)狀的分析，可以看出，用戶需要的是性能穩(wěn)定、運行高速的防火墻產(chǎn)品，以保證應(yīng)用的業(yè)務(wù)連續(xù)性。 即實際帶寬與理論值可以達(dá)到一致。 防火墻實現(xiàn)方式分析 防火墻實現(xiàn)方式有包過濾、應(yīng)用代理和狀態(tài)檢測三種。 ASIC芯片模塊：上有 GigaScreen3 的 ASIC芯片和 512MB的 SDRAM， Juniper的硬件防火墻的最新一代安全 ASIC 技術(shù)，具有突破性的硬件性能，可達(dá) 4 Gbps 防火墻吞吐，具有多重內(nèi)嵌處理器支持新功能的加速，對會話的后續(xù)數(shù)據(jù)包進(jìn)行穩(wěn)定的高速轉(zhuǎn)發(fā)而不占用管理模塊的 CPU 處理資源； 同時抗拒絕服務(wù)攻擊也 基于ASIC 芯片實現(xiàn)硬件處理。 ISG2020 對 64byte 小包的吞吐在 2Gbps 以上， 1518Byte 的大包吞吐達(dá) 4Gbps。 Juniper網(wǎng)絡(luò)公司 ISG2020中的應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)功能具有以下特點： ? 多種檢測方法，包括復(fù)合簽名、狀態(tài)簽名、協(xié)議異常以及后門檢測。防火墻可以采用 Syn Proxy 和 Syn Cookie 兩種機(jī)制進(jìn)行防御，其中 Syn Proxy 機(jī)制里是先對數(shù)據(jù)包進(jìn)行策略匹配，匹配通過的 syn 包如果每秒超過了閥值（閥值可以基于目的地址和端口、或目的地址、或源地址進(jìn)行設(shè)置），則開啟防御機(jī)制，新的 syn包就由防火墻做應(yīng)答 syn/ack，并放入隊列，等待應(yīng)答 ack 是否超時，超時則丟棄； Syn Cookie 機(jī)制則是完全無連接狀態(tài)的，每秒的 syn 包超過閥值就開啟防御機(jī)制，防火墻做 syn 的應(yīng)答 syn/ack，并在 syn/ack 應(yīng)答里嵌入加密的 cookie，如果接收到的 ack 里有該 cookie，則是正常連接。 如果配置為路由模式， Juniper 的 防火墻可 實現(xiàn)主 /主方式的 負(fù)載分擔(dān)（如果流量很大，峰值超過單臺防火墻的處理能力）或主備方式（如果流量不大，峰值不超過單臺防火墻的處理能力） ；如果配置為透明模式，則可實現(xiàn)主備方式 。 除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶的認(rèn)證、在策略里定義是否要做地址翻譯、帶寬管理等功能。 4． 當(dāng)攻擊特征碼優(yōu)化到誤報率很低的程度后，我們對大部分攻擊都可以采用在線阻擋的模式，這樣的話，就可以完全實現(xiàn) ISG2020 應(yīng)用層防護(hù)模塊的全部功能，大大減少了網(wǎng)絡(luò)管理 員安全響應(yīng)額時間和工作量。命令行方式，可以通過 Console 接口、 Tel（ 23）或安全的 SCS（ 22）方式對設(shè)備進(jìn)行管理、排查故障等。 集中方式 屬于可選方式， 從全局的 角度對所有防火墻實現(xiàn)集中的管理，集中制定安全策略，這將很好的管理多臺防火墻和 ISG2020 的內(nèi)部擴(kuò)展硬件安全模塊 。通過集中的日志收集、存儲、分析、報表，可以提供專業(yè)的日志處理功能，并根據(jù)用戶的喜好生成靈活的報告方式以及趨勢分析。 ③ 故障切換算法根據(jù)系統(tǒng)健康狀態(tài)確定哪個系統(tǒng)是主系統(tǒng)，把狀態(tài)與相鄰 系統(tǒng)連接起來或監(jiān)控從本系統(tǒng)到遠(yuǎn)端的路徑。而且查錯較為簡單。 學(xué)員基礎(chǔ)：理解網(wǎng)絡(luò)概念，包括 tcp/ip、網(wǎng)橋、交換和路由 課程內(nèi)容： 防火墻概念 1. Juniper 全線 安全 產(chǎn)品的功能、性能介紹 2. 防火墻在 NAT、 Louter 模式下的配置 3. 防火墻 ScreenOS 管理；接口管理、防火墻策略的導(dǎo)入、導(dǎo)出 4. 如何配置日志， syslog 日志分析 5. Remote Client VPN 配置，使用 VLAN1 接口配置和管理防火墻的透明模式 6. 如何生成和配置使用定義的安全域 7. 如何指派一個安全域到一個虛擬路由中和指派一個接口到一個安全域中 8. 配置多重級別的用戶管理防火墻 9. 配置 IP 環(huán)境下正確地路由表 10. 配置防火墻允 許和拒絕流量 11. 配置 MIP 和 VIP（即一對一和一對多映射） 12. 配置基于路由方式的策略和 VPNs 13. 使用手工秘鑰和自動秘鑰配置 VPN 隧道 14. 配置用戶認(rèn)證 15. 在防火墻和遠(yuǎn)程客戶端使用自動秘鑰配置 VPN