【正文】 en設(shè)備更像是 3層交換機(jī)的功能，在透明模式下，所有接口的 Ip地址全部為 ? 透明模式是一種保護(hù) web服務(wù)器的方便手段，使用透明模式有以下的幾個(gè)優(yōu)點(diǎn)： ? （ 1） 不需要重新配置策略路由器或者受保護(hù)的 Ip設(shè)備 ? （ 2）不需要進(jìn)行 VIP和 MIP ? 2 配置說(shuō)明 ? (1)創(chuàng)建 2層 zone ? screenisg2022set zone name L2ca L2 1 ? （ 2）指派接口道 2層 zone ? screenisg2022set interface ether1/1 zone v1trust ? screenisg2022set interface ether1/2 zone v1DMZ ? (3) 設(shè)置 VLAN1端口 ? screenisg2022set interface vlan1 ip ? screenisg2022set interface vlan1 manage web ? screenisg2022set interface vlan1 manage tel ? screenisg2022set interface vlan1 manage ping ? ? 對(duì)于使用圖形界面的配置簡(jiǎn)單的說(shuō)明如下 : ? 1 創(chuàng)建 2層 zone ? NetworkZonesNew ? 2 委派端口到 2層 zone ? 在 Zone name中選擇“ V1Trust” ? 3 VLAN1端口的配置 ? 就是在端口下配置相關(guān)的 services選項(xiàng)。 當(dāng)影射一個(gè)外部 IP到內(nèi)部地址時(shí)，可以利用 TCP的 load distribution技術(shù)。 NAT可以支持大部分 IP協(xié)議，但有幾個(gè)協(xié)議需要注意，首先 tftp， rlogin,rsh,rcp和 ipmulticast都被 NAT支持，其次就是 bootp， snmp和路由表更新全部給拒絕了。 在內(nèi)部主機(jī)連接到外部網(wǎng)絡(luò)時(shí)，當(dāng)?shù)谝粋€(gè)數(shù)據(jù)包到達(dá) NAT路由器時(shí)， router檢查它的 NAT表，因?yàn)槭?NAT是靜態(tài)配置的，故可以查詢出來(lái)（ simply entry），然后 router將數(shù)據(jù)包的內(nèi)部局部 IP（源地址）更換成內(nèi)部全局地址，再轉(zhuǎn)發(fā)出去。夫?qū)W須靜也，才須學(xué)也；非學(xué)無(wú)以廣才，非志無(wú)以成學(xué)。年與時(shí)馳，意與歲去，遂成枯落，多不接世。 b，內(nèi)部全局地址復(fù)用（ overloading inside glogal addresses） 使用地址和端口 pair將多個(gè)內(nèi)部地址影射到比較少的外部地址。 Inside Global IP address: 代表一個(gè)或更多內(nèi)部 IP到外部世界的合法 IP。注意： load distributiong只有在影射外部地址到內(nèi)部的時(shí)候才有效。 ? NAT技術(shù)使得一個(gè)私有網(wǎng)絡(luò)可以通過(guò) inter注冊(cè) IP連接到外部世界，位于 inside網(wǎng)絡(luò)和 outside網(wǎng)絡(luò)中的 NAT路由器在發(fā)送數(shù)據(jù)包之前，負(fù)責(zé)把內(nèi)部 IP翻譯成外部合法地址。 ? 本次介紹的 Juniper防火墻產(chǎn)品全部是在 Juniper screenISG1000和 Juniper screenISG2022中實(shí)現(xiàn)的 .其中Juniper screenISG1000的版本 Software Version: , Type: Firewall+ screenISG2022的版本 Software Version: , Type: Firewall+VPN ? 1 Juniper防火墻產(chǎn)品的管理 ? 對(duì)于防火墻產(chǎn)品的管理和配置主要有以下幾個(gè)方法： （ 1） console 方式 Juniper防火墻和 Cisco的路由器和防火墻之類(lèi)的一樣，初次配置需要使用 console線纜進(jìn)行配置，具體的參數(shù)設(shè)置和Cisco的路由器和防火墻一致。當(dāng)防火墻內(nèi)網(wǎng)端口部署在 NAT模式下，通過(guò)防火墻由內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)會(huì)自動(dòng)轉(zhuǎn)換為防火墻設(shè)備的外網(wǎng)端口 IP地址，并實(shí)現(xiàn)對(duì)外網(wǎng)（互聯(lián)網(wǎng)）的訪問(wèn)，這種應(yīng)用存在一定的局限性。 MIP MIP是“一對(duì)一”的雙向地址翻譯（轉(zhuǎn)換）過(guò)程。 Juniper 防火墻的策略配置 ? 在 Juniper設(shè)備中策略是一個(gè)重點(diǎn)，因?yàn)榘踩O(shè)備基本上都是基于策略的管理和運(yùn)行，下面就 Juniper的如何配置進(jìn)行簡(jiǎn)單的說(shuō)明 . ? 在 Juniper防火墻中，區(qū)域是一個(gè)比較重要的感念，一般的 Juniper設(shè)備都設(shè)置了 Untrust,Trust和 DMZ三個(gè)區(qū)域，也可以根據(jù)實(shí)際的需要自行定義區(qū)域，比如電信行業(yè)經(jīng)常的 BOSS,OA區(qū)域。在 Juniper screenISG1000中默認(rèn)的管理地址 ，就可以使用 tel或者 ssh工具進(jìn)行遠(yuǎn)程管理。靜態(tài)翻譯將內(nèi)部地址和外部地址一對(duì)一對(duì)應(yīng)。 c，有相同的 IP地址的兩個(gè) internat合并。 Simple Translation Entry: 影射 IP到另一個(gè)地址的 Entry。 NAT router和外部主機(jī)的通訊采用翻譯過(guò)的內(nèi)部全局地址，故同一般的通信沒(méi)有差別， router到內(nèi)部主機(jī)通訊時(shí)，同樣要查 NA