Juniper防火墻的一些概念
 
安全區(qū)（Security Zone）：
Juniper 防火墻增加了全新的安全區(qū)域（Security Zone）的概念，安全區(qū)域是一個邏輯的結(jié)構(gòu)，是多個處于相同屬性區(qū)域的物理接口的集合。當不同安全區(qū)域之間相互通訊時，必須通過事先定義的策略檢查才能通過；當在同一個安全區(qū)域進行通訊時，默認狀態(tài)下允許不通過策略檢查，經(jīng)過配置后也可以強制進行策略檢查以提高安全性。

安全區(qū)域概念的出現(xiàn)，使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合。以下圖為例，通過實施安全區(qū)域的配置，內(nèi)網(wǎng)的不同部門之間的通訊也必須通過策略的檢查，進一步提高的系統(tǒng)的安全。

接口（Interface）：
信息流可通過物理接口和子接口進出安全區(qū)（Security Zone）。為了使網(wǎng)絡(luò)信息流能流入和流出安全區(qū)，必須將一個接口綁定到一個安全區(qū)，如果屬于第3 層安全區(qū)，則需要給接口分配一個 IP地址。

虛擬路由器（Virtual Router）：
Juniper防火墻支持虛擬路由器技術(shù)，在一個防火墻設(shè)備里，將原來單一路由方式下的單一路由表，進化為多個虛擬路由器以及相應(yīng)的多張獨立的路由表，提高了防火墻系統(tǒng)的安全性以及IP地址配置的靈活性。

安全策略（Policy）：
Juniper防火墻在定義策略時，主要需要設(shè)定源IP地址、目的IP地址、網(wǎng)絡(luò)服務(wù)以及防火墻的動作。在設(shè)定網(wǎng)絡(luò)服務(wù)時，Juniper防火墻已經(jīng)內(nèi)置預(yù)設(shè)了大量常見的網(wǎng)絡(luò)服務(wù)類型，同時，也可以由客戶自行定義網(wǎng)絡(luò)服務(wù)。

在客戶自行定義通過防火墻的服務(wù)時，需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無流量情況下的超時定義等。因此，通過對網(wǎng)絡(luò)服務(wù)的定義，以及IP地址的定義，使Juniper防火墻的策略細致程度大大加強，安全性也提高了。

除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶的認證、在策略里定義是否要做地址翻譯、帶寬管理等功能。通過這些主要的安全元素和附加元素的控制，可以讓系統(tǒng)管理員對進出防火墻的數(shù)據(jù)流量進行嚴格的訪問控制，達到保護內(nèi)網(wǎng)系統(tǒng)資源安全的目的。

映射IP（MIP）：
MIP是從一個 IP 地址到另一個 IP 地址雙向的一對一映射。當防火墻收到一個目標地址為 MIP 的內(nèi)向數(shù)據(jù)流時，通過策略控制防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)至MIP 指向地址的主機；當MIP映射的主機發(fā)起出站數(shù)據(jù)流時，通過策略控制防火墻將該主機的源 IP 地址轉(zhuǎn)換成 MIP 地址。

虛擬IP（VIP）：
VIP是一個通過防火墻外網(wǎng)端口可用的公網(wǎng)IP地址的不同端口（協(xié)議端口如：21、25、110等）與內(nèi)部多個私有IP地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)IP地址，卻擁有多個私有IP地址的服務(wù)器，并且這些服務(wù)器是需要對外提供各種服務(wù)的。