Juniper Netscreen Q&A

Netscreen是否支持负载均衡?在哪一端 是,Trust和DMZ区均支持负载均衡。 用户在使用象SMTP,FTP,TELNET协议时,怎样通过HTTP协议进行认证?用户首先通过HTTP请求进行认证，系统管理员先配置一条策略允许HTTP协议，然后定义一条认证策略，一旦用户通过了HTTP认证，那末，他们可以通过相应的安全认证策略。 NetScreen防火墙支不支持PPPoE拨号？ NetScreen防火墙的低端产品都支持PPPoE拨号。 什么是A/A Full Mesh HA？ NetScreen防火墙的高端产品支持A/A Full Mesh方式的HA。这种HA特点在于，组成HA的每台机器都处于活动状态(A),而且经过交叉接线，大大增强了HA的健壮性。 NetScreen防火墙能否与Cisco的Pix防火墙建立VPN,都有哪些型号？ NetScreen防火墙可以与Cisco防火墙任意一款建立VPN连接。 除了内置用户NetScreen还支持那些用户认证？ 还支持Radius数据库、RSA SecureID数据库、LDAP数据库认证。 虚拟路由器和域的关系如何？ 虚拟路由器包含域，每个域都属于某个虚拟路由器。比如：Untrust Zone、DMZ Zone缺省都属于Untrust-VR，而Trust Zone和用户自定义的Zone缺省都属于Trust-VR。 IMAP服务是怎样通过防火墙的? IMAP也是一种邮件协议，它是用来代替POP3服务器的，它使用端口143来响应服务请求 Netbios应用服务(SMB),使用NET USE命令定义网络驱动器，在做IP地址到Hostname的转换时出现错误， 需要创建一个占用139端口的服务并允许这一服务通过防火墙。 域(Zone)与接口(interface)的关系如何？ 每个interface都属于不同的Zone,只有当interface与某个Zone绑定的时候才能对interface配置IP地址。每个Zone都包含若干interface（物理的和逻辑的）。 为什么Gloable PRO 3.1不能管理处于Transparent模式的Screen OS 3.1系统？ 因为Global PRO 不支持Transparent下对Screen OS 3.1的管理。 NetScreen Global PRO Express与NetScreen Global PRO 有什么不同？ PRO Express是PRO的简化版，PRO Express通过一个Sun Netra Server来收集、监视防火墙信息。PRO 则是三层结构，所有信息会被收集到Oracle数据库里，通过第三方软件生成报表。 NetScreen防火墙是否在做NAT前实施安全策略? 是的,NetScreen防火墙首先检查安全策略,并保存了所有的TCP/IP状态连接表,所以防火墙知道真正的内部IP。 在地址转换方式下,怎样实现从内网到DMZ区及到外网的访问? 1 从内网到外网,防火墙首先检查目的地址及源地址和协议类型并判断是否允许该种访问,如果允许,防火墙将用UNTRUST IP替换源地址送出包。 2 从内网到DMZ区,防火墙先检查安全规则是否允许该内网机器通过某一种服务访问DMZ区机器,如果允许,源地址将被DMZ Interface IP替换,然后,防火墙将把这一联接保存在内存的状态表里,然后把该数据包传到DMZ区的机器上.当DMZ区的机器返回包时,它的目的地址是DMZ Interface 的地址,当数据包到达防火墙的DMZ Interface时,防火墙检查它自己的TCP/IP状态连接表并找到对应的目的地址,然后把目的地址替换成内部网内的地址并把数据包送到正确的内部网机器上 怎样限止一个IP上网 地址本里加上这个ip，策略里面设置源地址为这个ip的禁止，置顶。再写一个any to any的策略放在下面就行了 什么是Hub & Spoke？ Hub & Spoke是NetScreen防火墙的一种专利技术。它是一种VPN的连接模式，以一个防火墙为中心，另外一些防火墙为分支，建立一种集中星型结构模式的VPN，这种VPN易于管理、实施。 NetScreen防火墙的内容过滤功能如何？ 所有NetScreen设备可以和Websense内容过滤解决方案集成，封锁不适当的内容。 数据在域(Zone)之间流动是否需要策略控制？接口(interface)之间呢？ 在Screen OS 3.1中，数据在域(Zone)间流动是通过策略来控制的。数据在同一个域的不同接口之间流动不需要通过策略来控制。可以通过命令来控制是否允许同一个域内各接口之间数据相互流通。 NetScreen防火墙在QoS方面做得如何？ NetScreen特有的流量管理可以根据IP地址、用户、应用或时间以八种优先等级设定保障带宽和最大带宽为流量分配优先权。保证用户的关键性应用不会受影响。 NetScreen VPN的延迟是怎样计算的? 平均延迟为500毫秒,实际的延迟是根据包的大小和处理器的速率确定的,最小64 byte的包,最大到1518 byte的包的处理时间可以从10ms到2500ms,加上发送和接受的时间即是一个平均值。 什么是安全域? 在一个NetScreen防火墙设备上，把网络划分为多个分段，每个分段可以实施不同的安全策略，这样的分段就是一个安全域。 NetScreen防火墙和国内的硬件防火墙有什么不同？ NetScreen防火墙是纯硬件防火墙，国内大多数防火墙都是软硬结合的防火墙，不是纯硬件防火墙。NetScreen防火墙采用ASIC芯片来处理防火墙以及VPN加密等功能，比通过软件程序驱动CPU来实现这些功能要快很多。 NetScreen的哪些产品带有虚拟路由器？有什么用处？ 使用Screen OS 3.1的产品都有内置的虚拟路由器。虚拟路由器的基本功能是路由流经防火墙的数据报，可以加强防火墙的数据功能。第二引入虚拟路由器的概念可以极大地加强防火墙的安全，除此之外，每个虚拟路由器可以连接一个Internet接入。 A/A方式的HA与平常所说的HA有什么不同？ 我们平常所说的HA指的是A/P方式的HA,这种方式的HA一般是一台机器工作，另一台待机，只有当工作机因某种原因不能工作的时候另一台防火墙才接替工作。而A/A方式的HA两台防火墙都处于工作状态，所以防火墙的速度等于两台防火墙的之和。但是这种方式HA的其他一些参数比如Session数、VPN隧道数，仍然保持不变。这是因为这两台防火墙上的数据是一致的。 NetScreen防火墙的集群管理软件都有哪些？ NetScreen产品的集群管理软件有:NetScreen Global Manager,NetScreen Global Pro,NetScreen Global Pro Express。其中NetScreen Global Manager属于早期产品，只可以管理早期产品。 在设置认证策略时,每次认证的生效时间? 缺省有效时间为10分钟,但是可以修改,其范围是2分---10000分。 为什么在208、204这些防火墙上找不到Untrust、Trust、DMZ接口？ 在NetScreen-208、NetScreen-204这几款防火墙中，由于使用的Screen OS 3.1引入了域的概念，所以已经取消了Untrust、Trust、DMZ这些对接口的称谓。它的接口称为Ethernet1、Ethernet2、Ethernet3等等。但在Screen OS 3.1域里缺省有Untrust、Trust、DMZ这三个域。 在浏览器URL栏输入NetScreen的system IP地址无法进入NetScreen的图形化界面。 分析： 可能是输入的NetScreen的system IP不正确。如正确仍不能进入，可能是System IP与本主机IP地址不在同一网段上。 如在同一网段上仍不能进入，可能是设定了管理客户机IP，而AdminClientIP与本主机的IP地址不同，因此无法进入NetScreen的图形化界面。 通过超级终端串行控制口的命令行方式进入NetScreen，以：“NetScreen”为用户名和口令登录，输入命令：get system查看System IP与输入的System IP是否相同，如不相同，修改过来即可。 如仍不能进入，通过串行控制口的命令行方式进入NetScreen，以"netscreen"为用户名和口令登录 ， 输入命令：get config 查看是否设定了管理客户机IP Admin Client IP），如设定了，是否与主机的IP地址相同，如不相同， 修改相同后即可进入。 什么是虚拟系统(Virtual System)? 虚拟系统是NetScreen防火墙的专有技术，它目前只在高端防火墙上实现。通过它可以把一个防火墙划分为相对独立的多个系统，每个系统都拥有独立的策略、地址本等等。