Juniper防火墻的一些概念
 
安全區(qū)（Security Zone）：
Juniper 防火墻增加了全新的安全區(qū)域（Security Zone）的概念，安全區(qū)域是一個(gè)邏輯的結(jié)構(gòu)，是多個(gè)處于相同屬性區(qū)域的物理接口的集合。當(dāng)不同安全區(qū)域之間相互通訊時(shí)，必須通過(guò)事先定義的策略檢查才能通過(guò)；當(dāng)在同一個(gè)安全區(qū)域進(jìn)行通訊時(shí)，默認(rèn)狀態(tài)下允許不通過(guò)策略檢查，經(jīng)過(guò)配置后也可以強(qiáng)制進(jìn)行策略檢查以提高安全性。

安全區(qū)域概念的出現(xiàn)，使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合。以下圖為例，通過(guò)實(shí)施安全區(qū)域的配置，內(nèi)網(wǎng)的不同部門(mén)之間的通訊也必須通過(guò)策略的檢查，進(jìn)一步提高的系統(tǒng)的安全。

接口（Interface）：
信息流可通過(guò)物理接口和子接口進(jìn)出安全區(qū)（Security Zone）。為了使網(wǎng)絡(luò)信息流能流入和流出安全區(qū)，必須將一個(gè)接口綁定到一個(gè)安全區(qū)，如果屬于第3 層安全區(qū)，則需要給接口分配一個(gè) IP地址。

虛擬路由器（Virtual Router）：
Juniper防火墻支持虛擬路由器技術(shù)，在一個(gè)防火墻設(shè)備里，將原來(lái)單一路由方式下的單一路由表，進(jìn)化為多個(gè)虛擬路由器以及相應(yīng)的多張獨(dú)立的路由表，提高了防火墻系統(tǒng)的安全性以及IP地址配置的靈活性。

安全策略（Policy）：
Juniper防火墻在定義策略時(shí)，主要需要設(shè)定源IP地址、目的IP地址、網(wǎng)絡(luò)服務(wù)以及防火墻的動(dòng)作。在設(shè)定網(wǎng)絡(luò)服務(wù)時(shí)，Juniper防火墻已經(jīng)內(nèi)置預(yù)設(shè)了大量常見(jiàn)的網(wǎng)絡(luò)服務(wù)類(lèi)型，同時(shí)，也可以由客戶(hù)自行定義網(wǎng)絡(luò)服務(wù)。

在客戶(hù)自行定義通過(guò)防火墻的服務(wù)時(shí)，需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無(wú)流量情況下的超時(shí)定義等。因此，通過(guò)對(duì)網(wǎng)絡(luò)服務(wù)的定義，以及IP地址的定義，使Juniper防火墻的策略細(xì)致程度大大加強(qiáng)，安全性也提高了。

除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶(hù)的認(rèn)證、在策略里定義是否要做地址翻譯、帶寬管理等功能。通過(guò)這些主要的安全元素和附加元素的控制，可以讓系統(tǒng)管理員對(duì)進(jìn)出防火墻的數(shù)據(jù)流量進(jìn)行嚴(yán)格的訪問(wèn)控制，達(dá)到保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全的目的。

映射IP（MIP）：
MIP是從一個(gè) IP 地址到另一個(gè) IP 地址雙向的一對(duì)一映射。當(dāng)防火墻收到一個(gè)目標(biāo)地址為 MIP 的內(nèi)向數(shù)據(jù)流時(shí)，通過(guò)策略控制防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)至MIP 指向地址的主機(jī)；當(dāng)MIP映射的主機(jī)發(fā)起出站數(shù)據(jù)流時(shí)，通過(guò)策略控制防火墻將該主機(jī)的源 IP 地址轉(zhuǎn)換成 MIP 地址。

虛擬IP（VIP）：
VIP是一個(gè)通過(guò)防火墻外網(wǎng)端口可用的公網(wǎng)IP地址的不同端口（協(xié)議端口如：21、25、110等）與內(nèi)部多個(gè)私有IP地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)IP地址，卻擁有多個(gè)私有IP地址的服務(wù)器，并且這些服務(wù)器是需要對(duì)外提供各種服務(wù)的。