Juniper防火墙总结及和其他安全设备的对比

network

Juniper防火墙总结及和其他安全设备的对比


架构介绍及各系列所属架构：

JUNIPER sessions 建立成功的记录在ASIC芯片里，可以有sessions保障，在爆发如冲击波病毒时占满sessions的情况，Juniper可以避免。
X86架构 sessions 记录在RAM里，但是RAM里不光只有sessions，还有OS运行所需要的空间，还有url过滤所需要展开的空间。
ASIC芯片的转发很平稳，呈一条直线，而X86架构的转发会有坡型上升或下降。
x86可以做到新建会话数很高 近10W
ASIC现在最高到3W

NS200以上的都有ASIC芯片，属于ASIC架构，SSG的设备属于x86，所以NS系列稳定，适合VPN接入和稳定性要求较高的环境。

ISG1000-2000的IDP模块是继续PCbase的，每块的实际吞吐量是700MB左右，所以1000需要2块，实际能到1.4G，2000需要3块，实际能到2.1G

NS500以下的设备支持二/三层混合模式，现在只有OS 5.0.0系列支持混合模式，高版本不再声明支持。

目前只有Juniper支持透明模式启用Ipsec VPN

各系列适应环境：

在不开UTM的情况下，各系列设备所能带的人数：
ns5GT                        不超过60（UTM开时，大概25人）              SSG5（60以内）/20（20可到100）
ns25                          一个C类地址                                            SSG140（非UTM时）
ns50                          两个C类地址                                            SSG300（可以高于ns50）
ns204/208                  四个C类地址左右                                      SSG500

UTM全开性能损失60%-90%
吞吐量上，企业级要冗余50%，金融要90%


售后实施：

防火墙的配置思路
1、了解网络状况
2、确定FW的部署位置
3、选择FW的部署模式，规划网络路由信息
4、确定策略方向、地址、服务信息
5、合理设定访问策略

做HA的时候，100M接口要占用2个做HA（状态信息和控制信息分开），1000M占用1个（状态信息和控制信息不分开）
ns50B以下只支持简单A/S（无状态）
如果是做A/P（主备模式），monitor interface要在Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface:中做
在做A/P的时候，需要还能够网管到主设备或备设备的话，需要在monitor的那些接口中把manage-ip改成另一个IP，（manage-ip不会被同步），或者把一个接口划到MGT的zone里，（MGT也不会被同步）
priority 值小的为主
尽量是在主上配置完后，将配置在WEB中导出，将其中的priority值改大，再在备用设备上将这个配置导入
主备切换的时候IP地址漂移，MAC地址也漂移

NS5GT可以通过许可升级到5GT Extend

SSG520只有最下面的2个槽为lan or wan卡插槽，其余插槽为lan卡插槽。
SSG550下面4个为lan or wan卡插槽。

Juniper的不同系列产品之间不通用OS，也就是说OS会区分如ns200-os-6.1   ssg500-os-6.1等

unset all    FLASH卡里的配置清空，如果reset，选不保存

内网PC上网，有多个公网地址，要把这些地址放在DIP中，这是内到外的流量会从这里面找个地址转换出去

还有一段地址是用来给内网的Server提供对外的服务的，则将这段地址放在MIP中，这是MIP中的地址和内网地址的host位是一一对应的，从外到内的流量会被转换到内网相同host位的机器，内网的Server的出去的流量也会从MIP中找到与之对应的IP进行转换出去

MIP是一对一，双向NAT，匹配host，外访问内用MIP中的地址，内访问外也会用MIP中的地址，需要untrust to trust的策略

DIP是多对多，内外上外网，多个公网地址

VIP是端口映射，多个内网地址 映射成外网一个地址的不同端口

SP给了1个网关地址，2条链路（1条6M，1条2M），可以用里面的trust-vr和untrust-vr，这两个虚拟路由器是相互独立的，类似ASA的虚拟防火墙

透明模式中如果要远程管理FW，则需要vlan1的地址中打开如管理（默认打开），还要到untrust zone中去打开对用的管理，并且需要配置默认路由

CPU的使用率尽量控制到30%以下，到达70%时，会有可能丢包