目录
第一章 综述 3
1.1前言 3
1.2 Juniper的安全理念 3
1.2.1 IPSec/SSL VPN 4
1.2.2网络攻击检测 4
1.2.3访问控制 5
1.2.4入侵预防 5
1.2.5管理方式 6
1.2.6合作方案 6
1.2.7流量控制 6
1.3 Juniper的数据中心应用加速理念 6
第二章 总体方案建议 7
2.1 设备选型 7
2.1.1 防火墙 7
2.1.2 入侵检测和防护 8
2.1.3 SSL VPN网关 8
2.1.4 应用加速 10
2.2 应用和管理 10
2.2.1 虚拟防火墙技术在IDC的应用方案 10
2.2.2 防火墙的网络地址转换实现方案 11
2.2.3 安全策略的实施和应用 14
2.2.4 防火墙防网络层攻击保护 15
2.2.5 防火墙管理 20
2.2.6 IDP刀片模块或IDP设备对应用层的保护 21
2.2.7 应用加速设备DX的使用 24


第一章 综述
1.1前言
随着计算机技术和通信技术的飞速发展，信息化浪潮席卷全球，一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。
1.2 Juniper的安全理念
网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。
为提高恶意攻击者的攻击成本，Juniper的安全理念提供了多层次、多深度的防护体系，如图所示。
Juniper提供了防火墙/VPN系列设备和IDP（入侵检测和防护）系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应，而且提供集中式管理工具。
1.2.1 IPSec/SSL VPN
IPsec/SSL VPN应用是为网络通信提供有效的信息安全手段。IPSec/SSL VPN是被广泛认可的公开、安全的VPN标准，它从技术角度保证数据的安全性。VPN应用中，多采用3DES、AES等加密技术和MD5、SHA1认证技术，这是目前广被认可的最先进、最实用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息；认证的目的是防止非法用户篡改信息。
网络的VPN应用有两种：防火墙到防火墙、移动用户到IPsec VPN/防火墙或SSL VPN网关设备。前者是针对企业各分支机构，应用在各分支机构有固定IP地址的防火墙系统之间，供分支结构之间互通信息；后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问，其中SSL VPN可以更好地为移动用户提供服务并且具备更强的安全性和可控性，是移动用户安全访问应用的技术趋势。
Juniper可以实现IPsec VPN与防火墙功能的紧密结合，SSL VPN解决方案在业界的市场占用率最高。
1.2.2网络攻击检测
对有服务攻击倾向的访问请求，防火墙采取两种方式来处理：禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等，防火墙会明确地禁止。对一些借用正常访问形式发生的攻击，因为不能一概否定，防火墙会启用代理功能，只将正常的数据请求放行。防火墙处在最前线的位置，承受攻击分析带来的资源损耗，从而使内部数据服务器免受攻击，专心做好服务。
因为防火墙主动承接攻击，或主动分析数据避免攻击，其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。
1.2.3访问控制
从外网（互联网或广域网）进入企业网的用户，可以被防火墙有效地进行类别划分，即区分为企业移动用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问，禁止非法用户的试图访问。
限制用户访问的方法，简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此外，配合策略控制，还有多种辅助手段增强这种策略控制的灵活性和强度，如日志记录、流量计数、身份验证、时间定义、流量控制等。
Juniper的规则设置采取自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除，也可以通过ID号进行命令行操作。一些细小的特性使使用者感到方便，如可以在添加策略的同时定义Address等。
Juniper支持Zone到Zone之间、相同Zone内、Zone到其他所有Zone的策略定义，而且其不同的策略种类具有不同的优先级，充分体现出灵活性与实用性。
1.2.4入侵预防
Juniper建议采用单独的NetScreen-IDP（入侵检测和防护）系列设备，或者在ISG系列防火墙内增加刀片式的IDP（入侵检测和防护）安全模块。IDP（入侵检测和防护）不同于常规意义的IDS产品，主要有三方面的技术优势：1、主动防御。传统IDS采用Sniffer方式，在攻击产生后才响应，而且对UDP等方式的攻击无能为力。IDP（入侵检测和防护）可以采用Active方式，在攻击发生的同时进行保护，对所有的数据类型都有效。2、检测手段丰富。传统的IDS产品检测手段只有2-3种，多数采用“正向”误报产生告警；IDP（入侵检测和防护）为了实现精确报告，检测手段多达7种。3、管理方便。IDP（入侵检测和防护）采用分级式集中管理，可以高校利用管理资源，相较于基于单台设备进行管理的传统IDS，可以节省管理时间，提高实施效率。
1.2.5管理方式
任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段。在整体的安全系统中，如果涉及数量较大的产品，集中的产品管理、监控将降低不必要的重复性工作，提高效率并减少失误。
1.2.6合作方案
安全是一个融合了多种技术的整体系统，目前的趋势是越来越专业化。专业化的产品之间需要配合，通过合理的、灵活的配合实现整体系统的安全最大化。
1.2.7流量控制
IP技术“尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备，对各种数据的控制能力是保证服务正常运行的关键。不同的服务应用其数据流量有不同的特征，突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。如果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制，某一个用户的应用会在一定的时间内独占全部或大部分带宽资源，从而导致关键业务流量丢失、实时性业务流量中断等。
目前很多IP网络设备包括防火墙设备在QoS上采取了不同的实现方法。具有QoS机制的防火墙设备可以给用户最大的两或控制带宽效率的手段，从而保证服务的连续性、合理性。
1.3 Juniper的数据中心应用加速理念
由于数据中心的发展趋势是Web应用越来越多，许多用户在访问应用时发现Web服务器对应用的响应时间越来越慢，同时为确保Web应用交付的安全，我们愈加需要更高级别的多功能设备－应用前端（AFE）。通过结合关键功能以卸载(Offload) Web服务器处理、加速Web浏览器会话并保护“Web层”的安全，Juniper网络公司DX系列应用加速平台可在易于管理且非常灵活的平台内提供前所未有的应用性能、安全性和可用性。

第二章 总体方案建议
XXXXIDC的网络安全建设方案是参照国际通行的PDRR（Protection－防护、Detection－检测、Respone－响应和Recovery－恢复）安全模型进行设计的。
2.1 设备选型
2.1.1 防火墙
建议通过在IDC节点配置2台NetScreen ISG1000 或2台NetScreen ISG2000的防火墙来进行网络安全保护。
ISG1000是Juniper 公司2005年初推出的防火墙产品，采用的是最新一代的ASIC芯片（第4代安全ASIC，即GigaScreen3），集成了一流的深层检测防火墙、VPN和DoS防护解决方案，因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段，为大型企业、运营商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是：对大包和小包的最大吞吐能力都在1Gbps以上（对IDC而言，尤其需要防火墙能够对实现对小包的高吞吐能力，在保护托管主机用户的安全同时，不会因为流量大或小包多而成为网络瓶颈），总会话数250,000条，每秒钟的新建会话数达20,000条，3DES VPN吞吐1Gbps。
由于ISG1000采用的是下一代安全网络系统架构，具备良好的扩展能力，除了2个外部数据插槽外（机箱上已有4个10/100/1000的电口），设备内部预留了2个扩展插槽，可以将应用层安全硬件模块（IDP刀片）插入，从而实施基于硬件的全面的应用层入侵检测和防护，实施应用层防护的性能可以达到1Gbps，在提高性能的同时，扩大对应用层保护的范围。
ISG2000是Juniper 公司2004年初推出的防火墙产品，采用的是最新一代的ASIC芯片（第4代安全ASIC，即GigaScreen3），集成了一流的深层检测防火墙、VPN和DoS防护解决方案，因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段，为大型企业、运营商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是：对大包和小包的最大吞吐能力都在2Gbps以上（对IDC而言，尤其需要防火墙能够对实现对小包的高吞吐能力，在保护托管主机用户的安全同时，不会因为流量大或小包多而成为网络瓶颈），总会话数512,000条，每秒钟的新建会话数达30,000条，3DES VPN吞吐1Gbps。
由于ISG2000采用的是下一代安全网络系统架构，具备良好的扩展能力，除了4个外部数据插槽外，设备内部预留了3个扩展插槽，可以将应用层安全硬件模块（IDP刀片）插入，从而实施基于硬件的全面的应用层入侵检测和防护，实施应用层防护的性能可以达到2Gbps，在提高性能的同时，扩大对应用层保护的范围。
ISG1000/ISG2000防火墙都可以支持虚拟系统，方便IDC开展业务。虚拟防火墙技术是由Juniper最早推出并得到IDC的广泛使用，它允许在一台物理防火墙中创建多个虚拟防火墙系统，每个虚拟系统拥有独立的地址簿、策略和管理等功能。虚拟系统与802.1Q VLAN标记/物理接口/相结合，把安全域延伸到整个交换网络中。NetScreen设备和相应的VLAN/物理接口/交换网络，可以表现为多个具有完全安全特性的防火墙系统。虚系统功能对IDC提供增值服务特别有利。Juniper是最早成熟提供虚系统技术的防火墙厂家，并在实际环境中有大量的稳定运行的案例。基于VLAN的逻辑子接口，除了配合不同的Vsys通过一个物理接口连接到多个网络外，还可以单独使用，其表现就像一个独立的物理接口一样具有众多的可配置特性。防火墙系统会识别带由tag的帧，并转换成正常的以太帧进行防火检测、路由、策略等基本操作。VSYS的划分标准除802.1Q标准外，还可以通过不同的端口（包括物理端口、逻辑端口）以及不同的IP地址划分，为满足不同用户的需求提供了灵活的实施方法。
2.1.2 入侵检测和防护
建议通过在IDC节点配置ISG防火墙 的IDP（入侵检测和防护）刀片模块（如果选用ISG2000防火墙，最多3块；ISG1000最多2块）或单独的IDP1100。如果采用3块IDP刀片模块插在ISG2000防火墙内部，则实施应用层防护的吞吐可以达到2Gbps；如果采用2块IDP刀片模块插在ISG1000防火墙内部，则实施应用层防护的吞吐可以达到1Gbps；如果采用单独的IDP1100，应用层防护的吞吐可以达到1Gbps。
2.1.3 SSL VPN网关
为方便IDC机房托管主机的用户管理人员能够安全、方便地远程访问和控制IDC托管机房的主机，建议采用Juniper的SSL VPN设备。Juniper的SSL安全访问产品（可简称为IVE）从根本上解决了安全远程访问问题，可以为IDC提供对重要服务器资源的安全远程访问，同时它又消除了因为远程用户客户端的维护等带来的诸多不便。
建议采用一台SA700的SSL VPN设备，并发VPN用户数各为25个，可以对重要的IDC托管主机用户提供该项服务，方便用户安全管理自己的托管主机。SA700的配置简单，可采用单臂连接的方式（即交换机Cat6509和SA700之间用百兆网线连接）即可，实施时无需对现有网络进行任何改动。
SA700主要采用网络层连接（network connect）的方式，让远程用户（只需是WindowsMe或以上平台）首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，远程系统会自动加载一个小插件，这个插件可以从IVE系统中自动的获得一个内部网络的IP地址，从而实现对内部网络资源的访问，该种访问方式与IPSec类似，但是就不受地址翻译和配置客户端软件的影响。该方式可以支持几乎全部的网络应用，包括相对复杂的视频会议、IP电话等等。
采用SA700的设备，还可以对用户终端设备进行节点安全机制检查，并且根据检查的结果，实施相应的访问控制，确保安全性。SA700允许管理员对以下的选项进行定制。
 和第三方节点安全解决方案整合
 注册表参数检查
 开放/不允许的 ports检查
 允许/不允许的进程检查
 允许/不允许的文件检查
 检查定制的dlls
 对第三方软件实施心跳检查
 应用认证检查 (进程, 文件 MD5 Hash)
在动态访问控制方面，SA700也有很强的细粒度的访问控制机制，真正实现了对用户身份（Who）,访问的目的资源（What）,时间（When）,位置（Where）和方式（How）的动态控制。IVE平台提供整体的网络安全设计，通过坚固的系统完成对外部应用请求的转换，同时对各种连接进行细粒度的访问控制，而这种安全上的保障，是不以投资、复杂性和稳定性的牺牲为前提的。
2.1.4 应用加速
建议通过在IDC节点配置应用加速产品对数据中心的Web应用进行加速和对服务器实施负载均衡。
2.2 应用和管理
2.2.1 虚拟防火墙技术在IDC的应用方案
基于IDC用户的需求，Juniper防火墙最早在业界实现虚拟防火墙技术，并成功地在多个IDC用户处进行了实际应用。在NS500以上级别的防火墙系统里提供虚拟防火墙功能升级选项。
由于一个IDC数据中心的主机托管用户众多，许多用户都提出来需要有独立的防火墙供其控制对其托管服务器进行管理和保护。虚拟防火墙技术对于IDC对其说是一个很好的增值服务解决方案，方便为各个用户提供虚拟防火墙供其管理配置。
具体的实现方法有两种：
基于VLAN划分虚拟防火墙
基于VLAN对信息流分类到不同的虚拟防火墙里，一个简单的拓扑连接图如下：

三个托管用户的主机分别位于三个VLAN里面，分别是vlan1、vlan2、vlan3，该三个vlan的缺省网关都在防火墙上，是防火墙的三个逻辑子接口。防火墙上划分三个虚拟防火墙，分别是vsys1、vsys2、vsys3。以上典型配置的逻辑图为：


三个虚拟防火墙vsys1、vsys2、vsys3都共用一个外部接口，接外网段。各托管用户可以配置到自己的vvys流量的策略，包括地址翻译、IPsec VPN等。三个vsys之间可以控制是否允许互相访问。
基于IP地址段划分虚拟防火墙
基于IP地址段对信息流分类到不同的虚拟防火墙里，一个简单的拓扑连接图如下（和基于VLAN的一样）：

三个托管用户的主机分别放在三个网段：10.1.1.0/24、10.1.2.0/24、和10.1.3.0/24。

三个网段的缺省网关在防火墙后面的路由器上，防火墙的内网口地址是10.1.0.1/16。防火墙的外网口和内网口都是三个虚拟防火墙共享的。防火墙对信息流的IP地址进行分类，归入不同的虚拟防火墙vsys来进行处理。
2.2.2 防火墙的网络地址转换实现方案
在很多环境下，IDC有可能需要做地址翻译。
防火墙除了接口支持NAT模式以外，防火墙还可以通过设定策略实现以下地址转换的功能：
基于策略的源和目标地址和端口翻译
在策略中可以定义目标地址是否需要转换，其IP地址和端口可以转换为需要的地址和端口。
动态IP地址翻译（DIP，Dynamic IP Pool）
DIP 池包含一个范围内的 IP 地址， 防火墙设备在对 IP 封包包头中的源 IP 地址执行网络地址转换 (NAT) 时，可从中动态地提取地址。
在实施动态IP地址翻译具体方式上，可以实现下列功能
a) 端口地址翻译的DIP
使用“端口地址转换”(PAT)，多台主机可共享同一 IP 地址，防火墙设备维护一个已分配端口号的列表，以识别哪个会话属于哪个主机。启用 PAT 后，最多 64,500 台主机即可共享单个 IP 地址。
b) 固定端口地址的DIP
一些应用，如“NetBIOS 扩展用户接口”(NetBEUI) 和“Windows 互联网命名服务”(WINS)，需要具体的端口号，如果将 PAT 应用于它们，它们将无法正常运行。对于这种应用，应用 DIP 时，可指定不执行 PAT（即，使用固定端口）。对于固定端口 DIP，防火墙设备散列原始的主机 IP 地址，并将它保存在其主机散列表中，从而允许防火墙设备将正确的会话与每个主机相关联。
c) 扩展端口和DIP
根据情况，如果需要将出站防火墙信息流中的源 IP 地址，从出口接口的地址转换成不同子网中的地址，可使用扩展接口选项。此选项允许将第二个 IP 地址和一个伴随 DIP 池连接到一个在不同子网中的接口。然后，可基于每个策略启用 NAT，并且指定 DIP 池，该池在用于转换的扩展接口上创建。
d) 附着DIP
主机发起与已启用网络地址转换 (NAT) 的策略相匹配的几个会话，并且获得了来自动态 IP (DIP) 池的分配地址时，防火墙设备为每个会话分配不同的源 IP 地址。对于创建多个会话（每个会话都需要同一源 IP 地址）的服务，这种随机地址分配可能会产生问题。
静态地址翻译（映射IP地址）
映射 IP (MIP) 是一个 IP 地址到另一个 IP 地址的一对一直接映射。防火墙设备将目的地为 MIP 的内向信息流转发至地址为 MIP 指向地址的主机。实际上，MIP 是静态目的地地址转换。“动态 IP”(DIP) 将 IP 封包包头中的源 IP地址转换为 DIP 池中随机选择的地址，而 MIP 将 IP 封包包头中的目的地 IP 地址映射为另一个静态 IP 地址。
MIP 允许入站信息流到达接口模式为 NAT 的区段中的私有地址。MIP 还部分解决通过 VPN 通道连接的两个站点之间地址空间重叠的问题。

为保证MIP实现的灵活性，可在与任何已编号通道接口（即带 IP 地址/ 网络掩码的接口）及任何绑定到第 3 层 (L3) 安全区段的已编号接口相同的子网中创建 MIP。
VIP地址翻译
根据 TCP 或 UDP 片段包头的目的地端口号，虚拟 IP (VIP) 地址将在一个 IP 地址处接收到的信息流映射到另一个地址。例如：
 目的地为 210.1.1.3:80（即，IP 地址为 210.1.1.3，端口为 80）的 HTTP 封包可能映射到地址为 10.1.2.10 的web 服务器。
 目的地为 210.1.1.3:21 的 FTP 封包可能映射到地址为 10.1.2.20 的 FTP 服务器。
 目的地为 210.1.1.3:25 的 FTP 封包可能映射到地址为 10.1.2.30 的 FTP 服务器。
由于目的地 IP 地址相同，防火墙设备根据目的地端口号确定将信息流转发到的主机。

可以对众所周知（Well-Known）的服务使用虚拟端口号以增强安全性。例如，如果您只想允许分支机构的雇员在公司网站访问 FTP 服务器，可以指定从 1024 到 65,535 的注册端口号充当内向 FTP 信息流的端口号。Juniper 设备拒绝任何尝试在其众所周知的端口号 (21) 到达 FTP 服务器的信息流。只有预先知道虚拟端口号并将其附加到封包包头的人员才能访问该服务器。
2.2.3 安全策略的实施和应用
防火墙系统的安全策略是整个系统的核心，对于一个安全系统，安全策略的制订至关重要。策略本身出现问题，会导致整个安全系统产生致命的安全问题。因此，对于安全系统的策略制订一定要遵守相关的原则。
几乎所有防火墙系统的安全策略由以下元素组成：
源地址 目的地址 服务 动作
所有防火墙策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不被执行。因此，在制订安全策略时要遵循以下原则：
• 越严格的策略越要放在前面
• 越宽松的策略越要往后放
• 策略避免有二意性
三种类型的策略
可通过以下三种策略控制信息流的流动：
• 通过创建区段间策略，可以管理允许从一个安全区段到另一个安全区段的信息流的种类。
• 通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型。
• 通过创建全局策略，可以管理地址间的信息流，而不考虑它们的安全区段。
策略定义
防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表（区段间策略、内部区段策略和全局策略）产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。
策略的结构
策略必须包含下列元素：
• 区段（源区段和目的区段）
• 地址（源地址和目的地址）
• 服务
• 动作（permit、deny、tunnel）
策略也可包含下列元素：
• VPN 通道确定
• Layer 2（第2 层）传输协议(L2TP) 通道确定
• 策略组列表顶部位置
• 网络地址转换(NAT)，使用动态IP (DIP) 池
• 用户认证
• 备份HA 会话
• 记录
• 计数
• 信息流报警设置
• 时间表
• 信息流整形
时间表
通过将时间表与策略相关联，可以确定策略生效的时间。可以将时间表配置为循环生效，也可配置为单次事件。时间表为控制网络信息流的流动以及确保网络安全提供了强有力的工具。在稍后的一个范例中，如果您担心职员向公司外传输重要数据，则可设置一个策略，阻塞正常上班时间以外的出站FTP-Put 和MAIL 信息流。
2.2.4 防火墙防网络层攻击保护
基于安全区段的防火墙保护选项
防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。缺省情况下，防火墙拒绝所有方向的所有信息流。通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，您可以控制区段间的信息流。范围最大时，可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。

为保护所有连接尝试的安全，防火墙设备使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，防火墙设备在TCP 包头中记入各种不同的信息单元— 源和目的IP 地址、源和目的端口号，以及封包序列号—并保持穿越防火墙的每个TCP 会话的状态。（防火墙也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态。）当响应的TCP 封包到达时，防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。
防火墙选项用于保护区段的安全，具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试，然后予以准许或拒绝。为避免来自其它区段的攻击，可以启用防御机制来检测并避开以下常见的网络攻击。下列选项可用于具有物理接口的区段（这些选项不适用于子接口）：SYN Attack（SYN 攻击）、ICMP Flood（ICMP 泛滥）、UDP Flood （UDP 泛滥）和Port Scan Attack（端口扫描攻击）。
 SYN Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。
 ICMP Flood（ICMP 泛滥）：当ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时，可以设置一个临界值，一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值，防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。
 UDP Flood（UDP 泛滥）：与ICMP 泛滥相似，当以减慢系统速度为目的向该点发送UDP 封包，以至于系统再也无法处理有效的连接时，就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值，Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。
 Port Scan Attack（端口扫描攻击）：当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置，如果远程主机在0.005 秒内扫描了10 个端口（5,000 微秒），防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地点的其它封包（不论目标IP 地址为何）。
余下的选项可用于具有物理接口和子接口的区段：
 Limit session（限制会话）：防火墙设备可限制由单个IP 地址建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。
 SYN-ACK-ACK Proxy 保护：当认证用户初始化Telnet 或FTP 连接时，用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包，通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时，初始的三方握手就已完成。防火墙设备在其会话表中建立项目，并向用户发送登录提示。如果用户怀有恶意而不登录，但继续启动SYN-ACK-ACK 会话，防火墙会话表就可能填满到某个程度，让设备开始拒绝合法的连接要求。要阻挡这类攻击，您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后，防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下，来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值（为1 到2,500,000 之间的任何数目）以更好地适合网络环境的需求。
 SYN Fragment（SYN 碎片）：SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后，会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接，主机的内存缓冲区最终将会塞满。进一步的连接无法进行，并且可能会破坏主机操作系统。当协议字段指示是ICMP封包，并且片断标志被设置为1 或指出了偏移值时，防火墙设备会丢弃ICMP 封包。
 SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不会在同一封包中同时设置SYN 和FIN 标志。但是，攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答，从而确定出接收端上的系统的种类。接着，攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。
 TCP Packet Without Flag（无标记的TCP 封包）：通常，在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。
 FIN Bit With No ACK Bit（有FIN 位无ACK 位）：设置了FIN 标志的TCP 封包通常也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志，但没有设置ACK 位的封包。
 ICMP Fragment（ICMP 碎片）：检测任何设置了“更多片断”标志，或在偏移字段中指出了偏移值的ICMP 帧。
 Ping of Death：TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应，如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙设备执行此操作，它可以检测并拒绝此类过大且不规则的封包。
 Address Sweep Attack（地址扫描攻击）：与端口扫描攻击类似，当一个源IP 地址在定义的时间间隔（缺省值为5,000 微秒）内向不同的主机发送ICMP 响应要求（或ping）时，就会发生地址扫描攻击。这个配置的目的是Ping 数个主机，希望有一个会回复响应，以便找到可以作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置，如果某远程主机在0.005 秒（5,000 微秒）内ping 了10 个地址，防火墙会将这一情况标记为地址扫描攻击，并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。
 Large ICMP Packet（大的ICMP 封包）：防火墙设备丢弃长度大于1024 的ICMP 封包。
 Tear Drop Attack（撕毁攻击）：撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中，选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时，封包发生重叠，并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象，将会丢弃该碎片。
 Filter IP Source Route Option（过滤IP 源路由选项）：IP 包头信息有一个选项，其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络，并将数据送回到其真正的地址。
 Record Route Option（记录路由选项）：防火墙设备封锁IP 选项为7（记录路由）的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成，外来者经过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。
 IP Security Option（IP 安全性选项）：此选项为主机提供了一种手段，可发送与DOD 要求兼容的安全性、分隔、TCC（非公开用户组）参数以及“处理限制代码”。
 IP Strict Source Route Option（IP 严格源路由选项）：防火墙设备封锁IP 选项为9（严格源路由选择）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由，因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址，并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。
 Unknown Protocol（未知协议）：防火墙设备丢弃协议字段设置为101 或更大值的封包。目前，这些协议类型被保留，尚未定义。
 IP Spoofing（IP 欺骗）：当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时，就发生了欺骗攻击。如果启用了IP 欺骗防御机制，防火墙设备会用自己的路由表对IP 地址进行分析，来抵御这种攻击。如果IP 地址不在路由表中，则不允许来自该源的信息流通过防火墙设备进行通信，并且会丢弃来自该源的所有封包。在CLI 中，您可以指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址（不可路由的，例如127.0.0.1）的封包：set zone zone screen ip-spoofing drop-no-rpf-route。
 Bad IP Option（坏的IP 选项）：当IP 数据包包头中的IP 选项列表不完整或残缺时，会触发此选项。
 IP Timestamp Option（IP 时戳选项）：防火墙设备封锁IP 选项列表中包括选项4（互联网时戳）的封包。
 Loose Source Route Option：防火墙设备封锁IP 选项为3（松散源路由）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由，因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。
 IP Stream Option（IP 流选项）：防火墙设备封锁IP 选项为8（流ID）的封包。此选项提供了一种方法，用于在不支持流概念的网络中输送16 位SATNET 流标识符。
 WinNuke Attack（WinNuke 攻击）：WinNuke 是一种常见的应用程序，其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据— 通常发送到NetBIOS 端口139— 并引起NetBIOS 碎片重叠，以此来使多台机器崩溃。重新启动后，会显示下列信息，指示攻击已经发生：
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +
000041AE. This was called from 0028:[address] in VxD NDIS(01) +
00008660. It may be possible to continue normally.（00008660。有可能继续正常运行。）
Press any key to attempt to continue.（请按任意键尝试继续运行。）
Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all　applications.（按CTRL+ALT+DEL 可尝试继续运行。将丢失所有应用程序中的未保存信息。）
Press any key to continue. （按任意键继续。）
如果启用了WinNuke 攻击防御机制，Juniper 设备会扫描所有进入的“Microsoft NetBIOS 会话服务”（端口139）封包。如果防火墙设备发现某个封包上设置了TCP URG 代码位，就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过，并在“事件警报”日
志中创建一个WinNuke 攻击日志条目。
 Land Attack：“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起，当攻击者发送含有受害方IP 地址的欺骗性SYN 封包，将其作为目的和源IP 地址时，就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导致DoS。通过将SYN 泛滥防御机制和IP 欺骗保护措施结合在一起，防火墙设备将会封锁任何此类性质的企图。
 Malicious URL Protection：当启用“恶意URL 检测”时，Juniper 设备会监视每个HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃所有此类封包。
 Block Java/ActiveX/ZIP/EXE Component：Web 网页中可能藏有恶意的Java 或ActiveX 组件。下载完以后，这些applet 会在您的计算机上安装特洛伊木马病毒。同样，特洛伊木马病毒2也可以隐藏在压缩文件（如.zip）和可执行（.exe）文件中。在安全区中启用这些组件的阻塞时，防火墙设备会检查每个到达绑定到该区域的接口的HTTP 包头。会检查包头中列出的内容类型是否指示封包负荷中有任何目的组件。如果内容类型为ActiveX、Java、.exe 或.zip，而且您将防火墙设备配置为阻塞这些组件，防火墙设备会阻塞封包。如果内容类型仅列出“八位位组流”，而不是特定的组件类型，则防火墙设备会检查负荷中的文件类型。如果文件类型为ActiveX、Java、.exe 或.zip，而且您将防火墙设备配置为阻塞这些组件，防火墙设备会阻塞封包。
 Deny Fragment：封包通过不同的网络时，有时必须根据网络的最大传输单位(MTU) 将封包分成更小的部分（片断）。攻击者可能会利用IP 栈具体实现的封包重新组合代码中的漏洞，通过IP 碎片进行攻击。当目标系统收到这些封包时，造成的结果小到无法正确处理封包，大到使整个系统崩溃。如果允许防火墙设备拒绝安全区段上的IP 碎片，设备将封锁在绑定到该区段的接口处接收到的所有IP 封包碎片。
对于网络层的攻击，大多数从技术角度无法判断该数据包的合法性，如SYN flood, UDP flood，通常防火墙采用阀值来控制该访问的流量。通常防火墙对这些选项提供了缺省值。对于在实际网络上该阀值的确定，通常要对实施防火墙的网络实际情况进行合理的分析，通过对现有网络的分析结果确定最终的设定值。比如，网络在正常工作的情况下的最大Syn数据包值为3000，考虑到网络突发流量，对现有值增加20%，则该值作为系统的设定值。
在实际应用中，这些参数要随时根据网络流量情况进行动态监控的更新。
2.2.5 防火墙管理
在防火墙系统的管理上，有分散和集中两种方式。NetScreen设备在管理方面的实现很受用户欢迎。
分散方式让用户分别管理每台防火墙。优点是符合大多数人的思维习惯，管理灵活。命令行方式，可以通过Console接口、Telnet（23）或安全的SCS（22）方式对设备进行管理、排查故障等。命令行方式可以完成所有的配置、检查、排错等工作。浏览器方式，可以使用户使用通用的Web界面对设备进行配置、查询。浏览器方式支持HTTP（80）和HTTPS（443）。NetScreen的浏览器管理方式实用性很好，具有良好的用户反馈。所有管理接口使用的端口号可以根据需要改变。
NetScreen支持多级用户权限管理（Root/All/Read-Only），支持在线升级，支持恢复出厂设置，支持配置的备份和恢复，可以实现所有的防火墙功能管理。
单机管理的分散方式在大型网络应用中存在较大的缺点，许多资源的定义重复（如地址本、协议等），相应提高了整体的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题。对于一些重要的服务器或网络设备，如果需要通过外网或内网其他VLAN的设备对其进行配置修改、调试，可以考虑利用防火墙的IPSec VPN功能，通过分公司PC发起IPsec VPN终结在防火墙的端口，允许相应的协议（如telnet）通过IPsec VPN加密的方式通过防火墙，从而进一步提高安全性。如果需要对防火墙进行基于snmp的统一网络管理，也可以应用IPsec VPN,将信息加密传输到相应的网管平台上。如果需要通过telnet或http方式明文管理防火墙（防火墙支持基于加密的https和SSH的加密管理），可以考虑使用IPsec VPN将所有的防护会话内容加密。
集中方式从全局的角度对所有防火墙实现集中的管理，集中制定安全策略，这将很好的克服以上缺点。
NetScreen防火墙可实现通过NSM专用网管工具（需要单独购买）集中管理。NSM需要安装在RedHat Linux或Solaris服务器上。如果采用ISG系列防火墙的内部IDP安全刀片模块，则必须采用NSM集中管理系统实现对防火墙的管理。NetScreen的安全管理系统NSM具有集中的设备配置/维护、故障/事件管理、基于角色的监控、使用跟踪以及报表等功能。NetScreen-NSM提供了中央配置管理功能，可以高效地把数百条、甚至数千条策略分发到各NetScreen设备或设备群组。
NetScreen-NSM系列的关键性能在于它能够通过简便操作、直观的策略管理用户界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射采用到多个设备中。 简言之，NSM为设备部署提供高度易操作性与灵活性，减少管理工作。
NSM的报表分析功能使它更加有价值。通过集中的日志收集、存储、分析、报表，可以提供专业的日志处理功能，并根据用户的喜好生成灵活的报告方式以及趋势分析。
NSM提供对设备的集中、实时的监控，以及集中的设备维护如升级等。
NSM的专业特点还在于它可以将管理者的权限进行详细的限定，实现基于角色的多级别管理和授权。
2.2.6 IDP刀片模块或IDP设备对应用层的保护
Juniper的IDP（入侵检测和防护）被设计用来对各种协议的应用层保护，并且可在将来简单地添加更多的协议。
IDP（入侵检测和防护）系统通过应用协议异常、状态签名、流量异常、后门、同步攻击（Syn-flood）、IP欺骗（IP spoof）和第二层检测，以及网络蜜罐（network honeypot）等8个不同的检测方法，能准确地识别入侵。Juniper不像其他厂商那样应用一个单一入侵检测机制去驱动整个产品架构， IDP（入侵检测和防护）的架构设计则能支持上述所有检测方法。这些方法共享信息，并且用最有效的方式一起去识别网络和应用层中的所有形式的攻击。同时，这些检测方法皆针对以高数据速率进行分析而被优化的，从而确保性能未能受到影响。由于IDP（入侵检测和防护）能提供一个全面的覆盖，你再也不需要费神决定到底是买一个基于协议异常的系统还是基于签名的系统，甚至需要两台或更多的产品。另外，多方法检测使管理员能够信任报警，而不用再担心会浪费时间去调查错误报警。
为了恰当地分析和表达流量， IDP（入侵检测和防护）系统拥有众多的封包处理技术去保证数据表达式的精确度。这些技术是：
1、IP碎片整理(IP De-fragmentation)和TCP重组(TCP reassembling)。适当地重建流量，以达到如目标系统原先要接收的流量状况。
2、流量跟踪(Flow Tracking)。为更精确的分析，将多个连接联结为一个单一会话（session）。
3、协议常规化(protocol normalization)。将数据流解码成一个公共格式，以便可以精确分析。
Juniper的IDP的特征库的更新非常及时，
单独的IDP（入侵检测和防护）设备具备4对以上的数据接口，对数据可以进行带内模式操作，为安全级别要求高的用户提高真正的防护，在封包到达指定目标之前，让NetScreen-IDP从结构和内容方面对它们进行核实，这样可防止攻击潜逃的发生。；也可以部署为IDS，即只对镜像数据进行分析而不提供真正防护。为了执行容错操作，NetScreen-IDP系统支持高可用性的配置。
ISG系列防火墙内部的IDP刀片模块也具备和IDP设备相同的特征库，对数据可以进行带内模式或镜像模式操作。
如果需要部署IDP设备或IDP刀片模块，则需要采用三层管理架构的方式进行管理，即需要安装相应的管理服务器（基于Redhat Linux或Solaris平台）。
IDP的实施过程是一个较为复杂的过程，涉及网络业务内容、攻击类型、安全级别等多方面的因素。因此对IDP设备的实施不是一个简单的过程，建议采用一个三段式实施步骤，引导如何从打开包装开始，直到IDP系统可以对网络的攻击进行预防，完全发挥功能。这个过程为嗅探模式->微调->线内模式。这个有顺序的实施过程是最有效和直接的方式。

1）第一阶段，嗅探模式
在这个阶段，将在网络中实施嗅探模式的IDP系统。此时IDP起到一个被动入侵监测系统的作用。安装一个管理主机和管理接口软件，并且装入能够立即开始生成安全日志的安全策略，以便随时回顾日志记录。
以嗅探模式安装IDP可以达到这样几个目的。首先，可以确认在系统功能还没有充分发挥之前不会丢弃网络流量。第二，可以马上从网络活动中收到日志纪录，这有助于帮助理解现有流量的种类，以及IDP检测机制如何工作。最后，在实施步骤的第一阶段以嗅探模式使用IDP，然后在第三阶段迁移到具有全部功能的线内模式，更可以显示出线内模式独一无二的预防攻击的能力。
在第一个阶段，将可以完成：
 安装、配置IDP组件（IDP传感器、管理主机、用户接口软件）
 安装IDP用户接口软件，然后用对象编辑器将IDP传感器当作一个网络对象加入到网络当中。
 根据实施向导，检查、加载初始安全策略
2）第二阶段，微调
在第二个实施阶段，将开始定制安全策略以减少误报、漏报率，检测到真正的针对网络的攻击。在这个阶段将会开始理解网络流量的种类，并学习识别良性和恶意的行为。
在第二阶段，将可以完成：
 使用Log Viewer，Log Investigator，和IDP Reports观察日志纪录。加载初始安全策略后，这些IDP用户接口部件允许马上察看网络上的流量记录。.
 通过修改IDP的Main规则库，识别攻击，并减少错报、漏报。
即便是在一个小的网络上，日志记录也可能快速增长，使真正攻击发生时识别的难度更大。通过修改初始安全策略里的规则，可以减少不必要日志记录的数量，从而减少那些有可能阻止发现真正攻击的“噪音”。
 通过生成报警、设置email通知等方法识别出真正的针对网络的攻击，并进行响应。
在这第二个实施阶段，并没有准备丢弃包含恶意事件的网络流量，但是可以认出这些事件并产生告警，以提醒用户注意这些攻击企图。在第三个阶段，就可以真正预防这些攻击，使它们根本不会奏效。
 使用多手段检测方法预防攻击。
当学会对匹配IDP Main规则库的攻击进行响应的时候，就有机会探索IDP的其他规则库和检测机制了，包括SYN-flood攻击，后门攻击检测、保护以及其他一些异常流量的规则库。
3）第三阶段，线内模式
在实施的最后一个步骤，将IDP从被动的嗅探模式迁移到主动的线内模式，以便使之能够在恶意流量到达网络之前将它们丢掉。在这个阶段里，用户将会开始理解IDP系统独一无二的特性，以及在攻击发生时检测并通知的能力，但现在它可以真正地保护网络防止被那些攻击产生破坏了。
在第三阶段，将可以完成：
 重新配置IDP系统使之工作在线内模式。
第二阶段已经微调了IDP，此后，就可以准备将IDP直接放到网络流量的线上了。使用基于web页面的设备配置管理器（ACM），把IDP系统实施为具有完全网络保护能力的线内模式
 检查日志记录，看看IDP发现了什么，警告了什么
一旦设备工作在线内，请检查日志记录、做进一步微调，在这个多次重复的过程中确认IDP确实以所希望的方式工作。
 在IDP规则库中将“DROP”指令加入到规则中。
这是最后一步，修改IDP的规则库使之包含丢弃动作，将修订过的安全策略加载到IDP传感器上。
2.2.7 应用加速设备DX的使用
1、安全性：用于数据中心Web层的内部防火墙
DX的内部防火墙功能可补充现有的安全设备，进一步保护关键交易区域中的“Web层”免受潜在的TCP和HTTP/Web恶意攻击；支持Web的应用就位于这一区域内。Juniper  DX可利用现有的RADIUS和LDAP身份认证系统对用户进行验证，并能够提供针对每个请求的授权。DX平台还可保护数据和连接，保护服务器免受DOS和SYN泛洪攻击；该平台还可提供基于Native HTTP协议通信的特殊安全功能，以实现强大、灵活且可适应的安全功能。
所有DX平台都支持单向或端到端安全套接层（SSL），以高于能够提供明文的服务器的速度提供安全内容。
2、可用性：实现针对后台服务器的负载均衡
DX设备提供了完全的第4层至第7层服务器负载平衡功能，可在单一设备有支持多个应用和服务器集群的部署。DX平台还能够通过支持脚本的灵活健康状况检查功能来执行有计划的网络、服务器和应用健康状况检查，如果检查到某个服务器当机或者服务中断，DX可以自动的将连接发送给其他的活动的服务器，实现了服务的正常使用。DX平台可通过验证HTTP返回码验证每个Web请求/响应。可通过编程方式重试不成功的和异常的请求/返回，并做相关记录以供进一步根源分析之用。
3、可用性：利用Juniper Active-N™实现最大的可用性
DX应用加速平台具有一种独特的功能，可采用Active-N网状配
置进行扩展，最多支持32台DX设备，以处理相同或不同虚拟IP地址的流量。借助Active-N配置，一次只需添加一台设备，即可增强可扩展性和故障切换保护；而不像扩展主用－备用或主用－主用配置那样，要求成对增加设备并重新设计网络。
4、管理：提供详尽的实时信息
DX平台可提供200多种实时统计数据，以提供流进及流出流量的各种详细信息。可通过在线图表简便地按时间段分析几秒、甚至几年内的历史数据，可简化容量规划、趋势分析以及应用和网络问题的故障诊断。通过在前端连接所有服务器， DX设备可方便地实现
Web日志数据整合，以简化管理工作并释放更多的服务器资源。DX平台基于角色的管理功能可大大简化设备管理，将用户的权限限制在特定区域，并大大提高用户的责任心。全面的系统、管理和审计日志可提供详尽的管理记录。
5、灵活性：OverDrive控制环境
Juniper DX OverDrive™控制环境是一个“用户API”，能够在不更改应用本身的情况下改变应用的行为。OverDrive功能能够改变、更新、附加、预先设计和删除Request, response头、POST数据，甚至返回的内容本身，而不管是采用HTML、JavaScript、CSS（叠层样式表单）、XML、还是其他格式。如要使用OverDrive功能，用户只需使用类似直观语句的控制语言编写“if-then”即可；这种控制语言可基于传入的用户请求和发出的服务器响应中各种因素的任意组合来支持对数据流进行不受限制的内容处理操作。例如， OverDrive功能可用来自动保护应用请求和响应，在不导致性能降级且无需费时、费钱的应用改写的情况下实现即时安全性。OverDrive功能还可用来检查每个响应的准确性，并采取可配置的操作来消除故障，以最大限度提高应用的可用性。
6、Juniper DX的设备部署
DX的布属十分简要，只需要部署在需要加速或者负载均担的服务器之前，无需更改网络结构，无需在客户端及服务器器安装软件。可以单臂安装，也可以双臂安装。我们采用两台DX系统作为负载均衡用，既可以有容灾的功能，一台DX出现故障后，另外一台DX接管原有和新增的连接，也可以作为负载均衡用，可以增大系统的容量。

good thing , thank you

个人感觉不错:loveliness:

235iuioiopupiopoipoi