版主，跪求J系列路由器的策略路由文档啊，最好传个实际的例子的，多谢！

JUNOS：新一代企业级路由器操作系统
白皮书
JUNOS：新一代企业级路由器操作系统
构筑安全稳定网络的JUNOS软件
Juniper网络公司
地址：1194 North Mathilda Avenue，Sunnyvale，CA 94089 USA
电话：408 745 2000 或 888 JUNIPER
网址：www.juniper.net
文档编号： 200101-001，2005年3月
目录

摘要.........................................................................................................................................................1
现状再思考................................................................................................................................................2
JUNOS简介——新一代操作系统..................................................................... .................................................3
JUNOS校准网络功能和业务需求................................................................... ..................................................5
JUNOS 操作系统的SUPOR优势........................................................................................................................5
互操作性和适应性.......................................................................................................................................7
小结.........................................................................................................................................................7
摘要
尽管业务需求每年都会对网络提出越来越多的期望，然而在过去的十年里，底层路由平台的基本软件架构几
乎没有变化。 传统路由器操作系统(OS)在设计时从未考虑到今天的动态 IP 流量，这使用户在业务需求和运
营需求之间很难进行适当的权衡和妥协。
传统路由器的基本设计局限性在于老式 Internet 操作系统的整体式软件架构。为了试图不被淘汰，传统 OS
的代码库成长为庞然大物，约束了支持动态 IP 流量所需要的智能和敏捷。老式操作系统所面对的挑战包括：
安全问题，诸如分布式拒绝服务(DDOS)攻击期间的控制端口锁定；软件稳定性；性能退化（特别是激活服务
之后）；以及管理复杂系统的运营消耗。

为了应对这些挑战，Juniper 网络公司开发了模块化的操作系统 JUNOS。 JUNOS 的现代软件架构允许企业
构建智能网络以满足动态IP数据流的多样性需求。 JUNOS 的性能和完整性在全球最大的一些 IP 网络中已
经得以证实。现在，企业、政府机构以及研究/教育组织只要引入 Juniper 网络公司的 J 系列/M 系列路由器，
即可使用 JUNOS。
JUNOS 的模块化软件架构提供了完整的路由器控制权：每项功能都有受保护的处理资源，而且还有可以简
化配置/管理的新一代命令行接口(CLI)。 JUNOS 只有一条代码链，从首次出货时就确保了特性的连续性——
可根据预期计划无故障运行。
部署了 Juniper 网络公司的路由器之后，网络的安全性、工作时间、性能和运营灵活性都将提高到新的水平，
另外还有很多有助于平台入门的系统和工具。 利用 Juniper 网络公司的路由器，企业可以紧跟其不断变化的
需要，满足关于安全、稳定的新一代 IP 网络的整体需求。
现状再思考
以前，IP 网络的应用需求相对直观，那时主要关心的仅仅是连通性。 现在，不但引入了新的语音应用和视
频应用，而且公司内部/外部的用户群也在不断扩展，这些都带来了很多新的需求。 今天的 IP 网络必须在
传统的运营需求（性能、可靠性和安全性等）与不断扩展的业务需求（更强的网络智能、更广泛的访问策略
和更高的设备灵活性等）之间进行权衡；
图1 今天的网络需要很多权衡
   1.jpg (22.06 KB)

2007-8-24 22:52
尽管业务需求每年都会对网络提出越来越多的期望，然而在过去的十年里，路由系统底层基础设施的基本软
件架构几乎没有变化。 传统路由器的操作系统是在今天大多数动态 IP 应用尚未开发出来之前设计出来的，
而当时的设计受到当时的硬件/软件技术的制约。
当有新兴需求出现时，传统路由器的单一软件架构的局限性立刻体现出来了。为了试图紧跟所有这些新兴需
求，传统操作系统的代码库成长为庞然大物，约束了支持动态 IP 流量所需要的智能和敏捷。 现在，由于这
个已经过于庞大的代码库集成了越来越多的服务，因此以前路由器的操作系统对这些服务的控制变得越来越
虚弱。
传统的操作系统设计会有一个整体式代码库，其中的所有路由功能均相互缠绕、分享相同的 CPU 周期。过
于庞大、缠绕混合的架构会带来固有的处理冲突，这会影响到路由器的安全性、稳定性和性能。举例来说，
相互分享、缠绕混合的架构使得路由器的包转发功能要消耗所有的处理资源，控制和服务功能不得不等待，
需要更多的周期才能完成。
由于这一原因，分布式拒绝服务(DDOS)攻击期间传统路由器的控制端口经常会被锁定。关于混合架构的处理
经常局限性还有另外一个例子：大多数企业会明显过载其网络设计能力，而不是使用可行的 QOS 机制。 在
传统路由器操作系统中，由于不能有效地管理处理资源，因此激活这些 QOS 工具会严重地降低吞吐量性能。
图2 混合传统操作系统的架构
   2.jpg (6.18 KB)

2007-8-24 22:52
混合架构同样也无法隔离故障，于是小问题会很快变成大范围的停机。 诸如有一个小故障：一项任务出现了
内存泄漏或内存错误，将会导致重写另一项任务的代码或数据结构。 这类错误会导致更多的任务失败，最终
是整个操作系统的崩溃。 唯一恢复这类故障的方法是，重新启动整个路由器。
另外，路由器本质上是复杂的，难以配置和维护，它需要大量的时间和很高的专业技术水平。 例如，传统的
CLI 需要多个步骤或命令才能执行一些基本的功能，而且对那些导致安全漏洞或性能退化的简单错误只有最
基本的保护措施。一项特性/功能如何影响到另一项特性/功能，这要求考虑到很多细节；因此网络的变动要
求更认真的前期设计、工程设计和实现，这都会导致应用的首发日期滞后数月。
混合架构的另一项挑战是，新特性的开发和为了支持所有可能平台排列而导致的大量操作系统的镜像。整个
软件架构变得如此庞大，使其失去了灵活性、可伸缩性和系统稳定性。修改变得特别难以进行——因为仅仅
是添加一项新特征，就会影响到整个代码库。另外，因为需要更正重要的网络问题或添加重要的新特性，所
以代码的规模和复杂性也决定了厂商发布新软件版本的速度。
尽管在上一个十年里，传统系统试图紧跟所有这些不断变化的需求，但“每个特性或修订都有一个版本”的传
统方式只会带来更多的挑战。传统路由器代码的补丁包可以根据平台、接口及版本指定，这样企业级设备将
会有5000多种可用的软件版本。一些企业运行着多达100种不同的软件版本。为每个设备找出合适的版本以满
足特定的需求，这本身就是一件令人望而生畏的工作。
考虑到传统路由器操作系统中明显的软件复杂性，企业通常会尽可能地避免软件维护，因为即便像添加一项
特性这样的简单操作也会影响到整个代码库。 如果确实需要补丁和升级，将需要花费数月的时间来评估、测
试不同的版本以确保系统的稳定性和互操作性。由于软件升级的麻烦，企业也通常会订购比实际需要更多的
特性和内存，以避免将来改动时的混乱。
新一代操作系统——JUNOS简介
现代 IP 应用需要一种智能网络，可以安全满足关于安全性、工作时间、性能和灵活运营等不同需求的集合。
应对这些挑战需要一种植根于软件模块化和现代编程技术的新设计方法。
Juniper 网络公司的 JUNOS 操作系统通过目的导向构建，可保护目前动态IP流量的安全并满足网络要求。
Juniper 网络公司路由器在受保护系统资源上运行模块化的 JUNOS软件，克服了传统路由器操作系统的众多
设计缺陷。
Juniper 网络公司的路由产品在电信运营商群体中以其高级的系统设计和运营设计而闻名。 今天，90% 以上
的 Internet 流量都要流经 Juniper 网络公司的路由器。 现在，由于商业环境的不断变化，使得企业的网络
应用也在发生不断变化，为了支持不断变化的网络应用，企业的网络也需要不断改进。而越来越多的企业要
求自己的网络能提供与运营商基础设施提供的相同服务级别。Juniper 网络公司将其高级 JUNOS 操作系统
由T系列、M系列路由器扩展至J系列路由器平台以便让企业网络也能达到和运营商网络相同的级别。
Juniper 网络公司的系统架构为路由平台的设计和开发带来了一系列本质变化。 Juniper 网络公司的路由器利
用一种严格的分工，提供了任何其他平台都无法比拟的智能和性能。 模块化的系统架构使得企业能够满足新
一代 IP 基础设施的不同需求。
开发方法基于 4 大重要设计原则。
.. 受保护的处理——始终可用的资源确保了路由器的稳定性和控制
.. 模块化的软件架构——清晰地分隔开相互独立的软件功能
.. 新一代 CLI——高级的配置/诊断工具
.. 单版本链——通过严格发布过程开发出来的通用代码
在下一节中，我们将结合这些主要设计原则所带来的许多优势，对其逐一进行详细介绍。
受保护的处理资源——Juniper 网络公司的平台通过严格的分工保证了各项功能的资源，避免其互相影响。模
块化设计将包转发功能、服务处理功能和控制功能完全分开。
图3 模块化系统架构——Juniper 路由器
   3.jpg (5.08 KB)

2007-8-24 22:52
这种世界级架构由 3 大独立系统组件组成，即路由引擎、转发引擎和服务引擎。每个引擎都有着自己专用的
ASIC 或指派的 CPU 资源（连同受保护的内存），因此处理冲突将不再是问题。
.. 路由引擎——管理系统的所有路由/控制功能，包括对等关系的维护、路由协议的处理以及路由表/转发
表的创建和更新等。
.. 包转发引擎——接收包，执行路由查找，并向输出接口发送包。
.. 服务引擎——提供高级的包处理服务，诸如网络地址转换(NAT)、加密、状态防火墙过滤器、审计和实
时性能监控等。
Juniper 网络公司路由器强韧的受保护内存架构为每个操作进程分配了一个唯一的地址空间。 由于每项任务
有着自己专用的ASIC或受保护的处理资源，因此，JUNOS提供了任何其他操作系统都无法比拟的智能和性能。
JUNOS 对每个进程维持着 CPU/内存使用情况的可见性，带来了前所未有的 IP 基础设施控制力和可预测
性。网络管理员拥有了实时信息和更强的 IP 网络控制能力，可以主动地阻止诸如性能退化和停机之类的问
题。
模块化的软件架构——JUNOS 操作系统的模块化软件架构是处理资源分工的补充。 JUNOS软件的构建考虑
到使用现代操作系统设计原则时的稳定性，确保一个模块的变化或复杂性不会影响到整个操作系统。
为了安全、可靠地支持性能需求不同的大量动态IP流量，模块化软件架构是基础。JUNOS操作系统，这种完
全模块化的软件平台，为很多高级特性/功能的无缝开发和运营带来了功能上的分工。
对软件系统进行划分之后，任务会分割成一些很少交互的可管理子集。加载一个子集而不会影响到其他子集，
这样便消除了传统路由器的一种常见故障模式。在这些相互独立的模块之间，有一些清晰的、定义明确的接
口可以提供进程间通讯，从而带来一种高度可靠的软件架构。
路由协议、接口管理、机箱管理、SNMP管理和其他关键功能均作为独立的进程执行，每个进程都具有各自
的内存保护。诸如路由协议守护进程和SNMP之类的关键进程可以独立地重新启动或改动，而不会对路由器
运营造成不利的影响。
模块化 JUNOS 在过去 8 年里的发展已经推动操作系统架构成为联网行业的新一代技术。现在，模块化已
经被作为所有新一代系统的最佳软件设计方法。虽然Juniper网络公司竞争对手的最新 1.0 版系统使用了模块
化软件，但企业级设备仍然局限于传统软件代码及其混合架构的缺陷。
新一代 CLI——JUNOS 扩展了自己的现代设计，不再只是带有一种高级管理特性的系统架构。对于用户而
言，JUNOS 的结构化 CLI 是一目了然的。其智能化、分层式的组织非常适合任务操作，另外还内置了很多
创新特性，简化了整个网络的部署、配置及恢复。
.. 命令帮助和命令补全——JUNOS CLI 提供了上下文敏感的帮助，在每个命令层次级别都完整地列出了
所有可用的命令。另外，CLI 还将补全只输入一部分的命令或选项。
.. 提交检查(Commit Check)——在 CLI 编辑器中，用户做的一系列改动会作为一个分组命令集合应用。
在编辑器中，用户可以验证命令集的语法，然后一次性运用所有改动，而不像其他厂商那样，要单个的
命令逐行输入改动。
.. 提交确认(Commit Confirm)——在对远程配置设备中，始终存在意外断开设备或终止管理会话的风险。
Commit Confirm 命令有助于防范在这些情况下失去连通性——如果系统没有收到确认改动的通知，系统
就会回退到此前的配置。
.. 回滚(Rollback)——如果激活的配置导致运营性能退化，JUNOS CLI 提供了一个Rollback命令可以快速
恢复到此前的50种配置之一。与撤销单个命令相比，使用回滚功能恢复此前的配置更快、更容易。
.. 配置比较——J 系列路由器的 J-Web 图形管理界面显示了命令提交历史以及当前的配置文件。网络管
理员还可以发起两份不同配置版本之间的比较，从而强调文件差别。
.. 救援按钮——J 系列路由器有一个隐藏式按钮，该按钮指向一个的救援配置文件（该配置文件可能是用
户长期使用验证的最稳定可靠的配置）。救援按钮与路由器重启不同，路由器重启通常会重新启动到同
样的问题配置。利用救援按钮，现场任何（即使没有技术背景的）员工都可以进行快速安全的救援配置
回滚。
单版本链——Juniper 网络公司遵循一种严格的、定义明确的开发发布过程，在其 J 系列、M 系列和 T 系
列等路由平台上都使用同一个代码库。这个公用代码库和 JUNOS 独立模块的内在灵活性一起，支持有效的
特性开发和严格的逆向测试，可以快速地引入顾客所需要的新功能。
在 Juniper 网络公司的严格开发标准之下，可以不断地添加、支持、测试和可靠地承载转发——每年有 4 次
重要的发布，而小规模升级每月都会有。作为一种模块化软件平台，很多开发者可以同时为 JUNOS 创建新
的特性而不会影响彼此的工作。针对一种平台开发的适合特征也可以用于其他平台（企业和电信运营商），
通过产品组合，支持快速的特性引入和一致性。
JUNOS 的统一代码库允许软件开发者在不同版本之间履行严格的逆向测试；这种逆向测试是产品开发过程
的一个基本部分。 这种方式为系统维护和升级提供了一种一致的、可预测的途径，确保了特性的持续性，从
首次出货开始就拥有如预期工作、毫无问题的优质代码。
JUNOS校准网络功能和业务需求
Juniper 网络公司的路由器配备了模块化操作系统 JUNOS 之后，允许企业设计出安全、稳定的网络以满足
动态 IP 数据流的多样化需求。 部署了 Juniper 网络公司的路由器之后，让安全性、工作时间、性能和运营
灵活性等提高到了新的水平，而且有很多有助于网络入门和运营团队入门的系统和工具。
JUNOS 操作系统的SUPOR优势
Juniper 网络公司路由器的高级架构设计有很多优势，可以用 S-U-P-O-R 这5个字母来帮助记忆。 Juniper 网
络公司将路由器的安全性、正常运行时间、性能和运营提高到了新的水平；如下表所示。
表1： SUPOR 优势
SUPOR 优势          关键的区分点
安全性                受保护的系统资源确保了完整的路由器控制。 即使受到攻击，仍可通过控制端
                          口，通过几个简单步骤即可添加新的过滤器和策略。
正常运行时间      模块化的 JUNOS 在故障扩散之前就对其进行了隔离，带来了很高的软件稳定
                         性，其新一代 CLI 提供了配置错误防范功能。
性能                   资源受保护的模块化 JUNOS 软件支持 QOS、组播、过滤器、MPLS 及其他一
                          些综合包处理功能，而不会影响性能。
运维                   一个公用 JUNOS 代码库简化了部署、补丁和软件升级，另外还带有多个用于
                         帮助设备部署和管理的工具。
路由器                业内唯一面向企业用户提供电信运营商质量级别路由器和所有特性

安全性——任何网络的总体安全性水平总是由最弱一点决定的，因此设备级安全性是每个网络节点的首要考
虑因素。 JUNOS 架构的软件模块性防御了基础设施攻击——它始终保护着控制方的处理资源。 诸如新增
过滤器条件之类的升级始终可以使用控制功能，而路由器也可以与其他系统交换控制消息。
控制端口从来不会像传统设备中那样锁定或变慢，运营始终处于控制之中。可以随时添加过滤器以阻塞分布
式DOS攻击，而不会让路由器停止服务。使用JUNOS的新一代CLI可以快捷而轻松地在脱机编辑器中输入改
动，然后通过一次快速升级再提交给路由器。
另外一个重要的安全注意事项是路由器支持的过滤器条件数目。Juniper网络公司路由器支持一个接口多个过
滤器，在提供细粒度流量控制的同时而不影响系统性能。IT员工可以定义控制以阻塞、限速或监控特殊的数
据流和应用，在问题尚未凸现之前就将其扼杀在开始阶段，并且无需做出性能权衡。
工作时间——由于网络主要是软件控制式的，因此，提高软件的可靠性和永续性是改善网络稳定性的基础。
JUNOS的构建考虑到使用现代操作系统设计原则时的稳定性，其中包括模块化的程序架构和强韧的受保护内
存架构。JUNOS可确保一个模块中的变化不会扩散到其他地方。每项处理功能都是独立且能胜任的。
JUNOS的模块化软件设计也支持模块个体的快速重启和升级，因为这里没有必要重启整个路由器。例如，如
果路由协议进程出现故障或出于某个原因而需要重启，而不会影响到它的转发进程，路由器可以在“优雅重启”
期间仍然可以继续进行数据转发。 同样的机制也允许用户升级特定的JUNOS模块而不用重启整个系统。
Juniper网络公司的软件可靠性不仅仅是代码的可靠性，其管理特征也设计成具有运营错误防范能力。配置错
误是网络故障和安全故障的最大原因之一。JUNOS CLI高级的改动管理功能有助于降低运营风险和停机时间。
其智能化、分层式的组织非常适合于运营任务，另外还内置了很多特性，从而简化了整体网络部署和配置。
性能——JUNOS 的受保护处理为企业提供了综合的、实时的、细粒度的网络流量控制。 路由器不仅是一种
可用的综合性能管理工具箱，它还维持着较高的转发率，甚至还开启了越来越多的高级路由服务。 企业不需
要再抉择较高的吞吐量与严格的流量控制。
Juniper 网络公司路由器启用了对实时应用的支持，诸如对服务质量(QOS)有较高要求的语音应用和视频应
用。JUNOS内部的高级 QOS 工具集针对流量优先级划分包含多个级别的细粒度QOS——逐个端口、逐个逻
辑电路（DLCI、VC/VP、VLAN）、逐个通道（至DS0）。可用的QOS机制包括分类、限速、修整、加权循
环调度、严格优先级队列、加权随机早期检测、随机早期检测和包标记。
在拥塞期间，员工可以在最需要的时候依赖Juniper 网络公司的QOS特征。M系列的专用硬件和J系列的高级
调度机制，确保了QOS任务即使在高流量负载之下的资源可用性。
运营——横跨所有平台和实施的公用JUNOS软件简化了运营，实现了直观的软件更新和软件升级。 JUNOS
只有一条代码链，支持快速的版本认证和产品间的完全互操作性。与使用基于ASCII的CLI编辑命令相比，使
用结构化的JUNOS CLI来管理路由器将会更加直观、更不容易出错。
另外，JUNOS 的模块化软件设计支持一种许可证模型，允许及时地融合业务需求和操作系统特征。 虽然具
有证书许可能力，JUNOS 还提供了灵活的软件特性升级功能，甚至在 J 系列路由器的多端口卡上添加了接
口。正如企业需要改变一样，证书许可也支持快速激活新的功能，而不用长时间测试、验证新软件，也不用
转到单个的站点。
互操作性和适应性
部署了 Juniper 网络公司的路由器之后，将安全性、工作时间和性能等提高到了新的水平，但也为员工带来
了运营功能的互操作性注意事项和潜在的改动。为了向网络和运营团队引入这种新的路由设备，Juniper网络
公司提供了管理所需的工具和支持。
关于与思科IOS型平台交互操作的解决方案，Juniper 网络公司具有多年的解决方案提供、设计和实施经验。
Juniper网络公司的系统同时部署在全世界的设备中——不仅出现在数以千计的公司网络、政府网络和教育网
络中，而且出现在全球最大的25家电信运营商网络中。
第一次使用Juniper网络公司路由器的顾客会发现很多能帮助他们的工具和支持服务。JUNOS 操作系统的CLI
既直观又易学易用，特别是对于那些有经验的网络操作员——他们一般会在几个小时之后就会挑选关键的功
能。 对于新员工，Juniper 网络公司还提供了基于浏览器的接口 J-Web。 JUNOS 软件还包括 JUNOScript；
JUNOScript 是一种简化了脚本编写和系统集成，强韧且基于 XML 的 API。 另外，还有一个强大的客户服
务和支持小组负责提供 24X7 的支持、广泛的培训/专业服务、技术文档以及很多在线工具，其中包括一种可
将Cisco CLI 转换为JUNOS CLI 的IOS-to-JUNOS 转化软件。
小结
JUNOS 是一种高级的软件解决方案，它校准了网络功能与业务需求，使得企业可以满足其不同的业务/运营
需求集合。JUNOS 软件模块化的、一致的设计与传统路由器OS有着根本的不同，也就是传统路由器OS受到
混合软件架构的抑制。
JUNOS克服了传统 OS 的操作挑战，确保了操作员始终具有完整的控制能力，提供了系统高度稳定的强大安
全性，带来了可预测的、不会降低的性能——所有这些都基于一个统一的代码库。
JUNOS的性能和完整性已经在全球最大的一些 IP 网络中得以证实，其中包括全球最大的25家电信运营商网
络。Juniper网络公司路由器在受保护的系统资源上运行模块化JUNOS软件，其中结合了可靠性与灵活性，支
持高级路由、QOS、过滤、安全/管理策略以及使用情况/性能监控等功能。
JUNOS和Juniper网络公司路由器的高级架构设计有很多优势，可以用 S-U-P-O-R 这5个字母来帮助记忆。
Juniper网络公司将路由器的安全性、正常运行时间、性能和运营等提高到了新的水平。Juniper网络公司的路
由平台提供了最佳的基础设施基石来构建能支撑越来越多的动态IP流量所需要的安全、稳定的网络，。

Copyright . 2005Juniper Networks, Inc. 版权所有, 保留所有权利。Juniper Networks, Juniper Networks标识, NetScreen, NetScreen Technologies,
GigaScreen，NetScreen标识是Juniper网络公司的注册商标。 ERX, ESP, E-series, Internet Processor, J-Protect, JUNOS, JUNOScope, JUNOScript,
JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, NMC-RX, SDX, T320, T640, T-series, J2300, J4300, J6300, J-series,
NetScreen-5GT, NetScreen-5GT ADSL, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208,
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-RA 500, NetScreen-Remote
Security Client, NetScreen-Remote VPN Client, NetScreen-Hardware Security Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500,
NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, NetScreen Security Manager, NetScreen-SM3000, NetScreen-ISG 2000, GigaScreen
ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS是Juniper网络公司所属商标。所有其他的商标、服务标记、注册商标或注册的服务标记均
为其各自公司的财产。

不管出于任何目的，未经Juniper网络公司的书面许可，任何人不得以任何形式或方式复制或转载本文的任何部分。
Juniper网络公司不承担由本资料中的任何不准确性而引起的任何责任，Juniper网络公司保留不作另行通知的情况下对本资料进行变更、修改、
转换或以其他方式修订的权力。

传统的操作系统设计会有一个整体式代码库，其中的所有路由功能均相互缠绕、分享相同的 CPU 周期。过
于庞大、缠绕混合的架构会带来固有的处理冲突，这会影响到路由器的安全性、稳定性和性能

1 概念与简介 4
1.1 Universal Security Gateway Architecture(通用安全网关架构) 4
1.1.1 Multiple Security Zones(多安全区域) 4
1.1.2 Security Zone Interfaces(安全区域端口) 4
1.1.3 Virtual Routers(虚拟路由器) 5
1.1.4 Access Policies(访问策略) 5
1.1.5 VPNs（虚拟专用网络） 6
1.1.6 Virtual Systems(虚拟系统) 6
1.1.7 Packet Flow Sequence(数据包处理过程) 7
1.2 Zones(区域) 8
1.2.1 Security Zones(安全区域) 8
1.2.2 Tunnel Zones(隧道区域) 8
1.2.3 Function Zones(功能区域) 9
1.3 Interfaces(端口) 11
1.3.1 Interfaces Types(端口类型) 11
1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式) 11
1.3.3 Secondary IP Addresses(第二IP地址) 13
1.3.4 Management Services Options(管理服务选项) 13
1.3.5 Interface Services Options(端口服务选项) 14
1.3.6 Firewall Options(防火墙选项) 14
1.4 Administration（管理） 15
1.4.1 Management Methods and Tools（管理方法和工具） 15
1.4.2 Levels of Administration（管理权限等级） 16
2 基本管理 20
2.1 通讯连接的设置 21
2.2 Web管理连接设置 23
2.3 防火墙基本设置 27
2.3.1 设置访问超时时间 27
2.3.2 设置管理员 29
2.3.3 设置DNS 32
2.3.4 设置Zone（安全区域） 34
2.3.5 设置Interface(接口) 36
2.3.6 设置router(路由) 40
2.3.7 设置policy（策略） 43
2.3.8 保存配置及配置文件 49
3 透明模式 53
3.1 设置管理端口 54
3.2 设置透明模式 54
3.3 其他相关命令 55
4 NAT模式及Route模式 56
4.1 NAT模式 56
4.1.1 基于端口的NAT 57
4.1.2 基于策略的NAT 60
4.2 Route模式 62
4.3 MIP和VIP 63
4.3.1 MIP 63
4.3.2 VIP 66
4.4 DIP（虚拟IP） 70
5 VPN(虚拟专用网络) 73
5.1 Manual Key 73
5.1.1 配置Manual Key 73
5.1.2 配置路由 75
5.1.3 配置Policy 75
5.2 AutoKey IKE 78
5.2.1 Policy-based IKE 78
5.2.2 Route-based IKE 81
5.3 VPN TroubleShooting（VPN 错误检测） 83
6 常见问题及解决方案 84
6.1 透明模式 84
6.1.1 配置管理问题 84
6.1.2 连接问题 85
6.2 NAT和Route模式 86
6.2.1 配置管理问题 86
6.2.2 连接问题 86
概念与简介
Universal Security Gateway Architecture(通用安全网关架构)
NetScreen Screen OS 4.0 引入了Universal Security Gateway Architecture(通用安全网关架构)，这个架构使得用户在实施网络安全策略时更具灵活性。在多端口的NetScreen设备中，用户可以建立不同Zone(安全区域)，并将端口绑定在不同的安全区域，在端口之间建立相应的安全策略。
Multiple Security Zones(多安全区域)
安全区域是一个或多个需要对进出数据进行策略控制的网络。用户可以根据自己的需要来定义安全区域，也可以利用预定义的安全区域：Trust、Untrust、DMZ(与之前的ScreenOS兼容)，安全区域之间的访问只有策略允许下才能进行。
Security Zone Interfaces(安全区域端口)
安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。
端口有两种：
Physical Interfaces(物理端口)：由端口的物理位置定义，如ethernet1、ethernet2(固定端口)、ethernet2/1、ethernet2/2 (端口模块)
Subinterfaces(子端口)：在支持Virtual System(虚拟系统)的设备上，用户可以将一个物理端口分成几个虚拟子端口，如ethernet1.1、ethernet1.2(固定端口)、ethernet2/1.1、ethernet2/1.2 (端口模块)。
Virtual Routers(虚拟路由器)
虚拟路由器和路由器的功能是一样的，它有自己的端口和路由表。在USGA，NetScreen设备支持两个虚拟路由器，这样设备可以维护两个独立的路由表，互相隐藏路由信息。
Access Policies(访问策略)
每次有数据包尝试通过另一个安全区域时，NetScreen设备就会检查访问策略，如果有允许的策略的话，就会让数据包通过，否则就会拒绝通过。
VPNs（虚拟专用网络）
所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。
通过VPNC测试，与其他通过IPSec认证的厂家设备兼容。
三倍DES，DES和AES加密使用数字证书（PKIX.509）,自动的或手动的IKE。
SHA－1和MD5认证
同时支持网状式（mesh）及集中型（hub and spoke）的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。
NetScreen设备支持多种VPN的选项，具体见VPN章节。
Virtual Systems(虚拟系统)
高端的NetScreen设备（NS-500以上）支持虚拟系统，每个虚拟系统都有独立的地址簿、策略和管理功能，相当独立的安全系统。虚拟系统与802.1q VLAN标记相结合，把安全区域延伸到整个交换网络中。
Packet Flow Sequence(数据包处理过程)
当数据包从外部进入Netscreen设备时，首先是进入外部的接口，判断目的地址是否需要MIP或VIP转换，如果需要按照设定来转换，然后根据查找路由表上是否有路由，如果有查找策略中是否允许数据包进入，当查找到第一条与目的地址有关系的策略时，就根据策略决定是否允许数据包按照路由表的指定来传递，如果允许就传递到目的的地址。

Zones(区域)
Zone是一个可以应用安全措施虚拟网络空间(security zone)，一个能够被VPN隧道端口绑定的逻辑片断（tunnel zone），或者是一个能够履行一个特殊的功能的物理或逻辑实体（function zone）。
Security Zones(安全区域)
在单一的一个Netscreen设备上，你能够配置多个安全区域，把网络分解成多个能应用各种不同的安全策略的部分，以满足每一个部分不同的需要。最低限度，你必须定义两个 Security Zone，去建立一个网络中的区域到另外的区域的基本保护。你也可以定义许多的Security Zone，可以给你的安全设计带来很好的功能――不再需要为此再应该多种的安全工具了。
Tunnel Zones(隧道区域)
Tunnel Zone 是主管一个或多个隧道接口的逻辑部分。它被Security Zone联合起来作为行动的载体。Netscreen设备用路由信息为载体区域指导通向隧道终点的流量。默认的Tunnel Zone是Untrust－Tun，它是关联Unstrust Zone的。你可以创建其他的Tunnel Zone，并用在虚拟系统的载体区域中，对一个Tunnel Zone可以用的最大数目来绑定到其他的Security Zone。
Function Zones(功能区域)
一共有四个Function Zone分别是Null，MGT，HA和Self。每个Zone都为了一个单一的功能而设立的。
Null Zone（空区域）：这个区域是一个为了还没有绑定到其他的区域的端口做临时存放的区域。
MGT Zone（外带宽管理区域）：这个区域主要包括了对外带宽管理端口。包括MGT。
HA Zone（高可用性区域）：这个区域主要包括了高可用性的端口。包括HA1和HA2。
Self Zone（远程管理区域）：这个区域主要包括用于远程管理连接的端口。当你通过Http，SCS或Telnet连接到Netscreen上面的时候，你就是连接到这个区域。

Interfaces(端口)
创建玩一个区域，下一步就是创建一个端口。你必须创建一个端口，并把它绑定到一个区域，和指定允许流量流进或流出这个区域。然后，你必须设置路由和配置访问策略以允许流量从一个端口到另一个端口。物理端口和子端口，就像一个门口，允许流量流进和流出一个区域。你可以指派多个端口给一个区域，但是一个端口只能被指派给一个区域。
Interfaces Types(端口类型)
端口类型一共有三种，分别是物理端口（Physical Interface），子端口（Subinterface）和隧道端口（Tunnel Interface）。
Interfaces Settings And Operation Modes(端口设置和运行模式)
端口可以被配置成为三种不同的模式：网络地址转换模式（NAT Mode），路由模式（Route Mode）和透明模式（Transparent Mode）。当你配置端口的时候，你可以选择其中的一种模式。
Transparent Mode（透明模式）：当端口是处于透明模式下的时候，Netscreen过滤穿过防火墙的包时是不会改变在IP包头的原地址和目的地址的信息的。所有的端口就像存在于同一个网络中，而Netscreen就像一个二层的交换机或路桥。在透明模式下，端口的IP地址要设为0.0.0.0，使得Netscreen就好像不存在，或者说是对于用户来说是“透明”的。
Network address translation Mode(网络地址转换模式)：当端口是处于NAT模式下的时候，Netscreen就像是一台3层的交换机或路由器，能够转换穿过防火墙出去的IP包头的两个组成部分：源IP地址和源端口号。Netscreen会把源地址转换为包需要传送到的目的区域的端口IP地址。而且它也会把源端口号转换为另一个由Netscreen自己产生的随机号。
Route Mode（路由模式）：当端口是处在路由模式下的时候，Netscreen会路由数据包而不执行网络地址转换，就是说，当经过Netscreen的时候，数据包头的源地址和源端口号都不会被转换。不像NAT模式，你不需要在端口建立MIP或者VIP地址，路由模式可以允许进入的会话到达主机。也不像透明模式，在Trust Zone中的端口和在Untrust Zone中的端口是处于不同的子网。
Secondary IP Addresses(第二IP地址)
每一个Netscreen的端口都有一个单一的，独一无二的主IP地址。然而，在一些环境下却需要端口要有多个IP地址。例如，一个组织可能会有另外的IP地址分配，而且可能并不希望加一些路由去配置它们。特别是当一个组织有许多的网络设备以至于超过他们的子网可以控制的范围，就是说超过254台主机连接到一个子网上。为了解决这些问题，你就需要增加第二IP地址到在Trust Zone，DMZ Zone或用户定义的Zone中的端口上。
Management Services Options(管理服务选项)
你可以配置端口来应用不同的管理方法。例如，你可以应用本地管理在一个端口，而应用远程管理在另一个端口。你也可以把一个端口专门用作管理端口，这样可以把管理流量和用户流量完全区分开。
你可以选择以下一种或多种管理服务：WebUI，Telnet，SNMP，SCS，SSL。
Interface Services Options(端口服务选项)
这些服务会影响你的Netscreen的表现，你可以从中选择需要的来配置你的网络。
你可以选择以下一种或多种端口服务：Ping, Ident-reset, DHCP Relay Agent, Enable DHCP Relay VPN Encryption。
Firewall Options(防火墙选项)
Netscreen防火墙通过检测去保护一个区域，然后允许或禁止所有企图穿过端口的连接。为了保护其他区域的反攻击，你能够启动一些防御工具去侦察或转移通常的网络进攻。具体工具请参考不同版本的Netscreen文档。

Administration（管理）
这章描述了不同的管理方法和工具，保护管理流量的方法和你可以付给管理者的管理权限等级。
Management Methods and Tools（管理方法和工具）
WebUI（Web管理界面）：
为了灵活方便的管理，你可以用Web管理界面。Netscreen用Web技术提供了一个Web－Server的管理界面去配置和管理软件。
Http：用一个标准的网页浏览器，你就可以运用HTTP远程访问，检视，控制你的网络配置。
Secure Sockets Layer：SSL是一整套能够提供安全连接的协议，用于一个基于TCP/IP的网络中网页客户端和服务器的通信。Netscreen的Web管理能够提供这方面的安全协议。
CLI（命令行界面）：
高级管理人员能够运用命令行界面来进行更好的控制。为了用CLI来配置Netscreen，你可以用一些软件去仿效VT100终端。你可以用基于Windows，Unix和Macintosh的控制台，又或者是Telnet或Secure Command Shell（SCS）。
Levels of Administration（管理权限等级）
Netscreen支持多个管理员。当管理员作出了对系统配置的更改时，系统会记录一下的信息入日志：
更改的管理员姓名
更改的来源的IP地址
更改的时间
管理权限的具体设置，请参考2.3.6设置管理员这章。


有不同等级的管理员，每个等级的权限由Netscreen来设定。
Root Administrator（主管理员）
主管理员有全部所有的管理权限。每台Netscreen设备只有一个主管理员。主管理员有一下的权限：
管理整个Netscreen系统
增加，删除和管理所有的其他管理者
建立和管理virtual system（虚拟系统），分配物理端口和逻辑端口给它们
增加，删除和管理virtual router（虚拟路由）
增加，删除和管理security zone（安全区域）
分配端口到安全区域
Read/Write Administrator（读/写管理员）
读/写管理员拥有和主管理员一样的权限，除了增加，删除和管理其他的管理者这一条。
Read-Only Administrator（只读管理员）
只读管理员在WebUI上只有看的权利，而在CLI上只有get和ping这两条系统命令的权限。只读管理员的权限如下：
只读权限在CLI上，可以运行下面四条命令：enter，exit，get和ping
在虚拟系统中也只有只读的权限
VSYS Administrator（虚拟系统管理员）
虚拟系统管理员能够配置Netscreen系统以支持虚拟系统。每一个虚拟系统都是一个独立的安全域，在一个虚拟系统中的管理权限都只是针对这一个虚拟系统的。
虚拟系统管理员能够通过WebUI或者CLI来独立管理虚拟系统。在每一个虚拟系统上，虚拟系统管理员都有一下的权限：
创建，修改用户
创建，修改服务
创建，修改访问策略
创建，修改地址
创建，修改VPN
创建虚拟系统管理员的登录密码
创建，管理安全区域
VSYS Read/Only Administrator（虚拟系统只读管理员）
虚拟系统只读管理员在WebUI上只有看的权利，而在CLI上只可以执行enter，exit，get和ping的指令。
Adding Admin Users（增加管理员）
主管理员是唯一一个可以创建，删除和修改管理员的。
WebUI：进入Admin>>Admin>>New Local Administrator ，然后填入name（名称），password（密码）两次和选择Privileges（权限），最后按OK。
CLI：输入命令 所set admin user name password password privileges privileges 斜体部分为需要设置部分。

基本管理
NetScreen防火墙支持多种管理方式：WEB管理，CLI (Telnet) 管理，NetScreen Global Pro/ Express管理，SNMP管理和第三方的集成管理。本操作手册仅介绍CLI和WEB管理界面及基本操作；所有例子都以NetScreen-5XT为例。


NetScreen-5XT端口示意图

通讯连接的设置
通讯连接的初始化设置：
CONSOLE口的设置
使用CONSOLE口进行配置
1．把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。

2．打开WINDOWS的附件-》通讯-》超级终端 ，选择插有CONSOLE线的串口连接。然后配置如图：

选择连接所用的串行口

设置串口属性：9600-8-无-硬件
3．按回车
4．出现提示符号后输入帐号密码进入设置命令行界面
默认帐号：Netscreen；密码Netscreen
5．进入Netscreen命令行管理界面

Web管理连接设置
设置流程：
1)设置接口IP；
2)启动接口的web管理功能；
3)连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置；
1．设置接口IP
若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口；
在命令行模式下输入：
ns5XT－>set int trust ip <A.B.C.D/E>
命令说明： A.B.C.D为IP地址，通常设置为一个内网地址，E 为IP地址的掩码位，通常设为24。
此时通过get interface命令可以看到端口状态的改变：

可以看到trust端口已经配置了IP为10.10.10.1/24，即端口已经拥有IP，可以进行网络连接了。

2.启动接口的web管理功能：
接口管理IP配置完成后，启动接口的web管理功能；
ns5XT－>set int trust manage web

3.连通PC与防火墙间的网络，通过浏览器进入防火墙的web图形管理界面
建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。
将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；
打开浏览器，键入防火墙的管理IP，打开登陆画面；

输入帐号密码后进入web管理界面


防火墙基本设置
设置访问超时时间
Web:
在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数，并在前面打勾。

CLI:

NS5XT－>set admin auth timeout <minute>

设置管理员
对于Netscreen的管理权限，可以参考1.4.2管理权限等级这章的描述。以下只描述Root管理员的配置方法，其他管理员配置方法类似。
进入Configuration>Admin>Administrators ，在这里可以管理所有的管理员。
1.设置超级管理员(Root)
WEB：
点击超级管理员（超级管理员的权限为root，默认名为netscreen）的option项中的Edit链接，打开管理员设置页面。

更改管理员登录名和密码，点击ok按钮完成设置。
CLI：
NS5XT－>set admin name <login name>
NS5XT－>set admin password <password>



2.添加本地管理员
WEB：
点击New链接，打开配置页。

输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。
点击ok按钮完成设置。
CLI：
NS5XT－>set admin user <login name> password <password> privilege <all|read-only>

设置DNS
Web：
打开Network>DNS页面，可配置Host Name（主机名），Domain Name（域名），Primary DNS Server（主名称服务器），Second DNS Server（次名称服务器），还有DNS每天更新的时间。配置完后按Apply按键实施。

CLI：
NS5XT－>set hostname <HostName>
NS5XT－>set domain <DominName>
NS5XT－>set DNS host <dns1|dns2> <a.b.c.d>

设置Zone（安全区域）
Web：
打开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置，有许多默认的Zone是不允许配置的，在Configure中不会出现Edit)。按New按键可以新增一个Zone。

CLI：
NS5XT－>set zone <zone name> vrouter <vrouter name>

设置Interface(接口)
WEB：
打开Network>Interfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口）。

点击对应接口Configure列中的Edit链接，打开接口配置窗口。（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）
Zone name: 设置从属的安全区域；
IP Address/Netmask：设置接口的IP和掩码；
Manage IP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0.0.0.0，则该Manage IP默认为接口IP。
Interface Mode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT（具体操作请参阅本文档NAT一节）功能，请将trust接口设置成此模式。
Management Services：选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。
设置完成后点击Apply按钮记录设置。

CLI：
设置接口IP：
NS5XT－>set interface <trust|untrust|dmz> ip <a.b.c.d> <netmask>
设置接口网关：
NS5XT－>set interface < trust|untrust|dmz > gateway <a.b.c.d>
启动接口的管理功能：
NS5XT－>set interface <trust|untrust|dmz> manage <web|telnet|snmp|ssl…>
关闭接口的管理功能：
NS5XT－>unset interface <trust|untrust|dmz> manage <web|telnet|snmp|ssl…>
设置Trust接口工作模式：
NS5XT－>set interface trust <nat|route>

设置router(路由)
打开Network>Routing>Routing Table页面，可以看到本防火墙所有的路由，并可以在List route entries for下选择不同的虚拟路由器下的路由列表。（关于虚拟路由器的概念，请参考1.1.3虚拟路由器章节）

1.添加路由
WEB：
在右上角选择需要添加路由的虚拟路由器，然后按New按键，进入新增路由页面。
添加目标网络号（Network Address），掩码（Netmask），网关地址（Gateway IP Address）和使用的网络接口（Interface）。

CLI：
NS5XT－>set route <network address> <netmask> interface <interface name> gateway <gateway address>
NS5XT－>save

2.删除路由
WEB:
在Network>Routing>Routing Table页面，点击要删除的路由项configure列的Remove链接。（系统自动生成的路由表项—如接口配置IP后的本地路由项—不能被删除。）
CLI：
NS5XT－>unset route <network address> <netmask> interface <interface name> gateway <gateway address>
NS5XT－>save
注：unset命令为set命令的反操作。
设置policy（策略）
策略可以看作由适用对象，操作和附属选项组成。
使用对象包括①源对象，②目标对象，③使用协议三项，用来描述此策略的适用对象（注：在Netscreen OS 4.0中，策略只能是相对Zone而言的，也就是说，所有的源和目的的对象都必须是Zone）。
操作包括①允许或禁止该连接②是否启动NAT。
附属选项包括①是否需要用户验证，②是否进行带宽限制，③该连接的有效时间和④记录该连接的流量、日志等。
与许多防火墙设备不同，Netscreen防火墙实现的是基于状态的包过滤（或称包检查），因此只要建立单向的允许策略，则防火墙会动态的开放数据包的返回路径。
当连接需要应用策略时，是按照策略的顺序向下查询，一旦找到适合的策略，就会应用此策略。因此当两个策略的条件重叠的时候，只有上面的策略可以生效。
Web：
打开Policies页面，可配置所有的策略。左上角是选择源对象与目的对象（只会出现包含Interface的Zone），按Go按键会显示对应的策略。

按Search按键会出现搜索页面，填入搜索条件，按Go按键，会出现搜索的结果。

按New按键会出现对应源与目的对象的新增策略页面。

Name：输入策略名（From Private to Public）
Source Address：在New Address中填入源地址或在Address Book的下拉菜单中选择已在地址簿中定义的源地址列表（详情可以参考配置Object（对象）章节）
Destination Address：在New Address中填入目的地址或在Address Book的下拉菜单中选择已在地址簿中定义的目的地址列表
Service：选择该策略对应的数据流所使用的协议类型和端口号。系统已预定义了50种常用协议使用的协议和端口号，当然用户也可以自定义。
Action：选择策略的类型，分别是Permit（允许操作），Deny（否定操作）和Tunnel（通道操作－用于VPN，详情请看VPN章节）
Tunnel：当Action选择了Tunnel时，在此选择配用的VPN通道。
Position at Top：当选择了的时候，策略生成后会出现在第一位。
按Advanced按键可配置高级的内容

Authentication：是否启用用户验证，如选用Auth Server，则用户在Object页中设置，详情请看配置Object对象章节。如选用WebAuth，则启用网页认证功能，用户必须先到在Interface中指定的WebAuth地址验证，才可以进入那个Interface端口。WebAuth服务在Configuration > Auth > WebAuth中设置。
Logging ：启动连接记录
Couting：启动记录统计
Schedule：选择该策略的有效时间段，该时间段在Object的Schedule中设置
Traffic Shaping：设置该策略定义的连接的有效带宽和优先级

保存配置及配置文件
1．保存改变的配置
在WEB模式下，设置更改后按页面中的save，ok或Apply按钮后系统自动保存设置；
在CLI模式时，设置完成后，输入save命令完成设置保存。
2．保存配置文件
Web：
打开Configuration>Update>Config File页面，可以浏览Netscreen设备现在的配置文件，按Save to File按键，则可以把配置文件存入硬盘。

注：在Web形式下，配置文件只能保存到相连的主机，而不能保存到TFTP服务器。
CLI：
NS5XT－>save config to tftp <a.b.c.d> <File name>
注：在CLI形式下，配置文件只能保存到相连的TFTP服务器，而不能保存到主机。


3．启用配置文件
Web：
打开Configuration>Update>Config File页面，选择需要的配置文件，然后按Apply按键，如果文件准确，就会成功更新配置。

注：在Web形式下，只能启用保存在主机上的配置文件，而不能启用保存到TFTP服务器的文件。
CLI：
NS5XT－>save config from tftp <a.b.c.d> <File name>
注：在CLI形式下，只能启用保存到TFTP服务器的配置文件，而不能启用保存在主机上的文件。
透明模式
Netscreen支持透明连接模式。对于已有的网络系统，如果在增加防火墙设备时不想网络环境进行任何改动，可以将Netscreen防火墙设置在透明模式下。所谓透明模式，是指将防火墙设置在一种桥接模式，两个端口都不设置IP地址，相同于一台二层交换机。此时Netscreen防火墙仍然能对进出的数据包进行策略控

不管出于任何目的，未经Juniper网络公司的书面许可，任何人不得以任何形式或方式复制或转载本文的任何部分。
Juniper网络公司不承担由本资料中的任何不准确性而引起的任何责任，Juniper网络公司保留不作另行通知的情况下对本资料进行变更、修改、
转换或以其他方式修订的权力。