JuniperNetScreen常見問題彙總

1.netscreen防火牆可不可以作HA?  

  目前為止NetScreen-100以上的型號都可以做HA，NetScreen-50在新的OS版本中或許也能做HA。 

2.Netscreen是否支援負載均衡?在哪一端?  

是,Trust和DMZ區均支援負載均衡。

3.netscreen防火牆支不支援PPPoE撥號？  

netscreen防火牆的低端產品都支援PPPoE撥號。

4.什麼是A/A Full Mesh HA？  

netscreen防火牆的高階產品支援A/A Full Mesh方式的HA。這種HA特點在於，組成HA的每臺機器都處於活動狀態(A),而且經過交叉接線，大大增強了HA的健壯性。 

5.netscreen防火牆能否與Cisco的Pix防火牆建立VPN,都有哪些型號？  

netscreen防火牆可以與Cisco防火牆任意一款建立VPN連線。

6.除了內建使用者NetScreen還支援那些使用者認證？  

還支援Radius資料庫、RSA SecureID資料庫、LDAP資料庫認證。

7.NetScreen系列產品都有哪些型號？  

NetScreen產品從低端到高階有：NS-5XP、NS-5XT、NS-25、NS-50、NS-204、NS-208、NS-500、NS-1000、NS-5200、NS-5400。其中NS-208以下包括NS-208都屬中低端產品，NS-208以上屬於高階產品。NetScreen早期產品還有NS-10、NS-100系列。

8.虛擬路由器和域的關係如何？  

虛擬路由器包含域，每個域都屬於某個虛擬路由器。比如：Untrust Zone、DMZ Zone預設都屬於Untrust-VR，而Trust Zone和使用者自定義的Zone預設都屬於Trust-VR。 

9.域(Zone)與介面(interface)的關係如何？  

每個interface都屬於不同的Zone,只有當interface與某個Zone繫結的時候才能對interface配置IP地址。每個Zone都包含若干interface（物理的和邏輯的）。 

10.為什麼Gloable PRO 3.1不能管理處於Transparent模式的Screen OS 3.1系統？  

因為Global PRO 不支援Transparent下對Screen OS 3.1的管理。

11.NetScreen Global PRO Express與NetScreen Global PRO 有什麼不同？  

PRO Express是PRO的簡化版，PRO Express通過一個Sun Netra Server來收集、監視防火牆資訊。PRO 則是三層結構，所有資訊會被收集到Oracle資料庫裡，通過第三方軟體生成報表。

12.netscreen防火牆是否在做NAT前實施安全策略?  

是的,netscreen防火牆首先檢查安全策略,並儲存了所有的TCP/IP狀態連線表,所以防火牆知道真正的內部IP。

13.什麼是Hub & Spoke？  

Hub & Spoke是netscreen防火牆的一種專利技術。它是一種VPN的連線模式，以一個防火牆為中心，另外一些防火牆為分支，建立一種集中星型結構模式的VPN，這種VPN易於管理、實施。 

14.netscreen防火牆的內容過濾功能如何？  

所有NetScreen裝置可以和Websense內容過濾解決方案整合，封鎖不適當的內容。

15.資料在域(Zone)之間流動是否需要策略控制？介面(interface)之間呢？  

在Screen OS 3.1中，資料在域(Zone)間流動是通過策略來控制的。資料在同一個域的不同介面之間流動不需要通過策略來控制。可以通過命令來控制是否允許同一個域內各介面之間資料相互流通。 

16.netscreen防火牆在QoS方面做得如何？  

NetScreen特有的流量管理可以根據IP地址、使用者、應用或時間以八種優先等級設定保障頻寬和最大頻寬為流量分配優先權。保證使用者的關鍵性應用不會受影響。 

17.NetScreen VPN的延遲是怎樣計算的?  

平均延遲為500毫秒,實際的延遲是根據包的大小和處理器的速率確定的,最小64 byte的包,最大到1518 byte的包的處理時間可以從10ms到2500ms,加上傳送和接受的時間即是一個平均值。

18.什麼是安全域?  

在一個netscreen防火牆裝置上，把網路劃分為多個分段，每個分段可以實施不同的安全策略，這樣的分段就是一個安全域。 

19.netscreen防火牆和國內的硬體防火牆有什麼不同？  

netscreen防火牆是純硬體防火牆，國內大多數防火牆都是軟硬結合的防火牆，不是純硬體防火牆。netscreen防火牆採用ASIC晶片來處理防火牆以及VPN加密等功能，比通過軟體程式驅動CPU來實現這些功能要快很多。 

20.Screen OS 3.1與Screen OS 3.0有什麼不同。  

Screen OS 3.1與Screen OS 3.0的不同之處很多。概括來說有以下幾點：內建了兩個虛擬路由器、引入了安全域的概念。

21.NetScreen的哪些產品帶有虛擬路由器？有什麼用處？  

使用Screen OS 3.1的產品都有內建的虛擬路由器。虛擬路由器的基本功能是路由流經防火牆的資料包，可以加強防火牆的資料功能。第二引入虛擬路由器的概念可以極大地加強防火牆的安全，除此之外，每個虛擬路由器可以連線一個Internet接入。

22.A/A方式的HA與平常所說的HA有什麼不同？  

我們平常所說的HA指的是A/P方式的HA,這種方式的HA一般是一臺機器工作，另一臺待機，只有當工作機因某種原因不能工作的時候另一臺防火牆才接替工作。而A/A方式的HA兩臺防火牆都處於工作狀態，所以防火牆的速度等於兩臺防火牆的之和。但是這種方式HA的其他一些引數比如Session數、VPN隧道數，仍然保持不變。這是因為這兩臺防火牆上的資料是一致的。 

23.NetScreen-1000有幾種型號？  

NetScreen-1000分為NetScreen-1000SP、NetScreen-1000ES。

24.netscreen防火牆的叢集管理軟體都有哪些？  

NetScreen產品的叢集管理軟體有:NetScreen Global Manager,NetScreen Global Pro,NetScreen Global Pro Express。其中NetScreen Global Manager屬於早期產品，只可以管理早期產品。 

25.NetScreen-500有幾種型號？  

NetScreen-500有兩種型號：NetScreen-500SP、NetScreen-500ES。

26.在設定認證策略時,每次認證的生效時間?  

預設有效時間為10分鐘,但是可以修改,其範圍是2分—10000分。

27.netscreen防火牆都有哪些功能？  

NetScreen總體來說主要有三大功能：防火牆、VPN、流量管理。 

28.為什麼在208、204這些防火牆上找不到Untrust、Trust、DMZ介面？  

在NetScreen-208、NetScreen-204這幾款防火牆中，由於使用的Screen OS 3.1引入了域的概念，所以已經取消了Untrust、Trust、DMZ這些對介面的稱謂。它的介面稱為Ethernet1、Ethernet2、Ethernet3等等。但在Screen OS 3.1域裡預設有Untrust、Trust、DMZ這三個域。 

29.什麼是虛擬系統(Virtual System)?  

虛擬系統是netscreen防火牆的專有技術，它目前只在高階防火牆上實現。通過它可以把一個防火牆劃分為相對獨立的多個系統，每個系統都擁有獨立的策略、地址本等等。 

30.NetScreen-Remote是不是NetScreen公司的軟體防火牆？  

眾所周知，NetScreen是專做硬體防火牆的公司。他沒有軟體防火牆。NetScreen公司有一款客戶端軟體，NetScreen-Remote，它是用來使移動使用者或者撥號使用者與防火牆建立VPN連線的客戶端軟體，它不是軟體防火牆。

 

本文轉自 yhw85 51CTO部落格，原文連結：http://blog.51cto.com/yanghuawu/772850，如需轉載請自行聯絡原作者