Netscreen 混合模式部署特例说明

Netscreen 混合模式部署特例说明
传统的思维方式是部署两台网络安全防火墙设备，如果采用CISCO的网络安全设备，则可以两台都部署成基于三层应用模式的PIX防火墙，但是，对于服务器所在网络则必须修改IP地址，并由防火墙实现NAT转换，此种应用背离了客户的应用环境，且增加了网络安全设备的数量，由此，可能造成客户采购成本的增加。如果，服务器所在的网络安全设备一旦出现故障，在没有替换设备的前提下，则必须重新配置服务器的IP地址信息，导致操作的复杂和工作时间的延迟。
      我们设计的网络安全设备的部署方案是：
      采用一台Juniper的网络安全设备，利用ScreenOS设计的先进性，采用独特的基于二层和三层的混合应用模式，实现上述的客户需求。
      具体的设计：
      定义防火墙设备上，第一和第二端口为三层的应用模式（NAT/ROUTE），定义防火墙设备的第三和第四端口为基于二层的透明模式。
      在两个基于三层接口的应用模式中，定义相关的IP地址路由信息，实现对部分内网计算机用户访问互联网应用的NAT需求。
      在两个基于二层接口的应用模式中，部署服务器在防火墙的后端，因为部署模式为透明模式，服务器还可以保留原有的公网IP地址和路由信息，减少了网络管理员的工作量，同时，一旦防火墙设备出现意外的故障，可以将服务器所在网络通过跳线的方式，迅速跳过故障设备，实现快速的服务恢复。
      总结：
      这种特殊的部署模式，得益于Juniper网络安全设备的先进的ScreenOS，使其可以支持负载的透明和NAT的混合模式，并节省最终用户的资金投入，甚至可以提供两台设备实现HA的应用，实现更高层次的安全效果。相对于其它单一部署模式，或非纯二层透明模式的设备，在上述环境中若实现HA双机备份的应用效果，则至少要多投入两台设备。
      所以，我们的方案不论是技术的先进性、安全性，还是设备的采购数量和经济性上，都比其它单一模式的网络安全设备，拥有更加明显的优势。
转自杜松之家http://www.juniperbbs.net/