Juniper Netscreen常見

Netscreen常見問題匯總

1.netscreen防火墻可不可以作HA? 
目前為止NetScreen-100以上的型號都可以做HA，NetScreen-50在新的OS版本中或許也能做HA。 

2.Netscreen是否支持負載均衡?在哪一端? 
是,Trust和DMZ區均支持負載均衡。 

3.netscreen防火墻支不支持PPPoE撥號？ 
netscreen防火墻的低端產品都支持PPPoE撥號。

4.什么是A/A Full Mesh HA？ 
netscreen防火墻的高端產品支持A/A Full Mesh方式的HA。這種HA特點在于，組成HA的每臺機器都處于活動狀態(A),而且經過交叉接線，大大增強了HA的健壯性。 

5.netscreen防火墻能否與Cisco的Pix防火墻建立×××,都有哪些型號？ 
netscreen防火墻可以與Cisco防火墻任意一款建立×××連接。

6.除了內置用戶NetScreen還支持那些用戶認證？ 
還支持Radius數據庫、RSA SecureID數據庫、LDAP數據庫認證。

7.NetScreen系列產品都有哪些型號？ 
NetScreen產品從低端到高端有：NS-5XP、NS-5XT、NS-25、NS-50、NS-204、NS-208、NS-500、NS-1000、NS-5200、NS-5400。其中NS-208以下包括NS-208都屬中低端產品，NS-208以上屬于高端產品。NetScreen早期產品還有NS-10、NS-100系列。 

8.虛擬路由器和域的關系如何？ 
虛擬路由器包含域，每個域都屬于某個虛擬路由器。比如：Untrust Zone、DMZ Zone缺省都屬于Untrust-VR，而Trust Zone和用戶自定義的Zone缺省都屬于Trust-VR。 

9.域(Zone)與接口(interface)的關系如何？ 
每個interface都屬于不同的Zone,只有當interface與某個Zone綁定的時候才能對interface配置IP地址。每個Zone都包含若干interface（物理的和邏輯的）。 

10.為什么Gloable PRO 3.1不能管理處于Transparent模式的Screen OS 3.1系統？ 
因為Global PRO 不支持Transparent下對Screen OS 3.1的管理。 

11.NetScreen Global PRO Express與NetScreen Global PRO 有什么不同？ 
PRO Express是PRO的簡化版，PRO Express通過一個Sun Netra Server來收集、監視防火墻信息。PRO 則是三層結構，所有信息會被收集到Oracle數據庫里，通過第三方軟件生成報表。 

12.netscreen防火墻是否在做NAT前實施安全策略? 
是的,netscreen防火墻首先檢查安全策略,并保存了所有的TCP/IP狀態連接表,所以防火墻知道真正的內部IP。 

13.什么是Hub & Spoke？ 
Hub & Spoke是netscreen防火墻的一種專利技術。它是一種×××的連接模式，以一個防火墻為中心，另外一些防火墻為分支，建立一種集中星型結構模式的×××，這種×××易于管理、實施。 

14.netscreen防火墻的內容過濾功能如何？ 
所有NetScreen設備可以和Websense內容過濾解決方案集成，封鎖不適當的內容。 

15.數據在域(Zone)之間流動是否需要策略控制？接口(interface)之間呢？ 
在Screen OS 3.1中，數據在域(Zone)間流動是通過策略來控制的。數據在同一個域的不同接口之間流動不需要通過策略來控制?？梢酝ㄟ^命令來控制是否允許同一個域內各接口之間數據相互流通。 


16.netscreen防火墻在QoS方面做得如何？ 
NetScreen特有的流量管理可以根據IP地址、用戶、應用或時間以八種優先等級設定保障帶寬和最大帶寬為流量分配優先權。保證用戶的關鍵性應用不會受影響。 

17.NetScreen ×××的延遲是怎樣計算的? 
平均延遲為500毫秒,實際的延遲是根據包的大小和處理器的速率確定的,最小64 byte的包,最大到1518 byte的包的處理時間可以從10ms到2500ms,加上發送和接受的時間即是一個平均值。 

18.什么是安全域? 
在一個netscreen防火墻設備上，把網絡劃分為多個分段，每個分段可以實施不同的安全策略，這樣的分段就是一個安全域。 

19.netscreen防火墻和國內的硬件防火墻有什么不同？ 
netscreen防火墻是純硬件防火墻，國內大多數防火墻都是軟硬結合的防火墻，不是純硬件防火墻。netscreen防火墻采用ASIC芯片來處理防火墻以及×××加密等功能，比通過軟件程序驅動CPU來實現這些功能要快很多。 

20.Screen OS 3.1與Screen OS 3.0有什么不同。 
Screen OS 3.1與Screen OS 3.0的不同之處很多。概括來說有以下幾點：內置了兩個虛擬路由器、引入了安全域的概念。 

21.NetScreen的哪些產品帶有虛擬路由器？有什么用處？ 
使用Screen OS 3.1的產品都有內置的虛擬路由器。虛擬路由器的基本功能是路由流經防火墻的數據報，可以加強防火墻的數據功能。第二引入虛擬路由器的概念可以極大地加強防火墻的安全，除此之外，每個虛擬路由器可以連接一個Internet接入。 

22.A/A方式的HA與平常所說的HA有什么不同？ 
我們平常所說的HA指的是A/P方式的HA,這種方式的HA一般是一臺機器工作，另一臺待機，只有當工作機因某種原因不能工作的時候另一臺防火墻才接替工作。而A/A方式的HA兩臺防火墻都處于工作狀態，所以防火墻的速度等于兩臺防火墻的之和。但是這種方式HA的其他一些參數比如Session數、×××隧道數，仍然保持不變。這是因為這兩臺防火墻上的數據是一致的。 

23.NetScreen-1000有幾種型號？ 
NetScreen-1000分為NetScreen-1000SP、NetScreen-1000ES。 

24.netscreen防火墻的集群管理軟件都有哪些？ 
NetScreen產品的集群管理軟件有:NetScreen Global Manager,NetScreen Global Pro,NetScreen Global Pro Express。其中NetScreen Global Manager屬于早期產品，只可以管理早期產品。 

25.NetScreen-500有幾種型號？ 
NetScreen-500有兩種型號：NetScreen-500SP、NetScreen-500ES。 

26.在設置認證策略時,每次認證的生效時間? 
缺省有效時間為10分鐘,但是可以修改,其范圍是2分---10000分。 

27.netscreen防火墻都有哪些功能？ 
NetScreen總體來說主要有三大功能：防火墻、×××、流量管理。 

28.為什么在208、204這些防火墻上找不到Untrust、Trust、DMZ接口？ 
在NetScreen-208、NetScreen-204這幾款防火墻中，由于使用的Screen OS 3.1引入了域的概念，所以已經取消了Untrust、Trust、DMZ這些對接口的稱謂。它的接口稱為Ethernet1、Ethernet2、Ethernet3等等。但在Screen OS 3.1域里缺省有Untrust、Trust、DMZ這三個域。 

29.什么是虛擬系統(Virtual System)? 
虛擬系統是netscreen防火墻的專有技術，它目前只在高端防火墻上實現。通過它可以把一個防火墻劃分為相對獨立的多個系統，每個系統都擁有獨立的策略、地址本等等。 

30.NetScreen-Remote是不是NetScreen公司的軟件防火墻？ 
眾所周知，NetScreen是專做硬件防火墻的公司。他沒有軟件防火墻。NetScreen公司有一款客戶端軟件，NetScreen-Remote，它是用來使移動用戶或者撥號用戶與防火墻建立×××連接的客戶端軟件，它不是軟件防火墻。