Juniper防火牆的一些概念
 
安（ān）全區（Security Zone）：
Juniper 防火牆增加了全新的（de）安全區域（Security Zone）的概念，安全區域是一個（gè）邏輯的結構，是多個處於相同屬（shǔ）性區域的物理接口的集合。當不同安全區（qū）域之間相互（hù）通訊時，必須通過事先定義的策略檢查才能（néng）通過；當在同（tóng）一個（gè）安全區域進（jìn）行通（tōng）訊時，默認狀態下允許不通（tōng）過策略（luè）檢查，經過配置後也可以強製進行策略檢（jiǎn）查以提（tí）高安全性。

安全區域概念的出現，使防（fáng）火牆的配置（zhì）能更靈活同現有的網絡結構相結合（hé）。以（yǐ）下圖為例，通（tōng）過實施安全區域的配置，內網的不同（tóng）部門之間的通訊也（yě）必（bì）須通過策略的檢查，進一步提高的係統的（de）安全。

接口（Interface）：
信息流可通過（guò）物理接口和子接口進（jìn）出安全區（Security Zone）。為了使網絡信息流能流入和流出（chū）安全區（qū），必須將一個接口綁定到一個安全（quán）區，如果（guǒ）屬於第3 層安全（quán）區，則需要給接口分配一個 IP地址。

虛（xū）擬路由器（Virtual Router）：
Juniper防火牆支持虛擬路由器（qì）技（jì）術，在一個防火牆設備裏，將原來（lái）單（dān）一路由方式下的單一路由表，進化為多個虛擬路由器以及相應的多張（zhāng）獨立（lì）的路由（yóu）表，提高了防火牆係統的（de）安全性以及IP地址配置的靈活性。

安全策略（Policy）：
Juniper防火牆在定義策略時（shí），主要需要設定源IP地（dì）址、目的IP地址、網絡服務（wù）以及防（fáng）火（huǒ）牆的動作（zuò）。在設定網（wǎng）絡服務時，Juniper防火牆已經內置預設了（le）大量常（cháng）見的網絡服務類型（xíng），同時，也可以由客戶自行定義網絡服務（wù）。

在客（kè）戶自行定義（yì）通過防火牆的服務時（shí），需要選擇網絡服務的協議，是UDP、TCP還是其它，需要定義源端（duān）口或端口範圍、目的端口或（huò）端口範圍、網絡服務在無流量情況下的超時定義等。因此，通（tōng）過對網（wǎng）絡服務的定義，以（yǐ）及IP地址的定義，使Juniper防火牆的策略細致程度大大加強（qiáng），安全（quán）性也提高了。

除了（le）定義上述這些（xiē）主要參數以（yǐ）外，在策略中還可以定義用戶的認證、在策略裏定義是否要做地（dì）址翻譯、帶寬管理等功能。通過這些主要的安全元素和附加元（yuán）素的控製，可（kě）以（yǐ）讓係統管理員對進出防火牆的（de）數據流量進行嚴格的訪問控製，達到保護內網（wǎng）係（xì）統資（zī）源安全的目（mù）的。

映射IP（MIP）：
MIP是從一（yī）個 IP 地址到另一個 IP 地址雙（shuāng）向的一對一映射。當防（fáng）火牆收到一個目標地址為 MIP 的內向數據流時，通過策略控製防火（huǒ）牆將數據轉發（fā）至MIP 指向地址的主（zhǔ）機；當MIP映射的主（zhǔ）機發起出站數據流時，通過策略控製防火牆將該主機的源（yuán） IP 地址轉換成 MIP 地址。

虛擬IP（VIP）：
VIP是一個通過防火（huǒ）牆外網端口可用的公網IP地址的不同端口（kǒu）（協議端口（kǒu）如：21、25、110等）與內部多個私有IP地址的不（bú）同服務端（duān）口的映射關（guān）係。通常應用在隻有很少的（de）公網IP地址，卻擁（yōng）有多個私（sī）有IP地（dì）址的服務器，並且這些（xiē）服務器是需要對外提供各種服（fú）務的（de）。