单凭防火墙再也不足以保护网上资产。如今，黑客及其攻击策略是越来越精明、越来越危险。当前的一大威胁就是应用层攻击，这类攻击可以偷偷潜入防火墙、直至潜入Web应用。没错，这类攻击有不少喜欢把宝贵的客户数据作为下手目标。那么，为什么普通防火墙阻止不了这类攻击呢？因为这类攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击（SQL injection）。在这种攻击中，黑客利用你自己的其中一张HTML表单，未经授权就查询数据库。

另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序，狡猾的黑客就可以在服务器上随意执行命令。另一些攻击比较简单。譬如说，HTML注释里面往往含有敏感信息，包括不谨慎的编程人员留下的登录信息。于是，针对应用层的攻击手段，从篡改coOKIes到更改HTML表单里面的隐藏字段，完全取决于黑客的想象力。不过好消息是，大多数这类攻击是完全可以阻止的。 如果结合使用，两种互为补充的方案可以提供稳固防线。首先，使用应用扫描器彻底扫描你的Web应用，查找漏洞。然后，使用Web应用防火墙阻止不法分子闯入应用扫描器基本上可以对你的服务器发动一系列模拟攻击，然后汇报结果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在详细列出缺陷、建议补救方法方面的功能都相当全面。AppScan Audit尤其值得关注，因为这款产品具有事后检查功能，可以帮助编程人员在编制代码时就查出漏洞。不过，这些工具包没有一款比得上安全专业人士的全面审查。一旦你设法堵住了漏洞，接下来就是部署Web应用防火墙。这类防火墙的工作方式很有意思：弄清楚进出应用的正常流量的样子，然后查出不正常流量。为此，Web应用防火墙必须比普通防火墙更深层地检查数据包。heck int在这方面最出名，不过KaVaDo、NetContinuum、Sanctum和Teros等其它厂商的名气相对要小。这类防火墙有的采用软件，有的采用硬件，还有一些则兼而有之。不过别误以为这类防火墙是即插即用的，即便采用硬件的也不能。与入侵检测系统一样，你也要认真调整Web应用防火墙，以减少误报，又不让攻击潜入进来。

由于垃圾邮件以及越来越狡猾的攻击，如果您以为安装防火墙就万事大吉，高枕无忧的话，您就应该好好想想上面所说您该如何应对。

转自：http://www.juniperbbs.net/thread-9543-1-20.html

1、转发技术：交换机采用直通转发技术或存储转发技术？

　2、延时：交换机数据交换延时多少？

　3、管理功能：交换机提供给拥护多少可管理功能？

　4、单/多MAC地址类型：每个端口是单MAC地址，还是多MAC地址？

　5、外接监视支持：交换机是否允许外接监视工具管理端口、电路或交换机所有流量？

　6、扩展树：交换机是否提供扩展树算法或其他算法，检测并限制拓扑环?

　7、全双工：交换机是否允许端口同时收/发，全双工通讯？

　8、高速端口集成：交换机是否提供高速端口连接关键业务服务器或上行主干？

　下面逐项讨论各项参数：

　1) 转发技术：（Forwarding Technologies）

　转发技术是指交换机所采用的用于决定如何转发数据包的转发机制。各种转发技术各有优缺点。

直通转发技术：（Cut-through）

交换机一旦解读到数据包目的地址，就开始向目的端口发送数据包。通常，交换机在接收到数据包的前6个字节时，就已经知道目的地址，从而可以决定向哪个端口转发这个数据包。直通转发技术的优点是转发速率快、减少延时和提高整体吞吐率。其缺点是交换机在没有完全接收并检查数据包的正确性之前就已经开始了数据转发。这样，在通讯质量不高的环境下，交换机会转发所有的完整数据包和错误数据包，这实际上是给整个交换网络带来了许多垃圾通讯包，交换机会被误解为发生了广播风暴。总之，直通转发技术适用与网络链路质量较好、错误数据包较少的网络环境。

存储转发技术：（Store-and-Forward）

存储转发技术要求交换机在接收到全部数据包后再决定如何转发。这样一来，交换机可以在转发之前检查数据包完整性和正确性。其优点是：没有残缺数据包转发，减少了潜在的不必要数据转发。其缺点是：转发速率比直接转发技术慢。所以，存储转发技术比较适应与普通链路质量的网络环境。

碰撞逃避转发技术：（Collision-avoidance）

某些厂商（3Com）的交换机还提供这种厂商特定的转发技术。碰撞逃避转发技术通过减少网络错误繁殖，在高转发速率和高正确率之间选择了一条折衷的解决办法。

　2) 延时：（Latency）

　交换机延时是指从交换机接收到数据包到开始向目的端口复制数据包之间的时间间隔。有许多因素会影响延时大小，比如转发技术等等。采用直通转发技术的交换机有固定的延时。因为直通式交换机不管数据包的整体大小，而只根据目的地址来决定转发方向。所以，它的延时是固定的，取决于交换机解读数据包前6个字节中目的地址的解读速率。采用存储转发技术的交换机由于必须要接收完了完整的数据包才开始转发数据包，所以它的延时与数据包大小有关。数据包大，则延时大；数据包小，则延时小。

　3) 管理功能：（Management）

　交换机的管理功能是指交换机如何控制用户访问交换机，以及用户对交换机的可视程度如何。通常，交换机厂商都提供管理软件或满足第三方管理软件远程管理交换机。一般的交换机满足SNMP MIB I / MIB II统计管理功能。而复杂一些的交换机会增加通过内置RMON组（mini-RMON）来支持RMON主动监视功能。有的交换机还允许外接RMON探监视可选端口的网络状况。

　4) 单/多MAC地址类型：（Single- versus Multi-MAC）

　单MAC交换机的每个端口只有一个MAC硬件地址。多MAC交换机的每个端口捆绑有多个MAC硬件地址。单MAC交换机主要设计用于连接最终用户、网络共享资源或非桥接路由器。它们不能用于连接集线器或含有多个网络设备的网段。多MAC交换机在每个端口有足够存储体记忆多个硬件地址。多MAC交换机的每个端口可以看作是一个集线器，而多MAC交换机可以看作是集线器的集线器。每个厂商的交换机的存储体Buffer的容量大小各不相同。这个Buffer容量的大小限制了这个交换机所能够提供的交换地址容量。一旦超过了这个地址容量，有的交换机将丢弃其它地址数据包，有的交换机则将数据包复制到各个端口不作交换。

　5) 外接监视支持：（Extendal Monitoring）

　一些交换机厂商提供“监视端口”（monitoring port），允许外接网络分析仪直接连接到交换机上监视网络状况。但各个厂商的实现方法各不相同。

　6) 扩展树：（Spanning Tree）

　由于交换机实际上是多端口的透明桥接设备，所以交换机也有桥接设备的固有问题—“拓扑环”问题（Topology Loops）。当某个网段的数据包通过某个桥接设备传输到另一个网段，而返回的数据包通过另一个桥接设备返回源地址。这个现象就叫“拓扑环”。一般，交换机采用扩展树协议算法让网络中的每一个桥接设备相互知道，自动防止拓扑环现象。交换机通过将检测到的“拓扑环”中的某个端口断开，达到消除“拓扑环”的目的，维持网络中的拓扑树的完整性。在网络设计中，“拓扑环”常被推荐用于关键数据链路的冗余备份链路选择。所以，带有扩展树协议支持的交换机可以用于连接网络中关键资源的交换冗余。

　7) 全双工：（Full Duplex）

　全双工端口可以同时发送和接收数据，但这要交换机和所连接的设备都支持全双工工作方式。具有全双工功能的交换机具有以下优点：

1、高吞吐量（Throughput）：两倍于单工模式通信吞吐量。

2、避免碰撞（Collision Avoidance）：没有发送/接收碰撞。

3、突破长度限制（Improved Distance Limitation）：由于没有碰撞，所以不受CSMA/CD链路长度的限制。通信链路的长度限制只与物理介质有关。

　现在支持全双工通信的协议有：快速以太网、千兆以太网和ATM。

　8) 高速端口集成：（High-Speed Intergration）

  交换机可以提供高带宽“管道”（固定端口、可选模块或多链路隧道）满足交换机的交换流量与上级主干的交换需求。防止出现主干通信瓶颈。常见的高速端口有：

FDDI：应用较早，范围广。但有协议转换花费。

Fast Ethernet / Gigabit Ethernet：连接方便，协议转换费用少；但受到网络规模限制。

ATM：可提供高速交换端口；但协议转换费用大。

　

二、ATM交换（ATM Switch）

　随着ATM交换技术的发展，现在企业网络中越来越多在高速网络主干或边缘网络采用ATM交换技术。根据现有企业计算的发展要求，适应数据网络交换的技术趋势，我们有必要了解ATM。ATM的数据交换由一个一个固定长度的ATM信元组成。每个ATM信元都是53字节长（5个字节长的信头和48字节长的信体）。信头包括虚拟通路（VP）和虚拟电路（VC）标识等地址信息。ATM根据VP和VC来确定信元的发送源地址和接收目的地址。

  ATM交换机中的连接分为永久虚拟电路（PVC）和交换虚拟电路（SVC）两种。PVC是在源地址与目的地址之间的永久性硬件电路连接。SVC是根据实时交换要求建立的临时交换电路连接。两者的最大区别是：PVC不论是否有数据传输，它都保持连接；而SVC在数据传输完成后就自动断开。两者的应用区别是：在通常的ATM交换中，有一些PVC用于保持信号和管理信息通 讯，保持永久连接；而SVC主要用于大量的具体数据的传输。

　ATM交换另一个特点是：ATM本身就是全双工的。发送数据和接收数据在不同虚拟电路中同时进行，保持双向高速通讯。为了满足以太网帧（Frames）与ATM信元（Cells）的相互通讯要求，ATM协议标准规定了针对数据应用的ATM适配层（ATM Adaption Layer），它工作在帧交换和信元交换之间，将以太帧的逻辑电路层的地址信息对应得转换为虚拟电路VC、虚拟通路VP地址信息，完成帧-信元转换和信元-帧转换工作。

　ATM交换的广泛应用，也给交换网络的网络监视和管理带来了新的挑战。

　

三、 虚拟局域网（VLAN）

　交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。

　在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

　VLAN可以是有混合的网络类型设备组成，比如：10M以太网、100 M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。

　VLAN的管理需要比较复杂的专门软件，它通过对用户、MAC地址、交换机端口号、VLAN号等管理对象的综合管理，来满足整个网络的VLAN划分、监视等功能，以及其他扩展管理功能。现在比较通用的VLAN的划分方法是基于MAC地址。但也有一些厂商的交换机提供更多的VLAN划分方法：MAC地址、协议地址、交换机端口、网络应用类型和用户权限等等。

　用户在选择交换机的同时，应当仔细考察选购的交换机的VLAN功能，根据自己企业的实际需要，选择满足要求而且管理方便的交换机。同时，应当特别注意现在不同厂商的交换机的VLAN之间大多数是不兼容的。

转自：http://www.juniperbbs.net/thread-6635-1-1.html

NetScreen防火墙支持多种管理方式：WEB管理，CLI (Telnet) 管理等，由于一般调试工作中，我们最常用的也就是前面两种。（ScreenOS 4.0）
　首先，使用CONSOLE口进行配置
1.把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。2.打开WINDOWS的附件-》通讯-》超级终端 ，选择插有CONSOLE线的串口连接。（设置串口属性：9600-8-无-硬件）
3.出现提示符号后输入帐号密码进入设置命令行界面。（默认帐号：Netscreen；密码Netscreen）
4．进入Netscreen命令行管理界面
　Web管理连接设置
1.设置接口IP
　　若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口；在命令行模式下输入：
　　ns5XT－>set int trust ip
命令说明： A.B.C.D为IP地址，通常设置为一个内网地址，E 为IP地址的掩码位，通常设为24。　　此时通过get interface命令可以看到端口状态的信息（类似CISCO SHOW　接口命令）
2.启动接口的web管理功能；
　　ns5XT－>set int trust manage web
3.连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置
　　建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。 .
　　注意：将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；
　　打开IE浏览器，键入防火墙的管理IP，打开登陆画面
　防火墙基本设置：
　1.设置访问超时时间：
　在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数，并在前面打勾。
  NS5XT－>set admin auth timeout
  2.Netscreen的管理权限:
  设置超级管理员(Root)
  WEB：
  进入Configuration>Admin>Administrators ，在这里可以管理所有的管理员
CLI:
  NS5XT－>set admin name
    NS5XT－>set admin password
  添加本地管理员
WEB：
  点击New链接，打开配置页。输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。
    NS5XT－>set admin user password privilege   3.设置DNS
  Web：
  打开Network>DNS页面，可配置Host Name（主机名），Domain Name（域名），Primary DNS Server（主域名服务器），Second DNS Server（副哉名服务器），还有DNS每天更新的时间。配置完后按Apply按键实施
  CLI：
　NS5XT－>set hostname
　NS5XT－>set domain
　NS5XT－>set DNS host
　4.设置Zone（安全区域）
　 Web：
  打开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置，有许多默认的Zone是不允许配置的，在Configure中不会出现Edit)。按New按键可以新增一个Zone。   
  NS5XT－>set zone vrouter
  5.设置Interface(接口)
  WEB：
  打开Network>Interfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口）。
  点击对应接口Configure列中的Edit链接，打开接口配置窗口。（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）
  Zone name: 设置从属的安全区域；
  IP Address/Netmask：设置接口的IP和掩码；
  Manage IP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0..0.0.0，则该Manage IP默认为接口IP。
　 Interface Mode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。
　 Management Services：选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。
　 设置完成后点击Apply按钮记录设置。
  设置接口IP：
NS5XT－>set interface ip
  设置接口网关： Y_0HC.F
  
NS5XT－>set interface < trust|untrust|dmz > gateway
  启动接口的管理功能：
NS5XT－>set interface manage
  关闭接口的管理功能：
NS5XT－>unset interface manage
  设置Trust接口工作模式：
NS5XT－>set interface trust
　　结合CLI和WEB方式，我们能很轻松的将NS搞定转自：http://www.juniperbbs.net/