概述 Junos 控制与数据平面区别及安全特性

本文档主要涉及的是Juniper Networks Certified Internet Architect (JNCIA) - Security Assessment Test的相关考题，涵盖了关于Junos网络架构、数据平面与控制平面的区别、异常流量的例子、J-Web的功能特性、功能性区域的要求以及Junos安全设备的行为和特定安全组件的应用。 1. Junos网络架构区分： - 控制平面（Control Plane）的重要区别包括：负责kernel processes（内核进程），这是网络设备管理决策的核心部分，通常在Routing Engine (RE)上实施。控制平面的主要职责是处理路由协议、策略配置等高级任务。 - 数据平面（Data Plane）的特点包括：在Packet Forwarding Engine (PFE)上实现，负责实际的数据包转发和过滤，执行基于规则的转发决策，如查找路由表并执行安全检查。 2. 异常流量的例子： - 包含IP options的packet（带有一些选项字段的IP包）被视为异常，可能包含额外的信息或者不常见的设置，对网络安全有潜在威胁。 - OSPF updates（Open Shortest Path First 协议的更新消息）虽然正常用于路由更新，但如果它们在非预期的时间或来源出现，可能表明网络攻击或配置错误。 3. J-Web功能特性： - J-Web是Juniper网络设备的Web界面，要求用户在进行配置更改时进行configuration commits（配置提交），以确保数据的一致性和完整性。 - J-Web还提供了实时监控功能，允许管理员监视设备状态、性能和安全状况。 4. 功能性区域要求： - 功能性区域必须满足的两个要求包括：不能作为transit traffic（通过流量）的路径，以及它通常是系统预定义的，如"junos-host"，这个zone专用于管理主机之间的通信。 5. Junos安全设备行为： - Junos安全设备的一个默认设置是不允许源自自身的流量，这有助于防止内部攻击和环路。 6. 安全组件应用： - 为了帮助识别所有允许通过port 80（HTTP端口）传输的流量类型，可以使用application firewall（应用防火墙）这一安全组件，它能根据应用层协议特征进行访问控制。 7. 安全政策组件： - 有效的安全政策通常包括以下三个要素：match criteria（匹配条件），用于定义何时应用策略；action（动作），如允许、阻止或修改流量；以及可能还包括logging（日志记录），用于审计和合规性目的。