安全区域概念使防火墙的配置能更灵活力量

安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。

安全区域概念的出现，使防火墙的配置能更灵活同现有的络结构相结合。以下图为例，通过实施安全区域的配置，内的不同部门之间的通讯也必须通过策略的检查，进一步提高的系统的安全。

接口（Interface）：信息流可通过物理接口和子接口进出安全区（Security Zone）。为了使络信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如果属于第3 层安全区，则需要给接口分配一个 IP地址。

虚拟路由器（Virtual Router）：Juniper防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路由方式下的单一路由表，进化为多个虚拟路由器以及相应的多张独立的路由表，提高了防火墙系统的安全性以及IP地址配置的灵活性。

安全策略（Policy）：Juniper防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、络服务以及防火墙的动作。在设定络服务时，Juniper防火墙已经内置预设了大量常见的络服务类型，同时，也可以由客户自行定义络服务。

在客户自行定义通过防火墙的服务时，需要选择络服务的协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、络服务在无流量情况下的超时定义等。因此，通过对络服务的定义，以及IP地址的定义，使Juniper防火墙的策略细致程度大大加强，安全性也提高了。

邮编：100026 除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制，可以让系统管理员对进出防火墙的数据流量进行严格的访问控制，达到保护内系统资源安全的目的。

映射IP（MIP）：MIP是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到一个目标地址为 MIP 的内向数据流时，通过策略控制防火墙将数据转发至MIP 指向地址的主机；当MIP映射的主机发起出站数据流时，通过策略控制防火墙将该主机的源 IP 地址转换成 MIP 地址。