NetScreen操作手册.docVIP

NetScreen操作手册 (ScreenOS) 广州市新科新信息技术有限公司 2010年9月25日 目录 1 概念与简介 3 1.1 Universal Security Gateway Architecture(通用安全网关架构) 3 1.1.1 Multiple Security Zones(多安全区域) 3 1.1.2 Security Zone Interfaces(安全区域端口) 3 1.1.3 Virtual Routers(虚拟路由器) 3 1.1.4 Access Policies(访问策略) 4 1.1.5 VPNs（虚拟专用网络） 4 1.1.6 Virtual Systems(虚拟系统) 4 1.1.7 Packet Flow Sequence(数据包处理过程) 4 1.2 Zones(区域) 5 1.2.1 Security Zones(安全区域) 5 1.2.2 Tunnel Zones(隧道区域) 5 1.2.3 Function Zones(功能区域) 5 1.3 Interfaces(端口) 7 1.3.1 Interfaces Types(端口类型) 7 1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式) 7 1.3.3 Secondary IP Addresses(第二IP地址) 8 1.3.4 Management Services Options(管理服务选项) 8 1.3.5 Interface Services Options(端口服务选项) 8 1.3.6 Firewall Options(防火墙选项) 8 1.4 Administration（管理） 9 1.4.1 Management Methods and Tools（管理方法和工具） 9 1.4.2 Levels of Administration（管理权限等级） 9 2 基本管理 12 2.1 通讯连接的设置 12 2.2 Web管理连接设置 14 2.3 防火墙基本设置 17 2.3.1 设置访问超时时间 17 2.3.2 设置管理员 18 2.3.3 设置DNS 20 2.3.4 设置Zone（安全区域） 21 2.3.5 设置Interface(接口) 22 2.3.6 设置router(路由) 25 2.3.7 设置policy（策略） 27 2.3.8 保存配置及配置文件 31 3 透明模式 33 3.1 设置管理端口 33 3.2 设置透明模式 34 3.3 其他相关命令 34 4 NAT模式及Route模式 35 4.1 NAT模式 35 4.1.1 基于端口的NAT 36 4.1.2 基于策略的NAT 37 4.2 Route模式 39 4.3 MIP和VIP 39 4.3.1 MIP 39 4.3.2 VIP 42 4.4 DIP（虚拟IP） 44 5 VPN(虚拟专用网络) 46 5.1 Manual Key 46 5.1.1 配置Manual Key 46 5.1.2 配置路由 47 5.1.3 配置Policy 47 5.2 AutoKey IKE 49 5.2.1 Policy-based IKE 49 5.2.2 Route-based IKE 51 5.3 VPN TroubleShooting（VPN 错误检测） 52 6 常见问题及解决方案 53 6.1 透明模式 53 6.1.1 配置管理问题 53 6.1.2 连接问题 53 6.2 NAT和Route模式 55 6.2.1 配置管理问题 55 6.2.2 连接问题 55 概念与简介 Universal Security Gateway Architecture(通用安全网关架构) NetScreen Screen OS 4.0 引入了Universal Security Gateway Architecture(通用安全网关架构)，这个架构使得用户在实施网络安全策略时更具灵活性。在多端口的NetScreen设备中，用户可以建立不同Zone(安全区域)，并将端口绑定在不同的安全区域，在端口之间建立相应的安全策略。 Multiple Security Zones(多安全区域) 安全区域是一个或多个需要对进出数据进行策略控制的网络。用户可以根据自己的需要来定义安全区域，也可以利用预定义的安全区域：Trust、Untrust、DMZ(与之前的ScreenOS兼容)，安全区域之间的访问只有策略允许下才能进行。 Security Zone Interfaces(安全区域端口) 安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。 端口有两种： Physical Int