Netscreen 204 简明配置手册(以网管网为例).docVIP

Netscreen 204 简明配置手册 一、基本概念 1. 安全区段 安全区段是由一个或多个网段组成的集合，需要通过策略对进入站和出站信息流进行调整。可以定义多个安全区段，确切数目可根据网络需要确定。除用户定义的区段外，还可以使用预定义的区段：Trust、Untrust和DMZ（用于L3），或者V1-Trust、V1-Untrust和V1-DMZ（用于L2）。 CLI命令： Set zone name zone-name 设置区段 2. 安全区段接口 安全区段的接口可以视为一个入口，TCP/IP信息流可通过它在该区段和其他区段之间进行传递。通过定义的策略，可以使两个区段间的信息流向一个或两个方向流动。要为区段提供一个入口，需要将一个接口绑定到该区段，可以将多个接口绑定到一个区段。两种常见的接口类型为物理接口和子接口。 CLI命令： Set interface interface-id zone zone-name 将接口绑定到区段 Set interface interface-id ip ip-address 设置接口IP地址 3. 虚拟路由器 虚拟路由器（VR）和非虚拟路由器功能相同，它拥有自己的接口和路由表。在ScreenOS中，Netscreen设备支持两个虚拟路由器trust-vr和untrust-vr，并维护两个独立的路由表。两个虚拟路由器之间需要进行路由重新分配。 CLI命令： Set zone zone-name vrouter {trust-vr|untrust-vr} 设置区段使用得虚拟路由器 Set vrouter trust-vr router ip-address interface interface-id gateway ip-address metric metric 设置两种虚拟路由器间的路由重分配 4. 服务 服务是IP信息流的类型，它们有相应的协议标准。每个服务都有一个端口号与之相关联，如FTP的端口号为21，Telnet的端口号为23。创建策略时，必须为它制定服务。 CLI命令： Set service service-name protocol tcp src-port port-number dst-port port-number 设置定制服务 Set service service-name timeout 30 设置定制服务超时值 5. 策略 每次当封装尝试从一个区段向另一个区段或在绑定到同一区段的两个接口间传递时，Netscreen设备会检查其策略组列表是否有允许这种信息流的策略。要使信息流可以从一个安全区段传递到另一个区段，例如，从区段A到区段B，必须配置一个允许区段A发送信息流到区段B的策略。要使信息流向另一个方向流动，则必须配置另一策略，允许信息流从区段B流向区段A。对于从一个区段向另一区段传递的任何信息流，都必须有允许它的策略。 CLI命令： Set policy from zone1 to zone2 source-ip destination-ip service permit/deny 二、工作模式 Netscreen设备接口能以三种不同模式运行，分别是：透明模式（Transparent mode）、网络地址转换模式（NAT mode）和路由模式（Router mode）。 1. 透明模式（Transparent mode） 接口为透明模式时，Netscreen设备过滤通过防火墙的封包，而不会修改IP封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而Netscreen设备的作用更像L2交换机或桥接器。在透明模式下，接口的IP地址被设置，使得Netscreen设备对于用户来说是可视或“透明”的。Netscreen设备处于透明模式时，必须使用VLAN1接口来管理设备。缺省情况下，ScreenOS会创建一个VLAN1接口和三个VLAN1区段：V1-Trust、V1-Untrust和V1-DMZ。 使用透明模式有以下优点： 不需要重新配置路由器或受保护服务器的IP地址设置 不需要为到达保护服务器的内向信息流创建映射或虚拟IP地址 2. 网络地址转换模式（NAT mode） 接口处于网络地址转换模式（NAT mode）时，Netscreen设备的作用与L3交换机或路由器相似，将绑定到Untrust区段的IP封包包头中的两个组件进行转换：其源IP地址和源端口号。Netscreen设备用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外，它用另一个由Netscreen设备生成的任意端口号替换源端口号。当回复封包到达Netscreen设备时，该设备转换内向封包的IP包头中的两个组件：目的地地址和端口号，他