jun教材资料iper安全相关设置跟mipvip.pptVIP

* MIP的设置是所有NAT配置中最简单的。 * * * MIP的设置是所有NAT配置中最简单的。 * * * * * * NAT基本配置----配置VIP I 首先，要创建一个VIP，定义好Virtual IP Address以及Port。 然后，我们要通过一条Policy条目来完成这个NAT。 VIP :21 00:21 :80 SA DA SA DA 00:80 * NAT基本配置----配置VIP II 在创建VIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。 点击“Add”按钮，添加新的Virtual IP Address。 点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。 Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。 Map to IP项填写真实的主机地址。 * NAT基本配置----配置VIP III 在创建VIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。 点击“Add”按钮，添加新的Virtual IP Address。 点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。 Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。 Map to IP项填写真实的主机地址。 * NAT基本配置----配置VIP IV 在创建MIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。 点击“Add”按钮，添加新的Virtual IP Address。 点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。 Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。 Map to IP项填写真实的主机地址。 * NAT基本配置----配置VIP V 在创建VIP时，请选择正确的Interface，一般情况下是带有公网地址的那个Interface。 点击“Add”按钮，添加新的Virtual IP Address。 点击“New VIP Service”按钮，进入VIP Service设置页面；该项可反复使用。 Virtual Port填入提供的虚拟端口，Map to Service选项选择真实提供的服务。 Map to IP项填写真实的主机地址。 * NAT基本配置----配置VIP VI 在Destination Address栏选择预先设置的VIP条目。 配置了VIP的策略条目的颜色与其它策略没有不同。 * * * * 我们知道，在路由器/交换机这样的网络设备上可以通过ACL对流经其的数据进行控制。 但是ACL是基于Packet的，Policy是基于Session的。 * 想要限制本区内的通信，也可以通过策略实现，但是必须使用同区策略，比如“trust to trust”策略。 * * * * 系统已经预定义了一些地址对象。例如Any、Dial-Up VPN。 * * * * * Service Timeout项的选择需要慎重。如果不清楚的话，可以使用“User protocol default”。选择“Never”则该服务在系统中永不超时。 * * * * Action的选择项共四种：Permit：允许数据通过；Deny：阻止数据通过；Reject：阻止并通知发送者；Tunnel：进行隧道封装。 * Policy ID只表征某条策略项，并不能表征策略的执行顺序。 可以在CLI模式下，通过exec policy verify命令来查看策略序列这是否存在“重合”的现象。 * at Session Beginning可以在会话建立之初就记录该数据流，而不是在会话结束后才记录。对于那些超时时间很长的服务来说，开启它比较有用。 * 通过Logging，你可以观察到匹配这条策略的会话的建立时间、时长、服务、收发的数据量等等信息。 * * at Session Beginning可以在会话建立之初就记录该数据流，而不是在会话结束后才记录。 * Schedule可以用来控制策略生效的时间和周期。Recurring中设置的内容将周期性发生。Once中设置的内容将只发生一次。 * * 简单的讲，如果你有足够多的地址资源，那你只要用MIP就可以了。如果你的地址资源很有限，请考虑VIP。 注意！在ScreenOS 6.0之前，VIP只可以在