1、WORD格式可編輯專業知識整理分享第1章ScreenOS體系結構Juniper Networks ScreenOS 體系結構為網絡安全布局的設計提供了靈活性。在具有 兩個以上接口的 Ju niper Networks安全設備上，可以創建多個安全區段并配置策略 以調節區段內部及區段之間的信息流。可為每個區段綁定一個或多個接口，并在每 個區段上啟用不同的管理和防火墻選項。利用ScreenOS可以創建網絡環境所需的區段數、分配每個區段所需的接口數，并且可以根據自己的需要來設計每個接口。 本章對ScreenOS進行了簡要介紹。本章包括以下部分 ：第2頁上的“安全區段”第3頁上的“安全區段接口”第4頁上

2、的“虛擬路由器”第5頁上的“策略”第7頁上的“虛擬專用網”第9頁上的“虛擬系統”第10頁上的“封包流序列”第12頁上的“巨型幀”本章結束時給岀了一個由四部分組成的范例，它例舉了使用ScreenOS的安全設備的基本配置：第13頁上的“范例：（第1部分）具有六個區段的企業”第15頁上的“范例：（第2部分）六個區段的接口”第17頁上的“范例：（第3部分）兩個路由選擇域”第19頁上的“范例：（第4部分）策略”概念與范例 ScreenOS 參考指南2安全區段安全區段安全區段是由一個或多個網段組成的集合，需要通過策略來對入站和岀站信息流進 行調整（請參閱第5頁上的“策略”）。安全區段是綁定了一個或多個接口

3、的邏輯實 體。通過多種類型的Juniper Networks安全設備，您可以定義多個安全區段，確切數目可根據網絡需要來確定。除用戶定義的區段外，您還可以使用預定義的區段：Trust、Un trust 和 DMZ （用于第 3 層操作），或者 V1-Trust、V1-U ntrust 和 V1-DMZ （用于第2層操作）。如果愿意，可以繼續使用這些預定義區段。也可以忽略預定義 區段而只使用用戶定義的區段。另外，您還可以同時使用這兩種區段-預定義和用戶定義。利用區段配置的這種靈活性，您可以創建能夠最好地滿足您的具體需要的 網絡設計。請參閱圖 2。圖2顯示了配置有五個安全區段的網絡-三個缺省區段 （

4、Trust、Un trust、DMZ）和兩個用戶定義的區段（Finance、Eng）。信息流只有在策略允許時才能由一個安全區段傳遞到另一區段。圖2:預定義安全區段注意：無需任何網段的安全區段是全域區段。（有關詳細信息，請參閱第26頁上的“Global區段”。）另外，任何區段，如果既沒有綁定到它的接口也沒有通訊簿 條目，則也可以說它不包含任何網段。如果是從 ScreenOS的早期版本進行升級，則這些區段的所有配置將保持不變。不能刪除預定義安全區段。但是，可以刪除用戶定義的安全區段。刪除安全區段WORD格式可編輯專業知識整理分享時，還會同時自動刪除為該區段配置的所有地址。TrustEngFinan

5、ceUntrust安全設備DMZ策略引擎安全區段接口3第1章：ScreenOS體系結構安全區段接口安全區段的接口可以視為一個入口，TCP/IP信息流可通過它在該區段和其它任何區段之間進行傳遞。通過定義的策略，可以使兩個區段間的信息流向一個或兩個方向流動。利用定義 的路由，可指定信息流從一個區段到另一個區段必須使用的接口。由于可將多個 接口綁定到一個區段上，所以您制定的路由對于將信息流引向您所選擇的接口十 分重要。要允許信息流從一個區段流到另一個區段，需要將一個接口綁定到該區段，而且要-對于“路由”或NAT模式的接口 (請參閱第73頁上的“接口模式”)-為該接口分配一個IP地址。兩種常見的接口類

6、型為物理接口和-對于那些具有虛擬系統支持的設備-子接口 (即，物理接口的第2層具體體現)。有關詳細信息，請參閱 第31頁上的“接口”。物理接口物理接口與安全設備上實際存在的組件有關。接口命名約定因設備而異。子接口在支持虛擬 LAN (VLAN)的設備上，可以在邏輯上將一個物理接口分為幾個虛擬的子接口，每個子接口都從它來自的物理接口借用需要的帶寬。子接口是一個抽象的 概念，但它在功能上與物理接口相同，子接口由802.1Q VLAN 標記進行區分。安全設備用子接口通過它的IP地址和 VLAN 標記來指引信息流流入和流岀區段。為方便起見，網絡管理員使用的VLAN 標記號通常與子接口號相同。例如，使用

7、VLAN 標記 3的接口 ethernet1/2命名為 ethernet1/2.3。這表示接口模塊在第一槽 位，第二個端口在該模塊上，子接口號為3 (ethernet1/2. 3)。請注意，雖然子接口與物理接口共享部分標識，但是其綁定的區段并不依賴于物理接口綁定的區段。您可以將子接口ethernet1/2.3綁定到與物理接口 ethernet1/2或ethernet1/2.2所綁定的不同區段上。同樣，IP地址的分配也沒有限制。術語 子接口并不意味著它的地址在物理接口的地址空間的子網中。注意：對于在綁定到同一區段的兩個接口間流動的信息流，因為兩個接口具有相同的安 全級別，所以不需要策略。Scre

8、e nOS對于兩個區段間的信息流需要策略，如果是在一個區段內，則不需要。注意：要了解具體的安全設備的命名約定，請參閱該設備的安裝和配置指南。注意：802.1Q是一個IEEE標準，它定義了實現虛擬橋接LAN的機制以及用來通過VLAN標記指示VLAN從屬關系的以太網幀格式。WORD格式可編輯專業知識整理分享概念與范例 ScreenOS 參考指南4虛擬路由器虛擬路由器 虛擬路由器(VR)的功能與路由器相同。它擁有自己的接口及自己的單播和組播路 由表。在 ScreenOS中，安全設備支持兩個預定義的虛擬路由器，這將允許安全設 備維護兩個單獨的單播和組播路由表，同時隱藏虛擬路由器彼此之間的路由信息。例如

9、，untrust-vr通常用來與不可信方進行通信，并且不含有保護區段的任何路由信息。保護區段的路由信息由trust-vr進行維護。因此，通過從untrust-vr中秘密提取路由的方式，收集不到任何內部網絡信息，請參閱圖3。圖3:虛擬路由器安全區段安全設備上存在兩個虛擬路由器時，不能在駐留于不同 VR中的區段之間自動轉發信息流，即使存在允許信息流的策略。如果希望信息流在虛擬路由器之間傳遞，貝9需要導岀 VR之間的路由或在將另一個VR定義為下一跳躍的VR中配置靜態路由。有關使用兩個虛擬路由器的詳細信息，請參閱第7卷：路由。trust-vr路由選擇域FinanceTrustEng DMZUntrus

10、tuntrust-vr路由選擇域注意：堡壘圖標代表安全區段的接口。路由轉發策略 5第1章：ScreenOS體系結構策略Juniper Networks安全設備用于保護網絡的安全，具體做法是先檢查要求從一個安 全區段到另一區段的通路的所有連接嘗試，然后予以允許或拒絕。在缺省情況下，安全設備拒絕所有方向的所有信息流。通過創建策略，定義允許在 預定時間通過指定源地點到達指定目的地點的信息流的種類，您可以控制區段間的 信息流。范圍最大時，可以允許所有類型的信息流從一個區段中的任何源地點到其 它所有區段中的任何目的地點，而且沒有任何預定時間限制。范圍最小時，可以創 建一個策略，只允許一種信息流在預定的時

11、間段內、在一個區段中的指定主機與另 一區段中的指定主機之間流動，請參閱圖4。圖4:缺省策略每次當封包嘗試從一個區段向另一區段或在綁定到同一區段的兩個接口間傳遞時，安全設備會檢查其策略組列表中是否有允許這種信息流的策略(請參閱第148頁上的“策略組列表”)。要使信息流可以從一個安全區段傳遞到另一個區段-例如，從區段 A至嶇段B -必須配置一個允許區段A發送信息流到區段B的策略。要使信注意：某些安全設備岀廠時設置的缺省策略為允許所有從Trust區段到Un trust區段的岀站信息流，但拒絕所有從 Un trust區段到Trust區段的入站信息流。廣義的互聯網訪問：任何服務可在任何時間、從Trust

12、區段的任何一點到Untrust區段的任何一點Untrust 區段Untrust 區段WORD格式可編輯專業知識整理分享Trust區段狹義的互聯網訪問：SMTP服務從上午5:00點到下午7:00點、從Trust區段中的郵件服務器到Untrust區段中的郵件服務器Trust區段概念與范例 ScreenOS 參考指南6 策略息流向另一方向流動，則必須配置另一策略，允許信息流從區段B流向區段 A。對于從一個區段向另一區段傳遞的任何信息流，都必須有允許它的策略。同樣，如果 啟用了內部區段阻塞，則必須要有允許信息流在該區段中從一個接口向另一個接口 傳遞的策略。請參閱第 6頁上的圖5。圖5:策略體系結構如果

13、在安全設備上配置組播路由，則可能必須配置組播策略。在缺省情況下，安全 設備不允許區段間的組播控制信息流。組播控制信息流指通過組播協議如“協議無關組播” （PIM）傳輸的消息。組播策略僅控制組播控制信息流的流動。要允許數 據信息流（既包括單播也包括組播）在區段間通過，必須配置防火墻策略。（有關詳細信息，請參閱第 7-144頁上的“組播策略”。）trust-vr路由選擇域FinanceTrustEng DMZUntrustuntrust-vr路由選擇域注意：堡壘圖標代表安全區段的接口。路由轉發策略引擎 注意：有關詳細信息，請參閱第145頁上的“策略”。虛擬專用網 7第1章：ScreenOS體系結構

14、虛擬專用網ScreenOS支持多個虛擬專用網絡（VPN）配置選項。兩種主要類型如下：基于路由的VPN -路由查找確定NetScreen設備封裝哪些信息流。策略允許或拒絕信息流到達路由中指定的目標。如果策略允許信息流并且路由引用綁定到 VPN通道的通道接口，則安全設備也封裝該策略。此配置將策略的應用與 VPN通道的應用分離。配置完成后，這些通道就成為可用的資源，用于保護一 個安全區段與另一區段之間傳遞的信息流。基于策略的VPN -策略查找確定：在策略引用特定VPN通道并將tunnel指定為操作時安全設備封裝哪些信息流。對于站點到站點 VPN配置來說，基于路由的VPN是一種很好的選擇，因為您可以將

15、多個策略應用到流經單個VPN通道的信息流。對于撥號VPN來說，基于策略的VPN是一種很好的選擇，因為撥號客戶端可能沒有可以設置路由的內部IP地址。請參閱圖6。WORD格式可編輯專業知識整理分享以下步驟介紹基于路由的VPN配置中涉及到的主要元素 ：1. 配置VPN通道時（例如，vpn-to-SF，其中SF為目的或端實體），將本地設備上的一個物理接口或子接口指定為外向接口。（遠程對等方配置其遠程網關時，必須使用此接口的IP地址。）2. 創建一個通道接口（例如，tunnel.1），將其綁定到一個安全區段。3. 將通道接口tunnel.1綁定到 VPN 通道 vpn-to-SF上。4. 要引導信息流通

16、過此通道，請設置一個路由，指明到SF的信息流必須使用tunn el.1。圖6: VPN信息流注意：不必將該通道接口綁定到VPN信息流發往的同一區段上。如果路由指向某通道接口，則到任何區段的信息流都可以訪問該接口。源區段封包發送tunnel.1VPN通道vpn-to-SF目的區段封包到達策略引擎路由表通道接口概念與范例 ScreenOS 參考指南8 虛擬專用網此時，該通道已就緒，為 SF綁定的信息流可以從中通過。現在，您可以創建通訊簿條目，如 Trust LAN （/24） 和SF LAN （1022.0/24），并設置策略，允許或阻止不同類型的信息流從指定源（如Trust LA

17、N）傳遞到指定目標（如SFLAN）。請參閱第8頁上的圖7。圖7: Untrust安全區段的VPN信息流untrust-vr路由選擇域Trust區段eth3/2-/24本地安全設備將信息流通過 tunnel.1接口從Trust區段發送到Untrust區段中的SFLAN。因為tunnel.1綁定到VPN通道vpn-to-SF上，所以設備加密信息流并通過該通 道將信息流發送到遠程對等方。trust-vr路由選擇域到達使用/24 eth3//0 untrust-vr本地設備缺省網關：50接口tunnel.1WORD格式可編輯專業知識整理分享

18、SF LAN1022.0/24VPN通道vpn-to-SFUntrust 區段外向接口eth1/2, /24到達使用/24 eth1//24 tunnel./0 50注意：有關VPN的詳細信息，請參閱 第5卷：虛擬專用網。虛擬系統9第1章：ScreenOS體系結構虛擬系統某些Juniper Networks安全設備支持虛擬系統（vsys）。虛擬系統是對主系統的細分，在用戶看來，它就像是一個獨立的實體。虛擬系統相對于同一安全設備中的任 何其它虛擬系統以及根系統是獨立存在的。將ScreenOS應用于虛擬系統需要協調三個主要

19、成員：區段、接口和虛擬路由器。圖8從概念上簡要說明ScreenOS如何同時在根級和vsys級上將這些成員緊密結合在一起。圖8: Vsys體系結構注意：堡壘圖標代表安全區段接口。DMZMailUntrustTrust-vsys2Trust-vsys1EngFinanceTrustTrust-vsys3vsys2專用子接口vsys1vsys2vsys3vsys1-vrvsys2-vrvsys3-vrtrust-vrvsys3專用物理接口untrust-vrWORD格式可編輯專業知識整理分享根和vsysl共享的接口根系統注意：有關虛擬系統以及在虛擬系統環境中應用區段、接口和虛擬路由器的詳細信息， 請

20、參閱第10卷：虛擬系統。概念與范例 ScreenOS 參考指南10封包流序列封包流序列在ScreenOS中，內向封包的流序列按圖9所示的方式進行。圖9:通過安全區段的封包流序列1. 接口模塊識別內向接口，進而識別綁定到該接口的源區段。接口模塊使用下列標準確定源區段：如果包沒有封裝，源區段為內向接口或子接口綁定的安全區段。如果包進行了封裝并且tunnel接口綁定到 VPN通道上，源區段為在其中配置tunnel接口的安全區段。如果包進行了封裝并且tunnel接口位于tunnel區段，源區段為該tunnel區段相應的承載區段（攜帶tunnel區段的安全區段）。2. 如果啟用了源區段的SCREEN選項

21、，安全設備會在此時激活SCREEN模塊。SCREEN檢查可以生成下列三種結果之一：如果SCREEN機制檢測到異常行為（對此行為已配置安全設備封鎖該封包），則安全設備會丟棄該封包并在事件日志中生成一個條目。如果SCREEN機制檢測到異常行為，該行為只記錄事件卻不封鎖封包，安 全設備將在入口接口的 SCREEN計數器列表中記錄該事件，然后繼續進行 下一步。如果SCREEN機制沒有檢測到異常行為，則安全設備繼續下一步驟。內向封包內向接口如果是網絡信息流，源區段=接口或子接口綁定的安全區段。源區段創建會話執行操作如果封包與現有的會話不匹配，請執行步驟 4-9。安全區段通道區段/24

22、 eth1//0 un trust-vr源目標服務操作策略組列表轉發表目的接口及目的區段如果是目的區段=安全區段，使WORD格式可編輯專業知識整理分享用該安全區段進行策略查找。如果目的區段=tunnel區段，使用該源區段進行策略查找。會話表d 977 vsys id 0, flag000040/00,pid -1, did 0, time 18013 (01) /1168 -/80, 6,002be0c0066b,Permit = 轉發封包 subif 0, tun 0Deny = 丟棄圭寸包Reject =丟棄數據包并將TCP RST

23、發送到源Tunnel = 使用指定通道進行VPN加密如果VPN信息流是到綁定到VPN通道的tunnel接口，源區段=在其中配置通道接口的安全區段。如果VPN信息流是到tunnel區段中的tunnel接口，源區段=承載區段。NAT-Dst 和 / 或路由查找策略查找NAT-Src MIP/VIP主機IPSCREEN會話查找過濾器PBR如果匹配，直接轉到步驟9。封包流序列11第1章：ScreenOS體系結構3.會話模塊執行會話查找，嘗試用現有會話與該數據包進行匹配。如果該數據包與現有會話不匹配，安全設備將執行“首包處理”，該過程 包括步驟4到9。如果該包與現有會話匹配，安全設備會執行“快速處理”，

24、用現有會話條目中可用的信息來處理該封包。“快速處理”會跳過步驟4至U 8,因為這些步驟產生的信息已經在會話的首包處理期間獲得。4. 如果使用映射 IP （MIP）或虛擬IP （VIP）地址，地址映射模塊會對MIP或VIP進WORD格式可編輯專業知識整理分享行解析以便路由表能查找到實際的主機地址。5. 進行路由查找前，ScreenOS會檢查基于策略的路由（PBR）的封包。如果在該內接口上啟用了PBR，將對封包應用以下動作：綁定到該內接口的PBR策略將應用于封包。如果接口級別上不存在PBR策略，則綁定到與內接口關聯的區段的PBR策略將應用于封包。如果區段級別上不存在PBR策略，則綁定到與內接口關聯

25、的VR的PBR策略將應用于封包。如果未啟用 PBR，路由表查找程序會找到指向目標地址的接口。同時，接口模 塊識別該接口綁定的目的區段。接口模塊使用下列標準確定目的區段：如果目的區段是安全區段，請使用該區段進行策略查找。如果目的區段是 tunnel區段，請使用相應的承載區段進行策略查找。如果目標區段與源區段相同且禁用了該區段的內部區段阻塞，則安全設備 將跳過步驟 6和7然后創建一個會話（步驟8）。如果啟用內部區段阻塞，則安全設備將丟棄數據包。6. 策略引擎搜尋策略組列表，以便在識別岀來的源和目的區段中的地址之間查找 策略。在策略中配置的操作決定安全設備將如何處理封包:如果操作為 permit，安

26、全設備會將封包轉發到其目標地點。如果操作為 deny，安全設備將丟棄封包。如果操作為reject，安全設備將丟棄封包且如果協議為TCP，它會將重置信號（RST）發送到源IP地址。如果操作為tunnel，安全設備會將封包轉發給VPN模塊，該模塊對封包進行封裝并用指定的VPN通道設置進行傳送。注意：有關PBR的詳細信息，請參閱 第7卷：路由。概念與范例 ScreenOS 參考指南12 巨型幀7. 如果策略中指定了目的地址轉換（NAT-dst），貝U NAT模塊會將IP封包包頭中的初始目的地址轉換成一個不同的地址。如果指定了源地址轉換（基于接口的 NAT或基于策略的 NAT-src），則NAT模塊會

27、在將IP封包包頭中的源地址轉發到目標地點或VPN模塊前對其進行轉換。（如果同一策略中同時指定了NAT-dst和NAT-src，則安全設備會首先執行NAT-dst，然后執行 NAT-src。）8. 會話模塊在會話表中創建一個新條目，其中包含步驟1到7的結果。隨后，安全設備使用該會話條目中所含的信息來處理同一會話的后續數據包。9. 安全設備執行在會話中指定的操作。典型的操作有源地址轉換、VPN通道選擇、加密、解密和包轉發。巨型幀在某些設備上，可通過增加最大封包大小或消息傳輸單位（MTU）來增加設備能夠處理的吞吐量。請參閱硬件手冊以了解設備是否支持巨型幀。幀的大小在1514到9830字節之間。要將設

28、備置于巨型幀模式，應將最大幀大小設置為1515和9830之間的值（含這兩個數值），例如：set envar max-frame-size=9830。使用 unset WORD格式可編輯專業知識整理分享envar max-frame-size 命令可將設備恢復為正常最大幀大小，即 1514字_節（或者也可以使用命令:set envarmax-frame-size=1514 ）。最大幀大小不包括幀結尾處4個字節的幀校驗序列。必須重新啟動系統才能使對環境變量所做的更改生效。在巨型幀模式下，會出現以下情況：不支持“深入檢查”（DI）。通過聚合接口發送的封包可能會混亂。不支持NSRP轉發。最大防火墻或

29、VPN吞吐量需要至少四個會話（對于防火墻）或通道（對于 VPN）ScreenOS體系結構范例13第1章：ScreenOS體系結構ScreenOS體系結構范例以下幾節介紹了一個由四部分組成的范例，說明了前面幾節所介紹的一些概念：“范例：（第1部分）具有六個區段的企業”第15頁上的“范例：（第2部分）六個區段的接口”第17頁上的“范例：（第3部分）兩個路由選擇域”第19頁上的“范例：（第4部分）策略”范例:（第1部分）具有六個區段的企業以下共有四部分范例，這是第一部分范例，目的是為了說明前面幾節介紹的部分概念。在第二部分中將設置每個區段的接口，請參閱第15頁上的“范例：（第2部分）六個區段的接口”

30、。在這里為企業配置以下六個區段：FinanceTrustEngMailUn trustDMZTrust、Un trust和DMZ 區段已經預先配置。您必須對Finan ce、Eng和Mail區段進行定義。在缺省情況下，用戶定義的區段位于trust-vr路由選擇域中。因而，不必為Finance和Eng區段指定虛擬路由器。但是，除了配置Mail區段外，您還需要指定它在 un trust-vr路由選擇域中。還必須將Un trust和DMZ區段的虛擬路由器綁定設置從trust-vr轉移到untrust-vr，請參閱第14頁上的圖10。注意：有關虛擬路由器及其路由選擇域的詳細信息，請參閱第7卷：路由。概

31、念與范例 ScreenOS 參考指南14 ScreenOS體系結構范例圖10:區段到虛擬路由器的綁定WebUINetwork Zones New: 輸入以下內容，然后單擊OK :Zone Name: FinanceVirtual Router Name: trust-vrWORD格式可編輯專業知識整理分享Zone Type: Layer 3:（ 選擇）Network Zones New:輸入以下內容，然后單擊OK :Zone Name: EngVirtual Router Name: trust-vrZone Type: Layer 3:（ 選擇）Network Zones New:輸入以下內

32、容，然后單擊OK :Zone Name: MailVirtual Router Name: un trust-vrZone Type: Layer 3:（ 選擇）Network Zones Edit （ 對于 Un trust）:在 Virtual Router Name 下拉列表中選擇untrust-vr，然后單擊 OK。Network Zones Edit （ 對于 DMZ）:在 Virtual Router Name 下拉列表中選擇 untrust-vr，然后單擊 OK。CLIset zone n ame financeset zone n ame engset zone n ame m

33、ailset zone mail vrouter un trust-vrset zone un trust vrouter un trust-vrset zone dmz vrouter un trust-vrsavetrust-vr路由選擇域untrust-vr路由選擇域MailUntrustDMZFinanceTrustEngScreenOS體系結構范例15第1章：ScreenOS體系結構范例：（第2部分）六個區段的接口這是一個漸進式范例的第二部分。在第一部分中，對區段進行了配置，請參閱第13頁上的“范例：（第1部分）具有六個區段的企業”。在下一部分中，將對虛擬路由器進行配置，請參閱第17

34、頁上的“范例：（第3部分）兩個路由選擇域”。范例的這一部分演示了如何將接口綁定到區段上并為其配置IP地址和各種管理選項，請參閱圖11。圖11:接口到區段綁定WebUI1.接口 ethernet3/2Network In terfaces Edit （ 對于 ether net3/2）:輸入以下內容，然后單擊OK :WORD格式可編輯專業知識整理分享Zone Name: TrustStatic IP:（岀現時選擇此選項）IP Address/Netmask: /24WORD格式可編輯專業知識整理分享OK :OK :Ma nageable:（選擇）Man ageme nt Serv

35、ices: WebUI, Tel net, SNMP, SSH （ 選擇）Other Services: Pi ng （ 選擇）2. 接口 ethernet3/2.1Network In terfaces Sub-IF New:輸入以下內容，然后單擊OK:In terface Name: ether net3/2.1Zone Name: FinanceStatic IP:（岀現時選擇此選項）IP Address/Netmask: 10.121/24VLAN Tag: 1Other Services: Pi ng （ 選擇）MailFinance10.121/24VLAN tag 1eth3/2

36、.1Trust/24eth3/2Eng/24eth3/1Untrust/24eth1/2DMZ/24eth2//24eth1//24VLAN tag 2eth1/1.2概念與范例 ScreenOS 參考指南16 ScreenOS體系結構范例3. 接口 ethernet3/1Network In terfaces Edit （ 對于 ether net3/1）:輸入以下內容，然后單擊Zone Name: EngStatic IP:（岀現時選擇此選項）IP Address/Netmask:

37、/24Other Services: Pi ng （ 選擇）4. 接口 ethernet1/1Network In terfaces Edit （ 對于 ether net1/1）:輸入以下內容，然后單擊WORD格式可編輯專業知識整理分享Zone Name: MailWORD格式可編輯專業知識整理分享OK :OK :Static IP:（岀現時選擇此選項）IP Address/Netmask: /245. 接口 ethernet1/1.2Network In terfaces Sub-IF New:輸入以下內容，然后單擊OK:In terface Name: ether net1

38、/1.2Zone Name: MailStatic IP:（岀現時選擇此選項）IP Address/Netmask: /24VLAN Tag: 26. 接口 ethernet1/2Network In terfaces Edit （ 對于 ether net1/2）:輸入以下內容，然后單擊Zone Name: Un trustStatic IP:（岀現時選擇此選項）IP Address/Netmask: /24Ma nageable:（選擇）Man ageme nt Services: SNMP （ 選擇）7. 接口 ethernet2/2Network In te

39、rfaces Edit （ 對于 ether net2/2）:輸入以下內容，然后單擊Zone Name: DMZStatic IP:（ 選擇）IP Address/Netmask: /24CLI1. 接口 ethernet3/2set in terface ether net3/2 zone trustset in terface ether net3/2 ip /24set in terface ether net3/2 man age pingset in terface ether net3/2 man age webuiset in terface eth

40、er net3/2 man age telnetset in terface ether net3/2 man age snmpset in terface ether net3/2 man age ssh2. 接口 ethernet3/2.1set in terface ether net3/2.1 tag 1 zone financeset in terface ether net3/2.1 ip /24set in terface ether net3/2.1 man age pingScreenOS體系結構范例17第1章：ScreenOS體系結構3. 接口 ethern

41、et3/1set in terface ether net3/1 zone engset in terface ether net3/1 ip /24set in terface ether net3/1 man age ping4. 接口 ethernet1/1set in terface ether net1/1 zone mailset in terface ether net1/1 ip /245. 接口 ethernet1/1.2WORD格式可編輯專業知識整理分享set in terface ether net1/1.2 tag 2 zone mails

42、et in terface ether net1/1.2 ip /246. 接口 ethernet1/2set in terface ether net1/2 zone un trustset in terface ether net1/2 ip /24set in terface ether net1/2 man age snmp7. 接口 ethernet2/2set in terface ether net2/2 zone dmzset in terface ether net2/2 ip /24save范例：（第3部分）兩個路由選擇域這是一個漸

43、進式范例的第三部分。在上一部分中，對多個安全區段的接口進行了定義，請參閱第15頁上的“范例：（第2部分）六個區段的接口”。在下一部分中，將對策略進行設置，請參閱第19頁上的“范例：（第4部分）策略”。在本例中，您只須為連接到互聯網的缺省網關配置路由。其它路由在您創建接口IP地址時由安全設備自動創建，請參閱第17頁上的圖12。圖12:路由域Mail/24VLAN tag 2eth1/1.2，路由/24eth1/1，路由Untrust/24eth1/2，路由DMZ/24eth2/2，路由Eng/24eth3/1, NATTru

44、st/24eth3/2, NATFinance/24VLAN tag 1eth3/2.1, NAT路由轉發trust-vr untrust-vr概念與范例 ScreenOS 參考指南WORD格式可編輯專業知識整理分享18 ScreenOS體系結構范例WebUINetwork Routing Destination （ 選擇 trust-vr） New: 輸入以下內容，然后單擊OK:Network Address/Netmask: /0Next Hop Virtual Router Name:（選擇）;un trust-vrNetwork Routi

45、ng Destination （ 選擇 untrust-vr） New:輸入以下內容，然后單擊OK :Network Address/Netmask: /0Gateway:（選擇）In terface: ethernet1/2Gateway IP Address: 54CLIset vrouter trust-vr route /0 vrouter un trust-vrset vrouter un trust-vr route /0 in terface eth1/2 gateway 54save安全設備自動創建表1和表2

46、中顯示的路由（指岀的除外）。表1: trust-vr 路由表表2: untrust-vr 路由表到達：使用接口 ：使用網關/Vrouter:倉U建者：/0 n/a untrust-vr 用戶配置/24 eth3/1 安全設備/24 eth3/2 安全設備/24 eth3/2.1 安全設備到達：使用接口 ：使用網關/Vrouter:倉U建者：/24 eth2/2 安全設備/24 eth1/2 安全設備/24 eth

47、1/1.2 安全設備/24 eth1/1 安全設備/0 eth1/2 54 用戶配置ScreenOS體系結構范例19第1章：ScreenOS體系結構范例:（第4部分）策略這是一個漸進式范例的最后一部分。上一部分為第17頁上的“范例：（第3部分）兩個路由選擇域”。范例的這一部分演示如何配置新的策略。請參閱圖13。圖13:策略WORD格式可編輯專業知識整理分享為達到本例的目的，在開始配置新策略前，您需要創建新的服務組。WebUI1.服務組Policy Policy Eleme nts Services Groups New:

48、 輸入以下內容，然后單擊OKOK :Group Name: Mail-Pop3選擇 MailMail，然后利用按鈕 將服務從 Available Members欄移動到Group Members 欄。選擇Pop3Pop3，然后利用按鈕 Policy Eleme nts Services Groups New: 輸入以下內容，然后單擊OKOK :Group Name: HTTP-FTPGet選擇HTTPHTTP，然后利用按鈕 將服務從Available Members欄移動到WORD格式可編輯專業知識整理分享Group Members 欄。選擇FTP-GetFTP-Get，然后利用按鈕 Poli

49、cies （From: Finance, To: Mail） New: 輸入以下內容，然后單擊OKOK :Source Address:Address Book Entry:（ 選擇）,AnyDesti nati on Address:Address Book Entry:（ 選擇）,AnyService: Mail-Pop3Acti on: PermitPolicy Policies （From: Trust, To: Mail） New: 輸入以下內容，然后單擊 OKOK:Source Address:Address Book Entry:（ 選擇）,AnyDesti nati on Ad

50、dress:Address Book Entry:（ 選擇）,AnyService: Mail-Pop3Acti on: PermitPolicy Policies （From: Eng, To: Mail） New:輸入以下內容，然后單擊OKOK :Source Address:Address Book Entry:（ 選擇）,AnyDesti nati on Address:Address Book Entry:（ 選擇）,AnyService: Mail-Pop3Acti on: PermitPolicy Policies （From: Un trust, To: Mail） New:

51、輸入以下內容，然后單擊OKOK :Source Address:Address Book Entry:（ 選擇）,AnyDesti nati on Address:Address Book Entry:（ 選擇）,AnyService: MailActi on: PermitPolicy Policies （From: Finance, To: Un trust） New:輸入以下內容，然后單WORD格式可編輯專業知識整理分享擊OKOK :Source Address:Address Book Entry:（ 選擇）,AnyDesti nati on Address:Address Book

52、Entry:（ 選擇）,AnyService: HTTP-FTPGetActi on: PermitScreenOS體系結構范例 21第1章：ScreenOS體系結構Policy Policies （From: Finance, To: DMZ） New:輸入以下內容，然后單擊OKOK :Source Address:Address Book Entry:（ 選擇）,AnyDesti nati on Address:Address Book Entry:（ 選擇）,AnyService: HTTP-FTPGetActi on: PermitPolicy Policies （From: Trust, To: Un trust） New:輸入以下內容，然后單擊OKOK :Source Address:Address