ScreenOS-體系結(jié)構(gòu)內(nèi)容

第1章ScreenOS體系結(jié)構(gòu)JuniperNetworksScreenOS體系結(jié)構(gòu)為網(wǎng)絡(luò)安全布局的設(shè)計(jì)提供了靈活性。在具有兩個(gè)以上接口的JuniperNetworks安全設(shè)備上，可以創(chuàng)建多個(gè)安全區(qū)段并配置策略以調(diào)節(jié)區(qū)段內(nèi)部及區(qū)段之間的信息流?？蔀槊總€(gè)區(qū)段綁定一個(gè)或多個(gè)接口，并在每個(gè)區(qū)段上啟用不同的管理和防火墻選項(xiàng)。利用ScreenOS可以創(chuàng)建網(wǎng)絡(luò)環(huán)境所需的區(qū)段數(shù)、分配每個(gè)區(qū)段所需的接口數(shù)，并且可以根據(jù)自己的需要來設(shè)計(jì)每個(gè)接口。本章對ScreenOS進(jìn)行了簡要介紹。本章包括以下部分:第2頁上的“安全區(qū)段”第3頁上的“安全區(qū)段接口”第4頁上的“虛擬路由器”第5頁上的“策略”第7頁上的“虛擬專用網(wǎng)”第9頁上的“虛擬系統(tǒng)”第10頁上的“封包流序列”第12頁上的“巨型幀”本章結(jié)束時(shí)給出了一個(gè)由四部分組成的范例，它例舉了使用ScreenOS的安全設(shè)備的基本配置:第13頁上的“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”第15頁上的“范例:(第2部分)六個(gè)區(qū)段的接口”第17頁上的“范例:(第3部分)兩個(gè)路由選擇域”第19頁上的“范例:(第4部分)策略”概念與范例ScreenOS參考指南2安全區(qū)段安全區(qū)段安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合，需要通過策略來對入站和出站信息流進(jìn)行調(diào)整(請參閱第5頁上的“策略”)。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。通過多種類型的JuniperNetworks安全設(shè)備，您可以定義多個(gè)安全區(qū)段，確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來確定。除用戶定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段:Trust、Untrust和DMZ(用于第3層操作)，或者V1-Trust、V1-Untrust和V1-DMZ(用于第2層操作)。如果愿意，可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段。另外，您還可以同時(shí)使用這兩種區(qū)段-預(yù)定義和用戶定義。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。請參閱圖2。圖2顯示了配置有五個(gè)安全區(qū)段的網(wǎng)絡(luò)-三個(gè)缺省區(qū)段(Trust、Untrust、DMZ)和兩個(gè)用戶定義的區(qū)段(Finance、Eng)。信息流只有在策略允許時(shí)才能由一個(gè)安全區(qū)段傳遞到另一區(qū)段。圖2:預(yù)定義安全區(qū)段注意:無需任何網(wǎng)段的安全區(qū)段是全域區(qū)段。(有關(guān)詳細(xì)信息，請參閱第26頁上的“Global區(qū)段”。)另外，任何區(qū)段，如果既沒有綁定到它的接口也沒有通訊簿條目，則也可以說它不包含任何網(wǎng)段。如果是從ScreenOS的早期版本進(jìn)行升級，則這些區(qū)段的所有配置將保持不變。不能刪除預(yù)定義安全區(qū)段。但是，可以刪除用戶定義的安全區(qū)段。刪除安全區(qū)段時(shí)，還會同時(shí)自動刪除為該區(qū)段配置的所有地址。TrustEngFinanceUntrust安全設(shè)備DMZ策略引擎安全區(qū)段接口3第1章:ScreenOS體系結(jié)構(gòu)安全區(qū)段接口安全區(qū)段的接口可以視為一個(gè)入口，TCP/IP信息流可通過它在該區(qū)段和其它任何區(qū)段之間進(jìn)行傳遞。通過定義的策略，可以使兩個(gè)區(qū)段間的信息流向一個(gè)或兩個(gè)方向流動。利用定義的路由，可指定信息流從一個(gè)區(qū)段到另一個(gè)區(qū)段必須使用的接口。由于可將多個(gè)接口綁定到一個(gè)區(qū)段上，所以您制定的路由對于將信息流引向您所選擇的接口十分重要。要允許信息流從一個(gè)區(qū)段流到另一個(gè)區(qū)段，需要將一個(gè)接口綁定到該區(qū)段，而且要-對于“路由”或NAT模式的接口(請參閱第73頁上的“接口模式”)-為該接口分配一個(gè)IP地址。兩種常見的接口類型為物理接口和-對于那些具有虛擬系統(tǒng)支持的設(shè)備-子接口(即，物理接口的第2層具體體現(xiàn))。有關(guān)詳細(xì)信息，請參閱第31頁上的“接口”。物理接口物理接口與安全設(shè)備上實(shí)際存在的組件有關(guān)。接口命名約定因設(shè)備而異。子接口在支持虛擬LAN(VLAN)的設(shè)備上，可以在邏輯上將一個(gè)物理接口分為幾個(gè)虛擬的子接口，每個(gè)子接口都從它來自的物理接口借用需要的帶寬。子接口是一個(gè)抽象的概念，但它在功能上與物理接口相同，子接口由802.1QVLAN標(biāo)記進(jìn)行區(qū)分。安全設(shè)備用子接口通過它的IP地址和VLAN標(biāo)記來指引信息流流入和流出區(qū)段。為方便起見，網(wǎng)絡(luò)管理員使用的VLAN標(biāo)記號通常與子接口號相同。例如，使用VLAN標(biāo)記3的接口ethernet1/2命名為ethernet1/2.3。這表示接口模塊在第一槽位，第二個(gè)端口在該模塊上，子接口號為3(ethernet1/2.3)。請注意，雖然子接口與物理接口共享部分標(biāo)識，但是其綁定的區(qū)段并不依賴于物理接口綁定的區(qū)段。您可以將子接口ethernet1/2.3綁定到與物理接口ethernet1/2或ethernet1/2.2所綁定的不同區(qū)段上。同樣，IP地址的分配也沒有限制。術(shù)語子接口并不意味著它的地址在物理接口的地址空間的子網(wǎng)中。注意:對于在綁定到同一區(qū)段的兩個(gè)接口間流動的信息流，因?yàn)閮蓚€(gè)接口具有相同的安全級別，所以不需要策略。ScreenOS對于兩個(gè)區(qū)段間的信息流需要策略，如果是在一個(gè)區(qū)段內(nèi)，則不需要。注意:要了解具體的安全設(shè)備的命名約定，請參閱該設(shè)備的安裝和配置指南。將多個(gè)策略應(yīng)用到流經(jīng)單個(gè)VPN通道的信息流。對于撥號VPN來說，基于策略的VPN是一種很好的選擇，因?yàn)閾芴柨蛻舳丝赡軟]有可以設(shè)置路由的內(nèi)部IP地址。請參閱圖6。以下步驟介紹基于路由的VPN配置中涉及到的主要元素:1.配置VPN通道時(shí)(例如，vpn-to-SF，其中SF為目的或端實(shí)體)，將本地設(shè)備上的一個(gè)物理接口或子接口指定為外向接口。(遠(yuǎn)程對等方配置其遠(yuǎn)程網(wǎng)關(guān)時(shí)，必須使用此接口的IP地址。)2.創(chuàng)建一個(gè)通道接口(例如，tunnel.1)，將其綁定到一個(gè)安全區(qū)段。3.將通道接口tunnel.1綁定到VPN通道vpn-to-SF上。4.要引導(dǎo)信息流通過此通道，請?jiān)O(shè)置一個(gè)路由，指明到SF的信息流必須使用tunnel.1。圖6:VPN信息流注意:不必將該通道接口綁定到VPN信息流發(fā)往的同一區(qū)段上。如果路由指向某通道接口，則到任何區(qū)段的信息流都可以訪問該接口。源區(qū)段封包發(fā)送tunnel.1VPN通道vpn-to-SF目的區(qū)段封包到達(dá)策略引擎路由表通道接口概念與范例ScreenOS參考指南8虛擬專用網(wǎng)此時(shí)，該通道已就緒，為SF綁定的信息流可以從中通過?，F(xiàn)在，您可以創(chuàng)建通訊簿條目，如"TrustLAN"(/24)和"SFLAN"(/24)，并設(shè)置策略，允許或阻止不同類型的信息流從指定源(如TrustLAN)傳遞到指定目標(biāo)(如SFLAN)。請參閱第8頁上的圖7。圖7:Untrust安全區(qū)段的VPN信息流untrust-vr路由選擇域Trust區(qū)段eth3/2-/24本地安全設(shè)備將信息流通過tunnel.1接口從Trust區(qū)段發(fā)送到Untrust區(qū)段中的SFLAN。因?yàn)閠unnel.1綁定到VPN通道vpn-to-SF上，所以設(shè)備加密信息流并通過該通道將信息流發(fā)送到遠(yuǎn)程對等方。trust-vr路由選擇域到達(dá)使用/24eth3//0untrust-vr本地設(shè)備缺省網(wǎng)關(guān):50接口tunnel.1SFLAN/24VPN通道vpn-to-SFUntrust區(qū)段外向接口eth1/2,/24到達(dá)使用/24eth1//24tunnel./050注意:有關(guān)VPN的詳細(xì)信息，請參閱第5卷:虛擬專用網(wǎng)。虛擬系統(tǒng)9第1章:ScreenOS體系結(jié)構(gòu)虛擬系統(tǒng)某些JuniperNetworks安全設(shè)備支持虛擬系統(tǒng)(vsys)。虛擬系統(tǒng)是對主系統(tǒng)的細(xì)分，在用戶看來，它就像是一個(gè)獨(dú)立的實(shí)體。虛擬系統(tǒng)相對于同一安全設(shè)備中的任何其它虛擬系統(tǒng)以及根系統(tǒng)是獨(dú)立存在的。將ScreenOS應(yīng)用于虛擬系統(tǒng)需要協(xié)調(diào)三個(gè)主要成員:區(qū)段、接口和虛擬路由器。圖8從概念上簡要說明ScreenOS如何同時(shí)在根級和vsys級上將這些成員緊密結(jié)合在一起。圖8:Vsys體系結(jié)構(gòu)注意:堡壘圖標(biāo)代表安全區(qū)段接口。DMZMailUntrustTrust-vsys2Trust-vsys1EngFinanceTrustTrust-vsys3vsys2專用子接口vsys1vsys2vsys3vsys1-vrvsys2-vrvsys3-vrtrust-vrvsys3專用物理接口untrust-vr根和vsys1共享的接口根系統(tǒng)注意:有關(guān)虛擬系統(tǒng)以及在虛擬系統(tǒng)環(huán)境中應(yīng)用區(qū)段、接口和虛擬路由器的詳細(xì)信息，請參閱第10卷:虛擬系統(tǒng)。概念與范例ScreenOS參考指南10封包流序列封包流序列在ScreenOS中，內(nèi)向封包的流序列按圖9所示的方式進(jìn)行。圖9:通過安全區(qū)段的封包流序列1.接口模塊識別內(nèi)向接口，進(jìn)而識別綁定到該接口的源區(qū)段。接口模塊使用下列標(biāo)準(zhǔn)確定源區(qū)段:如果包沒有封裝，源區(qū)段為內(nèi)向接口或子接口綁定的安全區(qū)段。如果包進(jìn)行了封裝并且tunnel接口綁定到VPN通道上，源區(qū)段為在其中配置tunnel接口的安全區(qū)段。如果包進(jìn)行了封裝并且tunnel接口位于tunnel區(qū)段，源區(qū)段為該tunnel區(qū)段相應(yīng)的承載區(qū)段(攜帶tunnel區(qū)段的安全區(qū)段)。2.如果啟用了源區(qū)段的SCREEN選項(xiàng)，安全設(shè)備會在此時(shí)激活SCREEN模塊。SCREEN檢查可以生成下列三種結(jié)果之一:如果SCREEN機(jī)制檢測到異常行為(對此行為已配置安全設(shè)備封鎖該封包)，則安全設(shè)備會丟棄該封包并在事件日志中生成一個(gè)條目。如果SCREEN機(jī)制檢測到異常行為，該行為只記錄事件卻不封鎖封包，安全設(shè)備將在入口接口的SCREEN計(jì)數(shù)器列表中記錄該事件，然后繼續(xù)進(jìn)行下一步。如果SCREEN機(jī)制沒有檢測到異常行為，則安全設(shè)備繼續(xù)下一步驟。內(nèi)向封包內(nèi)向接口如果是網(wǎng)絡(luò)信息流，源區(qū)段=接口或子接口綁定的安全區(qū)段。源區(qū)段創(chuàng)建會話執(zhí)行操作如果封包與現(xiàn)有的會話不匹配，請執(zhí)行步驟4-9。安全區(qū)段通道區(qū)段/24eth1//0untrust-vr源目標(biāo)服務(wù)操作策略組列表轉(zhuǎn)發(fā)表目的接口及目的區(qū)段如果是目的區(qū)段=安全區(qū)段，使用該安全區(qū)段進(jìn)行策略查找。如果目的區(qū)段=tunnel區(qū)段，使用該源區(qū)段進(jìn)行策略查找。會話表d977vsysid0,flag000040/00,pid-1,did0,time18013(01)/1168->/80,6,002be0c0066b,Permit＝轉(zhuǎn)發(fā)封包subif0,tun0Deny=丟棄封包Reject=丟棄數(shù)據(jù)包并將TCPRST發(fā)送到源Tunnel=使用指定通道進(jìn)行VPN加密如果VPN信息流是到綁定到VPN通道的tunnel接口，源區(qū)段=在其中配置通道接口的安全區(qū)段。如果VPN信息流是到tunnel區(qū)段中的tunnel接口，源區(qū)段=承載區(qū)段。NAT-Dst和/或路由查找策略查找NAT-SrcMIP/VIP主機(jī)IPSCREEN會話查找過濾器PBR如果匹配，直接轉(zhuǎn)到步驟9。封包流序列11第1章:ScreenOS體系結(jié)構(gòu)3.會話模塊執(zhí)行會話查找，嘗試用現(xiàn)有會話與該數(shù)據(jù)包進(jìn)行匹配。如果該數(shù)據(jù)包與現(xiàn)有會話不匹配，安全設(shè)備將執(zhí)行“首包處理”，該過程包括步驟4到9。如果該包與現(xiàn)有會話匹配，安全設(shè)備會執(zhí)行“快速處理”，用現(xiàn)有會話條目中可用的信息來處理該封包?！翱焖偬幚怼睍^步驟4到8，因?yàn)檫@些步驟產(chǎn)生的信息已經(jīng)在會話的首包處理期間獲得。4.如果使用映射IP(MIP)或虛擬IP(VIP)地址，地址映射模塊會對MIP或VIP進(jìn)行解析以便路由表能查找到實(shí)際的主機(jī)地址。5.進(jìn)行路由查找前，ScreenOS會檢查基于策略的路由(PBR)的封包。如果在該內(nèi)接口上啟用了PBR，將對封包應(yīng)用以下動作:綁定到該內(nèi)接口的PBR策略將應(yīng)用于封包。如果接口級別上不存在PBR策略，則綁定到與內(nèi)接口關(guān)聯(lián)的區(qū)段的PBR策略將應(yīng)用于封包。如果區(qū)段級別上不存在PBR策略，則綁定到與內(nèi)接口關(guān)聯(lián)的VR的PBR策略將應(yīng)用于封包。如果未啟用PBR，路由表查找程序會找到指向目標(biāo)地址的接口。同時(shí)，接口模塊識別該接口綁定的目的區(qū)段。接口模塊使用下列標(biāo)準(zhǔn)確定目的區(qū)段:如果目的區(qū)段是安全區(qū)段，請使用該區(qū)段進(jìn)行策略查找。如果目的區(qū)段是tunnel區(qū)段，請使用相應(yīng)的承載區(qū)段進(jìn)行策略查找。如果目標(biāo)區(qū)段與源區(qū)段相同且禁用了該區(qū)段的內(nèi)部區(qū)段阻塞，則安全設(shè)備將跳過步驟6和7然后創(chuàng)建一個(gè)會話(步驟8)。如果啟用內(nèi)部區(qū)段阻塞，則安全設(shè)備將丟棄數(shù)據(jù)包。6.策略引擎搜尋策略組列表，以便在識別出來的源和目的區(qū)段中的地址之間查找策略。在策略中配置的操作決定安全設(shè)備將如何處理封包:如果操作為permit，安全設(shè)備會將封包轉(zhuǎn)發(fā)到其目標(biāo)地點(diǎn)。如果操作為deny，安全設(shè)備將丟棄封包。如果操作為reject，安全設(shè)備將丟棄封包且如果協(xié)議為TCP，它會將重置信號(RST)發(fā)送到源IP地址。如果操作為tunnel，安全設(shè)備會將封包轉(zhuǎn)發(fā)給VPN模塊，該模塊對封包進(jìn)行封裝并用指定的VPN通道設(shè)置進(jìn)行傳送。注意:有關(guān)PBR的詳細(xì)信息，請參閱第7卷:路由。概念與范例ScreenOS參考指南12巨型幀7.如果策略中指定了目的地址轉(zhuǎn)換(NAT-dst)，則NAT模塊會將IP封包包頭中的初始目的地址轉(zhuǎn)換成一個(gè)不同的地址。如果指定了源地址轉(zhuǎn)換(基于接口的NAT或基于策略的NAT-src)，則NAT模塊會在將IP封包包頭中的源地址轉(zhuǎn)發(fā)到目標(biāo)地點(diǎn)或VPN模塊前對其進(jìn)行轉(zhuǎn)換。(如果同一策略中同時(shí)指定了NAT-dst和NAT-src，則安全設(shè)備會首先執(zhí)行NAT-dst，然后執(zhí)行NAT-src。)8.會話模塊在會話表中創(chuàng)建一個(gè)新條目，其中包含步驟1到7的結(jié)果。隨后，安全設(shè)備使用該會話條目中所含的信息來處理同一會話的后續(xù)數(shù)據(jù)包。9.安全設(shè)備執(zhí)行在會話中指定的操作。典型的操作有源地址轉(zhuǎn)換、VPN通道選擇、加密、解密和包轉(zhuǎn)發(fā)。巨型幀在某些設(shè)備上，可通過增加最大封包大小或消息傳輸單位(MTU)來增加設(shè)備能夠處理的吞吐量。請參閱硬件手冊以了解設(shè)備是否支持巨型幀。幀的大小在1514到9830字節(jié)之間。要將設(shè)備置于巨型幀模式，應(yīng)將最大幀大小設(shè)置為1515和9830之間的值(含這兩個(gè)數(shù)值)，例如:setenvarmax-frame-size=9830。使用unsetenvarmax-frame-size命令可將設(shè)備恢復(fù)為正常最大幀大小，即1514字_____節(jié)(或者也可以使用命令:setenvarmax-frame-size=1514)。最大幀大小不包括幀結(jié)尾處4個(gè)字節(jié)的幀校驗(yàn)序列。必須重新啟動系統(tǒng)才能使對環(huán)境變量所做的更改生效。在巨型幀模式下，會出現(xiàn)以下情況:不支持“深入檢查”(DI)。通過聚合接口發(fā)送的封包可能會混亂。不支持NSRP轉(zhuǎn)發(fā)。最大防火墻或VPN吞吐量需要至少四個(gè)會話(對于防火墻)或通道(對于VPN)ScreenOS體系結(jié)構(gòu)范例13第1章:ScreenOS體系結(jié)構(gòu)ScreenOS體系結(jié)構(gòu)范例以下幾節(jié)介紹了一個(gè)由四部分組成的范例，說明了前面幾節(jié)所介紹的一些概念:“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”第15頁上的“范例:(第2部分)六個(gè)區(qū)段的接口”第17頁上的“范例:(第3部分)兩個(gè)路由選擇域”第19頁上的“范例:(第4部分)策略”范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)以下共有四部分范例，這是第一部分范例，目的是為了說明前面幾節(jié)介紹的部分概念。在第二部分中將設(shè)置每個(gè)區(qū)段的接口，請參閱第15頁上的“范例:(第2部分)六個(gè)區(qū)段的接口”。在這里為企業(yè)配置以下六個(gè)區(qū)段:FinanceTrustEngMailUntrustDMZTrust、Untrust和DMZ區(qū)段已經(jīng)預(yù)先配置。您必須對Finance、Eng和Mail區(qū)段進(jìn)行定義。在缺省情況下，用戶定義的區(qū)段位于trust-vr路由選擇域中。因而，不必為Finance和Eng區(qū)段指定虛擬路由器。但是，除了配置Mail區(qū)段外，您還需要指定它在untrust-vr路由選擇域中。還必須將Untrust和DMZ區(qū)段的虛擬路由器綁定設(shè)置從trust-vr轉(zhuǎn)移到untrust-vr，請參閱第14頁上的圖10。注意:有關(guān)虛擬路由器及其路由選擇域的詳細(xì)信息，請參閱第7卷:路由。概念與范例ScreenOS參考指南14ScreenOS體系結(jié)構(gòu)范例圖10:區(qū)段到虛擬路由器的綁定WebUINetwork>Zones>New:輸入以下內(nèi)容，然后單擊OK:ZoneName:FinanceVirtualRouterName:trust-vrZoneType:Layer3:(選擇)Network>Zones>New:輸入以下內(nèi)容，然后單擊OK:ZoneName:EngVirtualRouterName:trust-vrZoneType:Layer3:(選擇)Network>Zones>New:輸入以下內(nèi)容，然后單擊OK:ZoneName:MailVirtualRouterName:untrust-vrZoneType:Layer3:(選擇)Network>Zones>Edit(對于Untrust):在VirtualRouterName下拉列表中選擇untrust-vr，然后單擊OK。Network>Zones>Edit(對于DMZ):在VirtualRouterName下拉列表中選擇untrust-vr，然后單擊OK。CLIsetzonenamefinancesetzonenameengsetzonenamemailsetzonemailvrouteruntrust-vrsetzoneuntrustvrouteruntrust-vrsetzonedmzvrouteruntrust-vrsavetrust-vr路由選擇域untrust-vr路由選擇域MailUntrustDMZFinanceTrustEngScreenOS體系結(jié)構(gòu)范例15第1章:ScreenOS體系結(jié)構(gòu)范例:(第2部分)六個(gè)區(qū)段的接口這是一個(gè)漸進(jìn)式范例的第二部分。在第一部分中，對區(qū)段進(jìn)行了配置，請參閱第13頁上的“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”。在下一部分中，將對虛擬路由器進(jìn)行配置，請參閱第17頁上的“范例:(第3部分)兩個(gè)路由選擇域”。范例的這一部分演示了如何將接口綁定到區(qū)段上并為其配置IP地址和各種管理選項(xiàng)，請參閱圖11。圖11:接口到區(qū)段綁定WebUI1.接口ethernet3/2Network>Interfaces>Edit(對于ethernet3/2):輸入以下內(nèi)容，然后單擊OK:ZoneName:TrustStaticIP:(出現(xiàn)時(shí)選擇此選項(xiàng))IPAddress/Netmask:/24Manageable:(選擇)ManagementServices:WebUI,Telnet,SNMP,SSH(選擇)OtherServices:Ping(選擇)2.接口ethernet3/2.1Network>Interfaces>Sub-IFNew:輸入以下內(nèi)容，然后單擊OK:InterfaceName:ethernet3/2.1ZoneName:FinanceStaticIP:(出現(xiàn)時(shí)選擇此選項(xiàng))IPAddress/Netmask:/24VLANTag:1OtherServices:Ping(選擇)MailFinance/24VLANtag1eth3/2.1Trust/24eth3/2Eng/24eth3/1Untrust/24eth1/2DMZ/24eth2//24eth1//24VLANtag2eth1/1.2概念與范例ScreenOS參考指南16ScreenOS體系結(jié)構(gòu)范例3.接口ethernet3/1Network>Interfaces>Edit(對于ethernet3/1):輸入以下內(nèi)容，然后單擊OK:ZoneName:EngStaticIP:(出現(xiàn)時(shí)選擇此選項(xiàng))IPAddress/Netmask:/24OtherServices:Ping(選擇)4.接口ethernet1/1Network>Interfaces>Edit(對于ethernet1/1):輸入以下內(nèi)容，然后單擊OK:ZoneName:MailStaticIP:(出現(xiàn)時(shí)選擇此選項(xiàng))IPAddress/Netmask:/245.接口ethernet1/1.2Network>Interfaces>Sub-IFNew:輸入以下內(nèi)容，然后單擊OK:InterfaceName:ethernet1/1.2ZoneName:MailStaticIP:(出現(xiàn)時(shí)選擇此選項(xiàng))IPAddress/Netmask:/24VLANTag:26.接口ethernet1/2Network>Interfaces>Edit(對于ethernet1/2):輸入以下內(nèi)容，然后單擊OK:ZoneName:UntrustStaticIP:(出現(xiàn)時(shí)選擇此選項(xiàng))IPAddress/Netmask:/24Manageable:(選擇)ManagementServices:SNMP(選擇)7.接口ethernet2/2Network>Interfaces>Edit(對于ethernet2/2):輸入以下內(nèi)容，然后單擊OK:ZoneName:DMZStaticIP:(選擇)IPAddress/Netmask:/24CLI1.接口ethernet3/2setinterfaceethernet3/2zonetrustsetinterfaceethernet3/2ip/24setinterfaceethernet3/2managepingsetinterfaceethernet3/2managewebuisetinterfaceethernet3/2managetelnetsetinterfaceethernet3/2managesnmpsetinterfaceethernet3/2managessh2.接口ethernet3/2.1setinterfaceethernet3/2.1tag1zonefinancesetinterfaceethernet3/2.1ip/24setinterfaceethernet3/2.1managepingScreenOS體系結(jié)構(gòu)范例17第1章:ScreenOS體系結(jié)構(gòu)3.接口ethernet3/1setinterfaceethernet3/1zoneengsetinterfaceethernet3/1ip/24setinterfaceethernet3/1manageping4.接口ethernet1/1setinterfaceethernet1/1zonemailsetinterfaceethernet1/1ip/245.接口ethernet1/1.2setinterfaceethernet1/1.2tag2zonemailsetinterfaceethernet1/1.2ip/246.接口ethernet1/2setinterfaceethernet1/2zoneuntrustsetinterfaceethernet1/2ip/24setinterfaceethernet1/2managesnmp7.接口ethernet2/2setinterfaceethernet2/2zonedmzsetinterfaceethernet2/2ip/24save范例:(第3部分)兩個(gè)路由選擇域這是一個(gè)漸進(jìn)式范例的第三部分。在上一部分中，對多個(gè)安全區(qū)段的接口進(jìn)行了定義，請參閱第15頁上的“范例:(第2部分)六個(gè)區(qū)段的接口”。在下一部分中，將對策略進(jìn)行設(shè)置，請參閱第19頁上的“范例:(第4部分)策略”。在本例中，您只須為連接到互聯(lián)網(wǎng)的缺省網(wǎng)關(guān)配置路由。其它路由在您創(chuàng)建接口IP地址時(shí)由安全設(shè)備自動創(chuàng)建，請參閱第17頁上的圖12。圖12:路由域Mail/24VLANtag2eth1/1.2，路由/24eth1/1，路由Untrust/24eth1/2，路由DMZ/24eth2/2，路由Eng/24eth3/1,NATTrust/24eth3/2,NATFinance/24VLANtag1eth3/2.1,NAT路由轉(zhuǎn)發(fā)trust-vruntrust-vr概念與范例ScreenOS參考指南18ScreenOS體系結(jié)構(gòu)范例WebUINetwork>Routing>Destination>(選擇trust-vr)New:輸入以下內(nèi)容，然后單擊OK:NetworkAddress/Netmask:/0NextHopVirtualRouterName:(選擇);untrust-vrNetwork>Routing>Destination>(選擇untrust-vr)New:輸入以下內(nèi)容，然后單擊OK:NetworkAddress/Netmask:/0Gateway:(選擇)Interface:ethernet1/2GatewayIPAddress:54CLIsetvroutertrust-vrroute/0vrouteruntrust-vrsetvrouteruntrust-vrroute/0interfaceeth1/2gateway54save安全設(shè)備自動創(chuàng)建表1和表2中顯示的路由(指出的除外)。表1:trust-vr路由表表2:untrust-vr路由表到達(dá):使用接口:使用網(wǎng)關(guān)/Vrouter:創(chuàng)建者:/0n/auntrust-vr用戶配置/24eth3/1安全設(shè)備/24eth3/2安全設(shè)備/24eth3/2.1安全設(shè)備到達(dá):使用接口:使用網(wǎng)關(guān)/Vrouter:創(chuàng)建者:/24eth2/2安全設(shè)備/24eth1/2安全設(shè)備/24eth1/1.2安全設(shè)備/24eth1/1安全設(shè)備/0eth1/254用戶配置ScreenOS體系結(jié)構(gòu)范例19第1章:ScreenOS體系結(jié)構(gòu)范例:(第4部分)策略這是一個(gè)漸進(jìn)式范例的最后一部分。上一部分為第17頁上的“范例:(第3部分)兩個(gè)路由選擇域”。范例的這一部分演示如何配置新的策略。請參閱圖13。圖13:策略為達(dá)到本例的目的，在開始配置新策略前，您需要?jiǎng)?chuàng)建新的服務(wù)組。WebUI1.服務(wù)組Policy>PolicyElements>Services>Groups>New:輸入以下內(nèi)容，然后單擊OK:GroupName:Mail-Pop3選擇Mail，然后利用按鈕<<將服務(wù)從AvailableMembers欄移動到GroupMembers欄。選擇Pop3，然后利用按鈕<<將服務(wù)從AvailableMembers欄移動到GroupMembers欄。Financetrust-vr路由選擇域TrustEngMailUntrustDMZ策略引擎trust-vr路由選擇域路由轉(zhuǎn)發(fā)注意:創(chuàng)建區(qū)段時(shí)，安全設(shè)備會自動為該區(qū)段內(nèi)的所有主機(jī)創(chuàng)建地址Any。本例對所有主機(jī)使用地址Any。概念與范例ScreenOS參考指南20ScreenOS體系結(jié)構(gòu)范例Policy>PolicyElements>Services>Groups>New:輸入以下內(nèi)容，然后單擊OK:GroupName:HTTP-FTPGet選擇HTTP，然后利用按鈕<<將服務(wù)從AvailableMembers欄移動到GroupMembers欄。選擇FTP-Get，然后利用按鈕<<將服務(wù)從AvailableMembers欄移動到GroupMembers欄。2.策略Policy>Policies>(From:Finance,To:Mail)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:Mail-Pop3Action:PermitPolicy>Policies>(From:Trust,To:Mail)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:Mail-Pop3Action:PermitPolicy>Policies>(From:Eng,To:Mail)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:Mail-Pop3Action:PermitPolicy>Policies>(From:Untrust,To:Mail)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:MailAction:PermitPolicy>Policies>(From:Finance,To:Untrust)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:HTTP-FTPGetAction:PermitScreenOS體系結(jié)構(gòu)范例21第1章:ScreenOS體系結(jié)構(gòu)Policy>Policies>(From:Finance,To:DMZ)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:HTTP-FTPGetAction:PermitPolicy>Policies>(From:Trust,To:Untrust)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),AnyService:HTTP-FTPGetAction:PermitPolicy>Policies>(From:Trust,To:DMZ)New:輸入以下內(nèi)容，然后單擊OK:SourceAddress:Address