ScreenOS标准体系结构.docx_咨信网zixin.com.cn

资源描述

第 1 章 ScreenOS 体系结构 Juniper Networks ScreenOS 体系结构为网络安全布局设计提供了灵活性。在含有两个以上接口 Juniper Networks 安全设备上，能够创建多个安全区段并配置策略以调整区段内部及区段之间信息流。可为每个区段绑定一个或多个接口，并在每个区段上启用不一样管理和防火墙选项。利用 ScreenOS 能够创建网络环境所需区段数、分配每个区段所需接口数，而且能够依据自己需要来设计每个接口。本章对 ScreenOS 进行了简明介绍。本章包含以下部分: 􀂄 第 2 页上“安全区段” 􀂄 第 3 页上“安全区段接口” 􀂄 第 4 页上“虚拟路由器” 􀂄 第 5 页上“策略” 􀂄 第 7 页上“虚拟专用网” 􀂄 第 9 页上“虚拟系统” 􀂄 第 10 页上“封包流序列” 􀂄 第 12 页上“巨型帧” 本章结束时给出了一个由四部分组成范例，它例举了使用 ScreenOS 安全设备基础配置: 􀂄 第 13 页上“范例: ( 第 1 部分) 含有六个区段企业” 􀂄 第 15 页上“范例: ( 第 2 部分) 六个区段接口” 􀂄 第 17 页上“范例: ( 第 3 部分) 两个路由选择域” 􀂄 第 19 页上“范例: ( 第 4 部分) 策略” 概念和范例 ScreenOS 参考指南 2 􀂄 安全区段安全区段安全区段是由一个或多个网段组成集合，需要经过策略来对入站和出站信息流进行调整 ( 请参阅第 5 页上“策略”)。安全区段是绑定了一个或多个接口逻辑实体。经过多个类型 Juniper Networks 安全设备，您能够定义多个安全区段，确切数目可依据网络需要来确定。除用户定义区段外，您还能够使用预定义区段: Trust、Untrust 和 DMZ ( 用于第3 层操作)，或 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作)。假如愿意，能够继续使用这些预定义区段。也能够忽略预定义区段而只使用用户定义区段。另外，您还能够同时使用这两种区段- 预定义和用户定义。利用区段配置这种灵活性，您能够创建能够最好地满足您具体需要网络设计。请参阅图2。图2 显示了配置有五个安全区段网络 - 三个缺省区段 (Trust、Untrust、DMZ) 和两个用户定义区段 (Finance、Eng)。信息流只有在策略许可时才能由一个安全区段传输到另一区段。图2: 预定义安全区段注意: 无需任何网段安全区段是全域区段。( 相关具体信息，请参阅第 26 页上 “Global 区段”。) 另外，任何区段，假如既没有绑定到它接口也没有通讯簿条目，则也能够说它不包含任何网段。假如是从 ScreenOS 早期版本进行升级，则这些区段全部配置将保持不变。不能删除预定义安全区段。不过，能够删除用户定义安全区段。删除安全区段时，还会同时自动删除为该区段配置全部地址。 Trust Eng Finance Untrust 安全设备 DMZ 策略引擎安全区段接口􀂄 3 第 1 章: ScreenOS 体系结构安全区段接口安全区段接口能够视为一个入口，TCP/IP 信息流可经过它在该区段和其它任何区段之间进行传输。经过定义策略，能够使两个区段间信息流向一个或两个方向流动。利用定义路由，可指定信息流从一个区段到另一个区段必需使用接口。因为可将多个接口绑定到一个区段上，所以您制订路由对于将信息流引向您所选择接口十分关键。要许可信息流从一个区段流到另一个区段，需要将一个接口绑定到该区段，而且要 - 对于“路由”或 NAT 模式接口 ( 请参阅第 73 页上“接口模式”) - 为该接口分配一个 IP 地址。两种常见接口类型为物理接口和 - 对于那些含有虚拟系统支持设备 - 子接口 ( 即，物理接口第2 层具体表现)。相关具体信息，请参阅第 31 页上“接口”。物理接口物理接口和安全设备上实际存在组件相关。接口命名约定因设备而异。子接口在支持虚拟 LAN (VLAN) 设备上，能够在逻辑上将一个物理接口分为多个虚拟子接口，每个子接口全部从它来自物理接口借用需要带宽。子接口是一个抽象概念，但它在功效上和物理接口相同，子接口由 802.1Q VLAN 标识进行区分。安全设备用子接口经过它 IP 地址和 VLAN 标识来指导信息流流入和流出区段。为方便起见，网络管理员使用 VLAN 标识号通常和子接口号相同。比如，使用 VLAN 标识 3 接口 ethernet1/2 命名为 ethernet1/2.3。这表示接口模块在第一槽位，第二个端口在该模块上，子接口号为 3 (ethernet1/2.3)。请注意，即使子接口和物理接口共享部分标识，不过其绑定区段并不依靠于物理接口绑定区段。您能够将子接口 ethernet1/2.3 绑定到和物理接口 ethernet1/2 或 ethernet1/2.2 所绑定不一样区段上。一样，IP 地址分配也没有限制。术语子接口并不意味着它地址在物理接口地址空间子网中。注意: 对于在绑定到同一区段两个接口间流动信息流，因为两个接口含有相同安全等级，所以不需要策略。ScreenOS 对于两个区段间信息流需要策略，假如是在一个区段内，则不需要。注意: 要了解具体安全设备命名约定，请参阅该设备安装和配置指南。注意: 802.1Q 是一个 IEEE 标准，它定义了实现虚拟桥接 LAN 机制和用来经过 VLAN 标识指示 VLAN 隶属关系以太网帧格式。概念和范例 ScreenOS 参考指南 4 􀂄 虚拟路由器虚拟路由器虚拟路由器 (VR) 功效和路由器相同。它拥有自己接口及自己单播和组播路由表。在 ScreenOS 中，安全设备支持两个预定义虚拟路由器，这将许可安全设备维护两个单独单播和组播路由表，同时隐藏虚拟路由器相互之间路由信息。比如，untrust-vr 通常见来和不可信方进行通信，而且不含有保护区段任何路由信息。保护区段路由信息由 trust-vr 进行维护。所以，经过从 untrust-vr 中秘密提取路由方法，搜集不到任何内部网络信息，请参阅图3。图3: 虚拟路由器安全区段安全设备上存在两个虚拟路由器时，不能在驻留于不一样 VR 中区段之间自动转发信息流，即使存在许可信息流策略。假如期望信息流在虚拟路由器之间传输，则需要导出 VR 之间路由或在将另一个 VR 定义为下一跳跃 VR 中配置静态路由。相关使用两个虚拟路由器具体信息，请参阅第7 卷: 路由。 trust-vr 路由选择域 Finance Trust Eng DMZ Untrust untrust-vr 路由选择域注意: 堡垒图标代表安全区段接口。路由转发策略􀂄 5 第 1 章: ScreenOS 体系结构策略 Juniper Networks 安全设备用于保护网络安全，具体做法是先检验要求从一个安全区段到另一区段通路全部连接尝试，然后给予许可或拒绝。在缺省情况下，安全设备拒绝全部方向全部信息流。经过创建策略，定义许可在预定时间经过指定源地点抵达指定目标地点信息流种类，您能够控制区段间信息流。范围最大时，能够许可全部类型信息流从一个区段中任何源地点到其它全部区段中任何目标地点，而且没有任何预定时间限制。范围最小时，能够创建一个策略，只许可一个信息流在预定时间段内、在一个区段中指定主机和另一区段中指定主机之间流动，请参阅图4。图4: 缺省策略每次当封包尝试从一个区段向另一区段或在绑定到同一区段两个接口间传输时，安全设备会检验其策略组列表中是否有许可这种信息流策略 ( 请参阅第 148 页上 “策略组列表”)。要使信息流能够从一个安全区段传输到另一个区段 - 比如，从区段 A 到区段 B - 必需配置一个许可区段 A 发送信息流到区段 B 策略。要使信注意: 一些安全设备出厂时设置缺省策略为许可全部从 Trust 区段到 Untrust 区段出站信息流，但拒绝全部从 Untrust 区段到 Trust 区段入站信息流。广义互联网访问: 任何服务可在任何时间、从 Trust 区段任何一点到 Untrust 区段任何一点 Untrust 区段Untrust 区段 Trust 区段狭义互联网访问: SMTP 服务从早晨 5:00 点到下午 7:00 点、从 Trust 区段中邮件服务器到 Untrust 区段中邮件服务器 Trust 区段概念和范例 ScreenOS 参考指南 6 􀂄 策略息流向另一方向流动，则必需配置另一策略，许可信息流从区段 B 流向区段 A。对于从一个区段向另一区段传输任何信息流，全部必需有许可它策略。一样，假如启用了内部区段阻塞，则必需要有许可信息流在该区段中从一个接口向另一个接口传输策略。请参阅第6 页上图5。图5: 策略体系结构假如在安全设备上配置组播路由，则可能必需配置组播策略。在缺省情况下，安全设备不许可区段间组播控制信息流。组播控制信息流指经过组播协议 [ 如“协议无关组播”(PIM)] 传输消息。组播策略仅控制组播控制信息流流动。要许可数据信息流 ( 既包含单播也包含组播) 在区段间经过，必需配置防火墙策略。( 相关具体信息，请参阅第7-144 页上“组播策略”。) trust-vr 路由选择域 Finance Trust Eng DMZ Untrust untrust-vr 路由选择域注意: 堡垒图标代表安全区段接口。路由转发策略引擎注意: 相关具体信息，请参阅第 145 页上“策略”。虚拟专用网􀂄 7 第 1 章: ScreenOS 体系结构虚拟专用网 ScreenOS 支持多个虚拟专用网络 (VPN) 配置选项。两种关键类型以下: 􀂄 基于路由 VPN - 路由查找确定 NetScreen 设备封装哪些信息流。策略许可或拒绝信息流抵达路由中指定目标。假如策略许可信息流而且路由引用绑定到 VPN 通道通道接口，则安全设备也封装该策略。此配置将策略应用和 VPN 通道应用分离。配置完成后，这些通道就成为可用资源，用于保护一个安全区段和另一区段之间传输信息流。 􀂄 基于策略 VPN - 策略查找确定: 在策略引用特定 VPN 通道并将 "tunnel" 指定为操作时安全设备封装哪些信息流。对于站点到站点 VPN 配置来说，基于路由 VPN 是一个很好选择，因为您能够将多个策略应用到流经单个 VPN 通道信息流。对于拨号 VPN 来说，基于策略 VPN 是一个很好选择，因为拨号用户端可能没有能够设置路由内部 IP 地址。请参阅图6。以下步骤介绍基于路由 VPN 配置中包含到关键元素: 1. 配置 VPN 通道时 ( 比如，vpn-to-SF，其中 SF 为目标或端实体)，将当地设备上一个物理接口或子接口指定为外向接口。( 远程对等方配置其远程网关时，必需使用此接口 IP 地址。) 2. 创建一个通道接口 ( 比如，tunnel.1)，将其绑定到一个安全区段。 3. 将通道接口 tunnel.1 绑定到 VPN 通道 vpn-to-SF 上。 4. 要引导信息流经过此通道，请设置一个路由，指明到 SF 信息流必需使用 tunnel.1。图6: VPN 信息流注意: 无须将该通道接口绑定到 VPN 信息流发往同一区段上。假如路由指向某通道接口，则到任何区段信息流全部能够访问该接口。源区段封包发送 tunnel.1 VPN 通道 vpn-to-SF 目标区段封包抵达策略引擎路由表通道接口概念和范例 ScreenOS 参考指南 8 􀂄 虚拟专用网此时，该通道已就绪，为 SF 绑定信息流能够从中经过。现在，您能够创建通讯簿条目，如 "Trust LAN" (10.1.1.0/24) 和 "SF LAN" (10.2.2.0/24)，并设置策略，允许或阻止不一样类型信息流从指定源 ( 如 Trust LAN) 传输到指定目标 ( 如 SF LAN)。请参阅第8 页上图7。图7: Untrust 安全区段 VPN 信息流 untrust-vr 路由选择域 Trust 区段 eth3/2-10.1.1.1/24 当地安全设备将信息流经过 tunnel.1 接口从 Trust 区段发送到 Untrust 区段中 SF LAN。因为 tunnel.1 绑定到 VPN 通道 vpn-to-SF 上，所以设备加密信息流并经过该通道将信息流发送到远程对等方。 trust-vr 路由选择域抵达使用 10.1.1.0/24 eth3/2 0.0.0.0/0 untrust-vr 当地设备缺省网关: 1.1.1.250 接口 tunnel.1 SF LAN 10.2.2.0/24 VPN 通道 vpn-to-SF Untrust 区段外向接口 eth1/2, 1.1.1.1/24 抵达使用 1.1.1.0/24 eth1/2 10.2.2.0/24 tunnel.1 0.0.0.0/0 1.1.1.250 注意: 相关 VPN 具体信息，请参阅第5 卷: 虚拟专用网。虚拟系统􀂄 9 第 1 章: ScreenOS 体系结构虚拟系统一些 Juniper Networks 安全设备支持虚拟系统 (vsys)。虚拟系统是对主系统细分，在用户看来，它就像是一个独立实体。虚拟系统相对于同一安全设备中任何其它虚拟系统和根系统是独立存在。将 ScreenOS 应用于虚拟系统需要协调三个关键组员: 区段、接口和虚拟路由器。图8 从概念上简明说明 ScreenOS 怎样同时在根级和 vsys 级上将这些组员紧密结合在一起。图8: Vsys 体系结构注意: 堡垒图标代表安全区段接口。 DMZ Mail Untrust Trust-vsys2 Trust-vsys1 Eng Finance Trust Trust-vsys3 vsys2 专用子接口 vsys1 vsys2 vsys3 vsys1-vr vsys2-vr vsys3-vr trust-vr vsys3 专用物理接口 untrust-vr 根和 vsys1 共享接口根系统注意: 相关虚拟系统和在虚拟系统环境中应用区段、接口和虚拟路由器具体信息，请参阅第10 卷: 虚拟系统。概念和范例 ScreenOS 参考指南 10 􀂄 封包流序列封包流序列在 ScreenOS 中，内向封包流序列按图9 所表示方法进行。图9: 经过安全区段封包流序列 1. 接口模块识别内向接口，进而识别绑定到该接口源区段。接口模块使用下列标正确定源区段: 􀂄 假如包没有封装，源区段为内向接口或子接口绑定安全区段。 􀂄 假如包进行了封装而且 tunnel 接口绑定到 VPN 通道上，源区段为在其中配置 tunnel 接口安全区段。 􀂄 假如包进行了封装而且 tunnel 接口在 tunnel 区段，源区段为该 tunnel 区段对应承载区段 ( 携带 tunnel 区段安全区段)。 2. 假如启用了源区段 SCREEN 选项，安全设备会在此时激活 SCREEN 模块。 SCREEN 检验能够生成下列三种结果之一: 􀂄 假如 SCREEN 机制检测到异常行为 (对此行为已配置安全设备封锁该封包)，则安全设备会丢弃该封包并在事件日志中生成一个条目。 􀂄 假如 SCREEN 机制检测到异常行为，该行为只统计事件却不封锁封包，安全设备将在入口接口 SCREEN 计数器列表中统计该事件，然后继续进行下一步。 􀂄 假如 SCREEN 机制没有检测到异常行为，则安全设备继续下一步骤。内向封包内向接口假如是网络信息流，源区段 = 接口或子接口绑定安全区段。源区段创建会话实施操作假如封包和现有会话不匹配，请实施步骤 4-9。安全区段通道区段 10.10.10.0/24 eth1/1 0.0.0.0/0 untrust-vr 源目标服务操作策略组列表转发表目标接口及目标区段假如是目标区段 = 安全区段，使用该安全区段进行策略查找。假如目标区段 = tunnel 区段，使用该源区段进行策略查找。会话表 d 977 vsys id 0, flag 000040/00, pid -1, did 0, time 180 13 (01) 10.10.10.1/1168 -> 211.68.1.2/80, 6, 002be0c0066b, Permit ＝转发封包subif 0, tun 0 Deny = 丢弃封包 Reject = 丢弃数据包并将 TCP RST 发送到源 Tunnel = 使用指定通道进行 VPN 加密假如 VPN 信息流是到绑定到 VPN 通道 tunnel 接口，源区段 = 在其中配置通道接口安全区段。假如 VPN 信息流是到 tunnel 区段中 tunnel 接口，源区段 = 承载区段。 NAT-Dst 和/ 或路由查找策略查找NAT-Src MIP/VIP 主机 IP SCREEN 会话查找过滤器 PBR 假如匹配，直接转到步骤 9。封包流序列􀂄 11 第 1 章: ScreenOS 体系结构 3. 会话模块实施会话查找，尝试用现有会话和该数据包进行匹配。 􀂄 假如该数据包和现有会话不匹配，安全设备将实施“首包处理”，该过程包含步骤 4 到 9。 􀂄 假如该包和现有会话匹配，安全设备会实施“快速处理”，用现有会话条目中可用信息来处理该封包。“快速处理”会跳过步骤 4 到 8，因为这些步骤产生信息已经在会话首包处理期间取得。 4. 假如使用映射 IP (MIP) 或虚拟 IP (VIP) 地址，地址映射模块会对 MIP 或 VIP 进行解析方便路由表能查找到实际主机地址。 5. 进行路由查找前，ScreenOS 会检验基于策略路由 (PBR) 封包。假如在该内接口上启用了 PBR，将对封包应用以下动作: 􀂄 绑定到该内接口 PBR 策略将应用于封包。 􀂄 假如接口等级上不存在 PBR 策略，则绑定到和内接口关联区段 PBR 策略将应用于封包。 􀂄 假如区段等级上不存在 PBR 策略，则绑定到和内接口关联 VR PBR 策略将应用于封包。假如未启用 PBR，路由表查找程序会找到指向目标地址接口。同时，接口模块识别该接口绑定目标区段。接口模块使用下列标正确定目标区段: 􀂄 假如目标区段是安全区段，请使用该区段进行策略查找。 􀂄 假如目标区段是 tunnel 区段，请使用对应承载区段进行策略查找。 􀂄 假如目标区段和源区段相同且禁用了该区段内部区段阻塞，则安全设备将跳过步骤 6 和 7 然后创建一个会话 ( 步骤 8)。假如启用内部区段阻塞，则安全设备将丢弃数据包。 6. 策略引擎搜寻策略组列表，方便在识别出来源和目标区段中地址之间查找策略。在策略中配置操作决定安全设备将怎样处理封包: 􀂄 假如操作为 permit，安全设备会将封包转发到其目标地点。 􀂄 假如操作为 deny，安全设备将丢弃封包。 􀂄 假如操作为 reject，安全设备将丢弃封包且假如协议为 TCP，它会将重置信号 (RST) 发送到源 IP 地址。 􀂄 假如操作为 tunnel，安全设备会将封包转发给 VPN 模块，该模块对封包进行封装并用指定 VPN 通道设置进行传送。注意: 相关 PBR 具体信息，请参阅第 7 卷: 路由。概念和范例 ScreenOS 参考指南 12 􀂄 巨型帧 7. 假如策略中指定了目标地址转换 (NAT-dst)，则 NAT 模块会将 IP 封包包头中初始目标地址转换成一个不一样地址。假如指定了源地址转换 ( 基于接口 NAT 或基于策略 NAT-src)，则 NAT 模块会在将 IP 封包包头中源地址转发到目标地点或 VPN 模块前对其进行转换。 ( 假如同一策略中同时指定了 NAT-dst 和 NAT-src，则安全设备会首先实施 NAT-dst，然后实施 NAT-src。) 8. 会话模块在会话表中创建一个新条目，其中包含步骤 1 到 7 结果。随即，安全设备使用该会话条目中所含信息来处理同一会话后续数据包。 9. 安全设备实施在会话中指定操作。经典操作有源地址转换、VPN 通道选择、加密、解密和包转发。巨型帧在一些设备上，可经过增加最大封包大小或消息传输单位 (MTU) 来增加设备能够处理吞吐量。请参阅硬件手册以了解设备是否支持巨型帧。帧大小在 1514 到 9830 字节之间。要将设备置于巨型帧模式，应将最大帧大小设置为 1515 和 9830 之间值 ( 含这两个数值)，比如: set envar max-frame-size=9830。使用 unset envar max-frame-size 命令可将设备恢复为正常最大帧大小，即 1514 字_____节 ( 或也能够使用命令: set envar max-frame-size=1514)。最大帧大小不包含帧结尾处 4 个字节帧校验序列。必须重新开启系统才能使对环境变量所做更改生效。在巨型帧模式下，会出现以下情况: 􀂄 不支持“深入检验”(DI)。 􀂄 经过聚合接口发送封包可能会混乱。 􀂄 不支持 NSRP 转发。 􀂄 最大防火墙或 VPN 吞吐量需要最少四个会话 ( 对于防火墙) 或通道 ( 对于 VPN) ScreenOS 体系结构范例􀂄 13 第 1 章: ScreenOS 体系结构 ScreenOS 体系结构范例以下几节介绍了一个由四部分组成范例，说明了前面几节所介绍部分概念: 􀂄 “范例: ( 第 1 部分) 含有六个区段企业” 􀂄 第 15 页上“范例: ( 第 2 部分) 六个区段接口” 􀂄 第 17 页上“范例: ( 第 3 部分) 两个路由选择域” 􀂄 第 19 页上“范例: ( 第 4 部分) 策略” 范例: ( 第 1 部分) 含有六个区段企业以下共有四部分范例，这是第一部分范例，目标是为了说明前面几节介绍部分概念。在第二部分中将设置每个区段接口，请参阅第 15 页上“范例: ( 第 2 部分) 六个区段接口”。在这里为企业配置以下六个区段: 􀂄 Finance 􀂄 Trust 􀂄 Eng 􀂄 Mail 􀂄 Untrust 􀂄 DMZ Trust、Untrust 和 DMZ 区段已经预先配置。您必需对 Finance、Eng 和 Mail 区段进行定义。在缺省情况下，用户定义区段在 trust-vr 路由选择域中。所以，不必为 Finance 和 Eng 区段指定虚拟路由器。不过，除了配置 Mail 区段外，您还需要指定它在 untrust-vr 路由选择域中。还必需将 Untrust 和 DMZ 区段虚拟路由器绑定设置从 trust-vr 转移到 untrust-vr，请参阅第14 页上图10。注意: 相关虚拟路由器及其路由选择域具体信息，请参阅第7 卷: 路由。概念和范例 ScreenOS 参考指南 14 􀂄 ScreenOS 体系结构范例图10: 区段到虚拟路由器绑定 WebUI Network > Zones > New: 输入以下内容，然后单击 OK: Zone Name: Finance Virtual Router Name: trust-vr Zone Type: Layer 3: ( 选择) Network > Zones > New: 输入以下内容，然后单击 OK: Zone Name: Eng Virtual Router Name: trust-vr Zone Type: Layer 3: ( 选择) Network > Zones > New: 输入以下内容，然后单击 OK: Zone Name: Mail Virtual Router Name: untrust-vr Zone Type: Layer 3: ( 选择) Network > Zones > Edit ( 对于 Untrust): 在 Virtual Router Name 下拉列表中选择 untrust-vr，然后单击 OK。 Network > Zones > Edit ( 对于 DMZ): 在 Virtual Router Name 下拉列表中选择 untrust-vr，然后单击 OK。 CLI set zone name finance set zone name eng set zone name mail set zone mail vrouter untrust-vr set zone untrust vrouter untrust-vr set zone dmz vrouter untrust-vr save trust-vr 路由选择域untrust-vr 路由选择域 Mail Untrust DMZ Finance Trust Eng ScreenOS 体系结构范例􀂄 15 第 1 章: ScreenOS 体系结构范例: ( 第 2 部分) 六个区段接口这是一个渐进式范例第二部分。在第一部分中，对区段进行了配置，请参阅第 13 页上“范例: ( 第 1 部分) 含有六个区段企业”。在下一部分中，将对虚拟路由器进行配置，请参阅第 17 页上“范例: ( 第 3 部分) 两个路由选择域”。范例这一部分演示了怎样将接口绑定到区段上并为其配置 IP 地址和多种管理选项，请参阅图11。图11: 接口到区段绑定 WebUI 1. 接口 ethernet3/2 Network > Interfaces > Edit ( 对于 ethernet3/2): 输入以下内容，然后单击 OK: Zone Name: Trust Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 Manageable: ( 选择) Management Services: WebUI, Telnet, SNMP, SSH ( 选择) Other Services: Ping ( 选择) 2. 接口 ethernet3/2.1 Network > Interfaces > Sub-IF New: 输入以下内容，然后单击 OK: Interface Name: ethernet3/2.1 Zone Name: Finance Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.2.1/24 VLAN Tag: 1 Other Services: Ping ( 选择) Mail Finance 10.1.2.1/24 VLAN tag 1 eth3/2.1 Trust 10.1.1.1/24 eth3/2 Eng 10.1.3.1/24 eth3/1 Untrust 1.1.1.1/24 eth1/2 DMZ 1.2.2.1/24 eth2/2 1.3.3.1/24 eth1/1 1.4.4.1/24 VLAN tag 2 eth1/1.2 概念和范例 ScreenOS 参考指南 16 􀂄 ScreenOS 体系结构范例 3. 接口 ethernet3/1 Network > Interfaces > Edit ( 对于 ethernet3/1): 输入以下内容，然后单击 OK: Zone Name: Eng Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.3.1/24 Other Services: Ping ( 选择) 4. 接口 ethernet1/1 Network > Interfaces > Edit ( 对于 ethernet1/1): 输入以下内容，然后单击 OK: Zone Name: Mail Static IP: ( 出现时选择此选项) IP Address/Netmask: 1.3.3.1/24 5. 接口 ethernet1/1.2 Network > Interfaces > Sub-IF New: 输入以下内容，然后单击 OK: Interface Name: ethernet1/1.2 Zone Name: Mail Static IP: ( 出现时选择此选项) IP Address/Netmask: 1.4.4.1/24 VLAN Tag: 2 6. 接口 ethernet1/2 Network > Interfaces > Edit ( 对于 ethernet1/2): 输入以下内容，然后单击 OK: Zone Name: Untrust Static IP: ( 出现时选择此选项) IP Address/Netmask: 1.1.1.1/24 Manageable: ( 选择) Management Services: SNMP ( 选择) 7. 接口 ethernet2/2 Network > Interfaces > Edit ( 对于 ethernet2/2): 输入以下内容，然后单击 OK: Zone Name: DMZ Static IP: ( 选择) IP Address/Netmask: 1.2.2.1/24 CLI 1. 接口 ethernet3/2 set interface ethernet3/2 zone trust set interface ethernet3/2 ip 10.1.1.1/24 set interface ethernet3/2 manage ping set interface ethernet3/2 manage webui set interface ethernet3/2 manage telnet set interface ethernet3/2 manage snmp set interface ethernet3/2 manage ssh 2. 接口 ethernet3/2.1 set interface ethernet3/2.1 tag 1 zone finance set interface ethernet3/2.1 ip 10.1.2.1/24 set interface ethernet3/2.1 manage ping ScreenOS 体系结构范例􀂄 17 第 1 章: ScreenOS 体系结构 3. 接口 ethernet3/1 set interface ethernet3/1 zone eng set interface ethernet3/1 ip 10.1.3.1/24 set interface ethernet3/1 manage ping 4. 接口 ethernet1/1 set interface ethernet1/1 zone mail set interface ethernet1/1 ip 1.3.3.1/24 5. 接口 ethernet1/1.2 set interface ethernet1/1.2 tag 2 zone mail set interface ethernet1/1.2 ip 1.4.4.1/24 6. 接口 ethernet1/2 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.1.1.1/24 set interface ethernet1/2 manage snmp 7. 接口 ethernet2/2 set interface ethernet2/2 zone dmz set interface ethernet2/2 ip 1.2.2.1/24 save 范例: ( 第 3 部分) 两个路由选择域这是一个渐进式范例第三部分。在上一部分中，对多个安全区段接口进行了定义，请参阅第 15 页上“范例: ( 第 2 部分) 六个区段接口”。在下一部分中，将对策略进行设置，请参阅第 19 页上“范例: ( 第 4 部分) 策略”。在本例中，您只须为连接到互联网缺省网关配置路由。其它路由在您创建接口 IP 地址时由安全设备自动创建，请参阅第17 页上图12。图12: 路由域 Mail 1.4.4.1/24 VLAN tag 2 eth1/1.2，路由 1.3.3.1/24 eth1/1，路由 Untrust 1.1.1.1/24 eth1/2，路由 DMZ 1.2.2.1/24 eth2/2，路由 Eng 10.1.3.1/24 eth3/1, NAT Trust 10.1.1.1/24 eth3/2, NAT Finance 10.1.2.1/24 VLAN tag 1 eth3/2.1, NAT 路由转发 trust-vr untrust-vr 概念和范例 ScreenOS 参考指南 18 􀂄 ScreenOS 体系结构范例 WebUI Network > Routing > Destination > ( 选择 trust-vr) New: 输入以下内容，然后单击 OK: Network Address/Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: ( 选择); untrust-vr Network > Routing > Destination > ( 选择 untrust-vr) New: 输入以下内容，然后单击 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 选择) Interface: ethernet1/2 Gateway IP Address: 1.1.1.254 CLI set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254 save 安全设备自动创建表1 和表2 中显示路由 ( 指出除外)。表 1: trust-vr

展开阅读全文