ScreenOS体系结构.docx_咨信网zixin.com.cn

资源描述

ScreenOS体系结构 46 2020年4月19日文档仅供参考第 1 章 ScreenOS 体系结构 Juniper Networks ScreenOS 体系结构为网络安全布局的设计提供了灵活性。在具有两个以上接口的 Juniper Networks 安全设备上，能够创立多个安全区段并配置策略以调节区段内部及区段之间的信息流。可为每个区段绑定一个或多个接口，并在每个区段上启用不同的管理和防火墙选项。利用 ScreenOS 能够创立网络环境所需的区段数、分配每个区段所需的接口数，而且能够根据自己的需要来设计每个接口。本章对 ScreenOS 进行了简要介绍。本章包括以下部分: 􀂄 第 2 页上的“安全区段” 􀂄 第 3 页上的“安全区段接口” 􀂄 第 4 页上的“虚拟路由器” 􀂄 第 5 页上的“策略” 􀂄 第 7 页上的“虚拟专用网” 􀂄 第 9 页上的“虚拟系统” 􀂄 第 10 页上的“封包流序列” 􀂄 第 12 页上的“巨型帧” 本章结束时给出了一个由四部分组成的范例，它例举了使用 ScreenOS 的安全设备的基本配置: 􀂄 第 13 页上的“范例: ( 第 1 部分) 具有六个区段的企业” 􀂄 第 15 页上的“范例: ( 第 2 部分) 六个区段的接口” 􀂄 第 17 页上的“范例: ( 第 3 部分) 两个路由选择域” 􀂄 第 19 页上的“范例: ( 第 4 部分) 策略” 概念与范例 ScreenOS 参考指南 2 􀂄 安全区段安全区段安全区段是由一个或多个网段组成的集合，需要经过策略来对入站和出站信息流进行调整 ( 请参阅第 5 页上的“策略”)。安全区段是绑定了一个或多个接口的逻辑实体。经过多种类型的 Juniper Networks 安全设备，您能够定义多个安全区段，确切数目可根据网络需要来确定。除用户定义的区段外，您还能够使用预定义的区段: Trust、Untrust 和 DMZ ( 用于第3 层操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作)。如果愿意，能够继续使用这些预定义区段。也能够忽略预定义区段而只使用用户定义的区段。另外，您还能够同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性，您能够创立能够最好地满足您的具体需要的网络设计。请参阅图2。图2 显示了配置有五个安全区段的网络 - 三个缺省区段 (Trust、Untrust、DMZ) 和两个用户定义的区段 (Finance、Eng)。信息流只有在策略允许时才能由一个安全区段传递到另一区段。图2: 预定义安全区段注意: 无需任何网段的安全区段是全域区段。( 有关详细信息，请参阅第 26 页上的 “Global 区段”。) 另外，任何区段，如果既没有绑定到它的接口也没有通讯簿条目，则也能够说它不包含任何网段。如果是从 ScreenOS 的早期版本进行升级，则这些区段的所有配置将保持不变。不能删除预定义安全区段。可是，能够删除用户定义的安全区段。删除安全区段时，还会同时自动删除为该区段配置的所有地址。 Trust Eng Finance Untrust 安全设备 DMZ 策略引擎安全区段接口􀂄 3 第 1 章: ScreenOS 体系结构安全区段接口安全区段的接口能够视为一个入口，TCP/IP 信息流可经过它在该区段和其它任何区段之间进行传递。经过定义的策略，能够使两个区段间的信息流向一个或两个方向流动。利用定义的路由，可指定信息流从一个区段到另一个区段必须使用的接口。由于可将多个接口绑定到一个区段上，因此您制定的路由对于将信息流引向您所选择的接口十分重要。要允许信息流从一个区段流到另一个区段，需要将一个接口绑定到该区段，而且要 - 对于“路由”或 NAT 模式的接口 ( 请参阅第 73 页上的“接口模式”) - 为该接口分配一个 IP 地址。两种常见的接口类型为物理接口和 - 对于那些具有虚拟系统支持的设备 - 子接口 ( 即，物理接口的第2 层具体体现)。有关详细信息，请参阅第 31 页上的“接口”。物理接口物理接口与安全设备上实际存在的组件有关。接口命名约定因设备而异。子接口在支持虚拟 LAN (VLAN) 的设备上，能够在逻辑上将一个物理接口分为几个虚拟的子接口，每个子接口都从它来自的物理接口借用需要的带宽。子接口是一个抽象的概念，但它在功能上与物理接口相同，子接口由 802.1Q VLAN 标记进行区分。安全设备用子接口经过它的 IP 地址和 VLAN 标记来指引信息流流入和流出区段。为方便起见，网络管理员使用的 VLAN 标记号一般与子接口号相同。例如，使用 VLAN 标记 3 的接口 ethernet1/2 命名为 ethernet1/2.3。这表示接口模块在第一槽位，第二个端口在该模块上，子接口号为 3 (ethernet1/2.3)。请注意，虽然子接口与物理接口共享部分标识，可是其绑定的区段并不依赖于物理接口绑定的区段。您能够将子接口 ethernet1/2.3 绑定到与物理接口 ethernet1/2 或 ethernet1/2.2 所绑定的不同区段上。同样，IP 地址的分配也没有限制。术语子接口并不意味着它的地址在物理接口的地址空间的子网中。注意: 对于在绑定到同一区段的两个接口间流动的信息流，因为两个接口具有相同的安全级别，因此不需要策略。ScreenOS 对于两个区段间的信息流需要策略，如果是在一个区段内，则不需要。注意: 要了解具体的安全设备的命名约定，请参阅该设备的安装和配置指南。注意: 802.1Q 是一个 IEEE 标准，它定义了实现虚拟桥接 LAN 的机制以及用来经过 VLAN 标记指示 VLAN 从属关系的以太网帧格式。概念与范例 ScreenOS 参考指南 4 􀂄 虚拟路由器虚拟路由器虚拟路由器 (VR) 的功能与路由器相同。它拥有自己的接口及自己的单播和组播路由表。在 ScreenOS 中，安全设备支持两个预定义的虚拟路由器，这将允许安全设备维护两个单独的单播和组播路由表，同时隐藏虚拟路由器彼此之间的路由信息。例如，untrust-vr 一般见来与不可信方进行通信，而且不含有保护区段的任何路由信息。保护区段的路由信息由 trust-vr 进行维护。因此，经过从 untrust-vr 中秘密提取路由的方式，收集不到任何内部网络信息，请参阅图3。图3: 虚拟路由器安全区段安全设备上存在两个虚拟路由器时，不能在驻留于不同 VR 中的区段之间自动转发信息流，即使存在允许信息流的策略。如果希望信息流在虚拟路由器之间传递，则需要导出 VR 之间的路由或在将另一个 VR 定义为下一跳跃的 VR 中配置静态路由。有关使用两个虚拟路由器的详细信息，请参阅第7 卷: 路由。 trust-vr 路由选择域 Finance Trust Eng DMZ Untrust untrust-vr 路由选择域注意: 堡垒图标代表安全区段的接口。路由转发策略􀂄 5 第 1 章: ScreenOS 体系结构策略 Juniper Networks 安全设备用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。在缺省情况下，安全设备拒绝所有方向的所有信息流。经过创立策略，定义允许在预定时间经过指定源地点到达指定目的地点的信息流的种类，您能够控制区段间的信息流。范围最大时，能够允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。范围最小时，能够创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动，请参阅图4。图4: 缺省策略每次当封包尝试从一个区段向另一区段或在绑定到同一区段的两个接口间传递时，安全设备会检查其策略组列表中是否有允许这种信息流的策略 ( 请参阅第 148 页上的“策略组列表”)。要使信息流能够从一个安全区段传递到另一个区段 - 例如，从区段 A 到区段 B - 必须配置一个允许区段 A 发送信息流到区段 B 的策略。要使信注意: 某些安全设备出厂时设置的缺省策略为允许所有从 Trust 区段到 Untrust 区段的出站信息流，但拒绝所有从 Untrust 区段到 Trust 区段的入站信息流。广义的互联网访问: 任何服务可在任何时间、从 Trust 区段的任何一点到 Untrust 区段的任何一点 Untrust 区段Untrust 区段 Trust 区段狭义的互联网访问: SMTP 服务从上午 5:00 点到下午 7:00 点、从 Trust 区段中的邮件服务器到 Untrust 区段中的邮件服务器 Trust 区段概念与范例 ScreenOS 参考指南 6 􀂄 策略息流向另一方向流动，则必须配置另一策略，允许信息流从区段 B 流向区段 A。对于从一个区段向另一区段传递的任何信息流，都必须有允许它的策略。同样，如果启用了内部区段阻塞，则必须要有允许信息流在该区段中从一个接口向另一个接口传递的策略。请参阅第6 页上的图5。图5: 策略体系结构如果在安全设备上配置组播路由，则可能必须配置组播策略。在缺省情况下，安全设备不允许区段间的组播控制信息流。组播控制信息流指经过组播协议 [ 如“协议无关组播”(PIM)] 传输的消息。组播策略仅控制组播控制信息流的流动。要允许数据信息流 ( 既包括单播也包括组播) 在区段间经过，必须配置防火墙策略。( 有关详细信息，请参阅第7-144 页上的“组播策略”。) trust-vr 路由选择域 Finance Trust Eng DMZ Untrust untrust-vr 路由选择域注意: 堡垒图标代表安全区段的接口。路由转发策略引擎注意: 有关详细信息，请参阅第 145 页上的“策略”。虚拟专用网􀂄 7 第 1 章: ScreenOS 体系结构虚拟专用网 ScreenOS 支持多个虚拟专用网络 (VPN) 配置选项。两种主要类型如下: 􀂄 基于路由的 VPN - 路由查找确定 NetScreen 设备封装哪些信息流。策略允许或拒绝信息流到达路由中指定的目标。如果策略允许信息流而且路由引用绑定到 VPN 通道的通道接口，则安全设备也封装该策略。此配置将策略的应用与 VPN 通道的应用分离。配置完成后，这些通道就成为可用的资源，用于保护一个安全区段与另一区段之间传递的信息流。 􀂄 基于策略的 VPN - 策略查找确定: 在策略引用特定 VPN 通道并将 "tunnel" 指定为操作时安全设备封装哪些信息流。对于站点到站点 VPN 配置来说，基于路由的 VPN 是一种很好的选择，因为您能够将多个策略应用到流经单个 VPN 通道的信息流。对于拨号 VPN 来说，基于策略的 VPN 是一种很好的选择，因为拨号客户端可能没有能够设置路由的内部 IP 地址。请参阅图6。以下步骤介绍基于路由的 VPN 配置中涉及到的主要元素: 1. 配置 VPN 通道时 ( 例如，vpn-to-SF，其中 SF 为目的或端实体)，将本地设备上的一个物理接口或子接口指定为外向接口。( 远程对等方配置其远程网关时，必须使用此接口的 IP 地址。) 2. 创立一个通道接口 ( 例如，tunnel.1)，将其绑定到一个安全区段。 3. 将通道接口 tunnel.1 绑定到 VPN 通道 vpn-to-SF 上。 4. 要引导信息流经过此通道，请设置一个路由，指明到 SF 的信息流必须使用 tunnel.1。图6: VPN 信息流注意: 不必将该通道接口绑定到 VPN 信息流发往的同一区段上。如果路由指向某通道接口，则到任何区段的信息流都能够访问该接口。源区段封包发送 tunnel.1 VPN 通道 vpn-to-SF 目的区段封包到达策略引擎路由表通道接口概念与范例 ScreenOS 参考指南 8 􀂄 虚拟专用网此时，该通道已就绪，为 SF 绑定的信息流能够从中经过。现在，您能够创立通讯簿条目，如 "Trust LAN" (10.1.1.0/24) 和 "SF LAN" (10.2.2.0/24)，并设置策略，允许或阻止不同类型的信息流从指定源 ( 如 Trust LAN) 传递到指定目标 ( 如 SF LAN)。请参阅第8 页上的图7。图7: Untrust 安全区段的 VPN 信息流 untrust-vr 路由选择域 Trust 区段 eth3/2-10.1.1.1/24 本地安全设备将信息流经过 tunnel.1 接口从 Trust 区段发送到 Untrust 区段中的 SF LAN。因为 tunnel.1 绑定到 VPN 通道 vpn-to-SF 上，因此设备加密信息流并经过该通道将信息流发送到远程对等方。 trust-vr 路由选择域到达使用 10.1.1.0/24 eth3/2 0.0.0.0/0 untrust-vr 本地设备缺省网关: 1.1.1.250 接口 tunnel.1 SF LAN 10.2.2.0/24 VPN 通道 vpn-to-SF Untrust 区段外向接口 eth1/2, 1.1.1.1/24 到达使用 1.1.1.0/24 eth1/2 10.2.2.0/24 tunnel.1 0.0.0.0/0 1.1.1.250 注意: 有关 VPN 的详细信息，请参阅第5 卷: 虚拟专用网。虚拟系统􀂄 9 第 1 章: ScreenOS 体系结构虚拟系统某些 Juniper Networks 安全设备支持虚拟系统 (vsys)。虚拟系统是对主系统的细分，在用户看来，它就像是一个独立的实体。虚拟系统相对于同一安全设备中的任何其它虚拟系统以及根系统是独立存在的。将 ScreenOS 应用于虚拟系统需要协调三个主要成员: 区段、接口和虚拟路由器。图8 从概念上简要说明 ScreenOS 如何同时在根级和 vsys 级上将这些成员紧密结合在一起。图8: Vsys 体系结构注意: 堡垒图标代表安全区段接口。 DMZ Mail Untrust Trust-vsys2 Trust-vsys1 Eng Finance Trust Trust-vsys3 vsys2 专用子接口 vsys1 vsys2 vsys3 vsys1-vr vsys2-vr vsys3-vr trust-vr vsys3 专用物理接口 untrust-vr 根和 vsys1 共享的接口根系统注意: 有关虚拟系统以及在虚拟系统环境中应用区段、接口和虚拟路由器的详细信息，请参阅第10 卷: 虚拟系统。概念与范例 ScreenOS 参考指南 10 􀂄 封包流序列封包流序列在 ScreenOS 中，内向封包的流序列按图9 所示的方式进行。图9: 经过安全区段的封包流序列 1. 接口模块识别内向接口，进而识别绑定到该接口的源区段。接口模块使用下列标准确定源区段: 􀂄 如果包没有封装，源区段为内向接口或子接口绑定的安全区段。 􀂄 如果包进行了封装而且 tunnel 接口绑定到 VPN 通道上，源区段为在其中配置 tunnel 接口的安全区段。 􀂄 如果包进行了封装而且 tunnel 接口位于 tunnel 区段，源区段为该 tunnel 区段相应的承载区段 ( 携带 tunnel 区段的安全区段)。 2. 如果启用了源区段的 SCREEN 选项，安全设备会在此时激活 SCREEN 模块。 SCREEN 检查能够生成下列三种结果之一: 􀂄 如果 SCREEN 机制检测到异常行为 (对此行为已配置安全设备封锁该封包)，则安全设备会丢弃该封包并在事件日志中生成一个条目。 􀂄 如果 SCREEN 机制检测到异常行为，该行为只记录事件却不封锁封包，安全设备将在入口接口的 SCREEN 计数器列表中记录该事件，然后继续进行下一步。 􀂄 如果 SCREEN 机制没有检测到异常行为，则安全设备继续下一步骤。内向封包内向接口如果是网络信息流，源区段 = 接口或子接口绑定的安全区段。源区段创立会话执行操作如果封包与现有的会话不匹配，请执行步骤 4-9。安全区段通道区段 10.10.10.0/24 eth1/1 0.0.0.0/0 untrust-vr 源目标服务操作策略组列表转发表目的接口及目的区段如果是目的区段 = 安全区段，使用该安全区段进行策略查找。如果目的区段 = tunnel 区段，使用该源区段进行策略查找。会话表 d 977 vsys id 0, flag 000040/00, pid -1, did 0, time 180 13 (01) 10.10.10.1/1168 -> 211.68.1.2/80, 6, 002be0c0066b, Permit ＝转发封包subif 0, tun 0 Deny = 丢弃封包 Reject = 丢弃数据包并将 TCP RST 发送到源 Tunnel = 使用指定通道进行 VPN 加密如果 VPN 信息流是到绑定到 VPN 通道的 tunnel 接口，源区段 = 在其中配置通道接口的安全区段。如果 VPN 信息流是到 tunnel 区段中的 tunnel 接口，源区段 = 承载区段。 NAT-Dst 和/ 或路由查找策略查找NAT-Src MIP/VIP 主机 IP SCREEN 会话查找过滤器 PBR 如果匹配，直接转到步骤 9。封包流序列􀂄 11 第 1 章: ScreenOS 体系结构 3. 会话模块执行会话查找，尝试用现有会话与该数据包进行匹配。 􀂄 如果该数据包与现有会话不匹配，安全设备将执行“首包处理”，该过程包括步骤 4 到 9。 􀂄 如果该包与现有会话匹配，安全设备会执行“快速处理”，用现有会话条目中可用的信息来处理该封包。“快速处理”会跳过步骤 4 到 8，因为这些步骤产生的信息已经在会话的首包处理期间获得。 4. 如果使用映射 IP (MIP) 或虚拟 IP (VIP) 地址，地址映射模块会对 MIP 或 VIP 进行解析以便路由表能查找到实际的主机地址。 5. 进行路由查找前，ScreenOS 会检查基于策略的路由 (PBR) 的封包。如果在该内接口上启用了 PBR，将对封包应用以下动作: 􀂄 绑定到该内接口的 PBR 策略将应用于封包。 􀂄 如果接口级别上不存在 PBR 策略，则绑定到与内接口关联的区段的 PBR 策略将应用于封包。 􀂄 如果区段级别上不存在 PBR 策略，则绑定到与内接口关联的 VR 的 PBR 策略将应用于封包。如果未启用 PBR，路由表查找程序会找到指向目标地址的接口。同时，接口模块识别该接口绑定的目的区段。接口模块使用下列标准确定目的区段: 􀂄 如果目的区段是安全区段，请使用该区段进行策略查找。 􀂄 如果目的区段是 tunnel 区段，请使用相应的承载区段进行策略查找。 􀂄 如果目标区段与源区段相同且禁用了该区段的内部区段阻塞，则安全设备将跳过步骤 6 和 7 然后创立一个会话 ( 步骤 8)。如果启用内部区段阻塞，则安全设备将丢弃数据包。 6. 策略引擎搜寻策略组列表，以便在识别出来的源和目的区段中的地址之间查找策略。在策略中配置的操作决定安全设备将如何处理封包: 􀂄 如果操作为 permit，安全设备会将封包转发到其目标地点。 􀂄 如果操作为 deny，安全设备将丢弃封包。 􀂄 如果操作为 reject，安全设备将丢弃封包且如果协议为 TCP，它会将重置信号 (RST) 发送到源 IP 地址。 􀂄 如果操作为 tunnel，安全设备会将封包转发给 VPN 模块，该模块对封包进行封装并用指定的 VPN 通道设置进行传送。注意: 有关 PBR 的详细信息，请参阅第 7 卷: 路由。概念与范例 ScreenOS 参考指南 12 􀂄 巨型帧 7. 如果策略中指定了目的地址转换 (NAT-dst)，则 NAT 模块会将 IP 封包包头中的初始目的地址转换成一个不同的地址。如果指定了源地址转换 ( 基于接口的 NAT 或基于策略的 NAT-src)，则 NAT 模块会在将 IP 封包包头中的源地址转发到目标地点或 VPN 模块前对其进行转换。 ( 如果同一策略中同时指定了 NAT-dst 和 NAT-src，则安全设备会首先执行 NAT-dst，然后执行 NAT-src。) 8. 会话模块在会话表中创立一个新条目，其中包含步骤 1 到 7 的结果。随后，安全设备使用该会话条目中所含的信息来处理同一会话的后续数据包。 9. 安全设备执行在会话中指定的操作。典型的操作有源地址转换、VPN 通道选择、加密、解密和包转发。巨型帧在某些设备上，可经过增加最大封包大小或消息传输单位 (MTU) 来增加设备能够处理的吞吐量。请参阅硬件手册以了解设备是否支持巨型帧。帧的大小在 1514 到 9830 字节之间。要将设备置于巨型帧模式，应将最大帧大小设置为 1515 和 9830 之间的值 ( 含这两个数值)，例如: set envar max-frame-size=9830。使用 unset envar max-frame-size 命令可将设备恢复为正常最大帧大小，即 1514 字_____节 ( 或者也能够使用命令: set envar max-frame-size=1514)。最大帧大小不包括帧结尾处 4 个字节的帧校验序列。必须重新启动系统才能使对环境变量所做的更改生效。在巨型帧模式下，会出现以下情况: 􀂄 不支持“深入检查”(DI)。 􀂄 经过聚合接口发送的封包可能会混乱。 􀂄 不支持 NSRP 转发。 􀂄 最大防火墙或 VPN 吞吐量需要至少四个会话 ( 对于防火墙) 或通道 ( 对于 VPN) ScreenOS 体系结构范例􀂄 13 第 1 章: ScreenOS 体系结构 ScreenOS 体系结构范例以下几节介绍了一个由四部分组成的范例，说明了前面几节所介绍的一些概念: 􀂄 “范例: ( 第 1 部分) 具有六个区段的企业” 􀂄 第 15 页上的“范例: ( 第 2 部分) 六个区段的接口” 􀂄 第 17 页上的“范例: ( 第 3 部分) 两个路由选择域” 􀂄 第 19 页上的“范例: ( 第 4 部分) 策略” 范例: ( 第 1 部分) 具有六个区段的企业以下共有四部分范例，这是第一部分范例，目的是为了说明前面几节介绍的部分概念。在第二部分中将设置每个区段的接口，请参阅第 15 页上的“范例: ( 第 2 部分) 六个区段的接口”。在这里为企业配置以下六个区段: 􀂄 Finance 􀂄 Trust 􀂄 Eng 􀂄 Mail 􀂄 Untrust 􀂄 DMZ Trust、Untrust 和 DMZ 区段已经预先配置。您必须对 Finance、Eng 和 Mail 区段进行定义。在缺省情况下，用户定义的区段位于 trust-vr 路由选择域中。因而，不必为 Finance 和 Eng 区段指定虚拟路由器。可是，除了配置 Mail 区段外，您还需要指定它在 untrust-vr 路由选择域中。还必须将 Untrust 和 DMZ 区段的虚拟路由器绑定设置从 trust-vr 转移到 untrust-vr，请参阅第14 页上的图10。注意: 有关虚拟路由器及其路由选择域的详细信息，请参阅第7 卷: 路由。概念与范例 ScreenOS 参考指南 14 􀂄 ScreenOS 体系结构范例图10: 区段到虚拟路由器的绑定 WebUI Network > Zones > New: 输入以下内容，然后单击 OK: Zone Name: Finance Virtual Router Name: trust-vr Zone Type: Layer 3: ( 选择) Network > Zones > New: 输入以下内容，然后单击 OK: Zone Name: Eng Virtual Router Name: trust-vr Zone Type: Layer 3: ( 选择) Network > Zones > New: 输入以下内容，然后单击 OK: Zone Name: Mail Virtual Router Name: untrust-vr Zone Type: Layer 3: ( 选择) Network > Zones > Edit ( 对于 Untrust): 在 Virtual Router Name 下拉列表中选择 untrust-vr，然后单击 OK。 Network > Zones > Edit ( 对于 DMZ): 在 Virtual Router Name 下拉列表中选择 untrust-vr，然后单击 OK。 CLI set zone name finance set zone name eng set zone name mail set zone mail vrouter untrust-vr set zone untrust vrouter untrust-vr set zone dmz vrouter untrust-vr save trust-vr 路由选择域untrust-vr 路由选择域 Mail Untrust DMZ Finance Trust Eng ScreenOS 体系结构范例􀂄 15 第 1 章: ScreenOS 体系结构范例: ( 第 2 部分) 六个区段的接口这是一个渐进式范例的第二部分。在第一部分中，对区段进行了配置，请参阅第 13 页上的“范例: ( 第 1 部分) 具有六个区段的企业”。在下一部分中，将对虚拟路由器进行配置，请参阅第 17 页上的“范例: ( 第 3 部分) 两个路由选择域”。范例的这一部分演示了如何将接口绑定到区段上并为其配置 IP 地址和各种管理选项，请参阅图11。图11: 接口到区段绑定 WebUI 1. 接口 ethernet3/2 Network > Interfaces > Edit ( 对于 ethernet3/2): 输入以下内容，然后单击 OK: Zone Name: Trust Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 Manageable: ( 选择) Management Services: WebUI, Telnet, SNMP, SSH ( 选择) Other Services: Ping ( 选择) 2. 接口 ethernet3/2.1 Network > Interfaces > Sub-IF New: 输入以下内容，然后单击 OK: Interface Name: ethernet3/2.1 Zone Name: Finance Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.2.1/24 VLAN Tag: 1 Other Services: Ping ( 选择) Mail Finance 10.1.2.1/24 VLAN tag 1 eth3/2.1 Trust 10.1.1.1/24 eth3/2 Eng 10.1.3.1/24 eth3/1 Untrust 1.1.1.1/24 eth1/2 DMZ 1.2.2.1/24 eth2/2 1.3.3.1/24 eth1/1 1.4.4.1/24 VLAN tag 2 eth1/1.2 概念与范例 ScreenOS 参考指南 16 􀂄 ScreenOS 体系结构范例 3. 接口 ethernet3/1 Network > Interfaces > Edit ( 对于 ethernet3/1): 输入以下内容，然后单击 OK: Zone Name: Eng Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.3.1/24 Other Services: Ping ( 选择) 4. 接口 ethernet1/1 Network > Interfaces > Edit ( 对于 ethernet1/1): 输入以下内容，然后单击 OK: Zone Name: Mail Static IP: ( 出现时选择此选项) IP Address/Netmask: 1.3.3.1/24 5. 接口 ethernet1/1.2 Network > Interfaces > Sub-IF New: 输入以下内容，然后单击 OK: Interface Name: ethernet1/1.2 Zone Name: Mail Static IP: ( 出现时选择此选项) IP Address/Netmask: 1.4.4.1/24 VLAN Tag: 2 6. 接口 ethernet1/2 Network > Interfaces > Edit ( 对于 ethernet1/2): 输入以下内容，然后单击 OK: Zone Name: Untrust Static IP: ( 出现时选择此选项) IP Address/Netmask: 1.1.1.1/24 Manageable: ( 选择) Management Services: SNMP ( 选择) 7. 接口 ethernet2/2 Network > Interfaces > Edit ( 对于 ethernet2/2): 输入以下内容，然后单击 OK: Zone Name: DMZ Static IP: ( 选择) IP Address/Netmask: 1.2.2.1/24 CLI 1. 接口 ethernet3/2 set interface ethernet3/2 zone trust set interface ethernet3/2 ip 10.1.1.1/24 set interface ethernet3/2 manage ping set interface ethernet3/2 manage webui set interface ethernet3/2 manage telnet set interface ethernet3/2 manage snmp set interface ethernet3/2 manage ssh 2. 接口 ethernet3/2.1 set interface ethernet3/2.1 tag 1 zone finance set interface ethernet3/2.1 ip 10.1.2.1/24 set interface ethernet3/2.1 manage ping ScreenOS 体系结构范例􀂄 17 第 1 章: ScreenOS 体系结构 3. 接口 ethernet3/1 set interface ethernet3/1 zone eng set interface ethernet3/1 ip 10.1.3.1/24 set interface ethernet3/1 manage ping 4. 接口 ethernet1/1 set interface ethernet1/1 zone mail set interface ethernet1/1 ip 1.3.3.1/24 5. 接口 ethernet1/1.2 set interface ethernet1/1.2 tag 2 zone mail set interface ethernet1/1.2 ip 1.4.4.1/24 6. 接口 ethernet1/2 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.1.1.1/24 set interface ethernet1/2 manage snmp 7. 接口 ethernet2/2 set interface ethernet2/2 zone dmz set interface ethernet2/2 ip 1.2.2.1/24 save 范例: ( 第 3 部分) 两个路由选择域这是一个渐进式范例的第三部分。在上一部分中，对多个安全区段的接口进行了定义，请参阅第 15 页上的“范例: ( 第 2 部分) 六个区段的接口”。在下一部分中，将对策略进行设置，请参阅第 19 页上的“范例: ( 第 4 部分) 策略”。在本例中，您只须为连接到互联网的缺省网关配置路由。其它路由在您创立接口 IP 地址时由安全设备自动创立，请参阅第17 页上的图12。图12: 路由域 Mail 1.4.4.1/24 VLAN tag 2 eth1/1.2，路由 1.3.3.1/24 eth1/1，路由 Untrust 1.1.1.1/24 eth1/2，路由 DMZ 1.2.2.1/24 eth2/2，路由 Eng 10.1.3.1/24 eth3/1, NAT Trust 10.1.1.1/24 eth3/2, NAT Finance 10.1.2.1/24 VLAN tag 1 eth3/2.1, NAT 路由转发 trust-vr untrust-vr 概念与范例 ScreenOS 参考指南 18 􀂄 ScreenOS 体系结构范例 WebUI Network > Routing > Destination > ( 选择 trust-vr) New: 输入以下内容，然后单击 OK: Network Address/Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: ( 选择); untrust-vr Network > Routing > Destination > ( 选择 untrust-vr) New: 输入以下内容，然后单

展开阅读全文