返回
netscreen204简明配置手册(以网管网为例)

netscreen204简明配置手册(以网管网为例)

ID:33839147

大小:115.81 KB

页数:9页

时间:2019-03-01

netscreen204简明配置手册(以网管网为例)_第1页
netscreen204简明配置手册(以网管网为例)_第2页
netscreen204简明配置手册(以网管网为例)_第3页
netscreen204简明配置手册(以网管网为例)_第4页
netscreen204简明配置手册(以网管网为例)_第5页
资源描述:

《netscreen204简明配置手册(以网管网为例)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Netscreen204简明配置手册一、基本概念1.安全区段安全区段是由一个或多个网段组成的集合,需要通过策略对进入站和出站信息流进行调整。可以定义多个安全区段,确切数目可根据网络需要确定。除用户定义的区段外,还可以使用预定义的区段:TrustsUntrust和DMZ(用于L3),或者VI-Trust、VI-Untrust和V1-DMZ(用于L2)。CLT命令:Setzonenamezone-name设置区段2.安全区段接口安全区段的接口可以视为一个入口,TCP/IP信息流可通过它在该区段和其他区段之间进行传递。通过定义的策略,可以使两个区段间的信息流向一个

2、或两个方向流动。要为区段提供一个入口,需要将一个接口绑定到该区段,可以将多个接口绑定到一个区段。两种常见的接口类型为物理接口和子接口。CL1命令:Setinterfaceinterface-idzonezone-name将接口绑定到区段Setinterfaceinterface-idipip-address设置接口TP地址1.虚拟路由器虚拟路由器(VR)和非虚拟路由器功能相同,它拥有自己的接口和路由表。在ScreenOS中,Netscreen设备支持两个艰拟路由器trust~vr和untrust-vr,并维护两个独立的路由表。两个虚拟路由器之间需要进行路由重

3、新分配。CL1命令:Setzonezone-namevrouter{trust-vr

4、untrust-vr}设置区段使用得虚拟路由器Setvroutertrust-vrrouterip-addressinterfaceinterface-idgatewayip-addressmetricmetric设置两种虚拟路由器间的路由重分配2.服务服务是IP信息流的类型,它们有相应的协议标准。每个服务都有一个端口号与之相关联,如FTP的端口号为21,Telnet的端口号为23。创建策略时,必须为它制定服务。CLI命令:Setserviceservice-namepro

5、toco1tcpsrc-portport-numberdst-portport-number设置定制服务Setserviceservice-nametimeout30设置定制服务超时值每次当封装尝试从一个区段向另一个区段或在绑定到同一区段的两个接口间传递时,Netscreen设备会检查其策略组列表是否有允许这种信息流的策略。要使信息流可以从一个安全区段传递到另一个区段,例如,从区段A到区段B,必须配置一个允许区段A发送信息流到区段B的策略。要使信息流向另一个方向流动,则必须配置另一策略,允许信息流从区段B流向区段A。对于从一个区段向另一区段传递的任何信息流,

6、都必须有允许它的策略。CLI命令:Setpolicyfromzoneltozone2source^]pdestination-ipservicepermit/deny二.工作模式Netscreen设备接口能以三种不同模式运行,分别是:透明模式(Transparentmode)>网络地址转换模式(NATmode)和路由模式(Routermode)。1.透明模式(Transparentmode)接口为透明模式时,Netscreen设备过滤通过防火墙的封包,而不会修改1P封包包头中的任何源或目的地信息。所有接口运行起來都像是同一网络中的一部分,而Netscreen

7、设备的作用更像L2交换机或桥接器。在透明模式下,接口的TP地址被设置0.0.0.0,使得Netscreen设备对于用户来说是可视或"透明”的。Netscreen设备处于透明模式吋,必须使用VLAN1接口来管理设备。缺省情况下,ScreenOS会创建一个VLAN1接口和三个VLAN1区段:VI-Trust、Vl-Untrust和V1-DMZo使用透明模式有以下优点:•不需要重新配置路由器或受保护服务器的TP地址设置•不需要为到达保护服务器的内向信息流创建映射或虚拟IP地址2.网络地址转换模式(NATmode)接口处于网络地址转换模式(NATmode)时,Net

8、screen设备的作用与L3交换机或路市器相似,将绑定到Untrust区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。Netscreen设备用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个由Netscreen设备生成的任意端口号替换源端口号。当回复封包到达Netscreen设备时,该设备转换内向封包的IP包头中的两个组件:目的地地址和端口号,他们被转换回初始地址,封包于是被转发到其目的地地址。NAT添加透明模式中未提供的一个安全级别:连接到NAT模式接口的主机的地址对Untrust区段中的主机从不公开。1.路由模式(

9、Routermode)接口为路由模式吋,Netscr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。