ScreenOS体系结构.doc

《ScreenOS体系结构.doc》由会员分享，可在线阅读，更多相关《ScreenOS体系结构.doc（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-!第 1 章ScreenOS 体系结构Juniper Networks ScreenOS 体系结构为网络安全布局的设计提供了灵活性。在具有两个以上接口的 Juniper Networks 安全设备上，可以创建多个安全区段并配置策略以调节区段内部及区段之间的信息流。可为每个区段绑定一个或多个接口，并在每个区段上启用不同的管理和防火墙选项。利用 ScreenOS 可以创建网络环境所需的区段数、分配每个区段所需的接口数，并且可以根据自己的需要来设计每个接口。本章对 ScreenOS 进行了简要介绍。本章包括以下部分: 第 2 页上的“安全区段” 第 3 页上的“安全区段接口” 第 4 页上的“虚拟

2、路由器” 第 5 页上的“策略” 第 7 页上的“虚拟专用网” 第 9 页上的“虚拟系统” 第 10 页上的“封包流序列” 第 12 页上的“巨型帧”本章结束时给出了一个由四部分组成的范例，它例举了使用 ScreenOS 的安全设备的基本配置: 第 13 页上的“范例: ( 第 1 部分) 具有六个区段的企业” 第 15 页上的“范例: ( 第 2 部分) 六个区段的接口” 第 17 页上的“范例: ( 第 3 部分) 两个路由选择域” 第 19 页上的“范例: ( 第 4 部分) 策略”概念与范例 ScreenOS 参考指南2 安全区段安全区段安全区段是由一个或多个网段组成的集合，需要通过策

3、略来对入站和出站信息流进行调整 ( 请参阅第 5 页上的“策略”)。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的 Juniper Networks 安全设备，您可以定义多个安全区段，确切数目可根据网络需要来确定。除用户定义的区段外，您还可以使用预定义的区段:Trust、Untrust 和 DMZ ( 用于第3 层操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ( 用于第2 层操作)。如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外，您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性，您可以创建能够最好

4、地满足您的具体需要的网络设计。请参阅图2。图2 显示了配置有五个安全区段的网络 - 三个缺省区段 (Trust、Untrust、DMZ) 和两个用户定义的区段 (Finance、Eng)。信息流只有在策略允许时才能由一个安全区段传递到另一区段。图2: 预定义安全区段注意: 无需任何网段的安全区段是全域区段。( 有关详细信息，请参阅第 26 页上的“Global 区段”。) 另外，任何区段，如果既没有绑定到它的接口也没有通讯簿条目，则也可以说它不包含任何网段。如果是从 ScreenOS 的早期版本进行升级，则这些区段的所有配置将保持不变。不能删除预定义安全区段。但是，可以删除用户定义的安全区段。

5、删除安全区段时，还会同时自动删除为该区段配置的所有地址。TrustEngFinanceUntrust安全设备DMZ策略引擎安全区段接口 3第 1 章: ScreenOS 体系结构安全区段接口安全区段的接口可以视为一个入口，TCP/IP 信息流可通过它在该区段和其它任何区段之间进行传递。通过定义的策略，可以使两个区段间的信息流向一个或两个方向流动。利用定义的路由，可指定信息流从一个区段到另一个区段必须使用的接口。由于可将多个接口绑定到一个区段上，所以您制定的路由对于将信息流引向您所选择的接口十分重要。要允许信息流从一个区段流到另一个区段，需要将一个接口绑定到该区段，而且要 - 对于“路由”或 N

6、AT 模式的接口 ( 请参阅第 73 页上的“接口模式”) - 为该接口分配一个 IP 地址。两种常见的接口类型为物理接口和 - 对于那些具有虚拟系统支持的设备 - 子接口 ( 即，物理接口的第2 层具体体现)。有关详细信息，请参阅第 31 页上的“接口”。物理接口物理接口与安全设备上实际存在的组件有关。接口命名约定因设备而异。子接口在支持虚拟 LAN (VLAN) 的设备上，可以在逻辑上将一个物理接口分为几个虚拟的子接口，每个子接口都从它来自的物理接口借用需要的带宽。子接口是一个抽象的概念，但它在功能上与物理接口相同，子接口由 802.1Q VLAN 标记进行区分。安全设备用子接口通过它的

7、IP 地址和 VLAN 标记来指引信息流流入和流出区段。为方便起见，网络管理员使用的 VLAN 标记号通常与子接口号相同。例如，使用VLAN 标记 3 的接口 ethernet1/2 命名为 ethernet1/2.3。这表示接口模块在第一槽位，第二个端口在该模块上，子接口号为 3 (ethernet1/2.3)。请注意，虽然子接口与物理接口共享部分标识，但是其绑定的区段并不依赖于物理接口绑定的区段。您可以将子接口 ethernet1/2.3 绑定到与物理接口 ethernet1/2 或ethernet1/2.2 所绑定的不同区段上。同样，IP 地址的分配也没有限制。术语子接口并不意味着它的地

8、址在物理接口的地址空间的子网中。注意: 对于在绑定到同一区段的两个接口间流动的信息流，因为两个接口具有相同的安全级别，所以不需要策略。ScreenOS 对于两个区段间的信息流需要策略，如果是在一个区段内，则不需要。注意: 要了解具体的安全设备的命名约定，请参阅该设备的安装和配置指南。注意: 802.1Q 是一个 IEEE 标准，它定义了实现虚拟桥接 LAN 的机制以及用来通过VLAN 标记指示 VLAN 从属关系的以太网帧格式。概念与范例 ScreenOS 参考指南4 虚拟路由器虚拟路由器虚拟路由器 (VR) 的功能与路由器相同。它拥有自己的接口及自己的单播和组播路由表。在 ScreenOS

9、中，安全设备支持两个预定义的虚拟路由器，这将允许安全设备维护两个单独的单播和组播路由表，同时隐藏虚拟路由器彼此之间的路由信息。例如，untrust-vr 通常用来与不可信方进行通信，并且不含有保护区段的任何路由信息。保护区段的路由信息由 trust-vr 进行维护。因此，通过从 untrust-vr 中秘密提取路由的方式，收集不到任何内部网络信息，请参阅图3。图3: 虚拟路由器安全区段安全设备上存在两个虚拟路由器时，不能在驻留于不同 VR 中的区段之间自动转发信息流，即使存在允许信息流的策略。如果希望信息流在虚拟路由器之间传递，则需要导出 VR 之间的路由或在将另一个 VR 定义为下一跳跃的

10、VR 中配置静态路由。有关使用两个虚拟路由器的详细信息，请参阅第7 卷: 路由。trust-vr 路由选择域FinanceTrustEng DMZUntrustuntrust-vr 路由选择域注意: 堡垒图标代表安全区段的接口。路由转发策略 5第 1 章: ScreenOS 体系结构策略Juniper Networks 安全设备用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。在缺省情况下，安全设备拒绝所有方向的所有信息流。通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，您可以控制区段间的信息流。范围最大时，

11、可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动，请参阅图4。图4: 缺省策略每次当封包尝试从一个区段向另一区段或在绑定到同一区段的两个接口间传递时，安全设备会检查其策略组列表中是否有允许这种信息流的策略 ( 请参阅第 148 页上的“策略组列表”)。要使信息流可以从一个安全区段传递到另一个区段 - 例如，从区段 A 到区段 B - 必须配置一个允许区段 A 发送信息流到区段 B 的策略。要使信注意: 某些安全设备出厂时设

12、置的缺省策略为允许所有从 Trust 区段到 Untrust 区段的出站信息流，但拒绝所有从 Untrust 区段到 Trust 区段的入站信息流。广义的互联网访问: 任何服务可在任何时间、从 Trust 区段的任何一点到 Untrust 区段的任何一点Untrust 区段Untrust 区段Trust 区段狭义的互联网访问: SMTP 服务从上午 5:00点到下午 7:00 点、从 Trust 区段中的邮件服务器到 Untrust 区段中的邮件服务器Trust 区段概念与范例 ScreenOS 参考指南6 策略息流向另一方向流动，则必须配置另一策略，允许信息流从区段 B 流向区段 A。对于从

13、一个区段向另一区段传递的任何信息流，都必须有允许它的策略。同样，如果启用了内部区段阻塞，则必须要有允许信息流在该区段中从一个接口向另一个接口传递的策略。请参阅第6 页上的图5。图5: 策略体系结构如果在安全设备上配置组播路由，则可能必须配置组播策略。在缺省情况下，安全设备不允许区段间的组播控制信息流。组播控制信息流指通过组播协议 如“协议无关组播”(PIM) 传输的消息。组播策略仅控制组播控制信息流的流动。要允许数据信息流 ( 既包括单播也包括组播) 在区段间通过，必须配置防火墙策略。( 有关详细信息，请参阅第7-144 页上的“组播策略”。)trust-vr 路由选择域FinanceTrus

14、tEng DMZUntrustuntrust-vr 路由选择域注意: 堡垒图标代表安全区段的接口。路由转发策略引擎注意: 有关详细信息，请参阅第 145 页上的“策略”。虚拟专用网 7第 1 章: ScreenOS 体系结构虚拟专用网ScreenOS 支持多个虚拟专用网络 (VPN) 配置选项。两种主要类型如下: 基于路由的 VPN - 路由查找确定 NetScreen 设备封装哪些信息流。策略允许或拒绝信息流到达路由中指定的目标。如果策略允许信息流并且路由引用绑定到VPN 通道的通道接口，则安全设备也封装该策略。此配置将策略的应用与VPN 通道的应用分离。配置完成后，这些通道就成为可用的资源

15、，用于保护一个安全区段与另一区段之间传递的信息流。 基于策略的 VPN - 策略查找确定: 在策略引用特定 VPN 通道并将 tunnel 指定为操作时安全设备封装哪些信息流。对于站点到站点 VPN 配置来说，基于路由的 VPN 是一种很好的选择，因为您可以将多个策略应用到流经单个 VPN 通道的信息流。对于拨号 VPN 来说，基于策略的VPN 是一种很好的选择，因为拨号客户端可能没有可以设置路由的内部 IP 地址。请参阅图6。以下步骤介绍基于路由的 VPN 配置中涉及到的主要元素:1. 配置 VPN 通道时 ( 例如，vpn-to-SF，其中 SF 为目的或端实体)，将本地设备上的一个物理接

16、口或子接口指定为外向接口。( 远程对等方配置其远程网关时，必须使用此接口的 IP 地址。)2. 创建一个通道接口 ( 例如，tunnel.1)，将其绑定到一个安全区段。3. 将通道接口 tunnel.1 绑定到 VPN 通道 vpn-to-SF 上。4. 要引导信息流通过此通道，请设置一个路由，指明到 SF 的信息流必须使用tunnel.1。图6: VPN 信息流注意: 不必将该通道接口绑定到 VPN 信息流发往的同一区段上。如果路由指向某通道接口，则到任何区段的信息流都可以访问该接口。源区段封包发送tunnel.1VPN 通道vpn-to-SF目的区段封包到达策略引擎路由表通道接口概念与范例

17、 ScreenOS 参考指南8 虚拟专用网此时，该通道已就绪，为 SF 绑定的信息流可以从中通过。现在，您可以创建通讯簿条目，如 Trust LAN (10.1.1.0/24) 和 SF LAN (10.2.2.0/24)，并设置策略，允许或阻止不同类型的信息流从指定源 ( 如 Trust LAN) 传递到指定目标 ( 如 SFLAN)。请参阅第8 页上的图7。图7: Untrust 安全区段的 VPN 信息流untrust-vr 路由选择域Trust 区段eth3/2-10.1.1.1/24本地安全设备将信息流通过 tunnel.1 接口从 Trust 区段发送到 Untrust 区段中的

18、SFLAN。因为 tunnel.1 绑定到 VPN 通道 vpn-to-SF 上，所以设备加密信息流并通过该通道将信息流发送到远程对等方。trust-vr 路由选择域到达使用10.1.1.0/24 eth3/20.0.0.0/0 untrust-vr本地设备缺省网关:1.1.1.250接口tunnel.1SF LAN10.2.2.0/24VPN 通道vpn-to-SFUntrust 区段外向接口eth1/2, 1.1.1.1/24到达使用1.1.1.0/24 eth1/210.2.2.0/24 tunnel.10.0.0.0/0 1.1.1.250注意: 有关 VPN 的详细信息，请参阅第5

19、卷: 虚拟专用网。虚拟系统 9第 1 章: ScreenOS 体系结构虚拟系统某些 Juniper Networks 安全设备支持虚拟系统 (vsys)。虚拟系统是对主系统的细分，在用户看来，它就像是一个独立的实体。虚拟系统相对于同一安全设备中的任何其它虚拟系统以及根系统是独立存在的。将 ScreenOS 应用于虚拟系统需要协调三个主要成员: 区段、接口和虚拟路由器。图8 从概念上简要说明 ScreenOS 如何同时在根级和 vsys 级上将这些成员紧密结合在一起。图8: Vsys 体系结构注意: 堡垒图标代表安全区段接口。DMZMailUntrustTrust-vsys2Trust-vsys

20、1EngFinanceTrustTrust-vsys3vsys2 专用子接口vsys1vsys2vsys3vsys1-vrvsys2-vrvsys3-vrtrust-vrvsys3 专用物理接口untrust-vr根和 vsys1共享的接口根系统注意: 有关虚拟系统以及在虚拟系统环境中应用区段、接口和虚拟路由器的详细信息，请参阅第10 卷: 虚拟系统。概念与范例 ScreenOS 参考指南10 封包流序列封包流序列在 ScreenOS 中，内向封包的流序列按图9 所示的方式进行。图9: 通过安全区段的封包流序列1. 接口模块识别内向接口，进而识别绑定到该接口的源区段。接口模块使用下列标准确定源

21、区段: 如果包没有封装，源区段为内向接口或子接口绑定的安全区段。 如果包进行了封装并且 tunnel 接口绑定到 VPN 通道上，源区段为在其中配置 tunnel 接口的安全区段。 如果包进行了封装并且 tunnel 接口位于 tunnel 区段，源区段为该 tunnel区段相应的承载区段 ( 携带 tunnel 区段的安全区段)。2. 如果启用了源区段的 SCREEN 选项，安全设备会在此时激活 SCREEN 模块。SCREEN 检查可以生成下列三种结果之一: 如果 SCREEN 机制检测到异常行为 (对此行为已配置安全设备封锁该封包)，则安全设备会丢弃该封包并在事件日志中生成一个条目。 如

22、果 SCREEN 机制检测到异常行为，该行为只记录事件却不封锁封包，安全设备将在入口接口的 SCREEN 计数器列表中记录该事件，然后继续进行下一步。 如果 SCREEN 机制没有检测到异常行为，则安全设备继续下一步骤。内向封包内向接口如果是网络信息流，源区段 = 接口或子接口绑定的安全区段。源区段创建会话执行操作如果封包与现有的会话不匹配，请执行步骤 4-9。安全区段通道区段10.10.10.0/24 eth1/10.0.0.0/0 untrust-vr源 目标 服务 操作策略组列表转发表目的接口及目的区段如果是目的区段 = 安全区段，使用该安全区段进行策略查找。如果目的区段 = tunne

23、l 区段，使用该源区段进行策略查找。会话表d 977 vsys id 0, flag000040/00,pid -1, did 0, time 18013 (01) 10.10.10.1/1168 -211.68.1.2/80, 6,002be0c0066b,Permit 转发封包subif 0, tun 0Deny = 丢弃封包Reject = 丢弃数据包并将TCP RST 发送到源Tunnel = 使用指定通道进行VPN 加密如果 VPN 信息流是到绑定到 VPN通道的 tunnel 接口，源区段 = 在其中配置通道接口的安全区段。如果 VPN 信息流是到 tunnel 区段中的 tunn

24、el 接口，源区段 = 承载区段。NAT-Dst 和/ 或路由查找策略查找NAT-Src MIP/VIP主机 IPSCREEN 会话查找过滤器PBR如果匹配，直接转到步骤 9。封包流序列 11第 1 章: ScreenOS 体系结构3. 会话模块执行会话查找，尝试用现有会话与该数据包进行匹配。 如果该数据包与现有会话不匹配，安全设备将执行“首包处理”，该过程包括步骤 4 到 9。 如果该包与现有会话匹配，安全设备会执行“快速处理”，用现有会话条目中可用的信息来处理该封包。“快速处理”会跳过步骤 4 到 8，因为这些步骤产生的信息已经在会话的首包处理期间获得。4. 如果使用映射 IP (MIP)

25、 或虚拟 IP (VIP) 地址，地址映射模块会对 MIP 或 VIP 进行解析以便路由表能查找到实际的主机地址。5. 进行路由查找前，ScreenOS 会检查基于策略的路由 (PBR) 的封包。如果在该内接口上启用了 PBR，将对封包应用以下动作: 绑定到该内接口的 PBR 策略将应用于封包。 如果接口级别上不存在 PBR 策略，则绑定到与内接口关联的区段的 PBR策略将应用于封包。 如果区段级别上不存在 PBR 策略，则绑定到与内接口关联的 VR 的 PBR 策略将应用于封包。如果未启用 PBR，路由表查找程序会找到指向目标地址的接口。同时，接口模块识别该接口绑定的目的区段。接口模块使用下

26、列标准确定目的区段: 如果目的区段是安全区段，请使用该区段进行策略查找。 如果目的区段是 tunnel 区段，请使用相应的承载区段进行策略查找。 如果目标区段与源区段相同且禁用了该区段的内部区段阻塞，则安全设备将跳过步骤 6 和 7 然后创建一个会话 ( 步骤 8)。如果启用内部区段阻塞，则安全设备将丢弃数据包。6. 策略引擎搜寻策略组列表，以便在识别出来的源和目的区段中的地址之间查找策略。在策略中配置的操作决定安全设备将如何处理封包: 如果操作为 permit，安全设备会将封包转发到其目标地点。 如果操作为 deny，安全设备将丢弃封包。 如果操作为 reject，安全设备将丢弃封包且如果协

27、议为 TCP，它会将重置信号 (RST) 发送到源 IP 地址。 如果操作为 tunnel，安全设备会将封包转发给 VPN 模块，该模块对封包进行封装并用指定的 VPN 通道设置进行传送。注意: 有关 PBR 的详细信息，请参阅第 7 卷: 路由。概念与范例 ScreenOS 参考指南12 巨型帧7. 如果策略中指定了目的地址转换 (NAT-dst)，则 NAT 模块会将 IP 封包包头中的初始目的地址转换成一个不同的地址。如果指定了源地址转换 ( 基于接口的 NAT 或基于策略的 NAT-src)，则 NAT 模块会在将 IP 封包包头中的源地址转发到目标地点或 VPN 模块前对其进行转换。

28、( 如果同一策略中同时指定了 NAT-dst 和 NAT-src，则安全设备会首先执行NAT-dst，然后执行 NAT-src。)8. 会话模块在会话表中创建一个新条目，其中包含步骤 1 到 7 的结果。随后，安全设备使用该会话条目中所含的信息来处理同一会话的后续数据包。9. 安全设备执行在会话中指定的操作。典型的操作有源地址转换、VPN 通道选择、加密、解密和包转发。巨型帧在某些设备上，可通过增加最大封包大小或消息传输单位 (MTU) 来增加设备能够处理的吞吐量。请参阅硬件手册以了解设备是否支持巨型帧。帧的大小在 1514 到 9830 字节之间。要将设备置于巨型帧模式，应将最大帧大小设置为

29、 1515 和 9830 之间的值 ( 含这两个数值)，例如: set envarmax-frame-size=9830。使用 unset envar max-frame-size 命令可将设备恢复为正常最大帧大小，即 1514 字_节 ( 或者也可以使用命令: set envarmax-frame-size=1514)。最大帧大小不包括帧结尾处 4 个字节的帧校验序列。必须重新启动系统才能使对环境变量所做的更改生效。在巨型帧模式下，会出现以下情况: 不支持“深入检查”(DI)。 通过聚合接口发送的封包可能会混乱。 不支持 NSRP 转发。 最大防火墙或 VPN 吞吐量需要至少四个会话 ( 对

30、于防火墙) 或通道 ( 对于 VPN)ScreenOS 体系结构范例 13第 1 章: ScreenOS 体系结构ScreenOS 体系结构范例以下几节介绍了一个由四部分组成的范例，说明了前面几节所介绍的一些概念: “范例: ( 第 1 部分) 具有六个区段的企业” 第 15 页上的“范例: ( 第 2 部分) 六个区段的接口” 第 17 页上的“范例: ( 第 3 部分) 两个路由选择域” 第 19 页上的“范例: ( 第 4 部分) 策略”范例: ( 第 1 部分) 具有六个区段的企业以下共有四部分范例，这是第一部分范例，目的是为了说明前面几节介绍的部分概念。在第二部分中将设置每个区段的接

31、口，请参阅第 15 页上的“范例: ( 第 2 部分)六个区段的接口”。在这里为企业配置以下六个区段: Finance Trust Eng Mail Untrust DMZTrust、Untrust 和 DMZ 区段已经预先配置。您必须对 Finance、Eng 和 Mail 区段进行定义。在缺省情况下，用户定义的区段位于 trust-vr 路由选择域中。因而，不必为 Finance 和 Eng 区段指定虚拟路由器。但是，除了配置 Mail 区段外，您还需要指定它在 untrust-vr 路由选择域中。还必须将 Untrust 和 DMZ 区段的虚拟路由器绑定设置从 trust-vr 转移到

32、untrust-vr，请参阅第14 页上的图10。注意: 有关虚拟路由器及其路由选择域的详细信息，请参阅第7 卷: 路由。概念与范例 ScreenOS 参考指南14 ScreenOS 体系结构范例图10: 区段到虚拟路由器的绑定WebUINetwork Zones New: 输入以下内容，然后单击 OK:Zone Name: FinanceVirtual Router Name: trust-vrZone Type: Layer 3: ( 选择)Network Zones New: 输入以下内容，然后单击 OK:Zone Name: EngVirtual Router Name: trust-

33、vrZone Type: Layer 3: ( 选择)Network Zones New: 输入以下内容，然后单击 OK:Zone Name: MailVirtual Router Name: untrust-vrZone Type: Layer 3: ( 选择)Network Zones Edit ( 对于 Untrust): 在 Virtual Router Name 下拉列表中选择 untrust-vr，然后单击 OK。Network Zones Edit ( 对于 DMZ): 在 Virtual Router Name 下拉列表中选择untrust-vr，然后单击 OK。CLIset

34、zone name financeset zone name engset zone name mailset zone mail vrouter untrust-vrset zone untrust vrouter untrust-vrset zone dmz vrouter untrust-vrsavetrust-vr 路由选择域untrust-vr 路由选择域MailUntrustDMZFinanceTrustEngScreenOS 体系结构范例 15第 1 章: ScreenOS 体系结构范例: ( 第 2 部分) 六个区段的接口这是一个渐进式范例的第二部分。在第一部分中，对区段进行了

35、配置，请参阅第13 页上的“范例: ( 第 1 部分) 具有六个区段的企业”。在下一部分中，将对虚拟路由器进行配置，请参阅第 17 页上的“范例: ( 第 3 部分) 两个路由选择域”。范例的这一部分演示了如何将接口绑定到区段上并为其配置 IP 地址和各种管理选项，请参阅图11。图11: 接口到区段绑定WebUI1. 接口 ethernet3/2Network Interfaces Edit ( 对于 ethernet3/2): 输入以下内容，然后单击OK:Zone Name: TrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.1.1/24

36、Manageable: ( 选择)Management Services: WebUI, Telnet, SNMP, SSH ( 选择)Other Services: Ping ( 选择)2. 接口 ethernet3/2.1Network Interfaces Sub-IF New: 输入以下内容，然后单击 OK:Interface Name: ethernet3/2.1Zone Name: FinanceStatic IP: ( 出现时选择此选项)IP Address/Netmask: 10.1.2.1/24VLAN Tag: 1Other Services: Ping ( 选择)Mail

37、Finance10.1.2.1/24VLAN tag 1eth3/2.1Trust10.1.1.1/24eth3/2Eng10.1.3.1/24eth3/1Untrust1.1.1.1/24eth1/2DMZ1.2.2.1/24eth2/21.3.3.1/24eth1/11.4.4.1/24VLAN tag 2eth1/1.2概念与范例 ScreenOS 参考指南16 ScreenOS 体系结构范例3. 接口 ethernet3/1Network Interfaces Edit ( 对于 ethernet3/1): 输入以下内容，然后单击 OK:Zone Name: EngStatic IP:

38、 ( 出现时选择此选项)IP Address/Netmask: 10.1.3.1/24Other Services: Ping ( 选择)4. 接口 ethernet1/1Network Interfaces Edit ( 对于 ethernet1/1): 输入以下内容，然后单击 OK:Zone Name: MailStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.3.3.1/245. 接口 ethernet1/1.2Network Interfaces Sub-IF New: 输入以下内容，然后单击 OK:Interface Name: ethernet

39、1/1.2Zone Name: MailStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.4.4.1/24VLAN Tag: 26. 接口 ethernet1/2Network Interfaces Edit ( 对于 ethernet1/2): 输入以下内容，然后单击 OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项)IP Address/Netmask: 1.1.1.1/24Manageable: ( 选择)Management Services: SNMP ( 选择)7. 接口 ethernet2/2Network

40、 Interfaces Edit ( 对于 ethernet2/2): 输入以下内容，然后单击 OK:Zone Name: DMZStatic IP: ( 选择)IP Address/Netmask: 1.2.2.1/24CLI1. 接口 ethernet3/2set interface ethernet3/2 zone trustset interface ethernet3/2 ip 10.1.1.1/24set interface ethernet3/2 manage pingset interface ethernet3/2 manage webuiset interface ethe

41、rnet3/2 manage telnetset interface ethernet3/2 manage snmpset interface ethernet3/2 manage ssh2. 接口 ethernet3/2.1set interface ethernet3/2.1 tag 1 zone financeset interface ethernet3/2.1 ip 10.1.2.1/24set interface ethernet3/2.1 manage pingScreenOS 体系结构范例 17第 1 章: ScreenOS 体系结构3. 接口 ethernet3/1set i

42、nterface ethernet3/1 zone engset interface ethernet3/1 ip 10.1.3.1/24set interface ethernet3/1 manage ping4. 接口 ethernet1/1set interface ethernet1/1 zone mailset interface ethernet1/1 ip 1.3.3.1/245. 接口 ethernet1/1.2set interface ethernet1/1.2 tag 2 zone mailset interface ethernet1/1.2 ip 1.4.4.1/24

43、6. 接口 ethernet1/2set interface ethernet1/2 zone untrustset interface ethernet1/2 ip 1.1.1.1/24set interface ethernet1/2 manage snmp7. 接口 ethernet2/2set interface ethernet2/2 zone dmzset interface ethernet2/2 ip 1.2.2.1/24save范例: ( 第 3 部分) 两个路由选择域这是一个渐进式范例的第三部分。在上一部分中，对多个安全区段的接口进行了定义，请参阅第 15 页上的“范例:

44、( 第 2 部分) 六个区段的接口”。在下一部分中，将对策略进行设置，请参阅第 19 页上的“范例: ( 第 4 部分) 策略”。在本例中，您只须为连接到互联网的缺省网关配置路由。其它路由在您创建接口 IP 地址时由安全设备自动创建，请参阅第17 页上的图12。图12: 路由域Mail1.4.4.1/24VLAN tag 2eth1/1.2，路由1.3.3.1/24eth1/1，路由Untrust1.1.1.1/24eth1/2，路由DMZ1.2.2.1/24eth2/2，路由Eng10.1.3.1/24eth3/1, NATTrust10.1.1.1/24eth3/2, NATFinance

45、10.1.2.1/24VLAN tag 1eth3/2.1, NAT路由转发trust-vr untrust-vr概念与范例 ScreenOS 参考指南18 ScreenOS 体系结构范例WebUINetwork Routing Destination ( 选择 trust-vr) New: 输入以下内容，然后单击 OK:Network Address/Netmask: 0.0.0.0/0Next Hop Virtual Router Name: ( 选择); untrust-vrNetwork Routing Destination ( 选择 untrust-vr) New: 输入以下内容，然后单击 OK:Network Address/Netmask: 0.0.0.0/0Gateway: (