Netscreen 4.0操作手册
1.2 Zones(区域)
Zone是一个可以应用安全措施虚拟网络空间(security zone),一个能够被VPN隧道端口绑定的逻辑片断(tunnel zone),或者是一个能够履行一个特殊的功能的物理或逻辑实体(function zone)。 1.2.1 Security Zones(安全区域)
在单一的一个Netscreen设备上,你能够配置多个安全区域,把网络分解成多个能应用各种不同的安全策略的部分,以满足每一个部分不同的需要。最低限度,你必须定义两个 Security Zone,去建立一个网络中的区域到另外的区域的基本保护。你也可以定义许多的Security Zone,可以给你的安全设计带来很好的功能――不再需要为此再应该多种的安全工具了。 1.2.2 Tunnel Zones(隧道区域)
Tunnel Zone 是主管一个或多个隧道接口的逻辑部分。它被Security Zone联合起来作为行动的载体。Netscreen设备用路由信息为载体区域指导通向隧道终点的流量。默认的Tunnel Zone是Untrust-Tun,它是关联Unstrust Zone的。你可以创建其他的Tunnel Zone,并用在虚拟系统的载体区域中,对一个Tunnel Zone可以用的最大数目来绑定到其他的Security Zone。 1.2.3 Function Zones(功能区域)
一共有四个Function Zone分别是Null,MGT,HA和Self。每个Zone都为了一个单一的功能而设立的。
? Null Zone(空区域):这个区域是一个为了还没有绑定到其他的区域的端口做
临时存放的区域。
? MGT Zone(外带宽管理区域):这个区域主要包括了对外带宽管理端口。包括
MGT。
广州市新科新信息技术有限公司 第5页
Netscreen 4.0操作手册
? HA Zone(高可用性区域):这个区域主要包括了高可用性的端口。包括HA1和
HA2。
? Self Zone(远程管理区域):这个区域主要包括用于远程管理连接的端口。当
你通过Http,SCS或Telnet连接到Netscreen上面的时候,你就是连接到这个区域。
广州市新科新信息技术有限公司 第6页
Netscreen 4.0操作手册
1.3 Interfaces(端口)
创建玩一个区域,下一步就是创建一个端口。你必须创建一个端口,并把它绑定到一个区域,和指定允许流量流进或流出这个区域。然后,你必须设置路由和配置访问策略以允许流量从一个端口到另一个端口。物理端口和子端口,就像一个门口,允许流量流进和流出一个区域。你可以指派多个端口给一个区域,但是一个端口只能被指派给一个区域。
1.3.1 Interfaces Types(端口类型)
端口类型一共有三种,分别是物理端口(Physical Interface),子端口(Subinterface)和隧道端口(Tunnel Interface)。
1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式)
端口可以被配置成为三种不同的模式:网络地址转换模式(NAT Mode),路由模式(Route Mode)和透明模式(Transparent Mode)。当你配置端口的时候,你可以选择其中的一种模式。
? Transparent Mode(透明模式):当端口是处于透明模式下的时候,Netscreen过
滤穿过防火墙的包时是不会改变在IP包头的原地址和目的地址的信息的。所有的端口就像存在于同一个网络中,而Netscreen就像一个二层的交换机或路桥。在透明模式下,端口的IP地址要设为0.0.0.0,使得Netscreen就好像不存在,或者说是对于用户来说是“透明”的。
? Network address translation Mode(网络地址转换模式):当端口是处于NAT模式
下的时候,Netscreen就像是一台3层的交换机或路由器,能够转换穿过防火墙出去的IP包头的两个组成部分:源IP地址和源端口号。Netscreen会把源地址转换为包需要传送到的目的区域的端口IP地址。而且它也会把源端口号转换为另一个由Netscreen自己产生的随机号。
? Route Mode(路由模式):当端口是处在路由模式下的时候,Netscreen会路由
数据包而不执行网络地址转换,就是说,当经过Netscreen的时候,数据包头
广州市新科新信息技术有限公司 第7页
Netscreen 4.0操作手册
的源地址和源端口号都不会被转换。不像NAT模式,你不需要在端口建立MIP或者VIP地址,路由模式可以允许进入的会话到达主机。也不像透明模式,在Trust Zone中的端口和在Untrust Zone中的端口是处于不同的子网。
1.3.3 Secondary IP Addresses(第二IP地址)
每一个Netscreen的端口都有一个单一的,独一无二的主IP地址。然而,在一些环境下却需要端口要有多个IP地址。例如,一个组织可能会有另外的IP地址分配,而且可能并不希望加一些路由去配置它们。特别是当一个组织有许多的网络设备以至于超过他们的子网可以控制的范围,就是说超过254台主机连接到一个子网上。为了解决这些问题,你就需要增加第二IP地址到在Trust Zone,DMZ Zone或用户定义的Zone中的端口上。
1.3.4 Management Services Options(管理服务选项)
你可以配置端口来应用不同的管理方法。例如,你可以应用本地管理在一个端口,而应用远程管理在另一个端口。你也可以把一个端口专门用作管理端口,这样可以把管理流量和用户流量完全区分开。
你可以选择以下一种或多种管理服务:WebUI,Telnet,SNMP,SCS,SSL。 1.3.5 Interface Services Options(端口服务选项)
这些服务会影响你的Netscreen的表现,你可以从中选择需要的来配置你的网络。 你可以选择以下一种或多种端口服务:Ping, Ident-reset, DHCP Relay Agent, Enable DHCP Relay VPN Encryption。 1.3.6 Firewall Options(防火墙选项)
Netscreen防火墙通过检测去保护一个区域,然后允许或禁止所有企图穿过端口的连接。为了保护其他区域的反攻击,你能够启动一些防御工具去侦察或转移通常的网络进攻。具体工具请参考不同版本的Netscreen文档。
广州市新科新信息技术有限公司 第8页
Netscreen 4.0操作手册
1.4 Administration(管理)
这章描述了不同的管理方法和工具,保护管理流量的方法和你可以付给管理者的管理权限等级。
1.4.1 Management Methods and Tools(管理方法和工具)
WebUI(Web管理界面):
为了灵活方便的管理,你可以用Web管理界面。Netscreen用Web技术提供了一个Web-Server的管理界面去配置和管理软件。
? Http:用一个标准的网页浏览器,你就可以运用HTTP远程访问,检视,控制
你的网络配置。
? Secure Sockets Layer:SSL是一整套能够提供安全连接的协议,用于一个基
于TCP/IP的网络中网页客户端和服务器的通信。Netscreen的Web管理能够提供这方面的安全协议。 CLI(命令行界面):
高级管理人员能够运用命令行界面来进行更好的控制。为了用CLI来配置Netscreen,你可以用一些软件去仿效VT100终端。你可以用基于Windows,Unix和Macintosh的控制台,又或者是Telnet或Secure Command Shell(SCS)。 1.4.2 Levels of Administration(管理权限等级)
Netscreen支持多个管理员。当管理员作出了对系统配置的更改时,系统会记录一下的信息入日志:
? 更改的管理员姓名 ? 更改的来源的IP地址 ? 更改的时间
管理权限的具体设置,请参考2.3.6设置管理员这章。
广州市新科新信息技术有限公司 第9页