Netscreen 4.0操作手册
2.3.6 设置router(路由)
打开Network>Routing>Routing Table页面,可以看到本防火墙所有的路由,并可以在List route entries for下选择不同的虚拟路由器下的路由列表。(关于虚拟路由器的概念,请参考1.1.3虚拟路由器章节)
1. 添加路由 WEB:
在右上角选择需要添加路由的虚拟路由器,然后按New按键,进入新增路由页面。 添加目标网络号(Network Address),掩码(Netmask),网关地址(Gateway IP Address)和使用的网络接口(Interface)。
广州市新科新信息技术有限公司 第25页
Netscreen 4.0操作手册
CLI:
NS5XT->set route
2. 删除路由 WEB:
在Network>Routing>Routing Table页面,点击要删除的路由项configure列的Remove链接。(系统自动生成的路由表项—如接口配置IP后的本地路由项—不能被删除。)
CLI:
NS5XT->unset route
广州市新科新信息技术有限公司 第26页
Netscreen 4.0操作手册
2.3.7 设置policy(策略)
策略可以看作由适用对象,操作和附属选项组成。
使用对象包括①源对象,②目标对象,③使用协议三项,用来描述此策略的适用对象(注:在Netscreen OS 4.0中,策略只能是相对Zone而言的,也就是说,所有的源和目的的对象都必须是Zone)。
操作包括①允许或禁止该连接②是否启动NAT。
附属选项包括①是否需要用户验证,②是否进行带宽限制,③该连接的有效时间和④记录该连接的流量、日志等。
与许多防火墙设备不同,Netscreen防火墙实现的是基于状态的包过滤(或称包检查),因此只要建立单向的允许策略,则防火墙会动态的开放数据包的返回路径。
当连接需要应用策略时,是按照策略的顺序向下查询,一旦找到适合的策略,就会应用此策略。因此当两个策略的条件重叠的时候,只有上面的策略可以生效。
Web:
打开Policies页面,可配置所有的策略。左上角是选择源对象与目的对象(只会出现包含Interface的Zone),按Go按键会显示对应的策略。
广州市新科新信息技术有限公司 第27页
Netscreen 4.0操作手册
按Search按键会出现搜索页面,填入搜索条件,按Go按键,会出现搜索的结果。
按New按键会出现对应源与目的对象的新增策略页面。
广州市新科新信息技术有限公司 第28页
Netscreen 4.0操作手册
Name:输入策略名(From Private to Public)
Source Address:在New Address中填入源地址或在Address Book的下拉菜单中选择已在地址簿中定义的源地址列表(详情可以参考配置Object(对象)章节)
Destination Address:在New Address中填入目的地址或在Address Book的下拉菜单中选择已在地址簿中定义的目的地址列表
Service:选择该策略对应的数据流所使用的协议类型和端口号。系统已预定义了50种常用协议使用的协议和端口号,当然用户也可以自定义。
Action:选择策略的类型,分别是Permit(允许操作),Deny(否定操作)和Tunnel(通道操作-用于VPN,详情请看VPN章节)
Tunnel:当Action选择了Tunnel时,在此选择配用的VPN通道。 Position at Top:当选择了的时候,策略生成后会出现在第一位。 按Advanced按键可配置高级的内容
Authentication:是否启用用户验证,如选用Auth Server,则用户在Object页中设置,详情请看配置Object对象章节。如选用WebAuth,则启用网页认证功能,用户必须先到在Interface中指定的WebAuth地址验证,才可以进入那个Interface端口。WebAuth服务在Configuration > Auth > WebAuth中设置。
广州市新科新信息技术有限公司 第29页