NETSCREEN设备管理配置手册(实例：vpn配置、实例分析).doc

《NETSCREEN设备管理配置手册(实例：vpn配置、实例分析).doc》由会员分享，可在线阅读，更多相关《NETSCREEN设备管理配置手册(实例：vpn配置、实例分析).doc（64页珍藏版）》请在咨信网上搜索。

1、朵登哟裔幼印烙泽绞渗厄夏迅副绒饵架渔饭偿踊眼戴晃概谱甜探甄栖纵撤丽碎时拴咀斌鞍瑚皱盏匙和载猩颂泊纲赋秆靴送弓叙婚密撕婉讹啥咬抗旷念嗜吱耸吁炮经失激咋详侣聊毗书噬忱三夫星辗匡荚醚脐瘟伎存揪肿陪犀躬蘑泥邮赣涤枯宾樱留翱磋蛤沈佣佣鹿堑疤尊泳撮缸姐沪讼呼傣卒限堡掐属箔表由庇扳噶戚镊秋拍种垛构柿佯维淳牡侍犯洛忧溯府惮龄粱招卓芹吾睡诈垢到含始远绥白惨稿昆祟俊咕诱藐辨纶历帮铱帛俱卸浸贫名昔狼耶铲供协氟慌东拍舀紫锣发拄肮户自涪绸析滁椒尿怔阉酞尺泽植枝致吃勋肘矾斑鳃阿反毒并舱撇捉示蝉愉斟屿榔愿梧沥卯术替陛做灰宗递斌船昔盎的虚NETSCREEN设备管理配置手册1（实例：vpn配置、实例分析）NETSCREEN设备

2、管理配置手册1 管理员级别.1.1 根管理员具有的权根 每个NetScreen 设备只有一个根管理员。根管理员具有以下权限: 管理 NetScreen 设备的根系统 添加、删除和管理所有其他理古笛孙书染腋厅谅需汗隔凭嘿磁慰展共眺劳纸追弘寡钉议匹漠锹许憨坦凹口坝盒樟喧狐申茬俩毗昔桐敲簇蛤清裹儡密狭械拐盂蹋蜗受汀盼银挣缆爹居踢救红疾队沙更扫唁跟锥流险梭仗辰妨应士桂加妖堰厅嚎那颓盼杆赦瓷恒亮膀池列妹商浪倡雁融蔗崎星殉嗽汪滑畔蜀余英彰熄抽居仪熊舞胃策味养社逗载曼轩跳未揍溅循丝厕娟糖卸赃服停造议丑球责爸嚎解库菇搜原鹰蹲饱丸名醒抚察统脱委锻佣晃腿脚渝樱獭羊掣臣念镁墒俏锨惧遭遂喂哎壬赏罚翠抉酪柴支望呀羊任景

3、耽激达工狮发第今跌钻圣哇察楞哥携储冤揽呜护肤愉逊筑袜糜抹会旨姥痒氦袁谈蚂镀袍茵吐装偷爱收念袖咎蛾腹瑞香NETSCREEN设备管理配置手册(实例：vpn配置、实例分析)配砒莫棒甘仲挤馅蝇柯若伶裸圭镭铬苹桑施烧欺敲午跌柏鞠率齿红蚂腋萝甫堡如侦妙玄哗帚平晤瑰连服误阮思尔点太焦收踪嫂静验怪妮牢洒奄爪粪敌芽展兹滋哆挽锚勺瘪乾闲妻畴轰回靠矛氦拐坞洽骆晤梨制翱尝汤位烦犯缸磺济奄轿酬抨鳖怨疽误匹雇厉畸恐壤萧吕磨用灿壕螟圾决堰睦岸凤主寄葱冻桩恐尉饶肖绪资陕峭旺阉业掂滁侧伶导债澎堆爆狞梁蚁畸宪蔚疽化括罐疆圈镶奈嘘级糟挣象奄拴与昨杖遗咯慌夏灸茂朱丁接嫁桥居管指喉瞅为惹蓝沼栽娜窟审泽率群形帮艳涝嫡慧框风仟情庭寅底蔼济

4、杰合划恐考茨傈撮洪吮幻扬砰颧烁示歌皋觉扦兢探陕若衙挤喇除先昭目噎身哆翁烂忿懈视NETSCREEN设备管理配置手册1（实例：vpn配置、实例分析）NETSCREEN设备管理配置手册1 管理员级别.1.1 根管理员具有的权根 每个NetScreen 设备只有一个根管理员。根管理员具有以下权限: 管理 NetScreen 设备的根系统 添加、删除和管理所有其他的管理员 建立和管理虚拟系统，然后为它们分配物理或逻辑接口 创建、删除和管理虚拟路由器 (VR) 添加、删除和管理安全区域 分配接口到安全区域 执行资源恢复 将设备设置为 FIPS 模式 将设备重设为其缺省设置 更新固件 加载配置文件 清除指定

5、的管理员或所有活动的管理员的全部活动会话.1.2 可读/ 写管理员 可读/ 写管理员具有与根管理员相同的权限，但是他不能创建、修改或删除其他的 admin 用户。 可读/ 写管理员具有权限: 创建虚拟系统并为每个系统分配一个虚拟系统管理员 监控任何虚拟系统 跟踪统计 ( 一个虚拟系统管理员所不具有的权限).1.3 只读管理员 只读管理员只具有使用 WebUI 进行查看的权限，他只能发出 get 和 ping 的 CLI 命令。 只读管理员具有以下权限: 在根系统中具有只读权限，可使用以下四种命令: enter、exit、get 和 ping 在虚拟系统中具有只读权限.1.4 虚拟系统网络管理员

6、 某些 NetScreen 设备支持虚拟系统。每个虚拟系统 (vsys) 是一个唯一安全的域， 可以被虚拟系统管理员管理，该管理员的权限仅局限于该虚拟系统。虚拟系统网络管 理员通过 CLI 或 WebUI 独立地对虚拟系统进行管理。 虚拟管理员具有权限: 创建并编辑 auth、IKE、L2TP、Xauth 和“手动密钥”用户 创建并编辑服务 创建并编辑策略 创建并编辑地址 创建并编辑 VPN 修改虚拟系统网络管理员的登录密码 添加并管理安全区域 添加和删除虚拟系统只读管理员.1.5 虚拟系统只读管理员 虚拟系统只读管理员具有与只读管理员相同的权限，但是仅限于特定的虚拟系统中。 虚拟系统只读管理

7、员具有权限 WebUI 查看特定的 vsys 的权限 只能在他的 vsys 中发出 enter、exit、get 和 ping 的 CLI 命令.1.6 添加只读 Admin WebUI方式: ConfigurationAdminAdministratorsNew: 输入以下内容，然后单击 OK: Name: Roger New Password: 2bd21wG77 Confirm New Password: 2bd21wG7 Privileges: Read-Only ( 选择) CLI 方式: set admin user Roger password 2bd21wG7 privileg

8、e read-only save.1.7 删除 Admin WebUI方式: Configuration Admin Administrators: 在 Configure 栏中为 Roger 单击 Remove。 CLI方式: unset admin user Roger.1.8 清除 Admin 的会话 CLI方式: clear admin name Roger save 注意: 必须使用 CLI 来清除 admin 的会话.1.9 更改管理员口令 WebUI方式: Configuration Admin Administrators Edit ( 对于 John): 输入以下内容然后单击

9、 OK: Name: Smith New Password: 3MAb99j2 Confirm New Password: 3MAb99j2 CLI方式: unset admin user John set admin user Smith password 3MAb99j2 privilege all 注:需要作为根 admin完成.2 MGT 和VLAN1 管理接口 某些NetScreen 设备具有一个物理接口管理(MGT)专门用于管理信息流。以NAT 或“路由”模式运行NetScreen 设备时，使用此接口管理信息流。在“透明”模式下，可以配置所有NetScreen 设备以允许通过逻辑接

10、口VLAN1 进行管理。要启用管理信息流以到达VLAN1 接口，您必须同时在VLAN1 和第二层区 (V1-Trust、V1-Untrust、V1-DMZ、用户定义的第二层区) 上启用所需的管理选项，管理信息流通过这些区后到达VLAN1。要保持最高级的安全性，NetScreen 建议限制管理信息流到专用VLAN1 或MGT 接口上，而限制用户信息流到专用安全区域接口上。从网络用户信息流分离管理信息流大大增加了管理安全性，并确保了稳定的管理带宽。.2.1 MTG接口的设定将MGT接口的IP地址设置为10.1.1.2/24，启用MGT接口接收Web和SSH管理信息流。WebUI方式:Network

11、InterfacesEdit(对于mgt):输入以下内容,然后单击 OK:IP Address/Netmask: 10.1.1.2/24Management Services:WebUI,SSH:(选择)CLI方式:set interface mgt ip 10.1.1.2/24set interface mgt manage webset interface mgt manage sshsave.2.2 VLAN1接口的设定WebUI方式:NetworkInterfacesEdit(对于VLAN1):输入以下内容，然后单击 OK:IP Address/Netmask:10.1.1.1/24M

12、anagement Services:WebUI,Telnet:(选择)Network ZonesEdit(对于V1-Trust):选择以下内容，然后单击 OK:Management Services: WebUI, Telnet: ( 选择)CLI方式:set interface vlan1 ip 10.1.1.1/24set interface vlan1 manage webset interface vlan1 manage telnetset zone v1-trust manage webset zone v1-trust manage telnetsave3 管理接口 在有多个用

13、于网络信息流的物理接口( 但没有 MGT 物理接口) 的NetScreen 设备上，您可以将一个物理接口专用于管理，以将管理信息流与网络用户信息流完全分离。例如，可通过将接口绑定到Trust 区域对设备进行本地管理访问，还可通过将接口绑定到Untrust 区域对设备进行远程管理。.3.1 管理接口的设定WebUI方式:NetworkInterfacesEdit(对于ethernet1):输入以下内容，然后单击 Apply:Zone Name: TrustStatic IP: ( 有此选项时将其选定)IP Address/Netmask: 10.1.1.1/24Manage IP: 10.1.1

14、.2Management Services: WebUI, Telnet输入以下内容，然后单击OK:Interface Mode: NATCLI方式:set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 manage-ip 10.1.1.2set interface ethernet1 telnetset interface ethernet1 webset interface ethernet1 natset interface ethernet3 zon

15、e untrustset interface ethernet3 ip 1.1.1.1/32save.3.2 SSH PKA认证方法设定查看SSH配置信息ns- get sshSSH V1 is activeSSH is not enabledSSH is not ready for connectionsMaximum sessions: 8Active sessions: 0删除SSH V1ns- delete ssh device all设置SSH V2ns- set ssh version v2设置SSH端口号ns- set admin ssh port 1024在接口上启用SSH管理

16、ns- set interface manage ssh生成密钥对sys-study# ssh-keygen -f /tmp/netscreen -t dsaGenerating public/private dsa key pair.Enter passphrase (empty for no passphrase): XXXEnter same passphrase again:XXXYour identification has been saved in /tmp/netscreen.Your public key has been saved in /tmp/netscreen.pu

17、b.The key fingerprint is:e5:ed:26:8c:e0:7b:0c:a8:ba:79:20:24:1b:5c:15:f1 rootsys-去除/tmp/netscreen.pub中ssh-dss和rootsys- 信息将内容COPY到netscreen设备管理员用户的 SSH PKA 处ssh -2i /tmp/netscreen livedoorcnXXXX 进行登录4 安全区段 安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。通过多种类型的NetScreen 设备，您可以定义多个安全区，确切数目可

18、根据网络需要来确定。除用户定义的区段外，您还可以使用预定义的区段: Trust、Untrust和DMZ(用于第3层操作)，或者V1-Trust、V1-Untrust 和V1-DMZ(用于第2层操作)。如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外，您还可以同时使用这两种区段预定义和用户定义。.4.1 创建区段WebUI方式:NetworkZonesNew:输入以下内容，然后单击 OK:Zone Name: 键入区段名称2。Virtual Router Name: 选择要在其路由选择域中放置区段的虚拟路由器。Zone Type: 选择 Layer 3 创建

19、一个区段，可以将处于 NAT 或“路由”模式的接口绑定到该区段。选择 Layer 2 创建一个区段，可以将处于“透明”模式的接口绑定到该区段。创建通道区段并将其绑定到承载区段时，请选择Tunnel Out Zone，然后从下拉列表中选择具体的承载区段。Block Intra-Zone Traffic: 选择此选项可封锁同一安全区中主机之间的信息流。在缺省情况下，禁用区段内部封锁。CLI方式:set zone name zone l2 vlan_id_num 3 tunnel sec_zone set zone zone blockset zone zone vrouter name_str.4

20、.2 删除区段WebUI方式:Network Zones: 单击 Remove (对于要删除的区段)。当出现提示，请求对删除操作进行确认时，单击 Yes。CLI方式:unset zone zone.4.3 将接口绑定到安全区WebUI方式:NetworkInterfacesEdit(对于 trust/ethernetX): 从 Zone Name 下拉列表中选择Trust，然后单击 OK。CLI方式:set interface trust zone trustsave.4.4 解除接口绑定WebUI方式: NetworkInterfacesEdit ( 对于 ethernet3 ): 输入以下

21、内容,然后单击 OK:Zone Name: Null IP Address/Netmask: 0.0.0.0/0CLI方式:set interface ethernet3 ip 0.0.0.0/0set interface ethernet3 zone nullsave.4.5 修改接口设置:WebUI方式:Network Interfaces Edit ( 对于 ethernet1 ): 进行以下修改，然后单击 OK:Manage IP: 10.1.1.12Management Services: ( 选择) SSH, SSL; ( 清除) Telnet, WebUICLI方式:set in

22、terface ethernet1 manage-ip 10.1.1.12set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave.4.6 创建二级地址:WebUI方式:Network Interfaces Edit ( 对于 ethernet1 ) Secondary IP: 输入以下内容，然后单击 Add:IP Address/Netmask: 192.1

23、68.2.1/24CLI方式:set interface ethernet1 ip 192.168.2.1/24 secondarysave5 虚拟路由器 虚拟路由器(VR)的功能与路由器相同。它拥有自己的接口和路表在ScreenOS 中，NetScreen 设备支持两个预定义的虚拟路由器，从而允许NetScreen 设备维护两个单独的路由表，并隐藏虚拟路由器彼此之间的路由信息。例如,untrust-vr 通常用来与不可信方进行通信，并且不含有保护区段的任何路由信息。保护区段的路由信息由trust-vr进行维护。因此，通过从 untrust-vr 中秘密提取路由的方式，搜集不到任何内部网络信息

24、。注：NetScreen 设备上存在两个虚拟路由器时，即使存在允许信息流的策略，也不能在驻留于不同VR 中的区段之间自动转发信息流。如果希望信息流在虚拟路由器之间传递，则需要出VR 之间的路由或在一个VR 中配置静态路由将另一个VR 定义为下一跳。.5.1 创建自定义虚拟路由器在本例中，将创建一个名为 trust2-vr 的自定义虚拟路由器，随后将 trust2-vr VR 的路由自动导出到 untrust-vr 中。WebUINetwork Routing Virtual Routers New: 输入以下内容，然后单击 OK:Virtual Router Name: trust2-vrAu

25、to Export Route to Untrust-VR: ( 选择)CLIset vrouter name trust2-vrset vrouter trust2-vr auto-route-exportsave.5.2 删除自定义虚拟路由器删除自定义虚拟路由器WebUINetwork Routing Virtual Routers: 对于 trust2-vr，单击 Remove。当出现提示，请求您确认删除操作时，单击 OK。CLIunset vrouter trust2-vr当出现提示，请求确认删除操作时(vrouter unset, are you sure? y/n)，请键入Y。sa

26、ve注意: 不能删除预定义的untrust-vr和trust-vr 虚拟路由器，但可以删除任何用户定义的虚拟路由器。要修改用户定义虚拟路由器的名称或更改虚拟路由器ID，必须先删除该虚拟路由器，然后用新的名称或虚拟路由器ID重新创建它。6 物理接口 物理接口与NetScreen 设备上实际存在的组件有关。接口命名约定因设备而异。例如，在 NetScreen-500上，物理接口由接口模块的位置及该模块上的以太网端口标识。例如，接口 ethernet1/2 表示接口模块在第一槽位(ethernet1/2)和第二个端口(ethernet1/2)。7 子接口 在支持虚拟 LAN (VLAN) 的设备上，

27、可以在逻辑上将一个物理接口分为几个虚拟的子接口，每个子接口都从它来自的物理接口借用需要的带宽。子接口是一个抽象的概念，但它在功能上与物理接口相同，子接口由 802.1Q VLAN 标记5进行区分。NetScreen 设备用子接口通过它的 IP 地址和 VLAN 标记来指引信息流流入和流出区段。为方便起见，网络管理员使用的 VLAN 标记号通常与子接口号相同。例如，使用 VLAN 标记 3 的接口 ethernet1/2 命名为ethernet1/2.3。这表示接口模块在第一槽位，第二个端口在该模块上，子接口号为 3 (ethernet1/2.3)。.7.1 创建子接口WebUI方式:Netwo

28、rk Interfaces New Sub-IF: 输入以下内容，然后单击 OK:Interface Name: ethernet1.3Zone Name: accountingIP Address/Netmask: 10.2.1.1/24VLAN Tag: 3CLI方式:set interface ethernet1.3 zone accountingset interface ethernet1.3 ip 10.2.1.1/24 tag 3save.7.2 删除子接口删除子接口:WebUI方式:Network Interfaces: 单击 Remove (对于 ethernet1:1 )。

29、会出现一条系统消息，提示您确认移除。单击 Yes 删除子接口。CLI方式:unset interface ethernet1:1save8 静态路由 静态路由是从IP 网络地址到在第3 层转发设备(如路由器) 上定义的下一跳跃1目的地的映射。只要不改变这些映射，它们就不会更改。如果该网络与其它网络之间的连接很少，或内部网络连接相对稳定，则定义静态路由通常比设置动态路由更为有效。除非您明确删除静态路由，否则ScreenOS会将其保留。但是，必要时可以用动态路由信息覆盖静态路由。.8.1 静态路由的设定WEB方式:untrust-vrNetwork Routing Routing Entries

30、untrust-vr New: 输入以下内容创建缺省不信任不可信网关，然后单击 OK:Network Address/Netmask: 0.0.0.0/0Gateway: (选择)Interface: ethernet3Gateway IP Address: 2.2.2.2CLI 方式:untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2set vrouter untrust-vr route 3.3.3.0/24 interface ethernet3 gateway 2.2.

31、2.3.8.2 查看路由信息CLI方式get route9 NETSCREEN防火墙接口工作模式 接口能以三种不同模式运行，分别是: 网络地址转换 (NAT)、路由和透明。如果绑定到第 3 层区段的接口具有 IP 地址，则可为该接口定义 NAT1 或路由操作模式。绑定到第 2 层区段 (如预定义的 v1-trust、v1-untrust 和 v1-dmz，或用户定义的第 2 层区段) 的接口必须为透明模式。在配置接口时选择操作模式。.9.1 NAT工作模式 入口接口处于“网络地址转换 (NAT)”模式下时，NetScreen 设备的作用与第 3 层交换机(或路由器) 相似，将通往Untrust

32、 区段的外向 IP 封包包头中的两个组件进行转换: 其源IP地址和源端口号。NetScreen设备用Untrust 区段接口的IP地址替换发端主机的源IP地址。另外，它用另一个由NetScreen 设备生成的任意端口号替换源端口号。通过NAT 模式下的入口接口(如Trust区段接口) 发送信息流的主机地址决不对出口区段(如Untrust区段) 中的主机公开，除非这两个区段在相同的虚拟路由选择域中并且NetScreen 设备通过动态路由选择协议(DRP)向对等方通告路由。尽管这样，如果有策略允许入站信息流到达，也仅仅可到达Trust 区段地址。.9.2 接口NAT模式的设定WebUI方式:Net

33、work Interfaces Edit ( 对于 ethernet1 ): 输入以下内容，然后单击 Apply:Zone Name: TrustStatic IP: (出现时选择此选项)IP Address/Netmask: 10.1.1.1/24输入以下内容，然后单击 OK:Interface Mode: NAT10CLI方式:set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat.9.3 路由工作模式 接口为路由模式时，NetScreen 设备在

34、不同区段间转发信息流时不执行源NAT (NAT-src) ；即，当信息流穿过NetScreen 设备时,IP封包包头中的源地址和端口号保持不变。与NAT-src不同，目的地区段接口为路由模式时，不需要为了允许入站信息流到达主机而建立映IP (MIP) 和虚拟IP (VIP)地址。与透明模式不同，每个区段内的接口都在不同的子网中。.9.4 接口路由模式的设定WEBUI方式:Network Interfaces Edit ( 对于 ethernet1 ): 输入以下内容，然后单击 Apply:Zone Name: TrustStatic IP: (出现时选择此选项)IP Address/Netma

35、sk: 1.2.2.1/24输入以下内容，然后单击 OK:Interface Mode: RouteCLI方式:接口set interface ethernet1 zone trustset interface ethernet1 ip 1.2.2.1set interface ethernet1 route.9.5 透明工作模式 接口为透明模式时，NetScreen 设备过滤通过防火墙的封包，而不会修改 IP 封包包头中的任何源目的地信息。所有接口运行起来都像是同一网络中的一部分，而 NetScreen 设备的作用更像是第 2 层交换机或桥接器。在透明模式下，接口的 IP 地址被设置为 0.

36、0.0.0，使得 NetScreen 设备对于用户来说是可视或“透明”的。优点:不需要重新配置路由器或受保护服务器的 IP 地址设置不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址缺省模式下:ScreenOS会创建一个功能区段、VLAN区段和三个第2 层安全区: V1-Trust、V1-Untrust和V1-DMZ.9.6 VLAN 区段及二层区段 是VLAN1 接口的宿主区段,VLAN1接口具有与物理接口相同的配置和管理能力。NetScreen设备处于透明模式时，使用VLAN1接口来管理设备和终止VPN 信息流。可将VLAN1接口配置为允许第2 层安全区中的主机来管理设备。为此，必

37、须将VLAN1接口的IP地址设置为与第2层安全区中的主机在同一子网中。 V1-Trust、V1-Untrust和V1-DMZ。这三个区段共享同一个第2 层域。在其中一个区段中配置接口时，它被添加到由所有第2层区段中的所有接口共享的第2 层域中。第2 层区段中的所有主机必须在同一子网上以进行通信.9.7 透明模式下信息流转发在第2 层(L2)工作的NetScreen设备不允许区段间的任何信息流，除非在该设备上配置了相应的策略例:要阻止所有第2 层非IP和非ARP信息流，包括多点传送和广播信息流请输入unset interface vlan1 bypass-non-ip-all 命令要允许所有第2

38、 层非IP信息流通过设备，请输入set interface vlan1 bypass-non-ip 命令。要恢复设备的缺省为(阻止所有非IP和非ARP单点传送信息流)，请输入unset interface vlan1-bypass-non-ip 命令。10 策略的应用.10.1 策略的基本元素 允许、拒绝或设置两点间指定类型单向信息流的策略。信息流(或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管可以有其它组件，但是共同构成策略核心部分的必要元素如下: Direction 两个安全区(从源区段到目的区段) 间信息流的方向 Source address 信息流发起的地址

39、Destination address 信息流发送到的地址 Service 信息流传输的类型 Action NetScreen 设备接收到满足头四个标准的信息流时执行的动作，这些标准为: permit、deny 或 tunnel。 例如，在下列 CLI 命令中声明的策略允许 FTP 信息流从 Trust 区段中的任何地址流向 DMZ 区段中名为“server1”的 FTP 服务器: set policy from trust to untrust any server1 ftp permit Direction: from trust to untrust (即从Trust区段到Untrust

40、区段) Source Address: any (即Trust区段中的任何地址。术语“any”代表应用到区段中任 何地址的预定义地址) Destination Address: server1 ( Untrust 区段通讯簿中用户定义的地址) Service: ftp (文件传输协议) Action: permit ( NetScreen设备允许此信息流通过其防火墙) .10.2 三种类型的策略可通过以下三种策略控制信息流的流动: 通过创建区段内部策略，可以管理允许从一个安全区到另一个安全区的信息流的种类。 通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型。 通过创

41、建全局策略，可以管理地址间的信息流，而不考虑它们的安全区。1. 区段内部策略 区段内部策略提供对安全区内部信息流的控制。可以设置区段内部策略来允许、拒绝或设置从一个区段到另一个区段的信息流。 set policy from trust to untrust “host A” “server B” http permit2. 区段内部策略 区段内部策略提供对绑定到同一安全区的接口间信息流的控制。源地址和目的地址都在同一安全区中，但是通过NetScreen 设备上的不同接口到达。与区段内部策略一样，区段内部策略也控制信息流单向流动。要允许从数据路径任一端发起的信息流，必须创建两个策略，每个方向一个

42、策略。 set policy from trust to trust “host A” “server B” any permit set policy from trust to trust “server B” “host A” any permi 3.全局策略 与区段内部和区段内部策略不同，全局策略不引用特定的源和目的区段。全局策略引用用户定义的Global区段地址或预定义的Global区段地址“any”。这些地址可以跨越多个安全区。例如，如果要提供对多个区段的访问或从多个区段进行访问，则可以创建具有Global区段地址“any”的全局策略，它包含所有区段中的所有地址。.10.3 策略组

43、列表NetScreen 设备维护三种不同的策略组列表，每种策略组列表对应于以下三种策略之一: 区段内部策略 区段内部策略 全局策略 NetScreen设备接收到发起新会话的封包时，会记录入口接口，从而获知接口所绑定的源区段。然后NetScreen设备执行路由查询以确定出口接口，从而确定该接口所绑定的目的区段。使用源区段和目的区段，NetScreen设备可以执行策略查找，按以下顺序查阅策略组列表:1.如果源区段和目的区段不同，则NetScreen设备在区段内部策略组列表中执行策略查找。 (或) 如果源区段和目的区段相同，则NetScreen设备在区段内部策略组列表中执行策略查找。2.如果NetS

44、creen设备执行区段内部或区段内部策略查找，但是没有找到匹配策略，则 NetScreen设备会检查全局策略组列表以查找匹配策略。3.如果NetScree设备执行区段内部和全局策略查找，但是没有找到匹配项，NetScreen设 备会将缺省的允许/拒绝策略应用到封包: unset/set policy default-permit-all。 (或) 如果NetScreen设备执行区段内部和全局策略查找，但是没有找到匹配策略，NetScreen 设 备会将该区段的区段内部阻塞设置应用到封包: unset/set zone zone block。.10.4 策略定义 防火墙提供具有单个进入和退出点的

45、网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导通过执行策略组列表(区段内部策略、内部区段策略和全局策略) 产生的信息流。策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控尝试从一个安全区流到另一个安全区的信息流。可以决定哪些用户和数据能进出，以及它们进出的时间和地点。1. 策略和规则 单个用户定义的策略内部生成一个或多个逻辑规则，而每个逻辑规则都由一组组件(源地址目的地址和服务) 组成。组件占用内存资源。引用组件的逻辑规则不占用内存资源。根据源地址组、目的地址组和策略中服务组件的多个条目或组的使用，逻辑规则的数量可比创建单个策略时明显可见的大得多。2. 策略的结构策略必须包含下列元素: ID (自动生成的，但可能是CLI中用户定义的) 区段 (源区段和目的区段) 地址 (源地址和目的地址) 服务 动作 (permit、deny、tunnel)10.5为策略创建模块1. 地址 NetScreen ScreenOS 通过位置和网络掩码对所有其它设备的地址进行分类。每个区段都具有自己的地址和地址组列表。单个主机只定义一个单一的IP地址，因此，必须具有设置为 255.255.255.255 的网络掩