【正文】 ssh set interface vlan1 manage ping 2. V1Trust 區(qū)段 set zone v1trust manage web set zone v1trust manage tel set zone v1trust manage ssh set zone v1trust manage ping 3. 路由 set vrouter trustvr route save 配置透明模式 以下范例說(shuō)明了受處于透明模式的安全設(shè)備保護(hù)的單獨(dú) LAN 的基 本配置。 ?? 在信任虛擬路由器中 ( 所有的 Layer 2 ( 第 2 層 ) 安全區(qū)段都在 trustvr 路由選擇域中 ) 添加路由，使管理信息流能在安全設(shè)備和管理工作站 ( 該工作站在安全設(shè)備的緊鄰子網(wǎng)外 ) 之間流動(dòng)。 配置 VLAN1 接口以進(jìn)行管理 在本例中，將按下述內(nèi)容配置安全設(shè)備來(lái)管理其 VLAN1 接口 : ?? 為 VLAN1 接口分配 IP 地址 。在缺省情況下，啟用 V1Trust 區(qū)段中的所有管理選項(xiàng)。 如上一節(jié)所述，設(shè)備處于透明模式時(shí)，用戶使用 VLAN1 接口管理設(shè)備。在其中一個(gè)區(qū)段中配置接口時(shí)，它被添加到由所有第 2 層區(qū)段中的所有接口共享的第 2 層域中。 預(yù)定義的第 2 層 區(qū)段 在缺省情況下， ScreenOS 提供三個(gè)第 2 層安全區(qū)段，分別是 : V1Trust、 V1Untrust 和 V1 DMZ。對(duì)于管理信息流， VLAN1 管理 IP 優(yōu)先于 VLAN1 接口 IP。可將 VLAN1 接口配置為允許第 2 層安全區(qū)段中的主機(jī)來(lái)管理設(shè)備。 VLAN 區(qū)段 VLAN 區(qū)段是 VLAN1 接口的宿主區(qū)段， VLAN1 接口具有與物理接口相同的配置和管理能力。 透明模式是一種保護(hù) Web 服務(wù)器，或者主要從不可信源接收信息流的其它任意類型服務(wù)器的方便手段。所有接口運(yùn)行起來(lái)都像是同一網(wǎng)絡(luò)中的一部分，而安全設(shè)備的作用更像是第2 層交換機(jī)或橋接器。如果到同一目標(biāo)的另一路 由可用，則安全設(shè)備將重新定向信息流以使用新路由。 如果在向該目標(biāo)發(fā)送指定次數(shù)的請(qǐng)求后，仍沒(méi)有來(lái)自該目標(biāo)的響應(yīng)，那么該 IP 地址將被認(rèn)為是不可到達(dá)的。當(dāng)接口上配置了 IP 跟蹤時(shí)，安全設(shè)備將以用戶定義的時(shí)間間隔在該接口上將 ping 請(qǐng)求發(fā)送給多達(dá)四個(gè)目標(biāo) IP地址。類似于 NSRP 中使用的功能， ScreenOS 使用第 3 層路徑 監(jiān)控 ( 或 IP 跟蹤 ) 通過(guò)接口來(lái)監(jiān)控指定 IP 地址的可到達(dá)性。 跟蹤 IP 地址 安全設(shè)備可以通過(guò)接口跟蹤指定的 IP 地址，使得當(dāng)一個(gè)或多個(gè) IP 地址不可到達(dá)時(shí)，即使物理鏈接仍處于活動(dòng)狀態(tài)，安全設(shè)備也可中斷所有與該接口相關(guān)的路由。如果標(biāo)有一個(gè)星號(hào)，則表明該路由處于活動(dòng)狀態(tài)?？赡転檫B接或中斷狀態(tài)。當(dāng)將接口連接到其它網(wǎng)絡(luò)設(shè)備并建立了到該設(shè)備的鏈接時(shí)，該接口將處于物理連接狀態(tài)，并且所有使用該接口的路由都將處于活動(dòng)狀態(tài)。請(qǐng)參閱第 57 頁(yè)上的圖 33。如果被監(jiān)控對(duì)象 ( 被跟蹤的 IP 地址、接口、區(qū)段 ) 失敗，則監(jiān)控接口的狀態(tài)將變?yōu)檫B接狀態(tài) 可能為邏輯連接狀態(tài)，也可能是物理連接狀態(tài)，這取決于您的具體配置。 依據(jù)對(duì)觀察到的接口狀態(tài)更改所導(dǎo)致動(dòng)作的設(shè)置情況，被監(jiān)控接口的狀態(tài)更改 ( 由連接狀態(tài)變?yōu)橹袛酄顟B(tài) ) 可能會(huì)導(dǎo)致監(jiān)控接口的狀態(tài)發(fā)生更改 ( 由中斷狀態(tài)變?yōu)檫B接狀態(tài) )。當(dāng)接口處于中斷狀態(tài)時(shí)，安全設(shè)備將中斷使用該接口的所有路由 雖然信息流仍可能流經(jīng)處于中斷狀態(tài)的接口，這要因該接口是處于物理中斷狀態(tài)還是邏輯中斷狀態(tài)而定 ( 請(qǐng)參閱第 68 頁(yè)上的“中斷接口和信息” )。如果接口處于物理中斷狀態(tài)，則其邏輯狀態(tài)如何將無(wú)關(guān)緊要。 接口的物理狀態(tài)優(yōu)先于其邏輯狀態(tài)。也可以使用以下 CLI 命令迫使接口處于物理中斷狀態(tài) : set interface interface phy linkdown。當(dāng)通過(guò)接口的信息流能夠到達(dá)網(wǎng)絡(luò)上的指定設(shè)備 ( 在被跟蹤的 IP 地址處 ) 時(shí)，該接口處于邏輯連接狀態(tài)。當(dāng)用電纜將接口連接到另一臺(tái)網(wǎng)絡(luò)設(shè)備且可建立一個(gè)到該設(shè)備的鏈接時(shí)，該接口即處于物理連接狀態(tài)。 在本例中，為 ether1 設(shè)置一個(gè)二級(jí) IP 地址 ，接口 ether1的 IP 地址為 。 啟用或禁用兩個(gè)二級(jí) IP 地址之間的路由選擇不會(huì)使路由選擇表發(fā)生改變。 ?? 創(chuàng)建新的二級(jí) IP 地址時(shí)，安全設(shè)備 會(huì)自動(dòng)創(chuàng)建相應(yīng)的路由選擇表?xiàng)l目。因此，不能為二級(jí) IP 地址指定獨(dú)立的管理配置。此外，安全設(shè)備上二級(jí) IP 和任何現(xiàn)有子網(wǎng)間不能有子網(wǎng)地址重迭。 二級(jí)地址具有某些屬性，這些屬性會(huì)影響如何實(shí)施此類地址。此外，機(jī)構(gòu)擁有的網(wǎng)絡(luò)設(shè)備可能比其子網(wǎng)所能處理的要多，如有多于 254臺(tái)的主機(jī)連接到 LAN。 CLI unset interface ether1:1 save 三 ,創(chuàng)建二級(jí) IP 地址 每個(gè) ScreenOS 接口都有一個(gè)唯一的 主 IP 地址，但是，某些情況要求一個(gè)接口有多個(gè) IP 地址。 會(huì)出現(xiàn)一條系統(tǒng)消息，提示您確認(rèn)移除。 在本例中，將刪除子接口 ether1:1。刪除任何這些地址的宿主子接口前，必須首先刪除所有引用它們的策 略或 IKE 網(wǎng)關(guān)。接口模式為 NAT。配置綁定到 Trust 區(qū)段的 ether1 的子接口，將子接口綁定到用戶定義的區(qū)段，名為 “ accounting” ( 在 trustvr 中 )。此外，子接口的 IP 地址必須在不同于所有其它物理接口和子接口的 IP 地址的子網(wǎng)中。子接口使用 VLAN 標(biāo)記區(qū)別綁定到該子接口的信息流與綁定到其它接口的信息流。 WebUI Network Interfaces Edit ( 對(duì)于 ether1): 進(jìn)行以下修改，然后單擊 OK: Manage IP: Management Services: ( 選擇 ) SSH, SSL。將“管理 IP”地址從 更改為 。 ( 通過(guò)含有 phy linkdown 選項(xiàng)的 CLI set interface 命令來(lái)完成。 對(duì)于某些安全設(shè)備上的物理接口，可以強(qiáng)迫物理鏈接狀態(tài)處于不在工作中或工作中狀態(tài)。 ?? ( 物理、冗余和聚合接口 ) 最大傳輸單位 (MTU) 大小。 ?? (trustvr 中綁定到 L3 ( 第 3 層 ) 安全區(qū)段的接口 ) 接口模式 NAT 或“路由”。 ?? ( 第 3 層區(qū)段接口 ) 管理和網(wǎng)絡(luò)服務(wù)。 WebUI Network Interfaces Edit ( 對(duì)于 ether5): 輸入以下內(nèi)容，然后單擊 OK: IP Address/Netmask: Manage IP: CLI set interface ether5 ip set interface ether5 manageip save 修改接口設(shè)置 配置物理接口、子接口、冗余接口、聚合接口或“虛擬安全接口” (VSI) 后，需要時(shí)可更改下列任何設(shè)置 : ?? IP 地址和網(wǎng)絡(luò)掩碼。 ( 請(qǐng)注意 ,“管理 IP”地址必須在與安全區(qū)段接口 IP 地址相同的子網(wǎng)中 )。將其 IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 。然后，可解除其到一個(gè)安全區(qū)段的綁定，然后綁定到另一個(gè)安全區(qū)段，并 ( 可選 ) 給它分配 IP 地址 / 網(wǎng)絡(luò)掩碼。 CLI set interface ether5 zone trust save 從安全區(qū)段解除接口綁定 如果接口未編號(hào)，那么可解除其到一個(gè)安全區(qū)段的綁定，然后綁定到另一個(gè)安全區(qū)段。 在本例中，將 ether5 綁定到 Trust 區(qū)段。由于子接口需要 IP 地址，因此僅可將子接口綁定到 L3 ( 第 3 層 ) 安全區(qū)段。 ?? Configure: 此字段允許修改或移除接口。 ?? Type: 此字段指出接口類型 : Layer 2 (第 2 層 )、 Layer 3 (第 3 層 )、 tunnel (通道 )、 redundant ( 冗余 )、 aggregate ( 聚合 )、 VSI。 ?? IP/Netmask: 此字段確定接口的 IP 地址和網(wǎng)絡(luò)掩碼地址。 要在 CLI 中查看接口表，請(qǐng)使用 get interface 命令。 要在 WebUI 中查看接口表，請(qǐng)單擊 Network Interfaces。因?yàn)槲锢斫涌谑穷A(yù)定義的，所以不管是否配置，它們都會(huì)列出。 4. 刪除 Network Interfaces: 單擊 的 Remove。 2. 刪除鏈接到 的 DIP 池 8 Network Interfaces Edit ( 對(duì)于 ) DIP: 單擊 DIP ID 8 的 Remove。刪除依賴通道接口的所有配置后，即可刪除該通道接口。要?jiǎng)h除該通道接口，必須首先刪除該策略 ( 或從該策略中刪除引用的 DIP 池 8)，然后刪除 DIP 池。 在本范例中，通道接口 被鏈接到 DIP 池 8。然后必須刪除通道接口上的 MIP 和 DIP 池。 刪除通道接口 不能立即刪除擁有映射 IP 地址 (MIP) 或“動(dòng)態(tài) IP (DIP)”地址池的通道接口。 如果正在通過(guò) VPN 通道傳送組播數(shù)據(jù)包，可以在通道接口上啟用“通用路由封裝” (GRE) 以在單播數(shù)據(jù)包中封裝組播數(shù)據(jù)包。還必須指定一個(gè)具有 IP 地址的接口，該接口位于與綁定沒(méi)有編號(hào)接口的安全區(qū)段相同的虛擬路由選擇域中。 如果通道接口不需要支持地址轉(zhuǎn)換，并且配置不要求將通道接口綁定到一個(gè) Tunnel 區(qū)段，則可以將該接口指定為無(wú)編號(hào)。 通常，如果希望接口支持源地址轉(zhuǎn)換 (NATsrc) 的一個(gè)或多個(gè)動(dòng)態(tài) IP (DIP) 池和目標(biāo)地址轉(zhuǎn)換 (NATdst) 的映射 IP (MIP) 地址，請(qǐng)為該通道接口分配一 個(gè) IP 地址。它們從本地設(shè)備延伸到遠(yuǎn)程網(wǎng)關(guān)，而通道接口就是這些管道的開(kāi)口。將通道接口綁定到 Tunnel 區(qū)段的目的是讓基于策略的 VPN 通道能夠使用 NAT 服務(wù)。 還可將一個(gè)通道接口綁定到 Tunnel 區(qū) 段。對(duì)這些地址的路由指向通道接口，策略則控制其他區(qū)段和 VPN 區(qū)段之間的 VPN 信息流。 VPN 區(qū)段位于名為“ vpnvr”的用戶定義的路由選擇域中。 可以對(duì) VPN 信息流路由進(jìn)行非常安全的控制，方法是將所有沒(méi)有編號(hào)的通道接口綁定到一個(gè)區(qū)段 ( 該區(qū)段位于其自身的虛擬路由選擇域中 )，并且從綁定到同一區(qū)段的回傳接口借用 IP 地址。安全設(shè)備自行啟動(dòng)通過(guò)通道的信息流 如 OSPF 消息時(shí)，安全設(shè)備僅使用借用的 IP 地址作為源地址。可將基于路由的 VPN 通道綁定到一個(gè)有編號(hào) ( 具有 IP 地址 / 網(wǎng)絡(luò)掩碼 )或沒(méi)有編號(hào) ( 沒(méi)有 IP 地址 / 網(wǎng)絡(luò)掩碼 ) 的通道接口。對(duì)通道接口使用基于策略的 NAT 的主要原因是為了避免 IP 地址在 VPN 通道端兩個(gè)站點(diǎn)間發(fā)生沖突。因?yàn)椴僮? tunnel意味著允許，所以不能明確拒 絕來(lái)自 VPN 通道的信息流。它還提供 VPN 信息流的動(dòng)態(tài)路由支持。 將通道接口綁定到 VPN 通道時(shí)，即可在到達(dá)特定目標(biāo)的路由中引用該通道接口，然后在一個(gè)或多個(gè)策略中引用該目標(biāo)。 通道接口 通道接口充當(dāng) VPN 通道的入口。 可以將子接口綁定 到任何區(qū)段。邏輯上，可將物理接口分成幾個(gè)虛擬子接口。哪個(gè)接口綁定到哪個(gè)區(qū)段根據(jù)每個(gè)平臺(tái)而定。沒(méi) 有接口，信息流就無(wú)法進(jìn)入或退出區(qū)段。物理接口的名稱由媒體類型、插槽號(hào) ( 對(duì)于某些設(shè)備 ) 及端口號(hào)組成，例如， ether3/2或 ether2。 二 ,安全區(qū)段接口 物理接口和子接口的目的是提供一個(gè)開(kāi)口，網(wǎng)絡(luò)信息流可通過(guò)它在區(qū)段之間流動(dòng)。 ?? 發(fā)布 unset all CLI 命令不影響設(shè)備上的端口模式設(shè)置。 設(shè)置端口模式 通過(guò) WebUI 或 CLI 更改安全設(shè)備上的端口模式設(shè)置。當(dāng)您通過(guò) HTTP、 SCS 或 Tel 連接到安全設(shè)備時(shí)，就會(huì)連接到 Self 區(qū)段。盡管可以為 HA 區(qū)段設(shè)置接口，但是此區(qū)段本身是不可配置的?？梢栽诖藚^(qū)段上設(shè)置防火墻選項(xiàng)以保護(hù)管理接口，使其免受不同類型的攻擊。 Null 區(qū)段 此區(qū)段用于臨時(shí)存儲(chǔ)沒(méi)有綁定到任何其它區(qū)段的接口。 功能區(qū)段 共有五個(gè)功能區(qū)段，分別是 Null、 MGT、 HA、 Self 和 VLAN。另外，您還可以同時(shí)使用這兩種區(qū)段 預(yù)定義和用戶定義。 如果愿意，可以繼續(xù)使用這些預(yù)定義區(qū)段。通過(guò)多種類型的 Juniper Networks 安全設(shè)備，您可以定義多個(gè)安全區(qū)段，確切數(shù)目可根 據(jù)網(wǎng)絡(luò)需要來(lái)確定。 Juniper 防火墻 配置手冊(cè)