NetScreen下“區域”與“路由”、“政策”基本概念

NetScreen下“區域”與“路由”、“政策”基本概念

“區域”這個概念是NetScreen自己定的，它是很多NetScreen設定操作上所使用的機關。這個參數是在每

個實體接口屬性設定的（主菜單->Network->Interfaces），也可以通過：

->set interface 接口号 zone 區域類型名

更改，常見的區域有Trust與Untrust。這裡有一些需要切記的準則：

1）預設Trust與Untrust區域都是挂載在trust-vr虛拟路由上的；

2）若我們把兩個實體端口同時挂載在Trust區域時，它們之間就能直接通路了（也就是說路由與政策預設

都是全通了）；

3）但倘若我們把兩個實體端口同時挂載在Untrust區域時，它們之間是不能直接互訪的（路由通，但政策

不通），需要添加“對象：Untrust->Untrust、位址：Any->Any、行為：Permit”的政策才能互訪；

4）但若把兩個實體端口分别挂載在Trust與Untrust兩個區域時，即使它們之間的路由是通的（這個不需要

任何配置，因為它們預設就都在同一張路由表上---Trust虛拟路由表），也是不能互訪的，需要在Policie

s上添加互訪的政策（也就是說它們的政策預設是“全部不通”的）。

“路由”在NetScreen中被命名為虛拟路由，預設有trust-vr與untrust-vr。設定虛拟路由表有多種方式，

其設定可以在WEB UI上主菜單的Network->Routing中找到。關于目前路由與區域的對應關系可以在WEB UI

上的Network->Binding上找到（其實這些對應關系是可以由我們可以設定的）。有一點是需要注意的：在

屏蔽其它因素（主要是“政策”的因素）的情況下，在同一虛拟路由表下的所有實體端口間的路由都是全

通的。

“政策”大多用于包過濾、NAT的功能實作上。我們可以直接通過WEB UI上主菜單的Policies進行設定，它

主要是“區域”作為對象機關的。當需要配置跨區域互訪與網絡位址NAT僞裝時就一定要用到它。這裡有兩

個例子：

1）當要配置Trust區域的實體端口與Untrust區域的實體端口的網段互訪時需要添加兩個規則：

規則一：

對象：Trust->Untrust

位址：Any->Any

行為：Permit

規則二：

對象：Untrust->Trust

2）配置Trust區域通過僞裝的方式連通Untrust區域：

進階（規則設定界面的“Advanced”按鈕激活）：Destination Translation位址設定為Untrust的網段

行為：Permit 

本文轉自 msft 51CTO部落格，原文連結：http://blog.51cto.com/victorly/1843502，如需轉載請自行聯系原作者