NetScreen下“區(qū)域”與“路由”、“策略”基本概念

NetScreen下“區(qū)域”與“路由”、“策略”基本概念

“區(qū)域”這個(gè)概念是NetScreen自己定的，它是很多NetScreen設(shè)置操作上所使用的單位。這個(gè)參數(shù)是在每
個(gè)物理接口屬性設(shè)置的（主菜單->Network->Interfaces），也可以通過：
->set interface 接口號(hào) zone 區(qū)域類型名
更改，常見的區(qū)域有Trust與Untrust。這里有一些需要切記的準(zhǔn)則：
1）默認(rèn)Trust與Untrust區(qū)域都是掛載在trust-vr虛擬路由上的；
2）若我們把兩個(gè)物理端口同時(shí)掛載在Trust區(qū)域時(shí)，它們之間就能直接訪問了（也就是說路由與策略默認(rèn)
都是全通了）；
3）但倘若我們把兩個(gè)物理端口同時(shí)掛載在Untrust區(qū)域時(shí)，它們之間是不能直接互訪的（路由通，但策略
不通），需要添加“對(duì)象：Untrust->Untrust、地址：Any->Any、行為：Permit”的策略才能互訪；
4）但若把兩個(gè)物理端口分別掛載在Trust與Untrust兩個(gè)區(qū)域時(shí)，即使它們之間的路由是通的（這個(gè)不需要
任何配置，因?yàn)樗鼈兡J(rèn)就都在同一張路由表上---Trust虛擬路由表），也是不能互訪的，需要在Policie
s上添加互訪的策略（也就是說它們的策略默認(rèn)是“全部不通”的）。


“路由”在NetScreen中被命名為虛擬路由，默認(rèn)有trust-vr與untrust-vr。設(shè)置虛擬路由表有多種方式，
其設(shè)置可以在WEB UI上主菜單的Network->Routing中找到。關(guān)于當(dāng)前路由與區(qū)域的對(duì)應(yīng)關(guān)系可以在WEB UI
上的Network->Binding上找到（其實(shí)這些對(duì)應(yīng)關(guān)系是可以由我們可以設(shè)置的）。有一點(diǎn)是需要注意的：在
屏蔽其它因素（主要是“策略”的因素）的情況下，在同一虛擬路由表下的所有物理端口間的路由都是全
通的。

“策略”大多用于包過濾、NAT的功能實(shí)現(xiàn)上。我們可以直接通過WEB UI上主菜單的Policies進(jìn)行設(shè)置，它
主要是“區(qū)域”作為對(duì)象單位的。當(dāng)需要配置跨區(qū)域互訪與網(wǎng)絡(luò)地址NAT偽裝時(shí)就一定要用到它。這里有兩
個(gè)例子：
1）當(dāng)要配置Trust區(qū)域的物理端口與Untrust區(qū)域的物理端口的網(wǎng)段互訪時(shí)需要添加兩個(gè)規(guī)則：
規(guī)則一：
對(duì)象：Trust->Untrust
地址：Any->Any
行為：Permit
規(guī)則二：
對(duì)象：Untrust->Trust
地址：Any->Any
行為：Permit
2）配置Trust區(qū)域通過偽裝的方式連通Untrust區(qū)域：
對(duì)象：Trust->Untrust
地址：Any->Any
高級(jí)（規(guī)則設(shè)置界面的“Advanced”按鈕激活）：Destination Translation地址設(shè)置為Untrust的網(wǎng)段
行為：Permit