NetScreen防火墻策略與冗余配置指南
成都通信建設(shè)工程局 游凱 郵政編碼 611130
[摘要] 本文通過對(duì)NetScreen訪問策略其防火墻配置介紹，簡(jiǎn)要介紹了如何對(duì)該產(chǎn)品冗余配置的思路。
[關(guān)鍵詞]NetScreen 防火墻 NSRP 策略 配置 冗余

?[正文]目錄
1?NetScreen訪問策略的基本概念?2
1.1?策略定義?2
1.2?策略的構(gòu)成元素?2
2?策略簡(jiǎn)單配置?4
2.1?添加地址條目和地址組?5
2.1.1 添加地址條目?5
2.1.2 添加地址組?6
2.2?創(chuàng)建策略?7
3?Net screen防火墻（HA）配置?11
3.1?線纜的連接?11
3.2?主動(dòng)NSRP主機(jī)上配置?11
3.3?備份NSRP主機(jī)上配置?14
3.4?檢查NSRP配置同步的兩種方式?14

NetScreen訪問策略的基本概念
NetScreen 設(shè)備是基于ASIC 的、經(jīng)ICSA 認(rèn)證1的互聯(lián)網(wǎng)安全裝置和安全系統(tǒng)，它結(jié)合防火墻、虛擬專用網(wǎng)(VPN) 和信息流整形功能，當(dāng)連接到互聯(lián)網(wǎng)時(shí)，對(duì)安全區(qū)段，如內(nèi)部局域網(wǎng)(LAN) 或隔離區(qū)段(DMZ) 提供靈活的保護(hù)。
? 防火墻：防火墻篩選通過專用LAN 和公用網(wǎng)（如互聯(lián)網(wǎng)）之間邊界的信息流。
? VPN：VPN 提供一個(gè)在兩個(gè)或多個(gè)遠(yuǎn)程網(wǎng)絡(luò)裝置之間的安全通道。
? 信息流整形：信息流整形功能允許對(duì)通過NetScreen? 防火墻的信息流進(jìn)行管理監(jiān)控和控制，來維護(hù)網(wǎng)絡(luò)的服務(wù)質(zhì)量(QoS) 級(jí)別。
NetScreen 防火墻的缺省行為是拒絕安全區(qū)段間的所有信息流（Untrust 區(qū)段內(nèi)的信息流除外） 。為了允許選定的區(qū)段間信息流通過 NetScreen 設(shè)備，必須創(chuàng)建覆蓋缺省行為的區(qū)段間策略。同樣，為了防止選定的區(qū)段內(nèi)部信息流通過 NetScreen 設(shè)備，必須創(chuàng)建區(qū)段內(nèi)部策略。