NetScreen下“區域”與“路由”、“策略”基本概念

NetScreen下“區域”與“路由”、“策略”基本概念

“區域”這個概念是NetScreen自己定的，它是很多NetScreen設置操作上所使用的單位。這個參數是在每
個物理接口屬性設置的（主菜單->Network->Interfaces），也可以通過：
->set interface 接口號 zone 區域類型名
更改，常見的區域有Trust與Untrust。這里有一些需要切記的準則：
1）默認Trust與Untrust區域都是掛載在trust-vr虛擬路由上的；
2）若我們把兩個物理端口同時掛載在Trust區域時，它們之間就能直接訪問了（也就是說路由與策略默認
都是全通了）；
3）但倘若我們把兩個物理端口同時掛載在Untrust區域時，它們之間是不能直接互訪的（路由通，但策略
不通），需要添加“對象：Untrust->Untrust、地址：Any->Any、行為：Permit”的策略才能互訪；
4）但若把兩個物理端口分別掛載在Trust與Untrust兩個區域時，即使它們之間的路由是通的（這個不需要
任何配置，因為它們默認就都在同一張路由表上---Trust虛擬路由表），也是不能互訪的，需要在Policie
s上添加互訪的策略（也就是說它們的策略默認是“全部不通”的）。


“路由”在NetScreen中被命名為虛擬路由，默認有trust-vr與untrust-vr。設置虛擬路由表有多種方式，
其設置可以在WEB UI上主菜單的Network->Routing中找到。關于當前路由與區域的對應關系可以在WEB UI
上的Network->Binding上找到（其實這些對應關系是可以由我們可以設置的）。有一點是需要注意的：在
屏蔽其它因素（主要是“策略”的因素）的情況下，在同一虛擬路由表下的所有物理端口間的路由都是全
通的。

“策略”大多用于包過濾、NAT的功能實現上。我們可以直接通過WEB UI上主菜單的Policies進行設置，它
主要是“區域”作為對象單位的。當需要配置跨區域互訪與網絡地址NAT偽裝時就一定要用到它。這里有兩
個例子：
1）當要配置Trust區域的物理端口與Untrust區域的物理端口的網段互訪時需要添加兩個規則：
規則一：
對象：Trust->Untrust
地址：Any->Any
行為：Permit
規則二：
對象：Untrust->Trust
地址：Any->Any
行為：Permit
2）配置Trust區域通過偽裝的方式連通Untrust區域：
對象：Trust->Untrust
地址：Any->Any
高級（規則設置界面的“Advanced”按鈕激活）：Destination Translation地址設置為Untrust的網段
行為：Permit