http://www.zdh1909.com/html/Cisco/17028_2.html备出 file。接着就等SSG5更新完毕!SSG5三十天就上手-Day 5 SSG5 Security ZonesSecurity Zones-安全区设定你可以通过 Security Zones 将你的SSG5 切个为多个安全区域,在SSG5中预设会有下列Zones:NullTrustUntrust
SelfGlobalHAMGTUntrust-Tun
V1-NullV1-Trust
V1-UntrustDMZV1-DMZ
VLAN
其中建议你最少要使用两个Security Zones将你的网络进行区隔。在默认值中会将ethernet0/0放到Untrust,ethernet0/1放到DMZ,其它放到Trust。假设你只有一条对外线,建议你将该线路放到 ethernet0/0 (Untrust),内部就放到Trust。然后再设定SSG5的 Policy 来保护内部网络。SSG5三十天就上手-Day 6 SSG5 InterfaceInterface 是SSG5中实际封包进出的出入口,经由Interface 让封包来进出security zone。为了让网络封包能够进出security zone,你必须将bind 一个interface到该security zone,如果你要让两个security zone互通封包时,你就必须设定 policies (就像是iptables)。你可以把多个Interface bind到同一个security zone,但是一个 Interface只能被bind 到一个security zone,也就是说Interface 跟 security zone 是多对一的关系。Interface TypesPhysical Interfaces这就是你SSG5中的实体网络 port ,你可以对照SSG5机体上的编号:eth0/0 ~ eth0/6 共有七个网络 portBridge Group InterfacesSubinterfacesAggregate Interfaces
Redundant InterfacesVirtual Security Interfaces
SSG5三十天就上手-Day 7 SSG5 Interface Modes在SSG5 Interface 可以以下列几种方式运作:Transparent ModeNAT(Network Address Translation) Mode
Route ModeInterface 被bind 在 Layer 3 且有设定 IP 时可以选择使用 NAT 或 Route方式运作。Interface 被bind 在 Layer 2的Zone 时,Interface 需以Transparent 方式运作。Transparent Mode:当Interface 在此模式时, IP address 会设定为0.0.0.0,此时SSG5不会对于封包中的source 或destination信息做任何的修改。SSG5此时就像扮演 Layer 2 switch 或 bridge。NAT Mode:此时你的SSG5就像扮演 Layer 3 Switch 或是 Router,会对封包进行转译(translates),他会换掉流向 Untrust zone 封包的 Source IP 跟 Port。Route Mode:当SSG5的Interface在此模式时,防火墙不会对于两个不同zone之间的封包做Source NAT。SSG5三十天就上手-Day 8 SSG5 PoliciesPolicies 你可以将它想成 iptables在SSG5中,预设会将跨security zone的封包(interzone traffic) deny ,bind 在同一个zone的interface 的封包(intrazone traffic)预设为allow如果你需要对以上预设行为进行调整,那你就必须透过 Policies来进行。Policies 由下列基本元素所组成:Direction:这是指封包的流向从 source zone 流向 destination zoneSource Address:这是封包起始的地址Destination Address:这是封包要送到的地址Service:这是封包的服务种类,如DNS、http等等Action :这是当收到封包满足此Polices时要进行的动作。举例来说:假设你要设定任何地址都可以由Trust zone 到 Untrust Zone 中的