ALG
的作用是什么
地址转换会导致许多对
NA
T
敏感的应用协议无法正常工作,必须针对该协议进行特殊
的处理。所谓对
NA
T
敏感的协议是指该协议的某些报文的有效载荷中携带
IP
地址和(或)
端口号,如果不进行特殊处理,将会严重影响后继的协议交互。
地址转换应用网关(
NAT Application Level Gateway
,
NAT ALG
)是解决特殊协议穿越
NA
T
的一种常用方式,该方法按照地址转换规则,对载荷中的
IP
地址和端口号进行替换,
从而实现对该协议的透明中继。
目前
VRP
的
NAT ALG
支持
PPTP
、
DNS
、
FTP
、
ILS
、
NBT
、
SIP
、
H.323
等协议。
在
SecPath
上,当开启
NA
T
功能后,系统会自动开启
NAT ALG
,无需手工设置。
防火墙的域(
zone
)是什么意思
区域(
zone
)是防火墙产品所引入的一个安全概念,是防火墙产品区别于的主要特征。
一个安全区域包括一个或多个接口的组合,
具有一个安全级别。
在设备内部,
安全级别通过
0
~
100
的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。
SecPath
缺省有
trust
、
untrust
、
DMZ
、
local 4
个安全域,同时还可以自定义
12
个区域。
[SecPath]firewall zone ?
DMZ DMZ security zone
local Local security zone
name Specify a new security zone name and create it
trust Trust security zone
untrust Untrust security zone
一般来讲,安全区域与各网络的关联遵循下面的原则:内部网络应安排在安全级别较
高的区域、外部网络应安排在安全级别最低的区域。具体来说,
Trust
所属接口用于连接用
户要保护的网络;
Untrust
所属接口连接外部网络;
DMZ
区所属接口连接用户向外部提供服
务的部分网络;
从防火墙设备本身发起的连接即是从
Local
区域发起的连接。
相应的所有对
防火墙设备本身的访问都属于向
Local
区域发起访问连接。
SecPath
防火墙中
inbound
和
outbound
的含义是什么呢
SecPath
防火墙的
ACL
规则和路由器一样,是应用在接口上的,
inbound
指从接口进入
防火墙的方向,
outbound
是从防火墙出接口的方向。这点是与
Eudemon
和
SecPath1800F
不
同的。
Eudemon
和
SecPath1800F
的
ACL
是应用在域间的,
inbound
是指从低安全级别的域
进入高安全级别域的流量,如从
untrust
进入
trust
,
outbound
的方向与此相反。