NetScreen 问答

核心提示： 为什么Gloable PRO 3.1不能管理处于Transparent模式的Screen OS 3.1系统？因为Global PRO 不支持Transparent下对Screen OS 3.1的管理，NetScreen Global PRO Express与NetScreen Global

为什么Gloable PRO 3.1不能管理处于Transparent模式的Screen OS 3.1系统？

因为Global PRO 不支持Transparent下对Screen OS 3.1的管理。

NetScreen Global PRO Express与NetScreen Global PRO 有什么不同？

PRO Express是PRO的简化版，PRO Express通过一个Sun Netra Server来收集、监视防火墙信息。PRO 则是三层结构，所有信息会被收集到Oracle数据库里，通过第三方软件生成报表。

NetScreen防火墙是否在做NAT前实施安全策略?

是的,NetScreen防火墙首先检查安全策略,并保存了所有的TCP/IP状态连接表,所以防火墙知道真正的内部IP。

在地址转换方式下,怎样实现从内网到DMZ区及到外网的访问?

1 从内网到外网,防火墙首先检查目的地址及源地址和协议类型并判断是否允许该种访问,如果允许,防火墙将用UNTRUST IP替换源地址送出包。

2 从内网到DMZ区,防火墙先检查安全规则是否允许该内网机器通过某一种服务访问DMZ区机器,如果允许,源地址将被DMZ Interface IP替换,然后,防火墙将把这一联接保存在内存的状态表里,然后把该数据包传到DMZ区的机器上.当DMZ区的机器返回包时,它的目的地址是DMZ Interface 的地址,当数据包到达防火墙的DMZ Interface时,防火墙检查它自己的TCP/IP状态连接表并找到对应的目的地址,然后把目的地址替换成内部网内的地址并把数据包送到正确的内部网机器上

怎样限止一个IP上网

地址本里加上这个ip，策略里面设置源地址为这个ip的禁止，置顶。再写一个any to any的策略放在下面就行了

什么是Hub & Spoke？

Hub & Spoke是NetScreen防火墙的一种专利技术。它是一种VPN的连接模式，以一个防火墙为中心，另外一些防火墙为分支，建立一种集中星型结构模式的VPN，这种VPN易于管理、实施。