第1章：概述一、安全區(qū)1、安全區(qū)是綁定一個或多個接口的邏輯實體。2、 可以定義多個安全區(qū)，除預(yù)定義發(fā)全區(qū)：trust、untrust和DMZ以外，還要以自定義安全區(qū)段。3、 安全區(qū)之間的數(shù)據(jù)流通需要用策略進(jìn)行控制。通過定義策略，使兩個區(qū)段間的信息流向一個或兩個方向流動。二、接口1、接口：物理接口：防火墻上實際存在的接口組件。子接口：在邏輯上將一個物理接口分為幾個虛擬子接口。每個子接口都從它的物理接口上借用需要的帶寬。2、信息流的只從一個區(qū)段到另一個區(qū)段。所以需要將接口綁定到安全區(qū)段才能使接口有作用。一個或多個接口可以綁定到一個安全區(qū)段。三、策略1、 默認(rèn)情況，netscreen拒絕所有方向的所有信息流。只有通過創(chuàng)建策略，才能實現(xiàn)控制區(qū)段間的信息流?？梢约?xì)微的控制一種信息流在預(yù)定的時間段內(nèi)、在一個區(qū)段中的指定主機與另一個區(qū)段中的指定主機之間流動。2、 策略服務(wù)：策略的實現(xiàn)可以細(xì)化到從某區(qū)段到某區(qū)段能實現(xiàn)某種服務(wù)。所以需要細(xì)化到某種服務(wù)時，要預(yù)先定義服務(wù)。四、虛擬路由器1、 netscreen設(shè)備支持兩個預(yù)定義的虛擬路由器。分別為：untrust-vr和trust-vr。這兩個虛擬路由器維護兩個單獨的的路由表，并且虛擬路由器彼此之間隱藏路由信息，即互不相干。untrust-vr通常用來與不可信方通信。trust-vr與可信方通信。2、 從一個虛擬路由器的區(qū)段發(fā)出的信息流不能自動轉(zhuǎn)發(fā)到另一個虛擬路由器區(qū)段，即使存在策略允許轉(zhuǎn)發(fā)這樣的信息流。如果希望信息流在虛擬路由器之間傳遞，需要導(dǎo)出VR之間的路由，或者定義靜態(tài)路由，將另一個VR定義為下一跳。3、命令：setvrouter{trust-vr|untrust-vr}route{/0}interface{ethernet3}gateway{} //設(shè)置路由命令。trust-vr和untrust-vr分別代表兩個虛擬路由器。/0是表示目的地址，ethernet3表示從哪個接口，表示下一跳地址，即網(wǎng)關(guān)IP。五、虛擬系統(tǒng)一些netscreen防火墻支持虛擬系統(tǒng)。對主系統(tǒng)的細(xì)分。即一個實體防火墻，可當(dāng)多個虛擬防火墻使用。六、常規(guī)配置流程1、 建立zone，即建立區(qū)段(在不使用默認(rèn)區(qū)段的情況下)2、 把zone分配置vr(虛擬路由器)3、 把網(wǎng)絡(luò)接口分配給zone4、 給接口設(shè)置ip地址5、 配置虛擬路由6、 配置策略。第2章：區(qū)段詳解一、 預(yù)定義區(qū)段的類型：1、 安全區(qū):untrust、trust、DMZ、global、V1-untrust、v1-trunst、V1-dmz2、 通道區(qū)段：untrust-tun3、 功能區(qū)段：NULL、self、MGT、HA、VLAN二、 安全區(qū)1、 globalglobal區(qū)域不具有其他區(qū)都有的特性--接口。即Global區(qū)不包含接口。global區(qū)可充當(dāng)映射ip(MIP)和虛擬ip(VIP)地址的存儲區(qū)域。預(yù)定義global區(qū)段地址“any"應(yīng)勝于global區(qū)段中所有mip、vip和其他用戶定義的地址組。global區(qū)段還包含全域策略中使用的地址。global區(qū)域類似于CISCO防火墻中的全局映射。2、 untrust和trust區(qū)域是三層的區(qū)域。untrust是不信任區(qū)域。trust是信任區(qū)域。3、V1-untrust和v1-trust是二層區(qū)域。在透明模式下時使用注：screen選項：每個區(qū)域可啟用一組預(yù)定義的screen選項。檢測并阻塞netscreen認(rèn)定的潛在有害數(shù)據(jù)流。二、 通道區(qū)段untrust-tun1、 通道區(qū)段:是一個邏輯區(qū)段。附屬于某個實際的安全區(qū)段。通道區(qū)段可包含一個或多個通道接口，并對承載的信息流提供防火墻保護，并支持對數(shù)據(jù)的封裝和解封，還提供NAT服務(wù)。2、 默認(rèn)情況下，通道區(qū)段在trunst-vr路由選擇域。也可以把通道區(qū)段劃分到trust-vr路由選擇域。3、 每個虛擬系統(tǒng)上的每個承載區(qū)段（理解為實際區(qū)段，如trust區(qū)段）最多只能有一個通道區(qū)段。（即一個實際安全區(qū)下面只能有一個通道區(qū)段）4、 需配置的要點有:通道接口屬于哪個通道區(qū)段，通道區(qū)段附屬于哪個實際區(qū)段，并屬于哪一個路由選擇域。注意：要修改通道區(qū)域的名稱，或更改通道區(qū)段的承載區(qū)段，必須先刪除該區(qū)段，再重建。但可以直接更改區(qū)段所屬的虛擬路由選擇域。三、 功能區(qū)段1、 NULL區(qū)段:用于臨時存儲沒有綁定到任何其它區(qū)段的接口。2、 MGT區(qū)段:是帶外管理接口MGT的宿主區(qū)段?？梢栽诖藚^(qū)段上設(shè)置防火墻選項以保護管理接口。3、 HA區(qū)段:此區(qū)段是高可用性接口HA1和HA2的宿主區(qū)段。雖然可以為此區(qū)段設(shè)置接口，但此區(qū)段是不可配置的。4、 Self區(qū)段：此區(qū)段是遠(yuǎn)程管理連接接口的宿主區(qū)段。當(dāng)您通過HTTP\SCS\telnet等連接netscreen設(shè)備時，就會連接到self區(qū)段。5、vlan區(qū)段：此區(qū)段是VLAN1接口的宿主區(qū)段。可用于管理設(shè)備。設(shè)備是透明模式時，終止vpn信息流。四、端口模式可以為netscreen設(shè)備選擇端口模式,端口模式自動為設(shè)備設(shè)置不同的端口、接口和區(qū)段綁定。1、trust-untrust模式。缺省端口模式將untrusted以太網(wǎng)端口綁定到untrust接口，并將接口綁定到untrust區(qū)段。將modem端口綁定到serial接口，并作備份接口綁定到untrust區(qū)段。將以太網(wǎng)端口1到4綁定到trunst接口，并將接口綁定到trust區(qū)段。注：端口指設(shè)備的物理接口。接口是指通過cli或webui配置的邏輯接口。多個端口可以綁定到一個接口。2、trust\untrust\Dmz端口模式將以太網(wǎng)端口1和2綁定到接口ethernet1接口，并把接口綁定到trust區(qū)域?qū)⒁蕴W(wǎng)端口3和4綁定到接口ethernet2接口，并把接口綁定到dmz區(qū)域?qū)ntrusted以太網(wǎng)端口綁定到untrust接口，并把接口綁定到untrust區(qū)域?qū)⑧]件服務(wù)器、web服務(wù)器等這類的服務(wù)器與內(nèi)網(wǎng)分開，放置于dmz區(qū)域。3、雙untrust端口模式將untrusted以太網(wǎng)端口綁定到ehternet3接口，綁定到untrust區(qū)域?qū)⒁蕴W(wǎng)4號端口綁定到ethernet2接口，綁定到untrust區(qū)域?qū)⒁蕴W(wǎng)1-3號端口綁定到ethernetl接口，綁定到trust區(qū)域。即將兩個接口綁定到untrust區(qū)域，一個做主接口，一個作備份，當(dāng)主接口失效時，備份接口才會使用。4、 home\work端口模式將以太網(wǎng)1和2號端口綁定到ethernet1接口，并把接口綁定到work區(qū)域?qū)⒁蕴W(wǎng)3和4號端口綁定到ethernet2接口，并把接口綁定到home區(qū)域?qū)ntrusted以太網(wǎng)端口綁定到ehternet3接口，綁定到untrust區(qū)域缺省情況下：work區(qū)域的信息可以流向home區(qū)域，home區(qū)域信息不可以流向work區(qū)域home區(qū)域的信息不受限制的流向untrust區(qū)域。5、combined模式untrusted和以太網(wǎng)端口4綁定到untrust區(qū)域。其中以太網(wǎng)端口4作為備份端口。以太網(wǎng)2、3端口綁定到home區(qū)域以太網(wǎng)1端口綁定到work區(qū)域。第3章、接口一、接口類型安全區(qū)段接口：1、 物理接口，即設(shè)備固有的接口。2、 子接口：在邏輯上將一個物理接口分為幾個虛擬子接口。3、 聚合接口：即把多個物理接口聚合成一個聚合接口，每個接口平均承擔(dān)通過整個聚合接口的數(shù)據(jù)流。4、 冗余接口：即把兩個物理接口綁定成一個冗余接口。當(dāng)主接口失效時，備份接口才開始接替主接口工作。這與聚合接口不同，不是同時工作。功能區(qū)段接口：5、 HA接口：HA用于組建高可用性時用的接口。即兩個防火墻組成一個冗余組,當(dāng)一個主防火墻失效時，備份防火墻接替主防火墻的工作。6、 通道接口：充當(dāng)VPN通道入口。信息流通過通道接口進(jìn)出VPN通道。二、配置安全區(qū)接口1、 將接口綁定到安全區(qū)及解除綁定2、 為接口分配Ip3、 修改接口設(shè)置和命令:getinterface查看接口的命令。

設(shè)置接口：setinterfaceethernet1zonetrust域setinterfaceethernet1ip/24setinterfaceehternet1manage-ip址。管理Ip地址要和接口地址在同一個網(wǎng)段。setinterfaceethernet1managessh協(xié)議setinterfaceethernet1managesslsetinterfaceethernet1managetelnetsetinterfaceethernet1managewebunsetinterfaceethernet1managessh協(xié)議unsetinterfaceethernet1managesslunsetinterfaceethernet1managetelnetunsetinterfaceethernet1manageweb解除接口：setinterfaceehternet1ip/0為空，即先解除接口的ip//把接口綁定到區(qū)//設(shè)置IP地址//設(shè)置管理Ip地//把接口綁定到區(qū)//設(shè)置IP地址//設(shè)置管理Ip地//設(shè)置接口的管理//關(guān)閉接口的管理//設(shè)置接口Ip地址//接口區(qū)域為空子接口注意點：（1）子接口雖然源自物理接口，但可以將子接口綁定到任何區(qū)段，不必一定和物理接口處于一個區(qū)段內(nèi)。（2）子接口的Ip地址網(wǎng)段，必須與所有其他物理接口和子接口處于不同網(wǎng)段。（3）子接口用vlan標(biāo)記來區(qū)別。配置命令：setinterfaceethernet1.2zonetrust //把子接口劃入?yún)^(qū)段trunstsetinterfaceethernet1.2ip/24tag4 //設(shè)置子接口Ip地址和VLAN標(biāo)識//刪除子接口unsetinterfaceethernet1.2//刪除子接口5、二級ip地址（即一個接口配第二個地址）一個接口有一個唯一的主Ip地址，還可配一個或多個二級Ip地址。（1）二級Ip地址不能與防火墻現(xiàn)有子網(wǎng)重迭。即每個二級Ip都必須是獨立網(wǎng)段。不能與現(xiàn)在任何網(wǎng)段沖突。（2）不能為untrust區(qū)域中的接口配置第二ip地址。（3）不能為二級Ip配置網(wǎng)關(guān)。（4）可用二級IP管理netscreen設(shè)備,此時與主IP的管理屬性相同。所以不能為二級Ip配置獨立的管理配置。6、環(huán)回接口配置是一個邏輯接口。此接口只要設(shè)備開啟即開啟必須給環(huán)回接口配置Ip,并綁定到安全區(qū)可以把任何接口定義為環(huán)回接口的組成員。7、三、接口類型（一）nat模式1、 當(dāng)是nat模式時,與普通路由器和三層交換機的作用相似。2、 當(dāng)內(nèi)部接口是nat模式時,從內(nèi)到外的數(shù)據(jù)包,即流出外向區(qū)段untrust的ip數(shù)據(jù)包,源Ip會用untrust區(qū)段的接口的Ip替換,源端口號,會用一個隨機生成的端口號替換。3、 從外到內(nèi)的數(shù)據(jù)包,即從外向區(qū)段untrust到內(nèi)部區(qū)段trust的數(shù)據(jù)包,會通過mip（映射ip）、vip（虛擬IP）、vpn通道，轉(zhuǎn)換成內(nèi)部的目的地址和端口號。screenos5.0.0之后的版本，untrust區(qū)段到內(nèi)部區(qū)段trust、自定義內(nèi)部區(qū)段的數(shù)據(jù)包，可以直接到過內(nèi)部主機（nat接口模式后的主機），不用vip\mip\vpn。但也可以使用mip\vip\vpn到達(dá)。nat模式時，就想像成一個普通路由器。（二）路由模式路由模式時，在不同區(qū)段間轉(zhuǎn)發(fā)信息時，不執(zhí)行源NAT。即當(dāng)數(shù)據(jù)包穿過防火墻時，數(shù)據(jù)包的源ip地址和端口號不變。并且每個區(qū)段內(nèi)的接口都在不同網(wǎng)段?？梢栽诓呗灾卸x需要nat轉(zhuǎn)換的ip,執(zhí)行相應(yīng)的Ip進(jìn)行nat轉(zhuǎn)換。nat模式時，所有的ip都會進(jìn)行nat轉(zhuǎn)的換。（三）透明模式透明模式時，作用類似于二層交換機。1、透明模式時的區(qū)段設(shè)置（1） vlan區(qū)段此區(qū)段是vlanl接口的宿主區(qū)段。用vlanl接口來管理防火墻。此Ip必須和第2層子網(wǎng)在同一網(wǎng)段。也可以為vlan接口配管理ip.（2） 預(yù)定義的第二層區(qū)段v1-trustv1-untrustv1-dmz預(yù)定義此三個區(qū)段。2、透明防火墻的信息流轉(zhuǎn)發(fā)（1） 在第2層工作的netscreen設(shè)備，不允許區(qū)段間的任何信息流。即默認(rèn)情況下，各區(qū)段間是不允許任何信息流通過的，除非配置了相應(yīng)的策略。（2） 允許和拒絕策略中指定的信息流。（3）允許arp和2層非ip廣播信息流。 拒絕所有非ip和非arp單點傳送信息流及ipsec信息流，即拒絕非ARP單點，允許非IP廣播流。第4章定義構(gòu)建塊（為策略定義對象）、定義地址1、定義地址條目需要先在一個或多個地址列表中定義地址，才能設(shè)置許多netscreen防火墻、vpn和信息流整形功能。定義單個地址：只有一個單一的IP地址，所以子網(wǎng)掩碼為55定義一個網(wǎng)段：帶有子網(wǎng)掩碼的定義一個網(wǎng)段。不管是單個地址還是一個網(wǎng)段，都是一個對象，都有一個對象名。并且這個地址或網(wǎng)段也要劃分到區(qū)域中。2、定義地址組可以把多個地址條目加到地址組中。這樣對一個地址組的策略可以影響所有組中的地址。一個地址組可以是其他地址組的成員。地址組只能包含屬于同一區(qū)段的地址。(4)地址組名不能和已有地址條目名相同。地址組被策略引用，則不能刪除此地址組，只能編輯。二、 時間表可以將時間表對象與一個或多個策略相關(guān)聯(lián)以定義策略生效的時間。三、 DIP池動態(tài)Ip池表示一個范圍內(nèi)的Ip地址。比如內(nèi)網(wǎng)到外網(wǎng)時，nat轉(zhuǎn)換可以是多對一，即一段內(nèi)網(wǎng)的地址，都轉(zhuǎn)換成一個外網(wǎng)地址。也可以是多對多轉(zhuǎn)換，即一個網(wǎng)段的地址，可以轉(zhuǎn)換成一個范圍內(nèi)的外部地址，所以外網(wǎng)的ip地址也可配置為一個地址范圍。取地址時，是動態(tài)的在這個范圍內(nèi)取得。這個動態(tài)ip地址池也可以只有一個Ip,但也要設(shè)置范圍格式。如：--,雖然只有一個地址，但也可以設(shè)置成范圍格式，成了一個DIP。四、 服務(wù)在策略中使用服務(wù)，定義對象擁有的服務(wù)功能。1、預(yù)定義服務(wù)防火墻預(yù)先設(shè)置好的一些服務(wù)條目?？梢灾苯右?。2、自定義服務(wù)自行定義的服務(wù)，以靈活的應(yīng)用到策略。3、icmp服務(wù)4、服務(wù)組即把多個服務(wù)加入一個組中，對策略生效時，是一整個組的服務(wù)都生效。第5章：策略一、策略的基本元素1、兩個安全區(qū)間信息流的方向2、源地址3、目標(biāo)地址4、服務(wù)類型，即信息流傳輸?shù)念愋?、動作，有允許、拒絕或tunnel二、策略的三種類型1、區(qū)段內(nèi)部策略之 從一個安全區(qū)到另一個安全區(qū)的策略?？梢岳斫鉃閰^(qū)段間策略。2、區(qū)段內(nèi)部策略之 在同一個安全區(qū)的接口間的策略。即一個區(qū)段內(nèi)的不同接口之間信息流傳遞的策略。源地址和目的地址在同一區(qū)段內(nèi)，但屬于同區(qū)段的不同接口。3、全局策略：可以管理地址間的信息流，但不必考慮他們所屬的安全區(qū)。全局策略不引用特定的源和目的區(qū)段。全局策略引和用戶定義的global區(qū)段地址或預(yù)定義的global區(qū)段地址“any”。這些地址可以跨多個安全區(qū)段。三、策略組列表三種不同的策略組列表：區(qū)段間策略列表：源區(qū)段和目的區(qū)段不同，則查找區(qū)段間策略列表。區(qū)段內(nèi)策略列表：源區(qū)段和目的區(qū)段相同，則查找區(qū)段內(nèi)部策略列表。全局策略列表：如果防火墻進(jìn)行區(qū)段間策略列表和區(qū)段內(nèi)策略列表查找，都沒有找到匹配的項，則查找全局策略列表。注：如果區(qū)段間策略列表、區(qū)段內(nèi)策略列表、全局策略列表都沒有找到匹配項，則防火墻會將缺省的策略應(yīng)用到數(shù)據(jù)包?；?qū)^(qū)段內(nèi)部阻塞設(shè)置應(yīng)用到數(shù)據(jù)包。設(shè)備從上到下搜索每個策略組列表。因此注意順序。一般將特殊的策略置于不太特殊的策略上面。四、策略策略能允許、拒絕、加密和解密、認(rèn)證、排定優(yōu)先次序、調(diào)度、過濾以及監(jiān)控從一個區(qū)段到另一個區(qū)段的數(shù)據(jù)包?？梢詻Q定哪些用戶和數(shù)據(jù)可以進(jìn)出，以及進(jìn)出的時間和地點。1、策略和規(guī)則一個策略可以生成一個或多個邏輯規(guī)則，每個規(guī)則都由一組組件（源地址、目的地址和服務(wù)）組成。組件占用內(nèi)存資源。引用組件的邏輯規(guī)則不占用內(nèi)存。如1個策略：5個源地址*5個目標(biāo)地址*5個服務(wù)=125條規(guī)則。以上125條規(guī)剛的邏輯組件：只產(chǎn)生5個源地址+5個目標(biāo)地址+5個服務(wù)=15個組件。2、策略的結(jié)構(gòu)策略必須包含的元素ID:自動生成區(qū)段：源區(qū)段和目的區(qū)段地址：（源地址和目的地址）服務(wù)動作：（permit\deny\tunnel）策略也可以包含下列元素：應(yīng)用名稱VPN通道確定L2TP深層檢測策略列表頂部位置源地址轉(zhuǎn)換目的地址轉(zhuǎn)換用戶認(rèn)證HA會話備份URL過濾記錄計數(shù)信息流報警臨界值時間表防病毒掃描信息流整型第6章地址轉(zhuǎn)換一、地址轉(zhuǎn)換概述1、源地址轉(zhuǎn)換：即nat轉(zhuǎn)換，可以轉(zhuǎn)換源網(wǎng)絡(luò)地址，還可以轉(zhuǎn)換源網(wǎng)絡(luò)地址+端口號。2、目的地址轉(zhuǎn)換：可用策略轉(zhuǎn)換、映射ip地址、虛擬IP地址。映射地址轉(zhuǎn)換是一對一的，是雙向的，即一個外部IP對應(yīng)一個內(nèi)部IP。虛擬IP是，一對多的。一個外部IP加上端口號，對應(yīng)內(nèi)部IP加上端口號。這樣一個外部IP,可以對應(yīng)很多內(nèi)部IP應(yīng)用。不支持同時將基于策略的NAT-dst與MIP和VIP配合使用。如果MIP、VIP和NAT-DST混合使用同于同一數(shù)據(jù)包，將以MIP和VIP的為準(zhǔn)。不應(yīng)用策略上的NAT-DST。二、源地址轉(zhuǎn)換 （nat-src）1、 多對一：即多個內(nèi)部IP轉(zhuǎn)換成一個外部IP。2、 多對多：即多個內(nèi)部IP轉(zhuǎn)換成多個外部IP中的一個。即多個外部IP組成一個地址池（dip），內(nèi)部地址轉(zhuǎn)換成外部IP時，從DIP中隨機抽取一個外部IP。DIP地址池，最小可以只有一個IP地址。但是當(dāng)啟用PAT（端口地址轉(zhuǎn)換：ip地址+端口的方式）時，單個地址的DIP地址池可以轉(zhuǎn)換最多達(dá)64500臺主機。會根據(jù)地址+端口識別是哪個內(nèi)部地址主機的請求。3、策略源地址轉(zhuǎn)換：只在策略上定義了源地址轉(zhuǎn)換，而沒有定義地址池時，將把源地址轉(zhuǎn)換為目的區(qū)段的出接口地址（外部接口地址）注意：需要將源地址端口保持固定的應(yīng)用程序，需要禁用PAT，且將DIP地址池設(shè)置到足夠大，確保每臺內(nèi)部地址都能分到一個不同的外部地址。要將DIP地址池中的相同IP分配給主機的多個同時會話，即一個地址永遠(yuǎn)分配置這個主機，則需要啟用DIP地址附著功能。命令模式下：setdipsticky三、目的地址轉(zhuǎn)換（外部取內(nèi)部地址轉(zhuǎn)換）基本策略的nat-des和VIP可以使用端口號。mip不能使用。（一）基于策略的NAT-des可將一個目的IP地址轉(zhuǎn)換成另一個IP地址，即外部到內(nèi)部的一對一映射。支持端口映射。將一個目的IP地址范圍轉(zhuǎn)換成一個IP地址，即多對一的映射。支持端口映射。將一個目的IP地址范圍轉(zhuǎn)換成另一個IP地址范圍，即外到內(nèi)的多對多。不支持端口映射。NAT-DES中可使用端口進(jìn)行端口轉(zhuǎn)換但此時一定需要有指向虛擬目的地址（初始目的地址）和最終目的地址的路由。防火墻使用初始目的地址執(zhí)行路由查找，來確定出口接口。然后根據(jù)出接口確定接口所在的區(qū)段，再在出接口區(qū)段中查找策略。策略中定義了從初始地址到最終地址的映射。當(dāng)找到合適的策略后，防火墻再進(jìn)行第二次路由查找，確定最終目的地址從哪個接口可以到達(dá)。例女如把一個外部IP地址49映射為一個內(nèi)部IP地址 ，內(nèi)防火墻內(nèi)一定要有49虛擬IP地址（初始目的地址）的路由和到達(dá)內(nèi)部IP的路由。對于訪問者即源地址來說,49只是初始虛擬目的地址，他的最終目的地址是先找到49這個初始目的地址所屬的接口，再查這個接口屬于哪個區(qū)段，如果屬于untrust區(qū)段，則在untrust區(qū)段中查找策略。如果找到策略中有從49到的映射條目，再查找的路由，看哪個接口可以到這個地址。這與我們常用的靜態(tài)映射（MIP）和動態(tài)映射（VIP）不太一樣。這里需要一個初始目的地址。配置過程：先建立和接口的ip地址和所屬區(qū)段。建立初始地址或初始地址段，并設(shè)置初始地址或地址段所屬的區(qū)段。一般屬于最終目標(biāo)地址區(qū)段。配置到初始地址或地址段的路由配置策略，從使用客戶端到目的地址所屬區(qū)段的策略。并應(yīng)用服務(wù)、剛定義的初始地址和動作。并在高級配置選項目定義到最終目標(biāo)地址的轉(zhuǎn)換。（二）映射IP（MIP）是一個IP地址到另一個IP地址的直接一對一映射。1、 MIP和Global區(qū)段無論哪個區(qū)段接口的MIP，都會在global區(qū)段中生成該MIP條目。global區(qū)段存儲所有MIP地址，不管是哪個區(qū)段的接口。在策略