获得有关安装和配置当今流行防火墙的最深入客观的建议，包括：Check Point FireWall-1 4.1和NG、Cisco PIX、Microsoft ISA Server、NetScreen、SonicWall以及Symantec。学习成功地进行网络设计和防火墙布局的策略。洞察攻击防火墙的常见方法——包括软件bug、病毒和错误配置。掌握防火墙最佳实现及如何提高防火墙的整体安全性。本书包含了所有防火墙的实现方法和管理知识，从而保护网络免遭非法访问。
如何使网络既安全又高效
了解防火墙的优势和限制
深入学习网络和端口地址转换、VPN、验证、病毒防范、内容过滤等等
了解当今各种体系结构——应用和电路级网关、包过滤和状态包检查引擎
发现黑客通常如何攻击网络
获得Check Point、Cisco、Symantec、Microsoft等主流产品的平台和特性的详细知识
利用内建的工具、对象和服务管理防火墙的安装
通过实现人员控制（如培训和日志监控）来补充防火墙系统
详细了解实施Cisco安全策略管理器的细节
了解最新的Check Point FireWall-1 NG、Cisco IOS 防火墙特征集和Linux IP Tables

当网络涉及不同的信任级别时（例如Intranet、Internet或是网络划分），要保证安全必须安装安全控制设备。此类控制设备几乎总是某种形式的防火墙。
防火墙能够确保非授权的访问在经过企业的对外访问点时被阻止。防火墙技术已经出现十多年了。这项技术最初来自在路由器上实现简单的访问控制表。由于网络协议的复杂性，路由器的ACL被证明是不够的。例如文件传输协议FTP，会建立一个来自目标主机的反向通道。于是基于主机的防火墙诞生了。各种有竞争力的防火墙技术不断出现，不过到20世纪90年代末期，基于包的状态防火墙出现，并因为协议的灵活性和性能而成为最佳选择。
这几年出现的另一个现象是用专用网络设备代替通用计算机（Wintel，Sun）来实现防火墙。网络速度从10Mb增加到1G，一下提高了两个数量级。基于主机的防火墙并不是为这种高速网络环境设计的，从而加速了向专用平台的转移。采用专业网络设备的附带好处是因为操作系统的简化而相对较容易配置和管理。
在过去的五年中，防火墙供应商之间的差别已经缩小了。大多数供应商重组他们的产品，来包含状态包过滤和VPN。新的操作系统集成了一些防火墙的功能，例如Windows 2000/XP、Solaris 8以及Linux。大多数网络设备，包括防火墙，在管理和监控的可扩展性方面仍然比较薄弱。这对于大规模的防火墙设置是个重要问题，在这方面没有一家产品控制市场。
VPN比防火墙技术晚出现几年，它和企业的端点位置有关。如果VPN网关位于防火墙的后面，防火墙必须通过加密网络流。不只是目的端网络地址，隧道中的所有信息均加密。最好的解决方法就是在防火墙之前结束IP隧道。对大型企业来说，将防火墙和VPN功能集成在一个设备中还为时过早。将入侵检测加入到同一个平台也还太早。
最好的安全方案是提供多层的访问控制，其中防火墙是重要的一层。以后的几年中，随着安全体系组件的商品化，防火墙的功能还会增加。防火墙将不断发展以满足应用层安全控制日益增加的需求。
——Christopher M. King，CISSP
信息安全业务主管
Greenwich技术联盟

（美）Keith E.Strassberg,Richard J.Gondek,Gary Rollie：暂无简介

李昂 刘芳萍 杨旭 程鹏：暂无简介

第1章　 简介 1
1.1　 防火墙的定义 1
1.2　 为什么使用防火墙 2
1.3　 常见攻击类型 2
1.4　 防火墙的部署 3
1.5　 防火墙的优势和弱点 3
1.5.1　 优势 4
1.5.2　 弱点 4
1.6　 完善的安全措施 4
1.6.1　 完善系统本身 4
1.6.2　 补丁 5
1.6.3　 硬件与操作系统 5
1.6.4　 层次防御 5
1.6.5　 创建安全策略 6
1.6.6　 监测与记录 6
1.6.7　 审计和测试 6
第2章　 防火墙管理的TCP/IP基础 7
2.1　 TCP/IP网络中的数据传输 7
2.2　 在数据传输中应用的OSI七层模型 8
2.3　 理解IP协议是如何工作的 10
2.3.1　 IP地址 10
2.3.2　 将IP地址转换为二进制格式 10
2.3.3　 IP地址的层次结构 11
2.3.4　 子网与地址划分的灵活性及高效性 12
2.3.5　 IP是如何在网络中路由的 14
2.3.6　 广播和组播 17
2.3.7　 IP头部 17
2.3.8　 用ARP和RARP进行地址解析 18
2.3.9　 ICMP协议 19
2.4　 传输层协议：与应用程序的接口 20
2.4.1　 无连接通信：用户数据报协议 20
2.4.2　 可靠顺序交付：传输控制协议 21
2.5　 应用程序及工具 23
2.5.1　 Ping、Traceroute和Netstat 23
2.5.2　 使用地址转换隐藏私有地址 24
2.5.3　 访问控制列表（ACL） 26
2.5.4　 域名服务（DNS） 26
2.5.5　 简单网络管理协议（SNMP） 27
2.5.6　 超文本传输协议（HTTP） 27
2.5.7　 电子邮件（E-mail） 27
2.5.8　 远程登录（Telnet） 28
2.5.9　 远程服务（R-Services） 28
2.5.10　 文件传输协议（FTP） 28
第3章　 网络设计的考虑 29
3.1　 把安全作为网络设计的一部分 29
3.2　 Intranet、Extranet和Internet——安全的
理由 29
3.2.1　 Intranet 29
3.2.2　 Extranet 30
3.2.3　 Internet 30
3.2.4　 Internet服务提供商（Internet－Service
　　　　　　　　 Provider，ISP）及分散组织 30
3.2.5　 部门安全 31
3.2.6　 小办公室/家庭办公室（SOHO） 31
3.3　 网络设计方法 31
3.3.1　 Tyjor公司——设计实例 31
3.3.2　 定义网络的目的 31
3.3.3　 需求 32
3.3.4　 预算 37
3.3.5　 选择销售商 37
3.3.6　 完成设计 37
3.3.7　 创建实施计划 38
3.3.8　 测试和确认 39
3.3.9　 提供支持 39
3.4　 网络 39
3.4.1　 网络拓扑的类型 40
3.4.2　 路由协议 46
3.5　 普通网络防火墙设计 47
3.5.1　 非军事区（DMZ） 48
3.5.2　 堡垒主机 48
3.5.3　 过滤网关 49
3.6　 创建公司安全策略 49
3.6.1　 接受使用策略 49
3.6.2　 特殊策略 50
第4章　 防火墙的体系结构 52
4.1　 包过滤器 52
4.1.1　 包过滤的过程 53
4.1.2　 创建一个规则库 53
4.1.3　 包过滤的优缺点 56
4.2　 应用级网关 56
4.2.1　 应用级网关的工作过程 57
4.2.2　 应用级网关的缺点 58
4.3　 电路级网关 59
4.3.1　 电路级网关的工作过程 59
4.3.2　 电路级网关的缺点 59
4.4　 状态包检查（SPI） 59
4.4.1　 SPI防火墙的工作过程 60
4.4.2　 SPI在安全上的优点 61
4.5　 实施方式 61
4.5.1　 基于网络主机的防火墙 62
4.5.2　 基于路由器的防火墙 62
4.5.3　 基于单个主机的防火墙 62
4.5.4　 硬件防火墙 63
第5章　 防火墙的高级功能 64
5.1　 身份验证和授权 64
5.2　 网络地址转换 65
5.2.1　 静态NAT 66
5.2.2　 动态NAT 67
5.2.3　 端口转换 67
5.2.4　 服务器负载平衡 68
5.3　 密码理论 68
5.3.1　 加密密码 68
5.3.2　 哈希验证 69
5.4　 虚拟专用网络（VPN） 71
5.5　 IPSec（IP安全协议） 73
5.6　 网络监控 73
5.6.1　 审计 73
5.6.2　 会话窃听 74
5.7　 病毒免疫 75
5.8　 可用性 75
5.8.1　 状态信息 76
5.8.2　 高可用性 76
5.8.3　 负载平衡 77
5.9　 管理 78
5.10　 防火墙的其他特性 79
第6章　 防火墙攻击 81
6.1　 了解入侵者：他们的攻击方法 81
6.1.1　 攻击目标的选择 81
6.1.2　 跟踪 82
6.1.3　 识别并侦察防火墙 86
6.2　 未雨绸缪—准备基础知识 92
6.2.1　 包过滤防火墙 92
6.2.2　 应用级代理防火墙 92
6.2.3　 IP欺骗 92
6.2.4　 会话劫持 93
6.2.5　 形同虚设的访问控制列表（ACL） 95
6.2.6　 隧道 97
6.2.7　 代理服务器的外来访问 98
6.2.8　 操作系统和应用程序 98
6.2.9　 防火墙提供的远程管理功能 98
6.2.10　 拒绝服务（DoS） 99
6.3　 公布的防火墙漏洞 99
6.3.1　 Check Point FireWall-1 IP分片漏洞 99
6.3.2　 Check Point FireWall-1 RDP头部
绕过防火墙的漏洞 100
6.3.3　 Cisco PIX TACACS+的DoS漏洞 100
6.3.4　 Raptor防火墙在代理HTTP请求中的
漏洞 100
第7章　 Check Point FireWall-1简介 101
7.1　 什么是FireWall-1 101
7.2　 FireWall-1组件 101
7.2.1　 管理模块 102
7.2.2　 GUI客户端 102
7.2.3　 FireWall-1的防火墙模块 104
7.3　 不同的管理模块配置 106
7.3.1　 单设备防火墙（Single Device
Firewall） 107
7.3.2　 拥有外部GUI客户端的单设备
防火墙 107
7.3.3　 只有单个管理模块的多防火墙 107
7.3.4　 有冗余管理模块的多防火墙 108
7.3.5　 一对一的防火墙模块和管理模块 109
7.3.6　 高可用性防火墙 109
7.3.7　 其他防火墙组件 110
7.4　 FireWall-1对象 110
7.4.1　 管理FireWall-1对象 110
7.4.2　 服务 119
7.4.3　 资源 122
7.4.4　 用户 124
7.4.5　 时间 125
第8章　 FireWall-1的安装 127
8.1　 许可证 127
8.1.1　 评估许可证 127
8.1.2　 永久许可证 128
8.1.3　 X/Motif许可证 128
8.2　 FireWall-1 的安装前提示 128
8.2.1　 安装哪一种FireWall-1组件 128
8.2.2　 IP 转发的考虑 128
8.2.3　 FireWall-1组件的连通性 130
8.3　 在Windows平台上安装FireWall-1 130
8.3.1　 最小系统要求 130
8.3.2　 安装过程 130
8.4　 在Unix平台上安装FireWall-1 138
8.5　 FireWall-1安装结束后再安装许可证 144
第9章　 配置FireWall-1 145
9.1　 远程管理 145
9.1.1　 启用远程Windows GUI客户端 145
9.1.2　 登录Windows NT GUI策略编辑器 147
9.1.3　 启用远程Unix GUI客户端 147
9.1.4　 登录Unix GUI策略编辑器 148
9.1.5　 在分布式防火墙和管理模块
之间建立连接 148
9.1.6　 策略编辑器菜单和工具条 149
9.1.7　 策略属性 150
9.2　 创建FireWall-1规则库 156
9.2.1　 创建一个标准的NAT规则 157
9.2.2　 准规则和显式规则 158
9.2.3　 清理规则 159
9.2.4　 隐藏规则 159
9.2.5　 FireWall-1的规则顺序 159
第10章　 FireWall-1高级功能 161
10.1　 身份验证 161
10.1.1　 用户身份验证 161
10.1.2　 客户身份验证 163
10.1.3　 会话身份验证 166
10.2　 内容安全 168
10.3　 内容向量协议 170
10.4　 URL过滤协议 172
10.5　 NAT 175
10.6　 账户管理客户端 180
10.7　 VPN和SecuRemote 182
10.7.1　 VPN的一些考虑 182
10.7.2　 网关到网关VPN 184
10.7.3　 SecuRemote 187
第11章　 Check Point Next Generation 191
11.1　 新特征和功能增强概述 191
11.1.1　 NG的策略管理器 191
11.1.2　 增强的日志功能 192
11.1.3　 审计 193
11.1.4　 TCP 服务属性 193
11.1.5　 增强的网络地址转换 194
11.1.6　 NG对象数据库 194
11.1.7　 进程监视 194
11.1.8　 可视化策略编辑器 195
11.1.9　 安全内部通信（SIC） 195
11.1.10　 SecureUpdate 196
11.1.11　 管理高可用性 196
11.2　 升级考虑 198
11.3　 在Windows上安装Check Point NG
　　　　　防火墙 198
11.4　 在Unix上安装Check Point NG防火墙 201
11.5　 NG 策略管理器的操作 203
11.5.1　 创建时间对象 203
11.5.2　 创建基本管理模块对象 205
11.5.3　 创建防火墙模块对象 206
11.6　 使用SecureUpdate 207
11.6.1　 应用SecureUpdate进行产品管理 207
11.6.2　 许可证管理 208
第12章　 Cisco PIX防火墙 210
12.1　 产品背景 210
12.2　 PIX的特征与功能 210
12.2.1　 PIX模型 212
12.2.2　 PIX性能 214
12.3　 软件版本 215
12.3.1　 PIX版本6.X 215
12.3.2　 PIX 6.X版可以做的事与不
可以做的事 216
12.3.3　 PIX 版本5.3 216
12.4　 自适应安全算法 216
第13章　 Cisco PIX安装 221
13.1　 为PIX安装制定计划 221
13.2　 安装前 222
13.2.1　 选择许可证 222
13.2.2　 选择PIX型号 223
13.2.3　 物理位置 224
13.3　 安装 225
13.3.1　 接口配置 225
13.3.2　 电缆连接 226
13.3.3　 初始PIX输入 226
13.3.4　 配置PIX 227
13.4　 使用TFTP升级你的IOS 234
第14章　 Cisco PIX配置 237
14.1　 路由选择 237
14.1.1　 静态 237
14.1.2　 路由信息协议（RIP） 238
14.2　 流量过滤和地址转换 239
14.2.1　 管道（conduit） 239
14.2.2　 静态（static） 241
14.2.3　 Outbound/Apply命令 242
14.2.4　 NAT/Global 244
14.2.5　 访问表 245
第15章　 Cisco PIX 高级功能 249
15.1　 用户访问管理 249
15.1.1　 访问PIX 249
15.1.2　 通过PIX的流量 250
15.2　 流量管理 252
15.2.1　 包管理 252
15.2.2　 协议管理 254
15.3　 冗余度 256
15.4　 PIX监控 258
第16章　 Cisco安全策略管理器 263
16.1　 背景 263
16.1.1　 应用区 263
16.1.2　 操作流 264
16.2　 安装 264
16.3　 拓扑图 267
16.3.1　 创建拓扑图 267
16.3.2　 查看拓扑图 272
16.4　 策略设计 275
16.4.1　 网络对象组 276
16.4.2　 网络服务组 277
16.4.3　 创建规则集 278
16.5　 PIX命令 283
16.5.1　 策略前的分发 284
16.5.2　 分发策略 288
16.6　 报告 290
16.6.1　 监控报告 291
16.6.2　 系统报告 291
第17章　 Cisco IOS 防火墙特征集 293
17.1　 产品背景 293
17.2　 IOS防火墙的特征和功能 293
17.2.1　 IOS FFS阶段1的特征 293
17.2.2　 IOS FFS阶段2的特征 294
17.3　 计划安装IOS防火墙的特征集 294
17.3.1　 选择硬件平台 294
17.3.2　 选择软件特征集 295
17.3.3　 选择软件版本 296
17.4　 IOS防火墙设计考虑 296
17.4.1　 IOS 防火墙的强度 296
17.4.2　 警告 297
17.4.3　 IOS FFS设计示例 297
17.5　 安装和配置防火墙 298
17.5.1　 Cisco IOS的命令行界面 298
17.5.2　 记录IP和端口信息 300
17.5.3　 安装软件 300
17.6　 配置IOS FFS 302
17.7　 配置CBAC 307
17.7.1　 理解CBAC的工作原理 307
17.7.2　 配置访问控制表 308
17.7.3　 配置检查规则 309
17.7.4　 打开告警和审计跟踪 311
17.7.5　 配置PAM 311
第18章　 Linux 内核防火墙—Iptables 312
18.1　 Linux 内核防火墙的发展 312
18.2　 安装Iptables 317
18.3　 构建Iptables防火墙 317
18.3.1　 独立主机 318
18.3.2　 简单的NAT 防火墙 320
18.3.3　 端口转发防火墙 322
18.3.4　 具有DMZ和透明Web代理
的防火墙 324
18.3.5　 允许IPSec VPN通过的防火墙 327
18.3.6　 实现服务类型（TOS）标记 328
18.4　 通过日志实现故障诊断 328
18.5　 防火墙实用工具 329
18.5.1　 Mason 329
18.5.2　 Iptables-save和Iptables-restore 329
18.5.3　 Knetfilter 329
第19章　 Symantec防火墙企业版的背景
与安装 330
19.1　 Symantec/Raptor 6.5 的历史 330
19.1.1　 对标准服务的支持 331
19.1.2　 支持的验证类型 331
19.1.3　 关于Symantec防火墙企业版6.5 332
19.1.4　 Symantec防火墙企业版6.5的
　　　　　　 重要特性 332
19.1.5　 代理 337
19.2　 安装 339
19.2.1　 安装准备 339
19.2.2　 网络设置 340
19.2.3　 测试网络配置 346
19.2.4　 测试TCP/IP的连通性 346
19.2.5　 检查名称解析（DNS） 346
19.2.6　 ping主机 346
19.2.7　 理解网络如何处理名称解析 346
19.2.8　 提前约见Internet服务
提供商（ISP） 347
19.2.9　 知道哪些服务需要通过安全网关 347
19.2.10　 安装Symantec防火墙企业版6.5 347
19.2.11　 安装Symantec Raptor管理控制台 348
19.2.12　 连接到Symantec防火墙企业版 349
19.2.13　 安装远程日志记录 349
19.2.14　 Vulture：未授权的服务 349
第20章　 Symantec防火墙企业版的配置 350
20.1　 网络接口的配置 350
20.2　 配置网络实体 353
20.3　 用户和用户组的配置 357
20.3.1　 定义用户组 358
20.3.2　 定义用户 358
20.4　 配置Symantec和代理服务 365
20.4.1　 Symantec 服务 365
20.4.2　 代理服务 370
20.5　 授权规则的填写 372
20.6　 地址转换的配置 377
20.6.1　 地址转换 378
20.6.2　 虚拟客户机 381
第21章　 Symantec防火墙企业版
高级功能 383
21.1　 使用客户协议和服务 383
21.1.1　 定义一个GSP服务 383
21.1.2　 为过滤器中的应用定义协议 386
21.2　 拒绝服务(DoS) 387
21.3　 配置代理以支持第三方软件 388
21.3.1　 使用SQL*Net V2 代理 389
21.3.2　 代理连接小结 390
21.3.3　 配置SQL*Net V2客户机 390
21.3.4　 创建客户配置文件 390
21.3.5　 H.323标准 391
21.4　 设定证书验证 396
21.4.1　 在主机上生成证书 396
21.4.2　 在Entrust CA服务器上生
成一个证书 397
21.5　 配置服务重新定向 399
21.5.1　 使用服务重新定向 399
21.5.2　 给所支持的重新定向添加一个规则 400
21.6　 通告方式的配置 400
21.6.1　 音频通告的配置 401
21.6.2　 邮件通告功能的配置 402
21.6.3　 呼叫通告功能的配置 403
21.6.4　 客户端程序通告的配置 404
21.6.5　 SNMP通告的配置 404
第22章　 微软ISA Server 2000综述 405
22.1　 产品背景 405
22.2　 ISA特征 406
22.2.1　 多层防火墙 406
22.2.2　 基于策略的访问控制 407
22.3　 ISA组件 408
22.3.1　 服务器软件 408
22.3.2　 客户端软件 408
22.4　 ISA操作模式 409
22.5　 ISA管理 410
22.5.1　 本地管理 410
22.5.2　 远程管理 411
22.6　 报警 412
22.6.1　 条件 412
22.6.2　 动作 414
22.7　 日志 415
22.7.1　 数据包过滤器日志 416
22.7.2　 防火墙服务和Web代理日志 417
22.7.3　 方法 418
22.8　 报表 420
22.8.1　 报表的产生 420
22.8.2　 报表的日程安排 422
第23章　 微软ISA Server 2000的安装和
配置 424
23.1　 微软ISA Server 2000安装准备 424
23.2　 软件安装 425
23.2.1　 初始安装 425
23.2.2　 安全服务器向导 429
23.2.3　 从微软Proxy Server 2升级 432
23.3　 启动向导 433
23.3.1　 创建日程表 434
23.3.2　 创建客户端集 436
23.3.3　 创建协议规则 437
23.3.4　 创建目标集 439
23.3.5　 创建站点和内容规则 440
23.3.6　 为防火墙和SecureNAT客户端
　　　　　　 配置路由 441
第24章　 微软ISA Server 2000的高级功能 443
24.1　 包过滤器和入侵检测 443
24.2　 报警管理 444
24.3　 创建协议定义 445
24.4　 虚拟专用网络 446
24.4.1　 远程访问 446
24.4.2　 站点到站点的VPN 447
24.5　 应用程序过滤器 450
24.5.1　 SMTP过滤器 451
24.5.2　 SMTP的体系结构 453
24.6　 高可用性 455
第25章　 SonicWALL防火墙的
背景和管理 457
25.1　 产品 457
25.2　 6.2版的软件特征 459
25.3　 SonicWALL的包处理 461
25.4　 SonicWALL的管理 461
第26章　 安装SonicWALL 466
26.1　 物理安装 466
26.1.1　 安装硬件 466
26.1.2　 物理安装过程 466
26.2　 初始化配置信息 467
26.3　 基于Web的配置向导 468
26.3.1　 管理控制台配置 468
26.3.2　 安装向导 468
第27章　 SonicWALL配置 474
27.1　 安全策略示例 474
27.2　 网络访问规则 475
27.3　 网络访问规则类型和等级 475
27.3.1　 增加服务 476
27.3.2　 通过服务确定的网络访问规则 477
27.3.3　 创建和编辑规则 480
27.3.4　 增加和编辑用户 483
27.3.5　 配置SNMP 485
27.3.6　 安全的远程管理 486
第28章　 SonicWALL高级配置 487
28.1　 日志 487
28.2　 代理中继 488
28.3　 静态路由 489
28.4　 DHCP服务器 490
28.5　 Intranet防火墙 492
28.6　 DMZ地址 493
28.7　 高级NAT 494
28.8　 以太网设置 495
28.9　 过滤 496
28.9.1　 种类标签 496
28.9.2　 列表升级标签 497
28.9.3　 自定义标签 498
28.9.4　 关键词标签 499
28.9.5　 赞同标签 500
28.10　 VPN 501
28.10.1　 配置组VPN 501
28.10.2　 客户端配置 502
28.10.3　 测试VPN客户端配置 503
28.10.4　 在两个SonicWALL设备之间
配置IKE 504
28.11　 高可用性 507
28.12　 反病毒 511
28.12.1　 反病毒小结 513
28.12.2　 E-Mail过滤器 513
第29章　 NetScreen防火墙的背景和管理 515
29.1　 背景 515
29.1.1　 产品和性能 515
29.1.2　 NetScreen应用产品 515
29.1.3　 NetScreen安全系统 518
29.2　 ScreenOS操作系统 520
29.2.1　 ScreenOS的规则处理 521
29.2.2　 ScreenOS特征集 523
29.2.3　 ScreenOS管理接口 523
第30章　 安装NetScreen 525
30.1　 NetScreen设备的安装 525
30.1.1　 安装NetScreen-5XP 525
30.1.2　 安装NetScreen-25/50 527
30.1.3　 安装NetScreen-100 529
30.2　 NetScreen安全系统的安装 531
30.2.1　 安装NetScreen-500 531
30.2.2　 架设NetScreen-500 532
30.2.3　 在基本的单独配置下连接
NetScreen-500 533
30.2.4　 在冗余（HA）配置下连接
NetScreen-500 534
30.2.5　 安装NetScreen-1000 535
30.2.6　 架设NetScreen-1000 536
30.2.7　 在独立配置下连接NetScreen-1000 536
30.2.8　 在冗余配置下连接NetScreen-1000 536
第31章　 NetScreen的配置 537
31.1　 控制台初始化配置 537
31.2　 用GUI进行NetScreen配置 540
第32章　 NetScreen的高级配置 555
32.1　 虚拟专用网 555
32.1.1　 手工密钥站点到站点的VPN配置 555
32.1.2　 高可用性配置 561
32.1.3　 用VIP进行负载平衡 562
32.1.4　 带宽整形和优先化 564
32.1.5　 监控NetScreen设备 565
32.1.6　 ScreenOS的调试命令 565
32.2　 NetScreen-1000设备的一个配置
文件示例 566