某工程安全策略配置(pdf 46页)

某工程安全策略配置内容提要：
        统一安全网关放置于内部网络和外部网络之间，可以保护内部网络不受外部网络上恶意用户的侵害，有着明确的内外之分。统一安全网关提出安全区域的概念，为属于不同安全区域的用户提供不同级别的安全保障。
        对于DMZ 安全区域的解释如下：DMZ 起源于军方，是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
        统一安全网关引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。该安全区域可以放置需要对外提供网络服务的设备，如WWW 服务器、FTP 服务器等。
          DMZ 安全区域很好地解决了服务器的放置问题。上述服务器如果放置于外部网络，则统一安全网关无法保障它们的安全；如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。
3.1.3 长连接概述
        实际应用中，统一安全网关某些会话的老化时间相对较短，而对应数据流需要长时间不被老化。为解决这一矛盾，统一安全网关提出长连接特性 长连接功能用于设置特定数据流的超长老化时间。该数据流由ACL 确定。数据流的老化时间不受全局老化时间限制。
         分片缓存概述网络设备传输报文时，如果设备上配置的MTU（Maximum Transfer Unit）小于报文长度，则会将报文分片后继续发送。理想情况下，各分片报文将按照固定的先后顺序在网络中传输。实际传输过程中，可能存在首片分片报文不是第一个到达USG5000 统一安全网关的现象。此时，统一安全网关将丢弃该系列分片报文。
        为保证会话的正常进行，统一安全网关增加分片缓存功能。将先于首片分片报文到达的后续分片报文存于分片缓存，等首片分片报文到达后再进行转发，保证会话的正常进行。如果首片分片报文无法到达统一安全网关，存于分片缓存的后续分片报文将被丢弃。
         包过滤概述只有当数据在两个安全区域之间流动时，才会激活统一安全网关的安全规则检查功能。包过滤即是统一安全网关安全规则检查的重要组成部分。
         包过滤功能实现对IP 报文的过滤。对于需要转发的报文，统一安全网关先获取报文头信息，包括IP 层所承载的上层协议的协议号、报文的源地址、目的地址、源端口号和目的端口号等，然后和设定的ACL 规则进行匹配，并根据ACL 的设定动作允许或拒绝对报文的转发。当拒绝转发时，统一安全网关会丢弃相应报文。
..............................