对照两个文档,可以实现简单配置netscreen防火墙。
Netscreen-100防火墙的基本配置流程
NetScreen系列产品,是应用非常广泛的NAT设备。NetScreen-100就是其中的一种。
NetScreen-100是个长方形的黑匣子,其正面面板上有四个接口。左边一个是DB25串口,右边三个是以太网网口,从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口,下行连接内部网络设备。Untrust Interface相当于主机口,上行连接上公网的路由器等外部网关设备;两端口速率自适应(10M/100M)。DMZ Interface介绍从略。
配置前的预备
1. PC机通过直通网线与Trust Interface相连,用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0,用户名和密码都为netscreen ;
2. 登录成功后修改System 的IP和掩码,建议修改成与内部网段同网段,也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok,设备会重启;
3. 把PC的地址改为与设备新的地址同网段,重新登录,即可进行配置
4. 也可通过串口登录,在超级终端上通过命令行修改System IP
数据配置
数据配置包括三部分内容:Policy、Interface、Route Table。
1. 配置Policy
用IE登陆NetScreen,在配置界面上,依次点击左边竖列中的Network–〉Policy,然 后选中Outgoing。如系统原有的与此不同,可点击表中{zh1}一列的Remove来删除掉,然后点击左下角的New Policy, 重新设置。
2. 配置Interface
在配置界面上,依次点击左边竖列中的Configure–〉Interface选项,则显示如下所示的配置界面,其中主要是配置Trust Interface、Untrust Interface,必要时修改System IP。
在 Interface配置图当中;
说明:
1. Trust Interface下面的Inside IP,即指端口本身的IP。因为该端口是设备用以与局域网内部相连的,所以就相当于是设备对内的端口,故此把该端口的IP 就叫做设备的Inside IP。同理,Untrust Interface下面的Outside IP也是指该端口的IP ,因为该端口是面向局域网外部的;Trust Interface下面的Default Gateway,指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址(即NAT的下一跳),本例中指与NAT相连的路由器的接口地址
2. 在接口的配置选项中,Traffic Bandwidth选项是对该端口传输带宽的描述,不用设置。因为两端口都是自适应的,会根据所连对端端口的带宽而自动调整。
3. 在Enable的选项中,Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网,为安全起见,应当把ping、telnet等性能屏蔽掉, 不要选择。只有当有必要进行远程维护时,才把telnet选中。
4. 对于System IP,当{dy}次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段,则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆,以便治理,需要在上述界面上把System IP 的值改为0.0.0.0
5. Untrust Interface和Trust Interface配置内容xx一样,上面的例图由于是用PrtSc屏拷下来的,不能把Untrust Interface的配置内容拷全,特此说明。
3. 配置Route Table
在配置界面上,依次点击左边竖列中的Configure –〉Route Table选项,则显示图5所示界面。
系统要正常运行,在NAT内部有两条路由是必不可少的,一条是去内部网段下面的用户网段的 路由,其网关是与NAT相连的接口的地址。该路由为:10.10.0.0 255.255.0.0 10.100.0.1 Trust ;另一条是去外部公网的缺省路由,其网关是与NAT 相连的外部路由器的接口地址。该路由为: 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。
从路由表中可以看出,后一条路由是系统缺省自动生成的,所以只需手工添加的{dy}条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由,可以通过点击Edit、Remove进行修改或删除。
至此,所有配置全部完成。
netscreen 配置文档
1、进入字符配置界面:
用随机带的CONSOLE线,一头接计算机串口,一头接E1端口,在计算机上打开超级终端进行配置,用户名,密码都是netscreen。
2、进入WEB配置界面:
用交叉网线连接E1和计算机的网卡,将计算机IP改成192.168.1.2(与E1端口在同一网段)。打开IE浏览器输入 http:/192.168.1.11(192.168.1.11为E1端口治理IP),用户名,密码都是netscreen。
3、配置端口IP和治理IP:
E1:内部网端口
端口IP192.168.1.20和治理IP192.168.1.11
更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关,治理IP用于在内部网治理netscreen防火墙。
E3: 外网端口
端口IP192.168.42.66和治理IP192.168.42.68
更改为当地电信所分配的IP地址,E3的治理IP用于外网治理者在INTERNET上配置和治理netscreen防火墙。
4、配置由内网到外网的NAT:
在E3端口上配置NAT,用于将内部网地址转换成当地电信所分配的公网IP地址,以便访问INTERNET信息。
1. Network > Interfaces > Edit(对于ethernet1):输入以下内容,然后单击OK:
Zone Name: Trust
IP Address/Netmask: 172.16.40.11/24(当地内部网网关IP)
2. Network > Interfaces > Edit(对于ethernet3):输入以下内容,然后单击OK:
Zone Name: Untrust
IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。
3. Network > Interfaces > Edit(对于ethernet3)> DIP > New:输入以下内容,然后单击OK:
ID: 6
IP Address Range
Start: 215.3.4.12(当地电信所分配的IP地址)
End: 215.3.4.210(当地电信所分配的IP地址,这是一个地址池,可大可小)
Port Translation: Enable
4. Policies > (From: Untrust, To: Trust) > New:输入以下内容,
然后单击OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Any
Service: Any
Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配置页:
NAT: On
DIP On:(选择) , 6 (215.3.4.12–215.3.4.210):上一步设的地址池。
5、配置由外网到内网的VIP:
在E3端口上配置VIP,可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器,邮件服务器或其他服务放到内网,而从外网只看到 一个公网IP,增加安全性。
1. Network > Interfaces > Edit(对于ethernet1):输入以下内容,然后单击Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24(当地内部网网关IP)
2. Network > Interfaces > Edit(对于ethernet3):输入以下内容,然后单击OK:
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24(当地电信所分配的IP地址)
VIP
3. Network > Interfaces > Edit(对于ethernet3)> VIP:输入以下地址,然后单击Add:
Virtual IP Address: 210.1.1.10(对外的服务器地址)
4. Network > Interfaces > Edit(对于ethernet3)> VIP > New VIP Service:输入以下内容,然后单击OK:
Virtual Port: 80
Map to Service: HTTP (80):(此例为WEB服务器的配置,假如是其他的服务器,就加入其服务与对应的端口号)
Map to IP: 10.1.1.10(此为服务器本身IP,内网IP)
策略
5. Policies > (From: Untrust, To: Global) > New:输入以下内容,然后单击OK:
Source Address:
Address Book:(选择), ANY
Destination Address:
Address Book:(选择), VIP(210.1.1.10):对外服务器地址
Service: HTTP(WEB服务器选项)
Action: Permit