Netscreen防火墙是一种高性能的硬件防火墙,与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密,因此速度比其它防火墙要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙,对于大部份的应用Netscreen防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,对于FTP或H322等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。
Netscreen防火墙有三大功能:
1、 防火墙
2、VPN
3、 流量分配和负载均衡
现今NetScreen公司已经被Juniper公司收购。
NetScreen资料:204配置手册
NetScreen系列产品,是应用非常广泛的NAT设备。NetScreen-204就是其中的一种。
NetScreen-204是个长方形的黑匣子,其正面面板上有四个接口。左边一个是DB25串口,右边三个是以太网网口,从左向右依次为Trust
Interface、DMZ Interface、Untrust Interface。其中Trust
Interface相当于HUB口,下行连接内部网络设备。Untrust
Interface相当于主机口,上行连接上公网的路由器等外部网关设备;两端口速率自适应(10M/100M)。
配置前的准备
PC机通过直通网线与Trust
Interface相连,用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0,用户名和密码都为netscreen ;
登录成功后修改System
的IP和掩码,建议修改成与内部网段同网段,也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok,设备会重启;
把PC的地址改为与设备新的地址同网段,重新登录,即可进行配置
也可通过串口登录,在超级终端上通过命令行修改System IP
数据配置
数据配置包括三部分内容:Policy、Interface、Route Table。
配置Policy
用IE登陆NetScreen,在配置界面上,依次点击左边竖列中的Network–〉Policy,然
后选中Outgoing。如系统原有的与此不同,可点击表中最后一列的Remove来删除掉,然后点击左下角的New
Policy, 重新设置。
配置Interface
在配置界面上,依次点击左边竖列中的Configure–〉Interface选项,则显示如下所示的配置界面,其中主要是配置Trust
Interface、Untrust Interface,必要时修改System IP。
在 Interface配置图当中;
说明:
Trust Interface下面的Inside
IP,即指端口本身的IP。因为该端口是设备用以与局域网内部相连的,所以就相当于是设备对内的端口,故此把该端口的IP
就叫做设备的Inside IP。同理,Untrust Interface下面的Outside
IP也是指该端口的IP ,因为该端口是面向局域网外部的;Trust Interface下面的Default
Gateway,指局域网内部与Trust
Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default
Gateway是指外出上公网的网关地址(即NAT的下一跳),本例中指与NAT相连的路由器的接口地址
在接口的配置选项中,Traffic
Bandwidth选项是对该端口传输带宽的描述,不用设置。因为两端口都是自适应的,会根据所连对端端口的带宽而自动调整。
在Enable的选项中,Trust Interface端口按照缺省的选择即可。而Untrust
Interface因为面对公网,为安全起见,应当把ping、telnet等性能屏蔽掉,
不要选择。只有当有必要进行远程维护时,才把telnet选中。
对于System IP,当第一次登录后把它修改为与Trust Interface或Untrust
Interface的IP 在同一网段,则用户就只能从Trust Interface或Untrust
Interface登录。为了实现从两个端口都可登陆,以便管理,需要在上述界面上把System IP
的值改为0.0.0.0
Untrust Interface和Trust
Interface配置内容完全一样,上面的例图由于是用PrtSc屏拷下来的,不能把Untrust Interface的配置内容拷全,特此说明。
配置Route Table
在配置界面上,依次点击左边竖列中的Configure –〉Route
Table选项,则显示图5所示界面。
系统要正常运行,在NAT内部有两条路由是必不可少的,一条是去内部网段下面的用户网段的
路由,其网关是与NAT相连的接口的地址。该路由为:10.10.0.0 255.255.0.0
10.100.0.1 Trust ;另一条是去外部公网的缺省路由,其网关是与NAT
相连的外部路由器的接口地址。该路由为: 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。
从路由表中可以看出,后一条路由是系统缺省自动生成的,所以只需手工添加的第一条路由。点击界面左下角的New
Entry创建新的路由。对于已生成的路由,可以通过点击Edit、Remove进行修改或删除。
至此,所有配置全部完成。
