1、netscreen防火墻簡單配置實例對照兩個文檔，可以實現簡單配置netscreen防火墻。netscreen-100防火墻的基本配置流程netscreen系列產品，是應用非常廣泛的nat設備。netscreen 100就是其中的一種。 netscreen-100是個2方形的黑匣子，其正面面板上有四個接口。左邊一個是db25串口， 右邊三個是以太網網口，從左向右依次為trust interfacedmz interfaceuntrust interfaceo 其中trust interface相當于hub 口,下行連接內部網絡設備。untrust interface相當于主機 口，上行連接上公

2、網的鯉遷等外部網關設備；兩端口速率口適應(10m/100m) o dmz interface介紹從略。配置前的準備1. pc機通過直通網線與trust interface相連，用ie登錄設備主頁。設備缺省ip為 /,用戶名和密碼都為 netscreen ；2. 登錄成功后修改system的ip和掩碼，建議修改成與內部網段同網段，也可直接使用分 配給trust interface的地址。修改完畢點擊ok,設備會重啟；3. 把pc的地址改為與設備新的地址同網段，重新登錄，即可進行配置4. 也可通過串口登錄，在超級終端上通過命令行修改system ip

3、數據配置數據配置包括三部分內容：policy、interfaceroute tableo1. 配置 policy用ie登陸netscreen,在配置界面上，依次點擊左邊豎列中的network-) policy,然 后選 中outgoingo如系統原有的與此不同，可點擊表中最后一列的remove來刪除掉，然后點擊 左下角的new policy,重新設置。2. 配置 interface在配置界面上，依次點擊左邊豎列中的configure-) interface選項，則顯示如下所示的配置 界面，其中主要是配置trust interface> untrust interface,必要時修改sys

4、tem ipo在interface配置圖當中；說明：1. trust interface f面的inside ip,即指端口本身的ip。因為該端口是設備用以與局域網內 部相連的，所以就相當于是設備對內的端口，故此把該端口的ip就叫做設備的inside ipo 同理,untrust interface下面的outside ip也是指該端口的ip ,因為該端口是面向局域網夕卜 部的；trust interface卜面的default gateway,指局域網內部與trust interace相連的設備的 接口的地址。在本例中即是上行口的地址。untrust interface下面的default

5、gateway是指外 出上公網的網關地址（即nat的下一跳），本例中指與nat相連的路由器的接口地址2. 在接口的配置選項中，traffic bandwidth選項是對該端口傳輸帶寬的描述，不用設置。 因為兩端口都是自適應的，會根據所連對端端口的帶寬而口動調整。3. 在enable的選項中，trust interface端口按照缺省的選擇即可。而untrust interface因為 面對公網，為安全起見，應當把ping、telnet等性能屏蔽掉，不要選擇。只有當有必要進行 遠程維護時，才把telnet選中。4. 對于system ip,當第一次登錄后把它修改為與trust interface

6、或untrust interface的ip在 同一網段，則用八就只能從trust interface或untrust interface登錄。為了實現從兩個端口都 可登陸，以便管理，需要在上述界面上把system ip的值改為5. untrust interface和trust interface配置內容完全一樣，上面的例圖由于是用prtsc屏拷下 來的，不能把untrust interface的配置內容拷全，特此說明。3. 配置 route table在配置界面上，依次點擊左邊豎列中的configure -） route table選項，則顯示圖5所示界 面。系統要正常運行，在

7、nat內部有兩條路由是必不可少的，一條是去內部網段下面的用戶網 段的 路由，其網關是與nat相連的接口的地址。該路由為：100.0.0 1000.0.1 trust ；另一條是去外部公網的缺省路由，其網關是與nat相連的外部路rfl器的接口地址。 該路由為： 93 untrust-從路rti表中可以看出，后一條路rti是系統缺省自動生成的，所以只需手工添加的第一條路rti。 點擊界面左下角的new entry創建新的路由。對于已生成的路由，可以通過點擊edit>remove 進行修改或刪除。至此，所有配置全部完成。

8、netscreen配置文檔1、進入字符配置界面：用隨機帶的console線，一頭接計算機串口，一頭接e1端口，在計算機上打開超級終 端進行配置，用戶名，密碼都是netscreen«2、進入web配置界面：用交叉網線連接el和計算機的網主，將計算機ip改成 （與e1端口在同一網 段）。打開ie瀏覽器輸入http:/l1 （1為e1端口管理ip）,用戶名， 密碼都是netscreeno3、配置端口 ip和管理ip：el：內部網端口端口 ip0 和管理 ip1更改為當地內部網的ip地

9、址,e1的端口 ip設為當地內部網網關，管理ip用于在內部網管 理netscreen防火墻。e3:外網端口端口 ip6 和管理 ipi8更改為當地電信所分配的ip地址，e3的管理ip用于外網管理者在internet上配置和 管理netscreen防火墻。4、配置由內網到外網的nat：在e3端口上配置nat,用于將內部網地址轉換成當地電信所分配的公網ip地址，以便訪 問internet信息。1. network > interfaces > edit （對于 ethemetl）:輸入以下內容,然后單擊 ok：zone na

10、me: trustip address/netmask: 1/24 （當地內部網網關 ip）2. network > interfaces > edit （對于 ethemet3）:輸入以下內容,然后單擊 ok：zone name: un trustip address/netmask: 1/24（當地電信所分配的 ip 地址）。3. network > interfaces > edit （對于 ethernet3） > dip > new：輸入以下內容，然 后單擊ok

11、：id: 6ip address rangestart: 2 （當地電信所分配的ip地址）end: 10 （當地電信所分配的ip地址，這是一個地址池，可大可小）port translation: enable4. policies > （from: untrust, to: trust） > new：輸入以下內容，然后單擊ok：source address:address book:（選擇），anydestination address:address book:（選擇），anyservice: anyaction: permit

12、> advanced:輸入以下內容，然后單擊return,設置高級選項并返回基本配置頁：nat: ondipon:（選擇）,6 （2-10）：上一步設的地址池。5、配置由外網到內網的vip：在e3端口上配置vip,可將一個外網ip和端口號對應到一個內網ip。通過這種方法可以將 web服務器,郵件服務器或其他服務放到內網，而從外網只看到一個公網ip,增加安全性。1. network > interfaces > edit （對于 ethernetl ）:輸入以下內容,然后單擊 apply：zone name: trus

13、tip address/netmask: /24 （當地內部網網關 ip）2. network > interfaces > edit （對于 ethernet3）:輸入以下內容,然后單擊 ok：zone name: untrustip address/netmask: /24 （當地電信所分配的 ip 地址）vip3. network > interfaces > edit（對于 ethernet3） > vip：輸入以下地址,然后單擊 add： virtual ip address: 0 （對外的服務器地址）4. network > interfaces > edit （對于 ethernet3） > vip > new vip service：輸入以 下內容，然后單擊ok：virtual port: 80map to service: http （80）：（此例為web服務器的配置，如果是其他的服務器，就加入其 服務與對應的端口號）map to ip: 0 （此為服務器本身ip,內網