NetScreen 常见问题解答.docVIP

NetScreen 常见问题解答 防火墙认证问: NetScreen防火墙总共可以支持多少个用户?答: 1500问: 在设置认证策略时,每次认证的生效时间?答: 缺省有效时间为10分钟,可以在防火墙管理界面下修改,其范围是2分---10000分问: 用户在使用象SMTP,FTP,TELNET协议时,怎样通过HTTP协议进行认证?答: 用户首先通过HTTP请求进行认证，系统管理员先配置一条策略允许HTTP协议，然后定义一条认证策略，一旦用户通过了HTTP认证，那末，他们可以通过相应的安全认证策略。服务IMAP服务是怎样通过防火墙的?IMAP也是一种邮件协议，它是用来代替POP3服务器的，它使用端口143来响应服务请求问: Netbios应用服务(SMB),使用NET USE命令定义网络驱动器，在做IP地址到Hostname的转换时出现错误，回:需要创建一个占用139端口的服务并允许这一服务通过防火墙。网络地址翻译问: 如果允许NAT方式，怎样设置内部网的网关?答: 内部网的机器的网关应指向防火墙TRUST端口的地址。问: 在地址转换方式下,怎样实现从内网到DMZ区及到外网的访问?答: 1 从内网到外网,防火墙首先检查目的地址及源地址和协议类型并判断是否允许该种访问,如果允许,防火墙将用UNTRUST IP替换源地址送出包。2 从内网到DMZ区,防火墙先检查安全规则是否允许该内网机器通过某一种服务访问DMZ区机器,如果允许,源地址将被DMZ Interface IP替换,然后,防火墙将把这一联接保存在内存的状态表里,然后把该数据包传到DMZ区的机器上.当DMZ区的机器返回包时,它的目的地址是DMZ Interface 的地址,当数据包到达防火墙的DMZ Interface时,防火墙检查它自己的TCP/IP状态连接表并找到对应的目的地址,然后把目的地址替换成内部网内的地址并把数据包送到正确的内部网机器上。问: NetScreen防火墙是否在做NAT前实施安全策略?答: 是的,NetScreen防火墙首先检查安全策略,并保存了所有的TCP/IP状态连接表,所以防火墙知道真正的内部IP管理问 NetScreen防火墙能进行远程管理吗?答 可以通过VPN实现远程安全管理防火墙。.?问 Netscreen如何处理时区问题,如果远程登录到Netscreen上,时间会怎样显示,如果选中Synchronize system clock with management client,Netscreen会怎样处理时钟?答: 如果选中Sync system clock with admin client,netscreen上的时钟会与本地时钟同步,如果进行远程管理时,最好不要执行同步时钟。隔离区.?问 怎样配置隔离区答: 在地址转换方式下(NAT),可以配置隔离区(DMZ),DMZ只支持单一子网,隔离区既可放置合法IP的主机,也可以放置具有私用IP的主机.如果放置具有合法IP的主机,则从外网可以直接路由到DMZ来访问;假如DMZ区放置私用IP地址同时该主机又需要被外网访问,需要做两件事:?(1)定义虚拟合法IP对应到内部的私用IP?(2)在INCOMING下定义一条策略允许到该虚拟IP的访问。.负载均衡问: Netscreen是否支持负载均衡?在哪一端?答: 是,Trust和DMZ区均支持负载均衡。虚拟私用网(VPN)问 VPN的延迟是怎样计算的?答 平均延迟为500毫秒,实际的延迟是根据包的大小和处理器的速率确定的,最小64 byte的包,最大到1518 byte的包的处理时间可以从10ms到2500ms,加上发送和接受的时间即是一个平均值。 在浏览器URL栏输入NetScreen的system IP地址无法进入NetScreen的图形化界面。分析：可能是输入的NetScreen的system IP不正确。如正确仍不能进入，可能是System IP与本主机IP地址不在同一网段上。 如在同一网段上仍不能进入，可能是设定了管理客户机IP，而AdminClientIP与本主机的IP地址不同，因此无法进入NetScreen的图形化界面。解决：通过超级终端串行控制口的命令行方式进入NetScreen，以：“NetScreen”为用户名和口令登录，输入命令：get system查看System IP与输入的System IP是否相同，如不相同，修改过来即可。 如仍不能进入，通过串行控制口的命令行方式进入NetScreen，以netscreen为用户名和口令登录 ， 输入命令：get config 查看是否设定了管理客户机IP Admin Cli