NETSCREEN防火墙快速配置文档(范例篇).doc

NETSCREEN防火墙快速配置文档（范例篇） Web 用户界面 为了便于管理，您可使用Web 用户界面(WebUI)。NetScreen 设备使用Web 技术，该技术提供了配置和管理软件的Web 服务器界面。 要使用WebUI，必须具备以下条件： ? Netscape Communicator （版本4.7 或更高版本）或Microsoft Internet Explorer （版本5.5 或更高版本） ? TCP/IP 网络连接到NetScreen 设备 WebUI 导航级别图 下图列出了WebUI 中最高的三个导航级别。根据ScreenOS 功能的不同需要，可设定其它级别。 ? Level 1 包含菜单栏中可见的选项。 ? Level 2 包含Level 1 中菜单项目的更具体的选项。 ? Level 3 包含Level 2 中某些选项的更具体的选项。 命令行界面 高级管理员可通过使用命令行界面(CLI) 进行更好的控制。要为NetScreen 设备配置CLI，可使用任何仿真VT100 终端的软件。如果使用终端机仿真器，可使用Windows、UNIX? 或Macintosh? 操作系统中的控制台配置NetScreen 设备。要通过CLI 进行远程管理，可使用Telnet 或“安全命令外壳”(SCS)。要通过控制台端口进行直接连接，可使用“Hyperterminal?”。 Telnet Telnet 是一个登录及终端仿真协议，该协议使用客户端/ 服务器关系连接到TCP/IP 网络上的网络设备并进行远程配置。管理员在管理工作站上运行Telnet 客户端程序并与NetScreen 设备上Telnet 服务器程序创建连接。登录后，管理员可发出CLI 命令，将其发送到NetScreen 设备上的Telnet 程序，对设备进行有效的配置，好像通过直接连接运行一样。使用Telnet 管理NetScreen 设备需要以下条件： ? 管理工作站上有Telnet 软件 ? “以太网”连接到NetScreen 设备 可通过在虚拟专用网(VPN) 通道中封装Telnet 流量或通过将其与网络用户流量完全分离来保障它的安全。可通过MGT 接口或将一个接口（例如， DMZ）完全专用于管理流量来运行所有的管理流量，具体取决于NetScreen 设备型号。 注意：有关ScreenOS CLI 命令的完整列表，请参阅NetScreen CLI Reference Guide。 范例：绑定接口 在本例中，将ethernet5 绑定到Trust区段。 WebUI Network Interfaces Edit（对于ethernet5）：从Zone Name 下拉列表中选择Trust，然后单击OK。 CLI 1. set interface ethernet5 zone trust 2. save 范例：编址接口 在本例中，将给ethernet5 分配IP 地址/24、“管理IP”地址。（请注意，“管理IP”地址必须与安全区段接口IP 地址在相同的子网中。）最后，将接口模式设置为NAT，将所有内部IP 地址转换至绑定到其它安全区段的缺省接口。 WebUI Network Interfaces Edit（对于ethernet5）：输入以下内容，然后单击OK： IP Address/Netmask: /24 Manage IP: CLI 1. set interface ethernet5 ip /24 2. set interface ethernet5 manage-ip 3. save 范例：解除接口绑定 在本例中，ethernet3 的IP 地址为/24 并且被绑定到Untrust 区段。将其IP 地址和网络掩码设置为/0并将其绑定到Null 区段。 WebUI Network Interfaces Edit（对于ethernet3）：输入以下内容，然后单击OK： Zone: Null IP Address/Netmask: /0 CLI 1. set interface ethernet3 ip /0 2. set interface ethernet3 zone null 3. save 范例：修改接口上的设置 在本例中，对ethernet5 进行一些修改，它是一个绑定到Trust 区段的接口。将“管理IP”地址从 更改为2。为了确保管理信息流的绝对安全，还更改了管理服务选项，启用SCS 和SSL 并禁用Telnet 和WebUI。 WebUI Network Interfaces Edit（对于ethernet5）：进行以下修改，然后单击OK： Manage IP: 2 Management Services:（选择）SCS, S