Netscreen防火墙的简单配置.docVIP

Netscreen防火墙的简单配置 阅览次数: 今天:0 总浏览:19 文章来源: 网络用户 原文作者: 不详 整理日期: 2006-10-05 发表评论 字体大小: 小 中 大 1、进入字符配置界面：?用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是NETSCREEN。 2、进入WEB配置界面：用交叉网线连接E1和计算机的网卡，将计算机IP改成（与E1端口在同一网段）。打开IE浏览器输入http: /1（1为E1端口管理IP），用户名，密码都是NETSCREEN。 3、配置端口IP和管理IP：E1：内部网端口端口IP0和管理IP1更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理NETSCREEN防火墙。 E3:?外网端口端口IP6和管理IP8更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理NETSCREEN防火墙。 4、配置由内网到外网的NAT：?在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。 1.?Network? ?Interfaces? ?Edit（对于ethernet1）：输入以下内容，然后单击OK：Zone?Name:?TrustIP?Address/Netmask:?1/24（当地内部网网关IP） 2.?Network? ?Interfaces? ?Edit（对于ethernet3）：输入以下内容，然后单击OK：Zone?Name:?UntrustIP?Address/Netmask:?1/24 当地电信所分配的IP地址 。 3.?Network? ?Interfaces? ?Edit（对于ethernet3） ?DIP? ?New：输入以下内容，然后单击OK：ID:?6IP?Address?RangeStart:?2（当地电信所分配的IP地址）End:?10（当地电信所分配的IP地址，这是一个地址池，可大可小）Port?Translation:?Enable 4.?Policies? ? From:?Untrust,?To:?Trust ? ?New：输入以下内容，然后单击OK：Source?Address:Address?Book:?（选择）?,?AnyDestination?Address:Address?Book:?（选择）?,?AnyService:?AnyAction:?Permit ?Advanced:?输入以下内容，然后单击Return，设置高级选项并返回基本配置页：NAT:?OnDIP?On:（选择）?,?6? 2–10 ：上一步设的地址池。 5、配置由外网到内网的VIP：在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。 1.?Network? ?Interfaces? ?Edit（对于ethernet1）：输入以下内容，然后单击Apply：Zone?Name:?TrustIP?Address/Netmask:?/24（当地内部网网关IP） 2.?Network? ?Interfaces? ?Edit（对于ethernet3）：输入以下内容，然后单击OK：Zone?Name:?UntrustIP?Address/Netmask:?/24（当地电信所分配的IP地址） VIP3.?Network? ?Interfaces? ?Edit（对于ethernet3） ?VIP：输入以下地址，然后单击Add：Virtual?IP?Address:?0（对外的服务器地址） 4.?Network? ?Interfaces? ?Edit（对于ethernet3） ?VIP? ?New?VIP?Service：输入以下内容，然后单击OK：Virtual?Port:?80Map?to?Service:?HTTP? 80 ：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）Map?to?IP:?0（此为服务器本身IP，内网IP） 策略5.?Policies? ? From:?Untrust,?To:?Global ? ?New：输入以下内容，然后单击OK：Source?Address:Address?Book:（选择）,?ANYDestination?Address:Address?Bo