最新NETSCREEN防火墙配置.docxVIP

NetScreen 防火墙 配置指导书 NetScreen OS 5.0目录 TOC \o 1-5 \h \z NETSCREEN 的管理 3 访问方式 3 用户 6 日志 7 性能 8 其他常用维护命令 9 NETSCREEN 防火墙的规划和配置步骤 10 组网规划 10 IP地址分配 10 地址映射及策略 11 NETSCREEN防火墙步骤 12 防火墙的配置 13 配置机器名 13 双机基本配置 13 防火墙基本配置 16 配置虚拟路由器 16 配置区段 16 配置接口 17 配置路由 19 配置策略 20 配置含有MIP的策略 20 配置含有 DIP 的策略 25 配置普通的策略 31 双机的切换配置 34 NETSCREEN 防火墙定位工具 35 DEBUG 命令 35 SNOOP 命令 37 NETSCREEN 防火墙 FAQ 40 ALARM 灯的问题 40 如何检查双机的配置是否同步 40 防火墙的双机状态 41 配置文件的备份 41 NETSCREEN防火墙密码的恢复 42 什么时候使用SNOOP,什么时候使用 DEBUG FLOW ? 42 如何使用DEBUG FFILTER的逻辑与和逻辑或？ 42 附录 A 配置文件 42 附录 B 一些术语的说明 42 虚拟系统( VSYS) 42 虚拟路由器 (VR) 43 区段 (ZONE) 43 安全区段 43 Global 区段 43 通道区段 43 功能区段 44 接口 44 安全区段接口 44 功能区段接口 45 通道接口 45 接口工作模式 45 NAT 模式 45 路由模式 46 透明模式 46 地址转换 46 源网络地址转换 46 映射 IP地址（MIP ） 47 VIP 47 策略元素 48 策略元素 48 地址和地址组 48 服务和服务组 49 NetScreen 的管理 访问方式 NetScreen 防火墙支持多种的管理方式： WebUI 、 Telnet 、 console 、ssh 、 NetScreen 防火墙管理软件等。常用的有 console 、WebUI 和 Telnet 。 Console 是通过直接的串口线连接防火墙， 对防火墙进行管理和配置； telnet 是通过终端 WebUI是通过 WebUI是通过IE或 注意：如果要通过 注意：如果要通过telnet或WebUI登录和管理防火墙， 所登录的防火墙的接口需要打 Netscape Commu nicator 登录到防火墙的可管理地址，对防火墙进行管理和配置。 通过串口直接登录到防火墙时，超级终端的端口配置如下: 串行通讯9600bps 8 位 无奇偶校验 1停止位 无信息流控制 Tel net或con sole登录后的命令行界面如下: WebUI登录的界面如下:  开telnet或WebUI的功能；如果防火墙的接口配置了管理 IP，一般只能对接口的管理IP进 行teln et或WebUI，而不能直接对接口 IP地址进行tel net或WebUI（版本不支持）。 用命令行的方式检查接口是否打开 telnet或WebUI功能的方式： SN-NS500-FW1(M)- get in terface e1/1 In terface ethernet1/1(VSI): number 12, if_info 98400, if_index 0, mode route link up, phy-l ink up/full-duplex vsys Root, zone Trust, vr trust-vr, vsd 0 ip 0/29 mac 0010.dbff.20c0 ma nage ip 1 , mac 0010.db7e.f00c route-de ny disable pi ng en abled, tel net en abled , SSH en abled, SNMP en abled web en abled , ide nt-reset disabled, SSL en abled webauth disabled, webauth-ip OSPF disabled BGP disabled RIP disabled ban dwidth: physical 100000kbps, con figured 0kbps, curre nt 0kbps total con figured gbw 0kbps, total allocated gbw 0