NetScreen操作手册.doc

NetScreen操作手册 (ScreenOS 4.0)广州市新科新信息技术有限公司2019年11月18日目录1概念与简介31.1Universal Security Gateway Architecture(通用安全网关架构)31.1.1Multiple Security Zones(多安全区域)31.1.2Security Zone Interfaces(安全区域端口)31.1.3Virtual Routers(虚拟路由器)31.1.4Access Policies(访问策略)41.1.5VPNs（虚拟专用网络）41.1.6Virtual Systems(虚拟系统)41.1.7Packet Flow Sequence(数据包处理过程)41.2Zones(区域)51.2.1Security Zones(安全区域)51.2.2Tunnel Zones(隧道区域)51.2.3Function Zones(功能区域)51.3Interfaces(端口)71.3.1Interfaces Types(端口类型)71.3.2Interfaces Settings And Operation Modes(端口设置和运行模式)71.3.3Secondary IP Addresses(第二IP地址)81.3.4Management Services Options(管理服务选项)81.3.5Interface Services Options(端口服务选项)81.3.6Firewall Options(防火墙选项)81.4Administration（管理）91.4.1Management Methods and Tools（管理方法和工具）91.4.2Levels of Administration（管理权限等级）92基本管理122.1通讯连接的设置122.2Web管理连接设置142.3防火墙基本设置172.3.1设置访问超时时间172.3.2设置管理员182.3.3设置DNS202.3.4设置Zone（安全区域）212.3.5设置Interface(接口)222.3.6设置router(路由)252.3.7设置policy（策略）272.3.8保存配置及配置文件313透明模式333.1设置管理端口333.2设置透明模式343.3其他相关命令344NAT模式及Route模式354.1NAT模式354.1.1基于端口的NAT364.1.2基于策略的NAT374.2Route模式394.3MIP和VIP394.3.1MIP394.3.2VIP424.4DIP（虚拟IP）445VPN(虚拟专用网络)465.1Manual Key465.1.1配置Manual Key465.1.2配置路由475.1.3配置Policy475.2AutoKey IKE495.2.1Policy-based IKE495.2.2Route-based IKE515.3VPN TroubleShooting（VPN 错误检测）526常见问题及解决方案536.1透明模式536.1.1配置管理问题536.1.2连接问题536.2NAT和Route模式556.2.1配置管理问题556.2.2连接问题551 概念与简介1.1 Universal Security Gateway Architecture(通用安全网关架构)NetScreen Screen OS 4.0 引入了Universal Security Gateway Architecture(通用安全网关架构)，这个架构使得用户在实施网络安全策略时更具灵活性。在多端口的NetScreen设备中，用户可以建立不同Zone(安全区域)，并将端口绑定在不同的安全区域，在端口之间建立相应的安全策略。1.1.1 Multiple Security Zones(多安全区域)安全区域是一个或多个需要对进出数据进行策略控制的网络。用户可以根据自己的需要来定义安全区域，也可以利用预定义的安全区域：Trust、Untrust、DMZ(与之前的ScreenOS兼容)，安全区域之间的访问只有策略允许下才能进行。1.1.2 Security Zone Interfaces(安全区域端口)安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。端口有两种：l Physical Interfaces(物理端口)：由端口的物理位置定义，如ethernet1、ethernet2(固定端口)、ethernet2/1、ethernet2/2 (端口模块)l Subinterfaces(子端口)：在支持Virtual System(虚拟系统)的设备上，用户可以将一个物理端口分成几个虚拟子端口，如ethernet1.1、ethernet1.2(固定端口)、ethernet2/1.1、ethernet2/1.2 (端口模块)。1.1.3 Virtual Routers(虚拟路由器)虚拟路由器和路由器的功能是一样的，它有自己的端口和路由表。在USGA，NetScreen设备支持两个虚拟路由器，这样设备可以维护两个独立的路由表，互相隐藏路由信息。1.1.4 Access Policies(访问策略)每次有数据包尝试通过另一个安全区域时，NetScreen设备就会检查访问策略，如果有允许的策略的话，就会让数据包通过，否则就会拒绝通过。1.1.5 VPNs（虚拟专用网络）所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。l 通过VPNC测试，与其他通过IPSec认证的厂家设备兼容。l 三倍DES，DES和AES加密使用数字证书（PKIX.509）,自动的或手动的IKE。l SHA1和MD5认证l 同时支持网状式（mesh）及集中型（hub and spoke）的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。NetScreen设备支持多种VPN的选项，具体见VPN章节。1.1.6 Virtual Systems(虚拟系统)高端的NetScreen设备（NS-500以上）支持虚拟系统，每个虚拟系统都有独立的地址簿、策略和管理功能，相当独立的安全系统。虚拟系统与802.1q VLAN标记相结合，把安全区域延伸到整个交换网络中。1.1.7 Packet Flow Sequence(数据包处理过程)当数据包从外部进入Netscreen设备时，首先是进入外部的接口，判断目的地址是否需要MIP或VIP转换，如果需要按照设定来转换，然后根据查找路由表上是否有路由，如果有查找策略中是否允许数据包进入，当查找到第一条与目的地址有关系的策略时，就根据策略决定是否允许数据包按照路由表的指定来传递，如果允许就传递到目的的地址。1.2 Zones(区域) Zone是一个可以应用安全措施虚拟网络空间(security zone)，一个能够被VPN隧道端口绑定的逻辑片断（tunnel zone），或者是一个能够履行一个特殊的功能的物理或逻辑实体（function zone）。1.2.1 Security Zones(安全区域)在单一的一个Netscreen设备上，你能够配置多个安全区域，把网络分解成多个能应用各种不同的安全策略的部分，以满足每一个部分不同的需要。最低限度，你必须定义两个 Security Zone，去建立一个网络中的区域到另外的区域的基本保护。你也可以定义许多的Security Zone，可以给你的安全设计带来很好的功能不再需要为此再应该多种的安全工具了。1.2.2 Tunnel Zones(隧道区域)Tunnel Zone 是主管一个或多个隧道接口的逻辑部分。它被Security Zone联合起来作为行动的载体。Netscreen设备用路由信息为载体区域指导通向隧道终点的流量。默认的Tunnel Zone是UntrustTun，它是关联Unstrust Zone的。你可以创建其他的Tunnel Zone，并用在虚拟系统的载体区域中，对一个Tunnel Zone可以用的最大数目来绑定到其他的Security Zone。1.2.3 Function Zones(功能区域)一共有四个Function Zone分别是Null，MGT，HA和Self。每个Zone都为了一个单一的功能而设立的。l Null Zone（空区域）：这个区域是一个为了还没有绑定到其他的区域的端口做临时存放的区域。l MGT Zone（外带宽管理区域）：这个区域主要包括了对外带宽管理端口。包括MGT。l HA Zone（高可用性区域）：这个区域主要包括了高可用性的端口。包括HA1和HA2。l Self Zone（远程管理区域）：这个区域主要包括用于远程管理连接的端口。当你通过Http，SCS或Telnet连接到Netscreen上面的时候，你就是连接到这个区域。1.3 Interfaces(端口)创建玩一个区域，下一步就是创建一个端口。你必须创建一个端口，并把它绑定到一个区域，和指定允许流量流进或流出这个区域。然后，你必须设置路由和配置访问策略以允许流量从一个端口到另一个端口。物理端口和子端口，就像一个门口，允许流量流进和流出一个区域。你可以指派多个端口给一个区域，但是一个端口只能被指派给一个区域。1.3.1 Interfaces Types(端口类型)端口类型一共有三种，分别是物理端口（Physical Interface），子端口（Subinterface）和隧道端口（Tunnel Interface）。1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式)端口可以被配置成为三种不同的模式：网络地址转换模式（NAT Mode），路由模式（Route Mode）和透明模式（Transparent Mode）。当你配置端口的时候，你可以选择其中的一种模式。l Transparent Mode（透明模式）：当端口是处于透明模式下的时候，Netscreen过滤穿过防火墙的包时是不会改变在IP包头的原地址和目的地址的信息的。所有的端口就像存在于同一个网络中，而Netscreen就像一个二层的交换机或路桥。在透明模式下，端口的IP地址要设为，使得Netscreen就好像不存在，或者说是对于用户来说是“透明”的。l Network address translation Mode(网络地址转换模式)：当端口是处于NAT模式下的时候，Netscreen就像是一台3层的交换机或路由器，能够转换穿过防火墙出去的IP包头的两个组成部分：源IP地址和源端口号。Netscreen会把源地址转换为包需要传送到的目的区域的端口IP地址。而且它也会把源端口号转换为另一个由Netscreen自己产生的随机号。l Route Mode（路由模式）：当端口是处在路由模式下的时候，Netscreen会路由数据包而不执行网络地址转换，就是说，当经过Netscreen的时候，数据包头的源地址和源端口号都不会被转换。不像NAT模式，你不需要在端口建立MIP或者VIP地址，路由模式可以允许进入的会话到达主机。也不像透明模式，在Trust Zone中的端口和在Untrust Zone中的端口是处于不同的子网。1.3.3 Secondary IP Addresses(第二IP地址)每一个Netscreen的端口都有一个单一的，独一无二的主IP地址。然而，在一些环境下却需要端口要有多个IP地址。例如，一个组织可能会有另外的IP地址分配，而且可能并不希望加一些路由去配置它们。特别是当一个组织有许多的网络设备以至于超过他们的子网可以控制的范围，就是说超过254台主机连接到一个子网上。为了解决这些问题，你就需要增加第二IP地址到在Trust Zone，DMZ Zone或用户定义的Zone中的端口上。1.3.4 Management Services Options(管理服务选项)你可以配置端口来应用不同的管理方法。例如，你可以应用本地管理在一个端口，而应用远程管理在另一个端口。你也可以把一个端口专门用作管理端口，这样可以把管理流量和用户流量完全区分开。你可以选择以下一种或多种管理服务：WebUI，Telnet，SNMP，SCS，SSL。1.3.5 Interface Services Options(端口服务选项)这些服务会影响你的Netscreen的表现，你可以从中选择需要的来配置你的网络。你可以选择以下一种或多种端口服务：Ping, Ident-reset, DHCP Relay Agent, Enable DHCP Relay VPN Encryption。1.3.6 Firewall Options(防火墙选项)Netscreen防火墙通过检测去保护一个区域，然后允许或禁止所有企图穿过端口的连接。为了保护其他区域的反攻击，你能够启动一些防御工具去侦察或转移通常的网络进攻。具体工具请参考不同版本的Netscreen文档。1.4 Administration（管理） 这章描述了不同的管理方法和工具，保护管理流量的方法和你可以付给管理者的管理权限等级。1.4.1 Management Methods and Tools（管理方法和工具）WebUI（Web管理界面）：为了灵活方便的管理，你可以用Web管理界面。Netscreen用Web技术提供了一个WebServer的管理界面去配置和管理软件。l Http：用一个标准的网页浏览器，你就可以运用HTTP远程访问，检视，控制你的网络配置。l Secure Sockets Layer：SSL是一整套能够提供安全连接的协议，用于一个基于TCP/IP的网络中网页客户端和服务器的通信。Netscreen的Web管理能够提供这方面的安全协议。CLI（命令行界面）：高级管理人员能够运用命令行界面来进行更好的控制。为了用CLI来配置Netscreen，你可以用一些软件去仿效VT100终端。你可以用基于Windows，Unix和Macintosh的控制台，又或者是Telnet或Secure Command Shell（SCS）。1.4.2 Levels of Administration（管理权限等级）Netscreen支持多个管理员。当管理员作出了对系统配置的更改时，系统会记录一下的信息入日志：l 更改的管理员姓名l 更改的来源的IP地址l 更改的时间管理权限的具体设置，请参考2.3.6设置管理员这章。有不同等级的管理员，每个等级的权限由Netscreen来设定。Root Administrator（主管理员）主管理员有全部所有的管理权限。每台Netscreen设备只有一个主管理员。主管理员有一下的权限：l 管理整个Netscreen系统l 增加，删除和管理所有的其他管理者l 建立和管理virtual system（虚拟系统），分配物理端口和逻辑端口给它们l 增加，删除和管理virtual router（虚拟路由）l 增加，删除和管理security zone（安全区域）l 分配端口到安全区域Read/Write Administrator（读/写管理员）读/写管理员拥有和主管理员一样的权限，除了增加，删除和管理其他的管理者这一条。Read-Only Administrator（只读管理员）只读管理员在WebUI上只有看的权利，而在CLI上只有get和ping这两条系统命令的权限。只读管理员的权限如下：l 只读权限在CLI上，可以运行下面四条命令：enter，exit，get和pingl 在虚拟系统中也只有只读的权限VSYS Administrator（虚拟系统管理员）虚拟系统管理员能够配置Netscreen系统以支持虚拟系统。每一个虚拟系统都是一个独立的安全域，在一个虚拟系统中的管理权限都只是针对这一个虚拟系统的。虚拟系统管理员能够通过WebUI或者CLI来独立管理虚拟系统。在每一个虚拟系统上，虚拟系统管理员都有一下的权限：l 创建，修改用户l 创建，修改服务l 创建，修改访问策略l 创建，修改地址l 创建，修改VPNl 创建虚拟系统管理员的登录密码l 创建，管理安全区域VSYS Read/Only Administrator（虚拟系统只读管理员）虚拟系统只读管理员在WebUI上只有看的权利，而在CLI上只可以执行enter，exit，get和ping的指令。Adding Admin Users（增加管理员）主管理员是唯一一个可以创建，删除和修改管理员的。l WebUI：进入AdminAdminNew Local Administrator ，然后填入name（名称），password（密码）两次和选择Privileges（权限），最后按OK。l CLI：输入命令 所set admin user name password password privileges privileges 斜体部分为需要设置部分。2 基本管理NetScreen防火墙支持多种管理方式：WEB管理，CLI (Telnet) 管理，NetScreen Global Pro/ Express管理，SNMP管理和第三方的集成管理。本操作手册仅介绍CLI和WEB管理界面及基本操作；所有例子都以NetScreen-5XT为例。 NetScreen-5XT端口示意图2.1 通讯连接的设置通讯连接的初始化设置：CONSOLE口的设置使用CONSOLE口进行配置 1 把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。2 打开WINDOWS的附件-通讯-超级终端 ，选择插有CONSOLE线的串口连接。然后配置如图：选择连接所用的串行口设置串口属性：9600-8-无-硬件3 按回车4 出现提示符号后输入帐号密码进入设置命令行界面默认帐号：Netscreen；密码Netscreen5 进入Netscreen命令行管理界面2.2 Web管理连接设置设置流程：1) 设置接口IP；2) 启动接口的web管理功能；3) 连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置；1设置接口IPn 若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口；在命令行模式下输入：ns5XTset int trust ip A.B.C.D/E命令说明： A.B.C.D为IP地址，通常设置为一个内网地址，E 为IP地址的掩码位，通常设为24。此时通过get interface命令可以看到端口状态的改变：可以看到trust端口已经配置了IP为/24，即端口已经拥有IP，可以进行网络连接了。2.启动接口的web管理功能：接口管理IP配置完成后，启动接口的web管理功能；ns5XTset int trust manage web3.连通PC与防火墙间的网络，通过浏览器进入防火墙的web图形管理界面建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；打开浏览器，键入防火墙的管理IP，打开登陆画面；输入帐号密码后进入web管理界面2.3 防火墙基本设置2.3.1 设置访问超时时间Web:在Web中的ConfigurationAdminManagement中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数，并在前面打勾。CLI:NS5XTset admin auth timeout minute2.3.2 设置管理员对于Netscreen的管理权限，可以参考1.4.2管理权限等级这章的描述。以下只描述Root管理员的配置方法，其他管理员配置方法类似。进入ConfigurationAdminAdministrators ，在这里可以管理所有的管理员。1. 设置超级管理员(Root)WEB：点击超级管理员（超级管理员的权限为root，默认名为netscreen）的option项中的Edit链接，打开管理员设置页面。更改管理员登录名和密码，点击ok按钮完成设置。CLI：NS5XTset admin name login nameNS5XTset admin password password2. 添加本地管理员WEB：点击New链接，打开配置页。输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。点击ok按钮完成设置。CLI：NS5XTset admin user login name password password privilege all|read-only2.3.3 设置DNSWeb：打开NetworkDNS页面，可配置Host Name（主机名），Domain Name（域名），Primary DNS Server（主名称服务器），Second DNS Server（次名称服务器），还有DNS每天更新的时间。配置完后按Apply按键实施。CLI：NS5XTset hostname HostName NS5XTset domain DominNameNS5XTset DNS host dns1|dns2 a.b.c.d2.3.4 设置Zone（安全区域）Web：打开NetworkZones页面，可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置，有许多默认的Zone是不允许配置的，在Configure中不会出现Edit)。按New按键可以新增一个Zone。CLI：NS5XTset zone zone name vrouter vrouter name 2.3.5 设置Interface(接口)WEB：打开NetworkInterfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口）。点击对应接口Configure列中的Edit链接，打开接口配置窗口。（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）Zone name: 设置从属的安全区域；IP Address/Netmask：设置接口的IP和掩码；Manage IP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为，则该Manage IP默认为接口IP。Interface Mode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT（具体操作请参阅本文档NAT一节）功能，请将trust接口设置成此模式。Management Services：选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。设置完成后点击Apply按钮记录设置。CLI：设置接口IP：NS5XTset interface trust|untrust|dmz ip a.b.c.d netmask设置接口网关：NS5XTset interface trust|untrust|dmz gateway a.b.c.d启动接口的管理功能：NS5XTset interface trust|untrust|dmz manage web|telnet|snmp|ssl关闭接口的管理功能：NS5XTunset interface trust|untrust|dmz manage web|telnet|snmp|ssl设置Trust接口工作模式：NS5XTset interface trust nat|route2.3.6 设置router(路由)打开NetworkRoutingRouting Table页面，可以看到本防火墙所有的路由，并可以在List route entries for下选择不同的虚拟路由器下的路由列表。（关于虚拟路由器的概念，请参考1.1.3虚拟路由器章节）1. 添加路由WEB：在右上角选择需要添加路由的虚拟路由器，然后按New按键，进入新增路由页面。添加目标网络号（Network Address），掩码（Netmask），网关地址（Gateway IP Address）和使用的网络接口（Interface）。CLI：NS5XTset route network address netmask interface interface name gateway gateway addressNS5XTsave2. 删除路由WEB:在NetworkRoutingRouting Table页面，点击要删除的路由项configure列的Remove链接。（系统自动生成的路由表项如接口配置IP后的本地路由项不能被删除。）CLI：NS5XTunset route network address netmask interface interface name gateway gateway addressNS5XTsave注：unset命令为set命令的反操作。2.3.7 设置policy（策略）策略可以看作由适用对象，操作和附属选项组成。使用对象包括源对象，目标对象，使用协议三项，用来描述此策略的适用对象（注：在Netscreen OS 4.0中，策略只能是相对Zone而言的，也就是说，所有的源和目的的对象都必须是Zone）。操作包括允许或禁止该连接是否启动NAT。附属选项包括是否需要用户验证，是否进行带宽限制，该连接的有效时间和记录该连接的流量、日志等。与许多防火墙设备不同，Netscreen防火墙实现的是基于状态的包过滤（或称包检查），因此只要建立单向的允许策略，则防火墙会动态的开放数据包的返回路径。当连接需要应用策略时，是按照策略的顺序向下查询，一旦找到适合的策略，就会应用此策略。因此当两个策略的条件重叠的时候，只有上面的策略可以生效。Web：打开Policies页面，可配置所有的策略。左上角是选择源对象与目的对象（只会出现包含Interface的Zone），按Go按键会显示对应的策略。按Search按键会出现搜索页面，填入搜索条件，按Go按键，会出现搜索的结果。按New按键会出现对应源与目的对象的新增策略页面。Name：输入策略名（From Private to Public）Source Address：在New Address中填入源地址或在Address Book的下拉菜单中选择已在地址簿中定义的源地址列表（详情可以参考配置Object（对象）章节）Destination Address：在New Address中填入目的地址或在Address Book的下拉菜单中选择已在地址簿中定义的目的地址列表Service：选择该策略对应的数据流所使用的协议类型和端口号。系统已预定义了50种常用协议使用的协议和端口号，当然用户也可以自定义。Action：选择策略的类型，分别是Permit（允许操作），Deny（否定操作）和Tunnel（通道操作用于VPN，详情请看VPN章节）Tunnel：当Action选择了Tunnel时，在此选择配用的VPN通道。Position at Top：当选择了的时候，策略生成后会出现在第一位。按Advanced按键可配置高级的内容Authentication：是否启用用户验证，如选用Auth Server，则用户在Object页中设置，详情请看配置Object对象章节。如选用WebAuth，则启用网页认证功能，用户必须先到在Interface中指定的WebAuth地址验证，才可以进入那个Interface端口。WebAuth服务在Configuration Auth WebAuth中设置。Logging ：启动连接记录Couting：启动记录统计Schedule：选择该策略的有效时间段，该时间段在Object的Schedule中设置Traffic Shaping：设置该策略定义的连接的有效带宽和优先级2.3.8 保存配置及配置文件1保存改变的配置在WEB模式下，设置更改后按页面中的save，ok或Apply按钮后系统自动保存设置；在CLI模式时，设置完成后，输入save命令完成设置保存。2保存配置文件Web：打开ConfigurationUpdateConfig File页面，可以浏览Netscreen设备现在的配置文件，按Save to File按键，则可以把配置文件存入硬盘。注：在Web形式下，配置文件只能保存到相连的主机，而不能保存到TFTP服务器。CLI：NS5XTsave config to tftp a.b.c.d File name注：在CLI形式下，配置文件只能保存到相连的TFTP服务器，而不能保存到主机。3启用配置文件Web：打开ConfigurationUpdateConfig File页面，选择需要的配置文件，然后按Apply按键，如果文件准确，就会成功更新配置。注：在Web形式下，只能启用保存在主机上的配置文件，而不能启用保存到TFTP服务器的文件。CLI：NS5XTsave config from tftp a.b.c.d File name注：在CLI形式下，只能启用保存到TFTP服务器的配置文件，而不能启用保存在主机上的文件。3 透明模式Netscreen支持透明连接模式。对于已有的网络系统，如果在增加防火墙设备时不想网络环境进行任何改动，可以将Netscreen防火墙设置在透明模式下。所谓透明模式，是指将防火墙设置在一种桥接模式，两个端口都不设置IP地址，相同于一台二层交换机。此时Netscreen防火墙仍然能对进出的数据包进行策略控制，而且由于没有IP地址，黑客也就无法对防火墙实施攻击。下图就是一个例子，内部主机采用合法地址209.122.30.X/24，网关为50，Netsrcreen设备工作在透明模式，允许由内到外的www连接。3.1 设置管理端口由于在透明模式下，Interface都是没有IP的，所以如果需要用telnet或Web的方式去管理Netscreen，就需要设置Netscreen中默认存在的vlan1端口。配置vlan1的IP，然后开发vlan1的管理权限，就可以利用vlan1进行管理了。CLI:NS5XTset int vlan1 ip a.b.c.d/eNS5XTset int vlan1 manage manage type3.2 设置透明模式透明模式设置步骤如下：1. 透明模式的两个接口的IP地址和掩码设为（当trust接口的IP被设为时，接口工作在透明模式）；2. 为两个接口设置地址簿；3. 建立策略CLI：NS5XT unset interface trust ipNS5XT unset interface untrust ipNS5XT set address trust Trust Address a.b.c.d/eNS5XT set address untrust Untrust Address a.b.c.d/eNS5XT set policy outgoing Trust Addrss Untrust Address actionWeb:请参考2.3.5设置Policy章节。3.3 其他相关命令CLI：查看Mac地址对应表NS5XTget mac-learn 查看会话NS5XTget session4 NAT模式及Route模式4.1 NAT模式NAT（网络地址转换）是一种将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机，无需内部主机拥有合法的(以及越来越缺乏的)Internet地址。广义的NAT包括NAT（Network Address Translation）和PAT(Port Address Translation)两种技术。其中传统的NAT是一种一对一地址转换的技术，它将一个公网地址与一个私有地址对应起来；而PAT是一种多对一地址转换的技术，它将一个公网地址同时供多个私有地址使用，利用TCP和UDP的端口号区分开各个连接。Netscreen的NAT操作可以通过两种方式实现，基于接口的NAT和基于策略的NAT。对于两种不同方式的NAT设置，下面用一个例子来说明。实例：建立内部网络到外部网络的NAT，假设内部网络使用172.16.20.x/24这段地址，trust接口设置为0，untrust接口配置成0，接口网关是50。4.1.1 基于端口的NAT将防火墙Trust接口设置成NAT模式，此时所有从Trust口进入数据包都会被进行PAT操作，包头地址会被替换为数据包输出所使用端口的IP，也就是说，如果数据包从DMZ接口输出，则被强制转换成DMZ接口地址。此模式只能建立从Trust接口到DMZ或Untrust接口的NAT。设置流程：1 设置Trust Interface的IP和模式为NAT，设置Untrust Interface的IP2 把Interface配置给对应的Zone3 把Zone配置给对应的Vrouter4 建立基于对应Zone的策略 本例中：（本例用的是Netscreen 5XT或100系列为例子，对于多个端口的设备，可把Trust对应E1，DMZ对应E2，Untrust对应E3）1 将Trust Interface的IP地址设为0，掩码，模式选为NAT。2 将Untrust Interface设为0,掩码，网关设为50。3 将Trust Interface配置给Trust Zone，Untrust Interface配置给Untrust Zone。4 把Trust Zone和Untrust Zone都配置给trustvr这个Vrouter。建立由Trust Zone 到Untrust Zone的policy，可以选择建立地址对象（请参考Oject对象章节）或直接指定源地址和目标地址，然后选择服务（请参考2.3.7设置Policy章节）4.1.2 基于策略的NAT将防火墙Trust接口设置为Route模式，在系统策略（Policy）中指定采用NAT操作。这种NAT实现方式可以根据源、目标地址和使用的协议等条件来定义一个数据流，然后对不同的数据流选择采用不同的操作方式，比如做不做NAT，是使用NAT还是PAT等。同时此模式可以建立任意两个接口间的NAT，如从Untrust接口到Trust接口的NAT，从DMZ区到Untrust口的NAT等。因此基于策略的NAT比基于接口的NAT具有更大的灵活性。设置流程：1. 设置Trust Interface的IP和模式为Route，设置Untrust Interface的IP2. 把Interface配置给对应的Zone3. 把Zone配置给对应的Vrouter4. 建立基于对应Zone的Policy，并且在Advanced的选项中选择NAT，然后在后面的方框中可以选择是否Fixport（是否转换端口），是否使用DIP（是否使用动态IP转换，可以预先在端口设置一段IP地址给DIP，当选择使用DIP并选择这段地址时，Netscreen设备会随机在这段地址中选择转换的IP）本例中：（本例用的是Netscreen 5XT或100系列为例子，对于多个端口的设备，可把Trust对应E1，DMZ对应E2，Untrust对应E3）1 将Trust Interface的IP地址设为0，掩码，模式选为Route。2 将Untrust Interface设为0,掩码，网关设为50。3 将Trust Interface配置给Trust Zone，Untrust Interface配置给Untrust Zone。4 把Trust Zone和Untrust Zone都配置给trustvr这个Vrouter。建立由Trust Zone 到Untrust Zone的policy，可以选择建立地址对象（请参考Oject对象章节）或直接指定源地址和目标地址，然后选择服务（请参考2.3.7设置Policy章节），最后在advanced的选项中选择NAT。4.2 Route模式Route模式就是在Netscreen设备中不进行IP地址及端口的转换，只是设立Trust端口到Untrust端口的路由。设置过程与基于策略的NAT差不多，只是在策略中不要勾选NAT选项。设置流程：1. 设置Trust Interface的IP和模式为Route，设置Untrust Interface的IP2. 把Interface配置给对应的Zone3. 把Zone配置给对应的Vrouter4. 建立基于对应Zone的Policy，不要勾选Advanced中的NAT选项。4.3 MIP和VIP对于一个内部网络通过NAT连接外网的网络环境，如果在内部网络的服务器需要被外部访问，则需要建立一条由外到内的通道。由于内部网络通常处于NAT设备之后，外部主机无法建立直接的连接。Netscreen提供了两种解决方案，MIP（Mapped IP）和VIP（Virtual IP）。4.3.1 MIPMIP方式实现的功能其实就是静态的NAT，它将防火墙外接口的一个外部地址与一个内部地址对应起来，做一对一的NAT。以上图为例，当外部网络向0这个外部地址发送请求的时候，防火墙把该请求数据包的目的地址改为对应的内部地址，并发送到该内部服务器。服务器响应该请求，向外部地址发送应答包。包到达防火墙后，防火墙将应答包的源地址改为0，再发送给请求主机。这样，在外部主机看来，它在与0这个服务器通讯；而在内部主机看来，它是与外部主机直接通讯的。不管NAT如何设置，这台主机的对外通讯都被换成0这个IP。MIP的设置流程如下：1. 在外部接口设置一个MIP地址，并对应到一个内部地址；2. 设置进入的策略，允许特定的服务请求通过。本例中，假设内部主机向外提供DNS服务。WEB：点击Network Interface (MIP)，按New按键。 点击New Policies (From Untrust To Trust)，在Destination Address中选择Global：MIP（0）。建立Policy后，当外部主机访问0时，数据包进入Netscreen设备时目的地址就会自动转换为，从而使内部服务器地址对外部屏蔽，保证安全。4.3.2 VIP与MIP的IP到IP的映射不同，VIP实现的是套接字（socket）到套接字（socket）的映射，也就是说可以将外部接口地址的一个socket（包括TCP和UDP）端口映射到内部的一台主机上，这样通过一个外部地址可以提供多种服务，而这些服务的实际提供者可以