Juniper防火墙简单配置实例.doc

Netscreen防火墙简单配置实例对照两个文档，可以实现简单配置netscreen防火墙。Netscreen-100防火墙的基本配置流程NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen100就是其中的一种。NetScreen-100是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右边三个是以太网网口，从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。DMZ Interface介绍从略。配置前的准备1. PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP为/，用户名和密码都为netscreen ； 2. 登录成功后修改System 的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok，设备会重启； 3. 把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置 4. 也可通过串口登录，在超级终端上通过命令行修改System IP 数据配置数据配置包括三部分内容：Policy、Interface、Route Table。1. 配置Policy用IE登陆NetScreen，在配置界面上，依次点击左边竖列中的NetworkPolicy，然 后选中Outgoing。如系统原有的与此不同，可点击表中最后一列的Remove来删除掉，然后点击左下角的New Policy， 重新设置。 2. 配置Interface在配置界面上，依次点击左边竖列中的ConfigureInterface选项，则显示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要时修改System IP。在 Interface配置图当中;说明： 1. Trust Interface下面的Inside IP，即指端口本身的IP。因为该端口是设备用以与局域网内部相连的，所以就相当于是设备对内的端口，故此把该端口的IP 就叫做设备的Inside IP。同理，Untrust Interface下面的Outside IP也是指该端口的IP ，因为该端口是面向局域网外部的；Trust Interface下面的Default Gateway，指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址（即NAT的下一跳），本例中指与NAT相连的路由器的接口地址 2. 在接口的配置选项中，Traffic Bandwidth选项是对该端口传输带宽的描述，不用设置。因为两端口都是自适应的，会根据所连对端端口的带宽而自动调整。 3. 在Enable的选项中，Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网，为安全起见，应当把ping、telnet等性能屏蔽掉， 不要选择。只有当有必要进行远程维护时，才把telnet选中。 4. 对于System IP，当第一次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段，则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆，以便管理，需要在上述界面上把System IP 的值改为 5. Untrust Interface和Trust Interface配置内容完全一样，上面的例图由于是用PrtSc屏拷下来的，不能把Untrust Interface的配置内容拷全，特此说明。 3. 配置Route Table在配置界面上，依次点击左边竖列中的Configure Route Table选项，则显示图5所示界面。系统要正常运行，在NAT内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的 路由，其网关是与NAT相连的接口的地址。该路由为： Trust ；另一条是去外部公网的缺省路由，其网关是与NAT 相连的外部路由器的接口地址。该路由为： 93 Untrust。从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的第一条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由，可以通过点击Edit、Remove进行修改或删除。至此，所有配置全部完成。 netscreen 配置文档1、进入字符配置界面： 用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是netscreen。2、进入WEB配置界面： 用交叉网线连接E1和计算机的网卡，将计算机IP改成（与E1端口在同一网段）。打开IE浏览器输入1（1为E1端口管理IP），用户名，密码都是netscreen。 3、配置端口IP和管理IP：E1：内部网端口端口IP0和管理IP1 更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理netscreen防火墙。E3: 外网端口端口IP6和管理IP8 更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理netscreen防火墙。4、配置由内网到外网的NAT： 在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：Zone Name: TrustIP Address/Netmask: 1/24（当地内部网网关IP）2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：Zone Name: UntrustIP Address/Netmask: 1/24(当地电信所分配的IP地址)。3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK：ID: 6IP Address RangeStart: 2（当地电信所分配的IP地址）End: 10（当地电信所分配的IP地址，这是一个地址池，可大可小）Port Translation: Enable4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，然后单击OK：Source Address:Address Book: （选择） , AnyDestination Address:Address Book: （选择） , AnyService: AnyAction: Permit> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：NAT: OnDIP On:（选择） , 6 (210)：上一步设的地址池。5、配置由外网到内网的VIP：在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：Zone Name: TrustIP Address/Netmask: /24（当地内部网网关IP）2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：Zone Name: UntrustIP Address/Netmask: /24（当地电信所分配的IP地址）VIP3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：Virtual IP Address: 0（对外的服务器地址）4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：Virtual Port: 80Map to Service: HTTP (80)：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）Map to IP: 0（此为服务器本身IP，内网