第 1 樓：Netscreen防火墻簡單配置實例

對照兩個文檔，可以實現簡單配置netscreen防火墻。

Netscreen-100防火墻的基本配置流程

NetScreen系列產品，是應用非常廣泛的NAT設備。NetScreen－100就是其中的一種。
NetScreen-100是個長方形的黑匣子，其正面面板上有四個接口。左邊一個是DB25串口，右邊三個是以太網網口，從左向右依次為Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相當于HUB口，下行連接內部網絡設備。Untrust Interface相當于主機口，上行連接上公網的路由器等外部網關設備；兩端口速率自適應（10M/100M）。DMZ Interface介紹從略。

配置前的預備
1.   PC機通過直通網線與Trust Interface相連，用IE登錄設備主頁。設備缺省ip為192.168.1.1/255.255.255.0，用戶名和密碼都為netscreen ；
2.   登錄成功后修改System 的IP和掩碼，建議修改成與內部網段同網段，也可直接使用分配給Trust Interface的地 址。 修改完畢點擊ok，設備會重啟；
3.  把PC的地址改為與設備新的地址同網段，重新登錄，即可進行配置
4.  也可通過串口登錄，在超級終端上通過命令行修改System IP

數據配置
數據配置包括三部分內容：Policy、Interface、Route Table。
1.  配置Policy
用IE登陸NetScreen，在配置界面上，依次點擊左邊豎列中的Network–〉Policy，然 后選中Outgoing。如系統原有的與此不同，可點擊表中最后一列的Remove來刪除掉，然后點擊左下角的New Policy， 重新設置。
2.  配置Interface
在配置界面上，依次點擊左邊豎列中的Configure–〉Interface選項，則顯示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要時修改System IP。

在 Interface配置圖當中;
說明：
1.  Trust Interface下面的Inside IP，即指端口本身的IP。因為該端口是設備用以與局域網內部相連的，所以就相當于是設備對內的端口，故此把該端口的IP 就叫做設備的Inside IP。同理，Untrust Interface下面的Outside IP也是指該端口的IP ，因為該端口是面向局域網外部的；Trust Interface下面的Default Gateway，指局域網內部與Trust Interace相連的設備的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公網的網關地址（即NAT的下一跳），本例中指與NAT相連的路由器的接口地址
2.  在接口的配置選項中，Traffic Bandwidth選項是對該端口傳輸帶寬的描述，不用設置。因為兩端口都是自適應的，會根據所連對端端口的帶寬而自動調整。
3.  在Enable的選項中，Trust Interface端口按照缺省的選擇即可。而Untrust Interface因為面對公網，為安全起見，應當把ping、telnet等性能屏蔽掉， 不要選擇。只有當有必要進行遠程維護時，才把telnet選中。
4.  對于System IP，當第一次登錄后把它修改為與Trust Interface或Untrust Interface的IP 在同一網段，則用戶就只能從Trust Interface或Untrust Interface登錄。為了實現從兩個端口都可登陸，以便治理，需要在上述界面上把System IP 的值改為0.0.0.0
5.  Untrust Interface和Trust Interface配置內容完全一樣，上面的例圖由于是用PRtSc屏拷下來的，不能把Untrust Interface的配置內容拷全，特此說明。
3.  配置Route Table
在配置界面上，依次點擊左邊豎列中的Configure –〉Route Table選項，則顯示圖5所示界面。

系統要正常運行，在NAT內部有兩條路由是必不可少的，一條是去內部網段下面的用戶網段的 路由，其網關是與NAT相連的接口的地址。該路由為：10.10.0.0 255.255.0.0 10.100.0.1 Trust ；另一條是去外部公網的缺省路由，其網關是與NAT 相連的外部路由器的接口地址。該路由為： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。

從路由表中可以看出，后一條路由是系統缺省自動生成的，所以只需手工添加的第一條路由。點擊界面左下角的New Entry創建新的路由。對于已生成的路由，可以通過點擊Edit、Remove進行修改或刪除。
至此，所有配置全部完成。

netscreen 配置文檔

1、進入字符配置界面：
  用隨機帶的CONSOLE線，一頭接計算機串口，一頭接E1端口，在計算機上打開超級終端進行配置，用戶名，密碼都是netscreen。

2、進入WEB配置界面：
  用交叉網線連接E1和計算機的網卡，將計算機IP改成192.168.1.2（與E1端口在同一網段）。打開IE瀏覽器輸入http:/192.168.1.11（192.168.1.11為E1端口治理IP），用戶名，密碼都是netscreen。       

3、配置端口IP和治理IP：
E1：內部網端口
端口IP192.168.1.20和治理IP192.168.1.11
   更改為當地內部網的IP地址,E1的端口IP設為當地內部網網關，治理IP用于在內部網治理netscreen防火墻。

E3: 外網端口
端口IP192.168.42.66和治理IP192.168.42.68
   更改為當地電信所分配的IP地址，E3的治理IP用于外網治理者在INTERNET上配置和治理netscreen防火墻。

4、配置由內網到外網的NAT：
在E3端口上配置NAT，用于將內部網地址轉換成當地電信所分配的公網IP地址，以便訪問INTERNET信息。

1. Network > Interfaces > Edit（對于ethernet1）：輸入以下內容，然后單擊OK：
Zone Name: Trust
IP Address/Netmask: 172.16.40.11/24（當地內部網網關IP）

2. Network > Interfaces > Edit（對于ethernet3）：輸入以下內容，然后單擊OK：
Zone Name: Untrust
IP Address/Netmask: 215.3.4.11/24(當地電信所分配的IP地址)。

3. Network > Interfaces > Edit（對于ethernet3）> DIP > New：輸入以下內容，然后單擊OK：
ID: 6
IP Address Range
Start: 215.3.4.12（當地電信所分配的IP地址）
End: 215.3.4.210（當地電信所分配的IP地址，這是一個地址池，可大可小）
Port Translation: Enable

4. Policies > (From: Untrust, To: Trust) > New：輸入以下內容，
然后單擊OK：
Source Address:
Address Book: （選擇） , Any
Destination Address:
Address Book: （選擇） , Any
Service: Any
Action: Permit
> Advanced: 輸入以下內容，然后單擊Return，設置高級選項并返回基本配置頁：
NAT: On
DIP On:（選擇） , 6 (215.3.4.12–215.3.4.210)：上一步設的地址池。

5、配置由外網到內網的VIP：
在E3端口上配置VIP，可將一個外網IP和端口號對應到一個內網IP。通過這種方法可以將WEB服務器，郵件服務器或其他服務放到內網，而從外網只看到一個公網IP，增加安全性。

1. Network > Interfaces > Edit（對于ethernet1）：輸入以下內容，然后單擊Apply：
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24（當地內部網網關IP）

2. Network > Interfaces > Edit（對于ethernet3）：輸入以下內容，然后單擊OK：
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24（當地電信所分配的IP地址）

VIP
3. Network > Interfaces > Edit（對于ethernet3）> VIP：輸入以下地址，然后單擊Add：
Virtual IP Address: 210.1.1.10（對外的服務器地址）

4. Network > Interfaces > Edit（對于ethernet3）> VIP > New VIP Service：輸入以下內容，然后單擊OK：
Virtual Port: 80
Map to Service: HTTP (80)：（此例為WEB服務器的配置，假如是其他的服務器，就加入其服務與對應的端口號）
Map to IP: 10.1.1.10（此為服務器本身IP，內網IP）

策略
5. Policies > (From: Untrust, To: Global) > New：輸入以下內容，然后單擊OK：
Source Address:
Address Book:（選擇）, ANY
Destination Address:
Address Book:（選擇）, VIP(210.1.1.10)：對外服務器地址
Service: HTTP（WEB服務器選項）
Action: Permit