百科解釋
Netscreen防火墻是一種高性能的硬件防火墻,與其它的硬件防火墻相比有本質的區(qū)別。其它的硬件防火墻實際上是運行在PC平臺上的一個軟件防火墻,而Netscreen防火墻則是由ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密,因此速度比其它防火墻要快得多。從軟件特性上看Netscreen防火墻是狀態(tài)檢測與應用代理混合的防火墻,對于大部份的應用Netscreen防火墻是監(jiān)測整個通訊狀態(tài),如果發(fā)現(xiàn)通訊狀態(tài)不正常便拒絕進入受保護的內部網(wǎng)絡,對于FTP或H322等通訊狀態(tài)不好跟蹤的服務Netscreen防火墻通過應用代理來確保服務安全。
Netscreen防火墻有三大功能:
1、 防火墻
2、 VPN
3、 流量分配和負載均衡
現(xiàn)今NetScreen公司已經(jīng)被Juniper公司收購。
NetScreen資料:204配置手冊
NetScreen系列產(chǎn)品,是應用非常廣泛的NAT設備。NetScreen-204就是其中的一種。
NetScreen-204是個長方形的黑匣子,其正面面板上有四個接口。左邊一個是DB25串口,右邊三個是以太網(wǎng)網(wǎng)口,從左向右依次為Trust
Interface、DMZ Interface、Untrust Interface。其中Trust
Interface相當于HUB口,下行連接內部網(wǎng)絡設備。Untrust
Interface相當于主機口,上行連接上公網(wǎng)的路由器等外部網(wǎng)關設備;兩端口速率自適應(10M/100M)。
配置前的準備
PC機通過直通網(wǎng)線與Trust
Interface相連,用IE登錄設備主頁。設備缺省IP為192.168.1.1/255.255.255.0,用戶名和密碼都為netscreen ;
登錄成功后修改System
的IP和掩碼,建議修改成與內部網(wǎng)段同網(wǎng)段,也可直接使用分配給Trust Interface的地 址。 修改完畢點擊ok,設備會重啟;
把PC的地址改為與設備新的地址同網(wǎng)段,重新登錄,即可進行配置
也可通過串口登錄,在超級終端上通過命令行修改System IP
數(shù)據(jù)配置
數(shù)據(jù)配置包括三部分內容:Policy、Interface、Route Table。
配置Policy
用IE登陸NetScreen,在配置界面上,依次點擊左邊豎列中的Network–〉Policy,然
后選中Outgoing。如系統(tǒng)原有的與此不同,可點擊表中最后一列的Remove來刪除掉,然后點擊左下角的New
Policy, 重新設置。
配置Interface
在配置界面上,依次點擊左邊豎列中的Configure–〉Interface選項,則顯示如下所示的配置界面,其中主要是配置Trust
Interface、Untrust Interface,必要時修改System IP。
在 Interface配置圖當中;
說明:
Trust Interface下面的Inside
IP,即指端口本身的IP。因為該端口是設備用以與局域網(wǎng)內部相連的,所以就相當于是設備對內的端口,故此把該端口的IP
就叫做設備的Inside IP。同理,Untrust Interface下面的Outside
IP也是指該端口的IP ,因為該端口是面向局域網(wǎng)外部的;Trust Interface下面的Default
Gateway,指局域網(wǎng)內部與Trust
Interace相連的設備的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default
Gateway是指外出上公網(wǎng)的網(wǎng)關地址(即NAT的下一跳),本例中指與NAT相連的路由器的接口地址
在接口的配置選項中,Traffic
Bandwidth選項是對該端口傳輸帶寬的描述,不用設置。因為兩端口都是自適應的,會根據(jù)所連對端端口的帶寬而自動調整。
在Enable的選項中,Trust Interface端口按照缺省的選擇即可。而Untrust
Interface因為面對公網(wǎng),為安全起見,應當把ping、telnet等性能屏蔽掉,
不要選擇。只有當有必要進行遠程維護時,才把telnet選中。
對于System IP,當?shù)谝淮蔚卿浐蟀阉薷臑榕cTrust Interface或Untrust
Interface的IP 在同一網(wǎng)段,則用戶就只能從Trust Interface或Untrust
Interface登錄。為了實現(xiàn)從兩個端口都可登陸,以便管理,需要在上述界面上把System IP
的值改為0.0.0.0
Untrust Interface和Trust
Interface配置內容完全一樣,上面的例圖由于是用PrtSc屏拷下來的,不能把Untrust Interface的配置內容拷全,特此說明。
配置Route Table
在配置界面上,依次點擊左邊豎列中的Configure –〉Route
Table選項,則顯示圖5所示界面。
系統(tǒng)要正常運行,在NAT內部有兩條路由是必不可少的,一條是去內部網(wǎng)段下面的用戶網(wǎng)段的
路由,其網(wǎng)關是與NAT相連的接口的地址。該路由為:10.10.0.0 255.255.0.0
10.100.0.1 Trust ;另一條是去外部公網(wǎng)的缺省路由,其網(wǎng)關是與NAT
相連的外部路由器的接口地址。該路由為: 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。
從路由表中可以看出,后一條路由是系統(tǒng)缺省自動生成的,所以只需手工添加的第一條路由。點擊界面左下角的New
Entry創(chuàng)建新的路由。對于已生成的路由,可以通過點擊Edit、Remove進行修改或刪除。
至此,所有配置全部完成。