NETSCREEN防火墙配置.doc

NetScreen防火墙配置指导书 NetScreen OS 5.0 目 录 1 NetScreen的管理 3 1.1 访问方式 3 1.2 用户 6 1.3 日志 7 1.4 性能 8 1.5 其他常用维护命令 9 2 NetScreen防火墙的规划和配置步骤 10 2.1 组网规划 10 2.2 IP地址分配 10 2.3 地址映射及策略 11 2.4 NetScreen防火墙步骤 12 3 防火墙的配置 13 3.1 配置机器名 13 3.2 双机基本配置 13 3.3 防火墙基本配置 16 3.4 配置虚拟路由器 16 3.5 配置区段 16 3.6 配置接口 17 3.7 配置路由 19 3.8 配置策略 20 3.8.1 配置含有MIP的策略 20 3.8.2 配置含有DIP的策略 25 3.8.3 配置普通的策略 31 3.9 双机的切换配置 34 4 Netscreen防火墙定位工具 35 4.1 Debug命令 35 4.2 Snoop命令 37 5 NetScreen防火墙FAQ 40 5.1 alarm灯的问题 40 5.2 如何检查双机的配置是否同步 40 5.3 防火墙的双机状态 41 5.4 配置文件的备份 41 5.5 NetScreen防火墙密码的恢复 42 5.6 什么时候使用snoop，什么时候使用debug flow？ 42 5.7 如何使用debug ffilter的逻辑与和逻辑或？ 42 6 附录A 配置文件 42 7 附录B　一些术语的说明 43 7.1 虚拟系统（VSYS） 43 7.2 虚拟路由器(VR) 43 7.3 区段(ZONE) 43 7.3.1 安全区段 43 7.3.2 Global区段 43 7.3.3 通道区段 44 7.3.4 功能区段 44 7.4 接口 44 7.4.1 安全区段接口 44 7.4.2 功能区段接口 45 7.4.3 通道接口 45 7.5 接口工作模式 45 7.5.1 NAT模式 45 7.5.2 路由模式 46 7.5.3 透明模式 46 7.6 地址转换 47 7.6.1 源网络地址转换 47 7.6.2 映射IP地址（MIP） 47 7.6.3 VIP 47 7.7 策略元素 48 7.7.1 策略元素 48 7.7.2 地址和地址组 49 7.7.3 服务和服务组 49 NetScreen的管理 访问方式 NetScreen防火墙支持多种的管理方式：WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。常用的有console、WebUI和Telnet。 Console是通过直接的串口线连接防火墙，对防火墙进行管理和配置；telnet是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；WebUI是通过IE或Netscape Communicator登录到防火墙的可管理地址，对防火墙进行管理和配置。 通过串口直接登录到防火墙时，超级终端的端口配置如下： 串行通讯9600bps 8位 无奇偶校验 1停止位 无信息流控制 Telnet或console登录后的命令行界面如下： WebUI登录的界面如下： 注意：如果要通过telnet或WebUI登录和管理防火墙，所登录的防火墙的接口需要打开telnet或WebUI的功能；如果防火墙的接口配置了管理IP，一般只能对接口的管理IP进行telnet或WebUI，而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。 用命令行的方式检查接口是否打开telnet或WebUI功能的方式： SN-NS500-FW1(M)- get interface e1/1 Interface ethernet1/1(VSI): number 12, if_info 98400, if_index 0, mode route link up, phy-link up/full-duplex vsys Root, zone Trust, vr trust-vr, vsd 0 ip 0/29 mac 0010.dbff.20c0 manage ip 1, mac 0010.db7e.f00c route-deny disable ping enabled, telnet enabled, SSH enabled, SNMP enabled web enabled, ident-reset disabled, SSL enabled webauth disabled, webauth-ip OSPF disabled BGP disabled RIP disabled bandwidth: physica