netscreen 25配置外网到内网的Webserver实践

netscreen 25配置外网到内网的Webserver实践

本人所在的公司是通过ADSL上网的，同时为保证企业数据安全添置了一台netscreen 25的防火墙，其实公司目前并没有网上相关的应用（以前一台DLink 604的ADSL路由器就已经够用啦），关键是没有使用过netscreen产品，防火墙买回来很快就将上网相关的搞好啦，可是一直想搞个Webserver玩玩。由于其说明书也是大段大段的E文，实在看不懂，也罢，放了个把月终于沉不住……

经过一中午的工作，算是完成啦。下面将整个配置过程记录下来，以方便有同样需要的朋友，也要感谢给予我帮助的所有朋友。在此我将省去防火墙初始化等相关工作，而直接配置外网到内网的访问。

1、适合的对象

本文所针对是只是我等初级的网络选手，如果你是经验丰富的专家大可不必看，

网络环境为：有内部局域网、防火墙采用netscreen 25、上网方式采用ADSL动态拨号方式上去的，假设你已经配置好如下端口：

2、优点

（1）、由于将web server、ftp server及email server都放在内网，外网只看到一个公开的IP可以提高系统的安全性；

（2）、通过花生壳之类的二级域名系统，也能从一定程度上节约开支，像我等就只好这样啦（电信分配的IP一个月也要好几K，高过薪水啦）。

3、具体配置步骤：

请首先进入netscreen的web配置界面，文中出现的所有截图都是web管理界面的相关图片。

（1）、Network > Interfaces > Edit（对于ethernet1端口）：输入以下内容，然后单击Apply： Zone Name: Trust

IP Address/Netmask: 192.168.0.21/24（当地内部网网关IP）

（2）、Network > Interfaces > Edit（对于ethernet3端口）：输入以下内容，然后单击OK： Zone Name: Untrust

IP Address/Netmask: 210.1.1.1/24（电信局所分配的IP地址）

（3）、设置VIP地址及邦定相应的端口，如http:80 https:443等，注意在设置的时候netscreen默认使用的管理端口也是80，如果出现此种情况需要先在Configration>Admin>Managemnet中修改其端口，然后再配置。

Network > Interfaces > Edit（对于ethernet3端口）> VIP：输入以下地址，然后单击Add：

Virtual IP Address: 210.1.1.10（对外的服务器地址，动态拨号就用连接到Internet的那个地址就行啦）

其实这一步就是创建一个从外网到内网的

IP

映射。

（4）、创建从外网到内网的访问策略，如果你只想创建web服务器，那么就只选http服务就行啦。

Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK： Source Address:

Address Book:（选择）, ANY Destination Address:

Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址 Service: HTTP（WEB服务器选项） Action: Permit

（5）、到此防火墙部分已经配置完成

在命令行中使用set arp IP address MAC address,然后设置策略只允许可以上网的IP地址组上网。

本文来源：https://www.bwwdw.com/article/300d.html