NetScreen 防火墙配置指导书

NetScreen防火墙配置实验指导书

信息工程学院计算机系

NetScreen 防火墙配置指导

目 录

目 录

第1章 防火墙基础知识 ................................................................................................................ 2

1.1 什么是防火墙 .........................................................................................................................2 1.2 网络的不安全因素 ..................................................................................................................3 1.3 防火墙的作用 .........................................................................................................................3 1.4 防火墙的分类 .........................................................................................................................4 1.5 防火墙工作原理 ......................................................................................................................4 1.6 防火墙术语 .............................................................................................................................7 1.7 常见网络攻击方法 ..................................................................................................................8 1.8 市场上常见的硬件防火墙 .................................................................................................... 10

第2章 NetScreen系列防火墙 .................................................................................................... 12

2.1 NetScreen系列防火墙介绍 ................................................................................................. 12 2.2 NetScreen防火墙基础知识 ................................................................................................. 13 2.3 建立与防火墙的初始连接 .................................................................................................... 16 2.4 Web UI管理界面快速配置指南 ........................................................................................... 19 2.5 NetScreen防火墙配置的总体思路 ...................................................................................... 24 2.6 NetScreen防火墙配置过程 ................................................................................................. 26 2.7 NetScreen防火墙配置实例 ................................................................................................. 30 2.8 FAQ ..................................................................................................................................... 36

第3章 NetScreen防火墙配置实验 ............................................................................................ 38

3.1 实验一：NetScreen防火墙的网络连接与基本配置（4学时） ........................................... 38

3.1.1 实验目的 ................................................................................................................... 38 3.1.2 基本要求 ................................................................................................................... 38 3.2 实验二：NetScreen防火墙透明模式的配置（4学时） ...................................................... 39

3.2.1 实验目的 ................................................................................................................... 39 3.2.2 基本要求 ................................................................................................................... 39 3.3 实验三：NetScreen防火墙路由模式的配置（4学时） ...................................................... 40

3.3.1 实验目的 ................................................................................................................... 40 3.3.2 基本要求 ................................................................................................................... 40 3.4 实验四：NetScreen防火墙NAT模式的配置（4学时） .................................................... 41

3.4.1 实验目的 ................................................................................................................... 41 3.4.2 基本要求 ................................................................................................................... 41

i

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

第1章 防火墙基础知识

1.1 什么是防火墙

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。 防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。如图1-1所示：

图1-1 防火墙通常使内部网络和因特网隔离

防火墙不单用于对因特网的连接，也可以用来在组织内部保护大型机和重要的资源（数据）。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。

当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙起了一个“警卫”的作用，可以将需要禁止的数据包在这里给丢掉。

2

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

1.2 网络的不安全因素

一个网络系统的最主要的目的是实现“资源共享”，同时实现对数据的协作处理、信息的传递等等。网络自身的这种开放性是引发网络安全问题的最直接原因。 网络的不安全因素有以下几类：

? ?

环境：各类天灾及事故都会对网络造成损害，令网络完全瘫痪或不能正常工作。 资源共享：包括硬件共享、软件共享、数据共享。资源的相互共享为异地用户提供了方便，同时也给非法用户创造了条件。非法用户可以通过终端来窃取信息、破坏信息。共享资源与使用者之间有相当一段距离，这也为窃取信息在时间和空间上提供了便利条件。

数据传输：信息需要通过数据通信来传输。在传输过程中，信息容易被窃听、修改。 计算机病毒：借助网络，病毒可以在短时间内感染大量的计算机，使网络趋于瘫痪。如“蠕虫”病毒及电子邮件“炸弹”。

网络管理：对系统的管理措施不当，会造成设备的损坏、重要信息的人为泄露等等。

? ?

?

1.3 防火墙的作用

图1-2 中世纪城堡的护城河

我们将防火墙比作中世纪城堡的护城河，并且像护城河一样，防火墙不是坚不可摧的。它不防备已经是里面的人；如果与内部的防御相配合，它工作的最好；同时，即使您把所有的船都收藏起来，人们有时仍然能设法横渡。构筑防火墙需要昂贵的花费和努力，而且它对内部人员的限制是令人厌烦的。

3

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

防火墙对网络威胁进行极好的防范，但是，它们不是安全解决方案的全部。某些威胁是防火墙力所不及的。

?

防火墙不能防范恶意的知情者：防火墙可以禁止系统用户通过网络发送专有的信息。但是用户可以将数据复制到磁盘或者纸上，放在公文包里带出去。如果侵袭者已经在防火墙的内部，防火墙实际上无能为力。

防火墙对不通过它的连接难有作为：防火墙能有效的控制穿过它的传输信息，但对于不穿过它的传输信息无能为力。

防火墙不能防备所有新的威胁：一个好的设计能防备新的威胁，但没有防火墙能自动防御所有新的威胁。人们不断发现利用以前可信赖的服务的新的侵袭方法。 防火墙不能防备病毒：有太多种的病毒和太多种的方法可以使得病毒隐藏在数据中。

?

?

?

1.4 防火墙的分类

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面，我们将介绍这些手段的工作机理及特点，并介绍一些防火墙的主流产品。

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。

1.5 防火墙工作原理

图1-3显示了防火墙网络拓扑结构图

4

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

图1-3 网络拓扑结构图

（1）包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。（图1-4）

图1-4：包过滤防火墙工作原理图

（2）应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。（图1-5）

5

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

图1-5：应用网关防火墙工作原理图

（3）状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（图1-6）

图1-6：状态检测防火墙工作原理图

（4）复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。（图1-7）

6

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

图1-7：复合型防火墙工作原理图

（5）四类防火墙的对比

包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。

1.6 防火墙术语

网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。

DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，internet和DMZ。

吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。

7

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。

SSL：SSL（Secure Sockets Layer）是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

1.7 常见网络攻击方法

1. IP地址伪装（IP Spoofing）：

攻击方发出的数据包中的源地址改成受攻击方的网络地址，向该网络发送数据包。 2. IP抢劫（IP Hijacking、IP Splicing）：

攻击者中途截取一个已经连接成功的会话。这种攻击通常发生在用户身份被验证后，这样攻击者看起来是一个合法用户。对于这种攻击的最主要的防范方法是对网络层或会话层的传输的数据进行加密。 3. Smurf：

攻击方通过第三方网络介以一伪造的地址将数据包传入，大量的数据包使得网络速度迅速下降直至崩溃。这种攻击很难查出攻击者。 4. Dumpster diving：

通过搜寻公司的垃圾文件以获得口令等敏感性数据。

8

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

5. War-dialing：

通过不断快速的枚举法来获得用户帐号和口令。这是一非常古老的方法。但现在使用它的逐渐又多了起来。如对于采用密钥长度为56位的DES加密的数据，可以在一个月之内被破译（按照目前的计算速度），对于40位或48位的则只需几个小时或几天。DES是使用最广泛的加密技术。 6. 利用操作系统缺陷：

利用系统中漏洞直接对系统进行攻击。如“蠕虫”病毒是利用finger命令中的bug，令缓冲区溢出，再将控制转移到自己的程序中。还可以利用系统缺陷，绕过防火墙的检验，直接获取数据。发现系统中的缺陷，应该立即采取对策，防止对系统的进一步危害。 7. 拒绝服务denial of service：

特征是攻击者通过各种方法使合法的用户不能使用某种服务。例如：

? ? ? ?

“淹没”一个网络，从而阻止合法的数据传输； 破坏两台机器见间的连接，使用户不能访问该服务； 阻止特定的个人访问某种资源； 中断到某个特定系统或个人的服务；

一些拒绝服务攻击被称为“非对称攻击”，特点是攻击方利用有限的资源去攻击一个比较大的网络。如攻击者可能可以利用一个低速的modem，将一个大型的网络搞垮。 拒绝服务攻击的种类有多种，以下三种是比较基本的：

? ? ?

消耗有限的、不可更新的资源； 毁坏或者更改配置的信息；

对于网络的物理组件的破坏或者更改；

这里就第一种即“消耗有限的资源”做一些说明。

计算机和网络需要有特定的资源来运行：网络带宽、内存和磁盘空间、CPU时间、数据结构、对其他网络和计算机的访问；并且还包括一些环境资源，如电、冷气甚至还有水。 有这样一种攻击方法：攻击者建立一个到目标机器的连接，但是用某种方法阻止将此连接的最终完成；这样，在目标机器上就预留了一些用来完成连接所需的数据结构。结果一些合法的连接被拒绝了，因为目标机器正在等待完成那些已经完成一半的连接。应该注意到，这种攻击并不消耗网络带宽，它只是消耗建立连接所需的核心的数据结构。这也意味着可以从利用拨号上网来攻击一个非常快速的网络。这是一个“非对称攻击”的好例子。

9

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

1.8 市场上常见的硬件防火墙

（1）NetScreen 208 Firewall

NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具有低延时、高效的IPSec加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌产品对硬盘驱动器所存在的稳定性问题，所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减省了配置另外的硬件和复杂性操作系统的需要。这个做法缩短了安装和管理的时间，并在防范安全漏洞的工作上，省略设置的步骤。NetScreen-100 Firewall比适合中型企业的网络安全需求。 （2）Cisco Secure PIX 515-E Firewall

Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同，Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性，同时不会引起IP地址短缺问题。NAT既可利用现有IP地址，也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E还可根据需要有选择性地允许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特性(如多媒体应用支持)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。 （3）天融信网络卫士NGFW4000-S防火墙

北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全更加稳定。网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计

10

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

的，因此管理界面完全是中文化的，使管理工作更加方便，网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。

（4）东软NetEye 4032防火墙

NetEye 4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化，进一步提高了性能和稳定性，同时丰富了应用级插件、安全防御插件，并且提升了开发相应插件的速度。网络安全本身是一个动态的，其变化非常迅速，每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整，这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构，具有动态保护网络安全的特性，使NetEye防火墙能够有效的抵御各种新的攻击，动态保障网络安全。东软NetEye 4032防火墙比适合中小型企业的网络安全需求。

11

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

第2章 NetScreen系列防火墙

2.1 NetScreen系列防火墙介绍

NetScreen系列防火墙是由NetScreen公司推出的网络安全产品。

本章将对综合业务工程中常用的几种NS的防火墙的外观及性能作简要介绍。 1. NetScreen25

图2-1 NetScreen 25外观

NetScreen 25是个高性能的安全应用方案，具有四个自适应10/100 Base-以太网口[信任Trust，非信任Untrust，DMZ，另外一个留作将来使用，注意：ScreenOS3.0并不支持第四个端口的使用]，它能够提供100Mbps的防火墙数据流量和20Mbps的3倍DES加密VPN性能，保护局域网(LANs)以及与外网建立数据交流的mail服务器，web服务器和FTP服务器的安全。NetScreen-25支持4,000个并发TCP/IP会话和25个VPN通道。 默认端口分配：

Ethernet 1 Trust Ethernet 2 DMZ Ethernet 3 Utrust Ethernet 4 Empty 2. NetScreen 204

图2-2 NetScreen 204外观

NetScreen 204是目前市场上功能较多的防火墙产品，可以方便地集成在许多不同的网络环境中，包括大中型企业的办公室，电子商务网站，数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口，延续了NetScreen防火墙优秀的线

12

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

速处理能力(400Mbps)--即使在对系统资源要求极高的应用中（诸如VPN-3DES加密）也能保持超过200Mbps的速率，并支持HA（High Availability高可用性，详见本文后续内容）。 默认的端口分配：

Ethernet 1 Trust Ethernet 2 DMZ Ethernet 3 Utrust Ethernet 4 HA 3. NetScreen 500

图2-3 NetScreen 500外观

NetScreen 500集防火墙、VPN及流量管理等功能于一体，占用2U机架空间。它是 一款高性能的产品，支持多个安全域。NetScreen 500具有NetScreen 1000及NetScreen 100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组，还有一个可编辑的LCD指示屏，使管理变得更加容易。 默认端口分配：

模块-Untrust N/A 模块-Trust Utrust Port 模块-DMZ N/A Trust Port 模块-Empty N/A DMZ Port Empty Empty 在四个模块下方的并列的几个接口中，有两个接口分别标注“HA1”、“HA2”，这两个接口是用来连接HA心跳线的，其中HA1与HA2互为冗余接口，以防止其中一条心跳线出现故障。 注意：

部分NS500的防火墙的软件（可根据防火墙上的标签确定）不支持对每个模块的第一个端口的调用，如果把线缆插在第一个端口上，物理链路都无法建立，直观表现是端口指示灯不亮，这一点在工程设计及施工中尤其要留意。

2.2 NetScreen防火墙基础知识

在对NetScreen进行配置前，需要了解一些基础知识。以下的描述是根据NetScreen 200系列，主要以NetScreen 204为例进行讲解，其余型号应该能触类旁通。

13

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

NetScreen 200系列的204有四个以太网口，208有8个以太网口，其中，网口1缺省为trust口，网口2为DMZ口，网口3为untrust口，网口4或网口4到8是可配的。但如果用于HA，则两台防火墙之间通过4口（204型号）或8口（208型号）连接。

200系列的NetScreen工作在两种模式：transparent模式和route模式，缺省为transparent模式。Nat不再是一种模式，现在它通过网口或策略配置来实现（注：在NetScreen 100中，NAT被看作是一种工作模式）。 1. transparent模式：

在transparent模式下，NetScreen设备检查通过防火墙的数据包，但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址，所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的，untrust很可能就接互连网了。

在transparent模式下，对于trust区和untrust区的ip地址就设为0.0.0.0，这样可以使NetScreen在网络中不可见。但是，防火、vpn和流量管理还是要通过配置设备的策略来生效。此时，NetScreen相当于一个2层交换机（2层交换机本身是没有ip地址的）。 2. route模式

当设备处于route模式下，每一个接口都被设立为route模式或nat模式。不像transparent模式，所有的网口都处于不同的子网当中。

当一个网口处于route模式，这个网口处理通过的流量时不nat，即ip包头中的源地址和端口号都保持不变。不像nat模式，连接在route模式网口下的主机必须具有公网ip，没有任何映射和虚拟ip可以被建立起来。

当一个网口处于nat模式，NetScreen会把从trust口往外的ip包中的源ip地址和源端口改掉，将源地址改为untrust口的ip地址，而且，更换源端口为一个随机的产生的端口。

如果将NetScreen作为route模式，则必须为trust口、untrust口和DMZ（如果用到）配置ip地址，如果作为transparent模式，就必须不能为这些口配置ip。 Manage ip和trust ip不是一回事，manage ip是供登录NetScreen作配置数据的，而trust ip是为了作成route模式必须要配的，同时它也作为trust网内的网关。但实际物理上都是由trust口来提供这两个ip的。实际上在web页面中也不允许将其配为一个ip。但用命令行可以强制地配成一个ip地址。

NetScreen204出厂配置所有的网卡的ip均为0.0.0.0，如果想让其作为transparent模式，不要分配地址给任何网卡。

14

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

如果配置设备成route模式，首先改变一个网口（ethernet1/trust、ethernet3/untrust或者ethernet2/DMZ）到layer 3区域，并配置其ip地址。这将自动改变其它网口到缺省的layer 3区域。可以用命令：

set interface zone

配置网口的ip地址，可以用下面的命令：是ip；是掩码。 set interface ip

也可以用/n来代理 ，n为多少位掩码。 可以用如下命令加网关：

set interface gateway

缺省状态下，NetScreen204不允许数据进出。如果希望从trust口到untrust口有外出流量，则必须建立一个外出访问策略。例如：

set policy from trust to untrust any any any permit（第一个any：源地址；第二个any：目的地址；第三个any：ip服务） 如果想得到所有的policy： get policy

设置防火墙的保护特性：

您可以绑定一个或多个网口到一个区域上，使在每一个网卡的基础上的唯一的保护策略生效。如下命令可以使网口的保护策略生效。 set interface screen 下面的option的选项以及简要描述： screen option fin-no-ack icmp-flood

特性描述

enable Fin bit with no ACK bit in flags protection enable icmp flood protection enable icmp fragment protection

enable too large icmp packet(>1024)protection

enable ip with bad option detection

icmp-fragment icmp-large

ip-bad-option ip-filter-src

filter ip src route option

enableip with loose source route option detection

ip-loose-src-route ip-record-route

enable ip with record route option detection

15

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

ip-security-opt ip-spoofing

enable ip with security option detection enable address spoofing protection

enable ip with stream option detection

enable address strict source route option detection enable address sweep protection enable ip with timestamp option detection enable land protection limit sessions blocks malicious URL

ip-stream-opt ip-strict-src-route ip-sweep

ip-timestamp-opt land

limit-session mal-url

ping-death port-scan syn-fin

enable ping of death protection enable port scan protecion

enable SYN & FIN bits set attack protection enable SYN folld protection

enable SYN frag packet detection

syn-flood syn-frag

tcp-no-flag tear-dorp udp-flood

enable TCP packet without flag protection enable teardrop protection enable udp flood protection

enable unknown protocol protection enable winnuke attack protecion

unknown-protocol winnuke

改变adminstrator的用户名和密码： set admin name set admin password save

2.3 建立与防火墙的初始连接

在完成硬件安装，确保一切正常后即可对防火墙设备进行上电和配置了。要对防 火墙进行配置，首先要建立与防火墙的连接，并确定配置防火墙的方法。NetScreen可以提供如下三种进行初始化配置的方法。

16

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

1. console口连接

使用随机附带的console线将防火墙与PC的串口相连，使用WINDOWS自带的超级终端软件或其他类似软件，登录初始用户名和密码分别是：NetScreen、NetScreen，即可进入NetScreen的配置界面。 超级终端的配置：

a）输入会话名称，如，firewall； b）选择连接时使用的通信接口，如，com1；

c）端口设置，使用“还原为默认值”，即，每秒位数9600、数据位8、停止位1； d）按下回车键2-3次，出现login；

图2-4 NS 100的console登录界面

2. telnet方式

由于NetScreen系列防火墙在初始状态都有一个自带的Manage IP，这个IP地址为192.168.1.1，因此可以将PC的地址配置成与Manage IP在同一个网段，用telnet的方式对防火墙进行配置。 3. WEB UI方式

Web UI方式是NetScreen系列防火墙的特有的配置方式，这种配置方式的实现也是基于Manage IP实现的，具体方法是PC的地址配置成与Manage IP（192.168.1.1）在同一个网段，在PC上启动IE或Netscape 浏览器，在地址栏中输入192.168.1.1，回车之后，正常情况下将弹出一个验证用户名和密码的对话框：

17

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

图2-5 NetScreen的web登录界面

在用户名和密码栏中分别填入NetScreen，回车后即可进入NetScreen防火墙的Web UI管理界面：

图2-6 Web UI管理界面

其中通过console和telnet登录后提供的是字符界面，而Web UI提供图形界面。字符界面的好处是配置可以根据应用的情况修改模板后，粘贴进界面即可完成配置。但命令行记忆起来令人生厌。Web UI管理界面的好处是不用记忆复杂的界面，但操作稍微复杂一些。

18

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

2.4 Web UI管理界面快速配置指南

在Web UI管理界面下，

点击左边列表菜单项“Configure”，在弹出的标签页中选择“Route Table”，可以配置内外网口的路由表；

点击左边列表菜单项“Admin”，在弹出的标签页中选择“Settings”，第一项就是我们刚刚在串口登录的时候配置的System IP Address：10.163.146.52；

点击左边列表菜单项“Interface”，在弹出的标签页中选择“Trusted”，如下图：

19

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

点击右边倒数第二项链接“Edit”，弹出如下页面：

20

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

此处要注意的一点就是，如果不用防火墙作NAT的话，必须把“Interface Mode”设置为“Route”，否则在后来配置Policy的时候会遇到麻烦，其他的选项就不用说了...，配置好之后，点击“Save and Reset”按钮就可以使内网口的配置生效了； 同样地配置untrusted外网口；

下面选择左边的列表菜单项“Service”，在弹出的标签页中选择“Custom”，如下：

21

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

点击下面的链接“New Service”就可以配置端口了，也就是图中的Service，如下图：

22

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

设置完毕我们允许外部访问的端口号以后，开始设置允许外部访问的内部地址； 点击左边列表菜单项“Address”，在弹出的标签页中选择“Trusted”，点击左下角的“New Address”链接，填入相应的项就OK了，如法泡制“UnTrusted”项； 点击左边列表菜单项“Policy”，我们主要是限制进来对我们itellin的访问，因此Outgoing项可以对所有的主机开放，仅仅配置Incoming就可以了，点击“Incoming”标签页，点击左下角的“New Policy”；

23

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

至此，配置基本的配置项就完成了。

2.5 NetScreen防火墙配置的总体思路

在配置防火墙前，首先要有一个总体思路，也就是按照什么样的思路去配置防火墙。下面的描述可能简单，但希望能起到抛砖引玉的作用。

防火墙的设置无非最后都要体现到一种策略上来，我们可以设置多种策略，允许这样、不允许那样，允许或不允许以什么样的方式来访问。但在设置这条策略时，涉及到很多的参数，所以又先要把这些参数一一设置好，才可以设置策略。先来看一条策略，就知道涉及到哪些参数了：

set policy id 7 from Untrust to Trust \Permit

从上面的语句可以知道：

set policy：关键字。告诉系统设置一条策略。 Id 7：id为策略号的关键字，7为该条策略的id号。

From …（untrust） to…（trust）:该策略是定义从哪里访问哪里的。这个“哪里”在防火墙中称为security zone（安全区）。Ns100只有三个口，缺省分别是trust、untrust、dmz区。Ns200系列的网口比较多，就可以设置多个区了。最简单也必须的是要设置两个区，因为防火墙肯定是至少来防止一边的火烧到另一边，如果设置为一个区，还要花几十万买一个防火墙来干什么。Ns缺省认为ethernet0口为trust区，接我们需要保护的区域，ethernet3为untrust区，当然就是接与我们有联系的其他网络了。还有个DMZ区，我们的应用通常用不着，不用管他。那所以为了这里的trust和untrust名称，我们就先要定义trust和untrust区，然后把ethernet1划入trust

24

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

区，ethernet3划入untrust区（当然可以把n个网口划入任何一个区）。由于区的名称已经内置了，我们只需要将各个网口划入各区即可： set interface ethernet1 zone trust set interface ethernet3 zone untrust

\：由三个部分组成。第一个部分为源地址组，第二个部分称为目的地址组，第三个部分称为service组。很显然，源地址组在from的那个区中，目的地址组在to的那个区中，service就是目的地址组能够开放给源的服务组。

有了这个组的概念就可以很方便地把访问策略相同的服务划归到一组，访问策略相同的地址划归到一组，这样就不用对于每一个访问策略和每一个地址都设置一条策略了。

有了这些组，我们就先要设置他们的组员了。 比如说设置一个untrust口的地址组中的地址：

set address untrust “untrust区的某地址” 11.1.1.1/24 其中set address是关键字，untrust表示该地址是哪个区的，“untrust区的某地址”表示这个地址的一个名字，11.1.1.1/24表示这个地址的ip和掩码（24位）。 地址设置好了，可以设置地址组，然后把地址加入：

set group address untrust “untrust区的某地址组” and “untrust区的某地址” 。前面很好理解，后面and是关键字，再后面是地址名。同理，只需要同样的语句，将后面地址名作改变，就可以加n多条地址进入这个地址组中了。这个思想同样体现在service中。

TCP/IP协议中的服务可以提供65535个，您凡是要提供的服务都要在防火墙中定义。想想可能麻烦，其实不然，如果几乎所有的服务都放开，那还要防火墙干什么呢？我们肯定是只放开少数服务。是不是每个服务都要像地址那样要定义呢？不，因为例如ftp、http这些知名服务谁都知道，就不用定义了，直接引用其协议名即可。只需定义您自己那些不知名的服务即可。 例如定义一个服务：

set service \protocol udp src-port 0-65535 dst-port 1812-1812 group \其中：

set service：设置service的关键字。 \：该service的名字。

25

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

protocol udp：协议是udp，或者根据实际情况填写tcp。

src-port 0-65535 dst-port 1812-1812：src-port 和dst-port是关键字，定义源和目的的端口号。一般服务器的端口是自己到自己，而客户端是一个随机的，所以定义0-65535。

group \：先把它定义到其它组，不定义到系统缺省的组，然后后面定义service组时再往里面加。

service设置好以后，可以设置service组了： set group service \很简单，将知名协议http加入到\组中。

以上都设置好了，就回到我们最开始的地方设置策略了。然后基本上就算完成了。其实防火墙还有很多设置，由于其缺省值一般都是禁止的，所以我们就不必再设置了。

2.6 NetScreen防火墙配置过程

以下以iTELLIN工程中使用到的防火墙NS204情况为例进行描述。

前提：这里默认您拿到手的是一台新的NS204防火墙，如果不是，请略过这一节继续往下看会有关于配置相关的解释内容。

在这里我们把itellin1和itellin2两台主机作为防护的对象，所以这两台主机应该是在防火墙受信任的一侧的，而作为Raduis Client的MA5200以及其下挂的PC机终端用户则作为不受信任的一侧，

TIP：在NS204型号的防火墙中，ethernet1一般用来作为trust端，ethernet3一般用来作为untrust端。 如下图：

假设：itellin1：10.163.164.54；itellin2：10.163.164.55；

26

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

NetScreen：Ethernet1： 10.163.164.1（准备使用的IP地址） Ethernet3： 192.168.215.1 system ip： 0.0.0.0 ma5200 ip：192.168.215.2 user ip： 11.1.1.2

TIP：这里最好先将system ip设置为0.0.0.0，这样的话在turst端或者untrust端访问防火墙的manager IP地址就自动的等于您配置的ethernet口的地址了。 1. 按照上图将防火墙的内外口（ethernet1、ethernet3）连线：

ethernet1网口和itellin1、itellin2在同一个lan switch 或者 hub上，三者在同一个网段内，并且配置相同的子网掩码；ethernet3网口和MA5200的上行口（HRB板上的eth口）连接在同一个lan switch 或者 hub上，且在我们的组网中，两者要在同一个网段内，并且配置相同的子网掩码； TIP：

在实际的组网中，MA5200的上行口地址不一定或者说肯定不会和我们的防火墙的eth3口在同一个网段内的，事实上5200和防火墙之间隔着很多的路由器或者其他的网桥等网络设备，是通过internet或者intranet进行连接的。 2. 准备登录防火墙、设置系统IP

准备一台PC机，使用串口线连接到防火墙上，波特率：9600bps，8bit，登录初始用户名和密码分别是：NetScreen、NetScreen，登录进去使用？可以列出所有的命令。

NetScreen-204出厂的默认SYSIP地址为：192.168.1.1，为了对NetScreen设备进行管理，可以根据自己的网络情况设置这个IP地址。下面的命令可以将这个IP地址进行更改为a.b.c.d：

ns204-> set admin sys-ip TIP：

一般情况下，我们可以使用命令：Ns204-> set admin sys-ip 0.0.0.0，将sys ip设置为0.0.0.0，这样的话，在ethernet1或者ethernet3侧的manager ip就会和ethernet1和ethernet3的网口IP地址一样了，就可以使用已经存在的网口地址进行web方式或者telnet式对NS204进行管理。

27

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

3. 设置网络接口（interface）的IP地址

NetScreen-204的每个网络接口（interface）的IP地址和子网掩码在出厂的时候默认设置为0.0.0.0 ，如果想让防火墙工作在透明模式（Transparent Mode）下，那么就无需对网络接口（interface）设置IP地址。

我们一般都会将设备配置在路由模式（Route Mode）下，首先要更改网络接口（interface，这里一般用Ethernet1作为Trust端，Ethernet3作为UnTrust端来使用）的安全区域（zone）为三层安全区域（默认情况下网络接口处于二层vlan区域V1-Trust和V1-Untrust中，三层区域防火墙内置的有Untrust Zone和Trust Zone），然后才可以配置网络接口（interface）的IP地址。所有的网络接口（interface）会全部自动转换到默认的三层区域中，而且默认会设置ethernet1/Trust为NAT模式、ethernet3/UnTrust为Route模式，在我们的应用中无需更改这个默认配置。下面的命令实现了上述功能：

这里表示网络接口的名字，如ethernet1、ethernet2，是区域的名字。

ns-> set interface zone ns-> save

我们这里要将ethernet1放到Trust区域中，ethernet3放到UnTrust区域中： ns204-> set interface ethernet1 zone trust ns204-> set interface ethernet3 zone untrust

将网络接口放入三层区域中后，我们就可以设置网络接口（interface）的IP地址了，命令格式如下所示，其中是我们要设置的网络接口（interface）的IP地址、是子网掩码：

ns-> set interface ip ns-> save

我们这里应该这样设置IP地址：

ns204-> set interface ethernet1 ip 10.163.164.1 255.255.255.0 ns204-> set interface ethernet3 ip 192.168.215.1 255.255.255.0

默认情况下，NetScreen-204既不允许Untrust侧访问Trust侧，也不允许Trust侧访问Untrust侧，我们必须设置策略以允许在Trust侧可以对Untrust侧进行访问： ns-> set policy from trust to untrust any any any permit ns-> save

使用命令：ns-> get policy 可以得到目前已经设置的所有策略。

28

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

4. 设置防火墙的攻击保护属性

我们可以将网络接口放到某个安全区域（zone）中，这样我们可以对网络接口受到攻击时候的保护选项进行设置，下面的命令可以开启这种功能中的每一项子功能：, ns-> set interface screen 5. 配置web管理界面

使用串口登录防火墙，使用命令：

ns204-> set interface ethernet1 manage web

这样就打开了防火墙在ethernet1网络接口侧的web管理功能选项。准备一台PC机，设置PC机的IP地址为10.163.164.2，打开IE浏览器，就可以使用web页面来访问防火墙了，在IE的地址栏中输入防火墙ethernet1网络接口的IP地址后可以打开web登录界面，输入用户名和密码：NetScreen、NetScreen就可以登录进入web管理界面了；

至此，配置基本的配置项就完成了。

NetScreen的web管理界面做的还是比较不错的，遵循下面的步骤就可以进行策略的设置了：

?

在web页面左侧Address菜单功能中可以对地址进行管理，可以将IP地址分组进行管理，也方便了在设置策略的时候集中对一批IP地址进行同样策略的设置； 在web页面左侧Interface菜单功能中可以设置ethernet3（UnTrust）侧的MIP（Mapped IP），MIP将ethernet1侧的一个IP地址映射为一个ethernet3侧的另外一个IP，这两个IP地址不在同一网段内，且MIP也可以不和ethernet3的接口IP地址在同一网段内，只要是一个合法的internet IP地址就可以了。

?

TIPS：

这里需要注意的是，NetScreen将MIP、DIP看作是一种global（全局）的资源，不属于哪一个安全区域（Untrust Zone或者Trust Zone），这样的话，在设置策略（policy）的时候要单独的将这些MIP、DIP提出来进行设置，就算设置Untrust Zone -> Trust Zone 或者 Trust Zone -> Untrust Zone的策略是Any To Any（放开所有权限）也对MIP没有任何影响和限制作用。

?

设置完了ethernet1侧和ethernet3侧的IP地址之后，就要设置一些安全策略了，在web页面左侧的Services菜单功能中可以添加或者修改、删除具体的每一条要应用的策略，该策略会在您允许(permit)/限制(deny)策略的时候以形象的名字出现，这个形象的名字取决于您在增加策略的时候怎么取。

在web页面左侧Policy菜单功能中就可以设置允许/限制策略的应用了，点击了Policy菜单之后，左边的页面上方是选择策略应用的方向是从哪个区域到哪个区

?

29

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

域，一般情况下，可以设置Trust Zone -> Untrust Zone 为Any To Any，而对于 Untrust Zone -> Trust Zone才设置具体的deny或者permit，您设置的Address和具体的策略都会在这里看到，而且您可以选择是进行deny还是permit。

2.7 NetScreen防火墙配置实例

模拟组网图见图2-7。 硬件以及软件版本信息： iTELLIN：R001B03D103 NS204：

NS2[HardWare Version：0110（0）－（12）] NS2[SoftWare Version：3.1.0r7.0]

NS1[HardWare Version：0110（0）－（11）] NS1[SoftWare Version：3.1.0r7.0] HA[Version：9.2.2]

30

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

图2-7 组网图

ISN8850： MA5100：

Terminal user OS：Windows2000 Professional 防火墙的配置过程：

ns204-> set admin sys-ip 0.0.0.0

#设置NS204防火墙的系统IP地址为0.0.0.0，防止防火墙向外发包的时候以这个地址发送；

ns204-> set clock zone -8 #设置时区为东八区

ns204-> set clock 07/15/2002 15:09

31

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

#设置NS204的系统时钟为当前时间

#注意：上面两个操作可以通过WebUI页面的Configure－>>Sync Time做到； ns204-> set interface ethernet3 zone Untrust

#设置ethernet3（网口3）所在的区为Untrust（不受信任的区域）； ns204-> set interface ethernet3 ip 10.76.1.1 255.255.255.0 #设置ethernet3的IP地址

ns204-> set interface ethernet1 zone Trust

#设置ethernet1（网口1）所在的区为Trust（受信任的区域）； ns204-> set interface ethernet1 ip 10.163.161.66/24

#设置ethernet1的IP地址，24指掩码中前24位为1，也就是netmask是：255.255.255.0；

ns204-> set mip 200.1.1.107 host 10.163.161.107 ns204-> set mip 200.1.1.108 host 10.163.161.108 ns204-> set mip 200.1.1.109 host 10.163.161.109 #设置内网的IP地址在外网口的映射IP #10.163.161.107 <-> 200.1.1.107 #10.163.161.108 <-> 200.1.1.108 #10.163.161.109 <-> 200.1.1.109

ns204-> set address Untrust \上接入的客户地址\

#设置通过8850接入的客户的IP地址池；

ns204-> set address untrust \的地址\#设置ISN8850的上行口的IP地址；

ns204-> set vroute untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 10.76.1.100

#设置通过ethernet3出去的确省路由为8850的上行链口的IP地址

ns204-> set group service \comment \ports 8850 required!\

#设置一个service组，将8850需要访问的iTELLIN的端口号码放到里面

32

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

ns204-> set service \dst-port 1812-1813 group other

ns204-> set group service \

#将1812和1813设置为一个service，并将该service放到8850required组中 ns204-> set group service \comment \from 8850 required\

#增加一个service组，将8850上的客户需要访问的端口号放到里面

ns204-> set service \protocol tcp src-port 1-65535 dst-port 7073-7073 group other ns204-> set group \

service

\

add

ns204-> set group service \ns204-> set group service \

#8850上的客户需要访问的端口号主要有7073（心跳）、http（portal）、https（ssl） ns204-> set group service \portal\

#设置一个service组，将PortalServer管理端需要访问的端口号放到里面； ns204-> set service \protocol tcp src-port 0-65535 dst-port 4700-4700

ns204-> set group service \\

add

ns204-> set service \9000-9000 group other

ns204-> set group service \comment \

#PortalServer管理端需要访问的PortalServer端的端口号：9000、4700，将两个端口号放到组

#\里面；

ns204-> set group service \comment \report required\

#设置一个service组，将Report管理端和客户端需要访问的端口号7070放到里面； ns204-> set service \7070-7070

33

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

ns204-> set group service \#将7070端口放到组\里面

ns204-> set group service \comment \manage port group\

#设置一个service组，将WMAS管理端需要访问的端口号放到里面；

ns204-> set service \8443-8443

ns204-> set group service \\

#将WMAS管理端需要访问的端口号8443放到里面；

ns204-> set group service \

#设置一个service组，将ISN和PortalServer之间进行交互时互相要访问的端口号放到里面；

ns204-> set service \protocol udp src-port 2001-2001 dst-port 1024-65535

ns204-> set group service \2001 to portal\

#portal认证方式的时候,PS从x端口向ISN的2000端口发送请求,ISN使用2001端口回送消息给PS的x端口

ns204-> set service \protocol udp src-port 0-65535 dst-port 50100-50100

ns204-> set group service \add \comment \

#ISN8850向PS发送主动下网消息的时候是发送到PS的50100端口，因此需要开发此端口

ns204-> set service \protocol tcp src-port 0-65535 dst-port 19996-19996

#设置smap访问ismp的端口号19996

ns204-> set group address untrust \#设置一个地址组，里面存放ISN8850的上行链口地址和8850上的客户地址池 ns204-> set group address untrust \add \

34

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

#将8850和8850上的客户端地址设置为1个组，允许其ping通portalserver ns204-> set address untrust \#设置一个地址10.76.1.12作为在外网口上一台管理工作站A

ns204-> set policy id 2 name \from Untrust to Trust \#设置一个策略，允许管理工作站A可以进行WMAS的管理

ns204-> set policy id 3 name \from Untrust to Trust \log

#设置一个策略，允许管理工作站A可以进行PortalServer的管理

ns204-> set policy id 7 name \from Untrust to Trust \#设置一个策略，允许管理工作站A可以进行Report的管理

ns204-> set policy id 6 name \\#设置主机10.76.1.12为WMAS和PortalServer、SMAP、Report的管理机器 ns204-> set policy id 0 name \from Trust to Untrust \\

#设置在itellin上可以随便访问外面的机器

ns204-> set policy id 1 name \from Untrust to Trust \#设置在8850和8850的客户端可以ping通itellin的portalwork

ns204-> set policy id 4 name \Trust \#设置在8850的客户端可以通过http和https方式访问itellin的portalwork ns204-> set policy id 5 name \from Untrust to Trust \#设置ISN到itellin上iscp的1812端口和1813端口

ns204-> set policy id 8 name \\

#设置ISN8850访问PortalServer时候PortalServer方面的端口号 ns204-> set interface ethernet3 screen icmp-flood

35

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

ns204-> set interface ethernet3 screen udp-flood ns204-> set interface ethernet3 screen winnuke ns204-> set interface ethernet3 screen port-scan ns204-> set interface ethernet3 screen tear-drop ns204-> set interface ethernet3 screen syn-flood ns204-> set interface ethernet3 screen ip-spoofing ns204-> set interface ethernet3 screen ping-death ns204-> set interface ethernet3 screen ip-filter-src ns204-> set interface ethernet3 screen land ns204-> set interface ethernet3 screen icmp-large

#上面set interface ethernet3 screen都是设置防火墙的入侵检测系统。

2.8 FAQ

1. 在浏览器URL栏输入NetScreen的system ip地址无法进入NetScreen的图形化界面。 分析：

可能是输入的NetScreen的system IP不正确。如正确仍不能进入，可能是System IP与本主机IP地址不在同一网段上。如在同一网段上仍不能进入，可能是设定了管理客户机IP，而AdminClientIP与本主机的IP地址不同，因此无法进入NetScreen的图形化界面。 解决：

通过超级终端串行控制口的命令行方式进入NetScreen，以：“NetScreen”为用户名和口令登录，输入命令：get system查看System IP与输入的System IP是否相同，如不相同，修改过来即可。如仍不能进入，通过串行控制口的命令行方式进入NetScreen，以\为用户名和口令登录 ，输入命令：get config查看是否设定了管理客户机IP Admin Client IP），如设定了，是否与主机的IP地址相同，如不相同， 修改相同后即可进入。

2. 在Windows95/98下可以进入NetScreen图形化界面，而在WindowsNT下却不能进入。 分析：

可能是设定了Admin Client IP，而Admin Client IP为Windows95/98的IP地 址，与Windows NT的IP地址不同，因此不能进入。 解决：

36

NetScreen 防火墙配置

第2章 NetScreen系列防火墙基本原理

修改两者任何一个后即可进入。

3. 用网线连接NetScreen 防火墙的Trusted端口或Untrusted端口，但端口的指示灯不亮，即没有接通。 分析：

可能是网线有问题。 可能是直通缆和交叉缆用错。 解决：

换一条正确的网线即可

注：Untrust端口接路由器和主机用交叉缆，接集线器用直通缆； DMZ、Trust端口接路由器和主机用直通缆，接集线器用交叉缆；

4. 防火墙从1.57版本升级到1.61版本，又降为1.57版本。输入用户名和password后，无法进入防火墙管理界面。 分析：

NetScreen防火墙1.5版本系列和1.6版本系列的log存储在不同的config里面，如果1.5和1.6版本所设用户名和password不一样，当降版本后，用1.6版本时的用户名和password就不能进入1.5版本的防火墙。 解决：

用原来1.57版本时的用户名和password，就能进入防火墙管理界面。 5. 如何上载系统配置、如何下载当前系统配置。

进入NetScreen的图形化界面，单击左侧工具栏中的“Admin”，选中“Admin”一项。在“Configuration Script Upload”一栏后的空白框，输入原系统配置的软件所在位置，或按“浏览”键，选中软件所在位置，再按最下边的“Apply”键，即可上载原系统配置。按最下边的“Download Configuration”后，可将系统当前配置下载到本地硬盘。 注：更改password时应首先输入正确的原password。

37

第3章 NetScreen防火墙配置实验

3.1 实验一：NetScreen防火墙的网络连接与基本配置（4学时）

3.1.1 实验目的

熟悉NetScreen防火墙的初始网络连接以及WebUI管理界面的快速配置，设计基本的网络结构，加深对网络拓扑结构的理解。（3-4人/组）

3.1.2 基本要求

掌握NetScreen防火墙如何连接到现有网络，作此实验前首先要划出网络拓扑结构图，根据结构图将防火墙连接到网络中。学生可先研究下图，而后自行设计拓扑结构图。

NetScreen设备的重起到出厂设置：

1. 按下reset孔，持续4到6秒，状态指示灯呈现琥珀色闪烁； 2. 当状态指示灯显示绿色后，拔出针；

3. 而后在2秒之内再次按下reset孔，持续4到6秒，状态指示灯呈现红色闪烁5秒； 4. 此时设备恢复到出厂设置；

通过命令行和WebUI界面熟悉防火墙的基本概念：区域、接口、接口模式、策略，参考本指导书的2.2、2.3、2.4等相关章节的内容；

课下认真研读NetScreen概念与范例参考指南的PDF文档；

38

3.2 实验二：NetScreen防火墙透明模式的配置（4学时）

3.2.1 实验目的

掌握防火墙透明模式的原理及实现方法。（3-4人/组）

3.2.2 基本要求

学生自行设计网络拓扑结构图将防火墙用作透明模式。进一步熟悉防火墙的基本概念：区域、接口、接口模式、策略、策略元素、MIP、VIP、DIP，参考指导书的2.2、2.3、2.4等章节以及NetScreen概念与范例参考指南的第2卷基本原理——〉接口模式——〉透明模式。要求内外网络可以畅通无阻（ping命令应能顺利通过防火墙）。

熟悉策略组成的基本元素：地址、服务、用户等。了解本指导书2.5节所介绍的防火墙的基本配置思路，为下面的实验打好基础。 熟悉命令行（CLI）和WEBUI界面的配置方法。

39

3.3 实验三：NetScreen防火墙路由模式的配置（4学时）

3.3.1 实验目的

掌握路由模式的实验原理和实现方法，掌握策略的建立以及策略中所用元素的维护。（4-6人/组）

3.3.2 基本要求

学生自行设计网络拓扑结构图，实现防火墙的接口路由模式，应能使PING命令通过防火墙。

要求建立适当策略，

1. 使网内部分计算机通过防火墙（PING通过），而指定的计算机不能通过防火墙； 2. 外网计算机不能访问内网计算机；

3. 外网只能访问内网SQLServer服务（或HTTP、FTP）；

进一步熟悉策略组成的基本元素：地址、服务、用户等。了解本指导书2.5节所介绍的防火墙的基本配置思路，为下面的实验打好基础。

参考NetScreen概念与范例参考指南的第2卷基本原理——〉接口模式——〉路由模式以及本指导书的2.2、2.4等章节。

熟悉命令行（CLI）和WEBUI界面的配置方法。

40

3.4 实验四：NetScreen防火墙NAT模式的配置（4学时）

3.4.1 实验目的

掌握NAT模式的实验原理和实现方法，掌握基于接口NAT的配置方法，掌握基于策略NAT的配置方法，掌握MIP、VIP、DIP的不同。（4-6人/组）

3.4.2 基本要求

1. 基于接口的NAT模式

学生自行设计网络拓扑结构图实现基于接口的NAT模式，应能使外网访问内网的SQLServer服务（或HTTP、FTP）。

参考NetScreen概念与范例参考指南的第2卷基本原理——〉接口模式——〉NAT模式、第2卷基本原理——〉接口——〉映射IP地址以及本指导书的2.6等章节。 将实验中的VIP换成MIP再做一边，比较MIP与VIP的区别。 2. 基于策略的NAT模式

学生自行设计网络拓扑结构图，参考NetScreen概念与范例参考指南的第2卷基本原理——〉接口模式——〉路由模式——〉基于策略的NAT，在UnTrust接口上做DIP，使得外网用户无法知道内网使用的哪个IP。

41

本文来源：https://www.bwwdw.com/article/n4np.html