Netscreen配置手册整理 - 图文

Netscreen 简单的上网和端口映射设置

1、进入字符配置界面：

用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是NETSCREEN。 2、进入WEB配置界面：

用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。打开IE

浏览器输入http: /192.168.1.11（192.168.1.11为E1端口管理IP），用户名，密码都是NETSCREEN。 3、配置端口IP和管理IP：

E1：内部网端口

端口IP192.168.1.20和管理IP192.168.1.11

更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理NETSCREEN防火墙。 E3: 外网端口

端口IP192.168.42.66和管理IP192.168.42.68

更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理NETSCREEN防火墙。

4、配置由内网到外网的NAT：

在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：

Zone Name: Trust

IP Address/Netmask: 172.16.40.11/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：

Zone Name: Untrust

IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。

3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK： ID: 6

IP Address Range

Start: 215.3.4.12（当地电信所分配的IP地址）

End: 215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）

Port Translation: Enable

4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，

然后单击OK：

Source Address:

Address Book: （选择） , Any

Destination Address:

Address Book: （选择） , Any

Service: Any

Action: Permit

> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：

NAT: On

DIP On:（选择） , 6 (215.3.4.12–215.3.4.210)：上一步设的地址池。 5、配置由外网到内网的VIP：

在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：

Zone Name: Trust

IP Address/Netmask: 10.1.1.1/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：

Zone Name: Untrust

IP Address/Netmask: 210.1.1.1/24（当地电信所分配的IP地址） VIP

3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：

Virtual IP Address: 210.1.1.10（对外的服务器地址）

4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：

Virtual Port: 80

Map to Service: HTTP (80)：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）

Map to IP: 10.1.1.10（此为服务器本身IP，内网IP） 策略

5. Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：

Source Address:

Address Book:（选择）, ANY

Destination Address:

Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址

Service: HTTP（WEB服务器选项）

Action: Permit

恢复Netscreen到出厂设置

一、使用序列号恢复出厂设置

如果你忘记了admin的口令，你可以通过下列方法步骤恢复Netscreen设备到出厂设置。这个过程将摧毁所有存在的配置，但是可以使用netscreen/netscreen来访问设备。 警告！重启设备将会删除所有配置，防火墙和VPN设备将失效。 这个步骤必须在console连接下操作。

1．在登录用户名提示时，输入设备序列号（serial number）。 2．在口令提示时，再次输入序列号。 将显示如下信息:

!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration, keys and settings. Would you like to continue? y/[n] 3.按y键. 将显示如下信息:

!! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed, the device will return to factory default configuration,which is: System IP: 192.168.1.1; username: netscreen; password: netscreen. Would you like to continue? y/[n] 4.按y键，重启设备.

现在你能用netscreen作用户名和口令登录设备了。

注意：在重置设备后，应该及时备份新的配置。这将使你在恢复系统口令的时候能迅速恢复以前的配置。 注意：设备恢复出厂设置功能是开放的。你可以在命令行下输入：unset admin device-reset关闭这个功能。 二、使用恢复针孔恢复出厂设置

对于5、25、50、200系列防火墙可以使用恢复针孔恢复设备到出厂设置。使用这个操作，必须在console连接状态下。

1．恢复针孔位于设备的前面板。用一个细的坚硬的金属丝（如回形针），插入针孔按住4到6秒然后放开。在控制台上可以出现一段连续的控制信息““Configuration Erasure Process has been initiated”。并且系统会发送一个SNMP/SYSLOG警告。面板上的状态灯每秒闪烁一次。

2．等待1.5到2秒钟。第一次重置完成，电源灯闪烁绿色；现在设备等待第二次启动。控制台信息“Waiting for 2nd confirmation.”

3．再次按住针孔4到6秒。状态灯变成琥珀色长亮1.5秒，然后回到绿色闪烁状态。 4．设备被重置到出厂设置。

当设备被重置后，状态灯变成琥珀色1.5秒，然后变回绿色闪烁状态。控制台信息“Configuration Erase sequence accepted, unit reset.”系统生成SNMP和SYSLOG警告，配置SYSLOG或者SNMP陷阱主机。

注意：在恢复期间，不能保证在恢复前应该收到的SNMP警告还能被收到。 5．现在设备被重启。

如果你没有完成上述步骤，重置过程将被取消，任何配置不会被改变。并且控制台信息“Configuration Erasure Process aborted.”状态灯变成绿色闪烁。如果设备没有被重置，会发出一个SNMP警报，确认失败信息。

Netscreen ipsec vpn配置案例

ssg5-serial-> get config Total Config size 5061: set clock timezone 0

set vrouter trust-vr sharable set vrouter \exit

set vrouter %unset auto-route-export exit

set service \set service \自定义断口 set auth-server \

set auth-server \set auth default auth server \set auth radius accounting port 1646 set admin name \

set admin password \

set admin user \set admin auth timeout 10 set admin auth server \set admin format dos

set zone \set zone \set zone \set zone \set zone \Tun\set zone \set zone %unset zone \set zone \set zone %unset zone \

set zone \set zone \set zone \set zone \set zone \set zone \set zone \death set zone \set zone \

ICMP数据包 重定向出错

当I P数据报 应该被发送到另一个路由器时，收到数据报 的路由器就要发送ICMP重定向差错报文给I P数据报 的发送端。这在概念上是很简单的，正如图9 - 3所示的那样。只有当主机可以选择路由器发送分组的情况下，我们才可能看到ICMP重定向报文（回忆我们在图7 - 6中看过的例子）

1) 我们假定主机发送一份I P数据报 给R 1。这种选路决策经常发生，因为R 1是该主机的默认路由。

2) R1收到数据报并且检查 它的路由表，发现R 2是发送该数据报的 下一站。当它把数据报发送给R 2时，R 1检测到它正在发送的接口与数据报到达 接口是相同的（即主机和两个路由器所在的L A N）。这样就给路由器发送重定向报文给原始发送端提供了线索。

3) R1 发送一份ICMP重定向报文给主机，告诉它以后把数 据报发送给R 2而不是R 1。 重定向一般用来让具有很少选路信息的主机逐渐建立更完善的路由表。主机启动时路由表中可以只有一个默认表项（在图9 -3所示的例子中，为R 1或R2）。一旦默认路由发生差错，默认路由器将通知它进行重定向，并允许主机对路由表作相应的改动。ICMP重定向允许TCP/IP主机在进行选路时不 需要具备智能特性，而把所有的智能特性放在路由器端。显然，在我们的例子中，R 1和R2 必须知道有关相连网络的更多拓扑结构的信息，但是连在LAN上的所有主机在启动时只需一个默认路由，通过 接收重定向报文来逐步学习。 9.5.1 一个例子

可以在我们的网络上观察到 ICMP重定向的操作过程（见封二的图）。尽管在拓扑图中只画出了三台主机（aix,solaris和gemini和两台路由器（gateway和 netb），但是整个网络有超过150台 主机和10台另外的路由器。大多数的主机都把gateway指定为默认路由器，因为它提供了Internet的入口。 子网140.252.1上的主机是如何访问作者所在子网（图中底下的四台主机）的呢？首先，如果在SLIP链路的一端只有一台主机，那么就要使用代理 ARP（4.6节）。这意味着位于拓扑图顶部的子网（140.252.1）中的主机不需要其他特殊条件就可以访问主机 sun（140.252.1.29）。位于netb上的代理A R P软件处理这些事情。

但是，当网络位于SLIP链路 的另一端时，就要涉及到选路了。一个办法是让所有的主机和路由器都知道路由器netb是网络140.252.13的网关。这可以在每个主机的路由表中设置静态路由，或者在每个主 机上运行守护程序来实现。另一个更简单的办法（也是实际采用的方法）是利用ICMP重定向报文来实现。

以下内容需要回复才能看到在位于网络顶部的主机solaris上运 行ping程序到主机bsdi(140.252.13.35)。由于子网号不相同，代理ARP不能使用。假定没有安装静态路由，发送的第一个分组将采用到 路由器gateway的默认路由。下面是我们运行ping程序之前的路由表：

（224.0.0.0所在的表项是IP广播地址。我们将在第12章讨论）。如果为ping程序指定-v选项，可以看到主机接收到的任何ICMP报 文。我们需要指定该选项以观察发送的重定向报文。

在收到ping程序的第一个响应之前，主机先收到一份来自默认路由器gateway发来的ICMP重定向报文。如果这时查看路由表，就会发现已经插 入了一个到主机bsdi的新路由（该表项如以下黑体字所示）。

这是我们第一次看到D标志，表示该路由是被ICMP重定向报文创建的。G标志说明这是一份到达gateway(netb）的间接路由，H标志则说明 这是一个主机路由（正如我们期望的那样），而不是一个网络路由。

由于这是一个被主机重定向报文增加的主机路由，因此它只处理到达主机bsdi的报文。如果我们接着访问主机svr4，那么就要产生另一个ICMP重定向报 文，创建另一个主机路由。类似地，访问主机slip也创建另一个主机路由。位于子网上的三台主机（bsdi,svr4和slip）还可以由一个指向路由器 sun的网络路由来进行处理。但是 ICMP重定向报文创建的是主机路由，而不是网络路由，这是因为在本例中，产生ICMP重定向报文的路由器并不知道位于140.252.13网络上的子网信息。 9.5.2 更多的细节

ICMP重定向报文的格式如图9 - 4所示。

有四种不同类型的重定向报文，有不同的代码值，如图9 - 5所示。

ICMP重定向报文的接收者必须查看三个I P地址：( 1 )导致重定向的I P地址（即ICMP重定向报文的数据位于I P数据报的首部）；

( 2 )发送重定向报文的路由器的I P地址（包含重定向信息的I P数据报中的源地址；( 3 )应该采用的路由器I P地址（在ICMP报文中的4 ~ 7字节）。

关于ICMP重定向报文有很多规则。首先，重定向报文只能由路由器生成，而不能由主机生成。另外，重定向报文是为主机而不是为路由器使用的。假定路由器和 其他一些路由器共同参与某一种选路协议，则该协议就能消除重定向的需要（这意味着在图9 -1中的路由表应该消除或者能被选路守护程序修改，或者能被重定向报文修改，但不能同时被二者修改）。

在4 . 4 BSD系统中，当主机作为路由器使用时，要进行下列检查。在生成ICMP重定向报文之前这些条件都要满足。

1) 出接口必须等于入接口。

2) 用于向外传送数据报的路由不能被ICMP重定向报文创建或修改过，而且不能是路由器的默认路由。

3)数据报不能用源站选路来 转发。 4) 内核必须配置成可以发送重定向报文。

内核变量取名为ip_sendredirects或其他类似的名字（参见附录E）。大多数当前的系统（例如BSD、SunOS4.1.x、 Solaris 2.x 及AIX3.2.2）在默认条件下都设置该变量，使系统可以发送重定向报文。其他系统如SVR4则关闭了该项功能。

另外，一台4 . 4 BSD主机收到ICMP重定向报文后，在修改路由表之前要作一些检查。这是为了防止路由器或主机的误操作，以及恶意用户的破坏，导致错误地修改系统路由 表。 1) 新的路由器必须直接与网络相连接。

2) 重定向报文必须来自当前到目的地所选择的路由器。 3) 重定向报文不能让主机本身作为路由器。 4) 被修改的路由必须是一个间接路由。

关于重定向最后要指出的是，路由器应该发送的只是对主机的重定向（代码1或3，如图9 - 5所示），而不是对网络的重定向。子网的存在使得难于准确指明何时应发送对网络的重定向而不是对主机的重定向。只当路由器发送了错误的类型时，一些主机才把收到的对网络的重定向当作对主机的重定向来处 理。

Juniper netscreen 防火墙三种部署模式及基本配置

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是： ① 基于TCP/IP协议三层的NAT模式； ② 基于TCP/IP协议三层的路由模式； ③ 基于二层协议的透明模式。 2.1、NAT模式

当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往 Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：

① 注册IP地址（公网IP地址）的数量不足；

② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；

③ 内部网络中有需要外显并对外提供服务的服务器。 2.2、Route-路由模式

当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；

② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。 路由模式应用的环境特征：

① 注册IP（公网IP地址）的数量较多；

② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；

③ 防火墙完全在内网中部署应用。 2.3、透明模式

当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点： ① 不需要修改现有网络规划及配置；

② 不需要为到达受保护服务器创建映射或虚拟 IP 地址； ③ 在防火墙的部署过程中，对防火墙的系统资源消耗最低。 2.4、基于向导方式的NAT/Route模式下的基本配置

Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。 注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。

通过Web浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下： ① 缺省IP：192.168.1.1/255.255.255.0； ② 缺省用户名/密码：netscreen/ netscreen；

注：缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找！！ 在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。 防火墙配置规划：

① 防火墙部署在网络的Internet出口位置，内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段，内部网络计算机 的网关地址为防火墙内网端口的IP地址：192.168.1.1；

② 防火墙外网接口IP地址（通常情况下为公网IP地址，在这里我们使用私网IP地址模拟公网IP地址） 为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251 要求：

实现内部访问Internet的应用。

注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。

1. 通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网 段，直接相连）。 2. 使用缺省IP登录之后，出现安装向导：

注：对于熟悉Juniper防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。

3. 使用向导配置防火墙，请直接选择：Next，弹出下面的界面： 4. “欢迎使用配置向导”，再选择Next。

注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个 用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。

5. 在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式： 选择Enable NAT，则防火墙工作在NAT模式； 不选择Enable NAT，则防火墙工作在路由模式。

6. 防火墙设备工作模式选择，选择：Trust-Untrust Mode模式。这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。

注：NS-5GT防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不 同的环境。目前，除NS-5GT以外，Juniper其他系列防火墙不存在另外两种模式的选择。

7. 完成了模式选择，点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个选项分别是：DHCP自动获取IP地址；通过PPPoE拨号获得 IP地址；手工设置静态IP地址，并配置子网掩码和网关IP地址。

在这里，我们选择的是使用静态IP地址的方式，配置外网端口IP地址为：10.10.10.1/255.255.255.0，网关地址 为：10.10.10.251。

8.完成外网端口的IP地址配置之后，点击“Next”进行防火墙内网端口IP配置：

9. 在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行DHCP服务器配置。 注：DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。

注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能，由防火墙设备给内部计算机用户自动分配IP地址，分配的地址段 为：192.168.1.100-192.168.1.150一共51个IP地址，在分配IP地址的同时，防火墙设备也给计算机用户分配了DNS服务器地 址，DNS用于对域名进行解析，如：将错误！超链接引用无效。地址：202.108.33.32。如果计算机不能获得或设置DNS服务器地址，无法访问互 联网。

10. 完成DHCP服务器选项设置，点击“Next”会弹出之前设置的汇总信息： 11. 确认配置没有问题，点击“Next”会弹出提示“Finish”配置对话框： 在该界面中，点选：Finish之后，该Web页面会被关闭，配置完成。

此时防火墙对来自内网到外网的访问启用基于端口地址的NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：

策略：策略方向由Trust到Untrust，源地址：ANY，目标地址：ANY，网络服务内容：ANY； 策略作用：允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。

重新开启一个IE页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对 防火墙的现有配置进行修改。 总结：

上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙 应用。 2.5、基于非向导方式的NAT/Route模式下的基本配置

基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个管理方式不受接口IP地址的影响。

注：在设备缺省的情况下，防火墙的信任区（Trust Zone）所在的端口是工作在NAT模式的，其它安全区所在的端口是工作在路由模式的。

基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）： 2.5.1、NS-5GT NAT/Route模式下的基本配置

注：NS-5GT设备的物理接口名称叫做trust和untrust；缺省Zone包括：trust和untrust，请注意和接口区分开。

① Unset interface trust ip （清除防火墙内网端口的IP地址）； ② Set interface trust zone trust（将内网端口分配到trust zone）；

③ Set interface trust ip 192.168.1.1/24（设置内网端口的IP地址，必须先定义zone，之后再定义IP地址）；

④ Set interface untrust zone untrust（将外网口分配到untrust zone）； ⑤ Set interface untrust ip 10.10.10.1/24（设置外网口的IP地址）；

⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251（设置防火墙对外的缺省路由网关地址）；

⑦ Set policy from trust to untrust any any any permit log（定义一条由内网到外网的访问策略。策略的方向是：由zone trust 到 zone untrust， 源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit允许，log：开启日志记录）； ⑧ Save （保存上述的配置文件）。

2.5.2、NS-25-208 NAT/Route模式下的基本配置

① Unset interface ethernet1 ip（清除防火墙内网口缺省IP地址）；

② Set interface ethernet1 zone trust（将ethernet1端口分配到trust zone）；

③ Set interface ethernet1 ip 192.168.1.1/24（定义ethernet1端口的IP地址）； ④ Set interface ethernet3 zone untrust（将ethernet3端口分配到untrust zone）； ⑤ Set interface ethernet3 ip 10.10.10.1/24（定义ethernet3端口的IP地址）；

⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251（定义防火墙对外的缺省路由网关）；

⑦ Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制策略）； ⑧ Save （保存上述的配置文件）

注：上述是在命令行的方式上实现的NAT模式的配置，因为防火墙出厂时在内网端口（trust zone所属的端口）上启用了NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust和DMZ区的端口。

如果需要将端口从路由模式修改为NAT模式，则可以按照如下的命令行进行修改： ① Set interface ethernet2 NAT （设置端口2为NAT模式） ② Save 总结：

① NAT/Route模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署，不需要做NAT-地址转换，这 种情况下防火墙所有端口都处于Route模式，防火墙首先作为一台路由器进行部署）；

② 关于配置举例，NS-5GT由于设备设计上的特殊性，因此专门列举加以说明；Juniper在2006年全新推出的SSG系列防火墙，除了端口命名不一 样，和NS-25等设备管理配置方式一样。 2.6、基于非向导方式的透明模式下的基本配置

实现透明模式配置建议采用命令行的方式，因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通 过如下命令及步骤进行二层透明模式的配置： ① Unset interface ethernet1 ip（将以太网1端口上的默认IP地址删除）；

② Set interface ethernet1 zone v1-trust（将以太网1端口分配到v1-trust zone：基于二层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且不能在该端口上配置IP地址）； ③ Set interface ethernet2 zone v1-dmz（将以太网2端口分配到v1-dmz zone）； ④ Set interface ethernet3 zone v1-untrust（将以太网3端口分配到v1-untrust zone）；

⑤ Set interface vlan1 ip 192.168.1.1/24（设置VLAN1的IP地址为：192.168.1.1/255.255.255.0，该地址作为防火墙管理IP地址使 用）；

⑥ Set policy from v1-trust to v1-untrust any any any permit log（设置一条由内网到外网的访问策略）；

⑦ Save（保存当前的配置）； 总结：

① 带有V1-字样的zone为基于透明模式的安全区，在进行透明模式的应用时，至少要保证两个端口的安全区工作在二层模式；

② 虽然Juniper防火墙可以工作在混合模式下（二层模式和三层模式的混合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混 用：NAT和路由）。

netscreen 防火墙Active-Active典型配置

昨天做了一个netscreen 防火墙Active-Active典型配置（包括交换机配置）拿出来给大家一起分享。以下是详细配置： nsacfg

set clock timezone 0

set vrouter trust-vr sharable set vrouter \exit

set vrouter %unset auto-route-export exit

set alg appleichat enable

unset alg appleichat re-assembly enable set alg sctp enable

set auth-server \

set auth-server \set auth default auth server \set auth radius accounting port 1646 set admin name \

set admin password \set admin auth web timeout 10 set admin auth server \set admin format dos

set zone \set zone \set zone \set zone \set zone \Tun\set zone \set zone %unset zone \set zone \set zone \set zone %unset zone \

set zone \set zone \set zone \death set zone \set zone \

set zone \set zone \

set zone \set zone \set zone \

set interface id 80 \set interface id 81 \set interface \set interface \set interface \set interface ethernet0/1 group redundant1 set interface ethernet0/2 group redundant1 set interface ethernet0/3 group redundant2 set interface ethernet0/4 group redundant2 unset interface vlan1 ip

set interface redundant1 ip 100.1.1.4/24 set interface redundant1 route

set interface redundant2 ip 192.168.1.4/24 set interface redundant2 nat

set interface redundant1:1 ip 100.1.1.5/24 set interface redundant1:1 route

set interface redundant2:1 ip 192.168.1.5/24 set interface redundant2:1 nat

unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip

set interface redundant1 manage-ip 100.1.1.1 set interface redundant2 manage-ip 192.168.1.1 set interface redundant1 ip manageable unset interface redundant2 ip manageable set interface redundant1:1 ip manageable set interface redundant2:1 ip manageable unset flow no-tcp-seq-check set flow tcp-syn-check unset flow tcp-syn-bit-check

set flow reverse-route clear-text always set flow reverse-route tunnel always set hostname NS-A

set pki authority default scep mode \set pki x509 default cert-path partial set nsrp cluster id 1 set nsrp cluster name test set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 50 set nsrp vsd-group id 0 preempt set nsrp vsd-group id 1 priority 100 set nsrp vsd-group id 1 preempt

set nsrp secondary-path ethernet0/3 set nsrp monitor interface redundant1 set nsrp monitor interface redundant2 set dns host dns1 0.0.0.0 set dns host dns2 0.0.0.0 set dns host dns3 0.0.0.0 set ike respond-bad-spi 1

set ike ikev2 ike-sa-soft-lifetime 60 unset ike ikeid-enumeration unset ike dos-protection

unset ipsec access-session enable set ipsec access-session maximum 5000 set ipsec access-session upper-threshold 0 set ipsec access-session lower-threshold 0 set ipsec access-session dead-p2-sa-timeout 0 unset ipsec access-session log-error

unset ipsec access-session info-exch-connected unset ipsec access-session use-error-log set vrouter \exit

set vrouter \exit

set url protocol websense exit

set policy id 2 from \set policy id 2 exit

set policy id 1 from \set policy id 1 exit

set nsmgmt bulkcli reboot-timeout 60 set ssh version v2 set config lock timeout 5 unset license-key auto-update set snmp port listen 161 set snmp port trap 162 set vrouter \exit

set vrouter %unset add-default-route

set route 0.0.0.0/0 interface redundant1 gateway 100.1.1.254 set route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.253 exit

set vrouter \

exit

set vrouter \exit nsbcfg

set clock timezone 0

set vrouter trust-vr sharable set vrouter \exit

set vrouter %unset auto-route-export exit

set alg appleichat enable

unset alg appleichat re-assembly enable set alg sctp enable

set auth-server \

set auth-server \set auth default auth server \set auth radius accounting port 1646 set admin name \

set admin password \set admin auth web timeout 10 set admin auth server \set admin format dos

set zone \set zone \set zone \set zone \set zone \Tun\set zone \set zone %unset zone \set zone \set zone \set zone %unset zone \

set zone \set zone \set zone \death set zone \set zone \

set zone \

set zone \set zone \set zone \set zone \

set interface id 80 \set interface id 81 \set interface \set interface \set interface \set interface ethernet0/1 group redundant1 set interface ethernet0/2 group redundant1 set interface ethernet0/3 group redundant2 set interface ethernet0/4 group redundant2 unset interface vlan1 ip

set interface redundant1 ip 100.1.1.4/24 set interface redundant1 route

set interface redundant2 ip 192.168.1.4/24 set interface redundant2 nat

set interface redundant1:1 ip 100.1.1.5/24 set interface redundant1:1 route

set interface redundant2:1 ip 192.168.1.5/24 set interface redundant2:1 nat

unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip

set interface redundant1 manage-ip 100.1.1.2 set interface redundant2 manage-ip 192.168.1.2 set interface redundant1 ip manageable unset interface redundant2 ip manageable set interface redundant1:1 ip manageable set interface redundant2:1 ip manageable unset flow no-tcp-seq-check set flow tcp-syn-check unset flow tcp-syn-bit-check

set flow reverse-route clear-text always set flow reverse-route tunnel always set hostname NS-B

set pki authority default scep mode \set pki x509 default cert-path partial set nsrp cluster id 1 set nsrp cluster name test set nsrp rto-mirror sync

set nsrp vsd-group id 0 priority 100 set nsrp vsd-group id 0 preempt set nsrp vsd-group id 1 priority 50

set nsrp vsd-group id 1 preempt set nsrp secondary-path ethernet0/3 set nsrp monitor interface redundant1 set nsrp monitor interface redundant2 set dns host dns1 0.0.0.0 set dns host dns2 0.0.0.0 set dns host dns3 0.0.0.0 set ike respond-bad-spi 1

set ike ikev2 ike-sa-soft-lifetime 60 unset ike ikeid-enumeration unset ike dos-protection

unset ipsec access-session enable set ipsec access-session maximum 5000 set ipsec access-session upper-threshold 0 set ipsec access-session lower-threshold 0 set ipsec access-session dead-p2-sa-timeout 0 unset ipsec access-session log-error

unset ipsec access-session info-exch-connected unset ipsec access-session use-error-log set vrouter \exit

set vrouter \exit

set url protocol websense exit

set policy id 2 from \set policy id 2 exit

set policy id 1 from \set policy id 1 exit

set nsmgmt bulkcli reboot-timeout 60 set ssh version v2 set config lock timeout 5 unset license-key auto-update set snmp port listen 161 set snmp port trap 162 set vrouter \exit

set vrouter %unset add-default-route

set route 0.0.0.0/0 interface redundant1 gateway 100.1.1.254 set route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.253 exit

set vrouter \exit

set vrouter \exit

switch-a-100.1.8.251-confg !

version 12.2 no service pad

service timestamps debug uptime service timestamps log uptime no service password-encryption !

hostname Switch-A-100.1.8.251 !

enable secret 5 $1$CSWQ$7r6nWGDFnlCwGcfsViFB90 !

no aaa new-model ip subnet-zero ip routing ! ! ! ! ! !

no file verify auto spanning-tree mode pvst spanning-tree extend system-id !

vlan internal allocation policy ascending ! !

interface FastEthernet0/1 switchport access vlan 100 switchport mode access !

interface FastEthernet0/2 switchport access vlan 100 switchport mode access !

interface FastEthernet0/3 !

interface FastEthernet0/4 !

interface FastEthernet0/5 !

interface FastEthernet0/6 !

interface FastEthernet0/7 !

interface FastEthernet0/8 !

interface FastEthernet0/9 !

interface FastEthernet0/10 !

interface FastEthernet0/11 !

interface FastEthernet0/12 !

interface FastEthernet0/13 !

interface FastEthernet0/14 !

interface FastEthernet0/15 !

interface FastEthernet0/16 !

interface FastEthernet0/17 switchport access vlan 10 switchport mode access !

interface FastEthernet0/18 switchport access vlan 10 switchport mode access !

interface FastEthernet0/19 switchport access vlan 10 switchport mode access !

interface FastEthernet0/20 switchport access vlan 10 switchport mode access !

interface FastEthernet0/21 switchport access vlan 10

switchport mode access !

interface FastEthernet0/22 switchport access vlan 10 switchport mode access !

interface FastEthernet0/23 switchport access vlan 10 switchport mode access !

interface FastEthernet0/24 switchport access vlan 10 switchport mode access !

interface FastEthernet0/25 switchport access vlan 10 switchport mode access !

interface FastEthernet0/26 switchport access vlan 10 switchport mode access !

interface FastEthernet0/27 switchport access vlan 10 switchport mode access !

interface FastEthernet0/28 switchport access vlan 10 switchport mode access !

interface FastEthernet0/29 switchport access vlan 10 switchport mode access !

interface FastEthernet0/30 switchport access vlan 10 switchport mode access !

interface FastEthernet0/31 switchport access vlan 10 switchport mode access !

interface FastEthernet0/32 switchport access vlan 10

本文来源：https://www.bwwdw.com/article/p0kt.html