资源描述:
《NETSCREEN防火墙配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、NetScreen防火墙配置指导书NetScreenOS5.0目录1NETSCREEN的管理31.1访问方式31.2用户61.3日志71.4性能81.5其他常用维护命令92NETSCREEN防火墙的规划和配置步骤102.1组网规划102.2IP地址分配102.3地址映射及策略112.4NetScreen防火墙步骤123防火墙的配置133.1配置机器名133.2双机基本配置133.3防火墙基本配置163.4配置虚拟路由器163.5配置区段163.6配置接口173.7配置路由193.8配置策略203.8.1配置含有MIP的策略203.8.2配置含有DIP的策
2、略253.8.3配置普通的策略313.9双机的切换配置344NETSCREEN防火墙定位工具35第49页共49页4.1Debug命令354.2Snoop命令375NETSCREEN防火墙FAQ405.1alarm灯的问题405.2如何检查双机的配置是否同步405.3防火墙的双机状态415.4配置文件的备份415.5NetScreen防火墙密码的恢复425.6什么时候使用snoop,什么时候使用debugflow?425.7如何使用debugffilter的逻辑与和逻辑或?426附录A配置文件427附录B 一些术语的说明437.1虚拟系统(VSYS)437
3、.2虚拟路由器(VR)437.3区段(ZONE)437.3.1安全区段437.3.2Global区段437.3.3通道区段447.3.4功能区段447.4接口447.4.1安全区段接口447.4.2功能区段接口457.4.3通道接口457.5接口工作模式457.5.1NAT模式457.5.2路由模式467.5.3透明模式467.6地址转换47第49页共49页7.6.1源网络地址转换477.6.2映射IP地址(MIP)477.6.3VIP477.7策略元素487.7.1策略元素487.7.2地址和地址组497.7.3服务和服务组491NetScreen的管
4、理1.1访问方式NetScreen防火墙支持多种的管理方式:WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。常用的有console、WebUI和Telnet。第49页共49页Console是通过直接的串口线连接防火墙,对防火墙进行管理和配置;telnet是通过终端仿真协议登录到防火墙上的可管理地址,对防火墙进行管理和配置;WebUI是通过IE或NetscapeCommunicator登录到防火墙的可管理地址,对防火墙进行管理和配置。通过串口直接登录到防火墙时,超级终端的端口配置如下:-----串行通讯9600bps-
5、----8位-----无奇偶校验-----1停止位-----无信息流控制Telnet或console登录后的命令行界面如下:WebUI登录的界面如下:注意第49页共49页:如果要通过telnet或WebUI登录和管理防火墙,所登录的防火墙的接口需要打开telnet或WebUI的功能;如果防火墙的接口配置了管理IP,一般只能对接口的管理IP进行telnet或WebUI,而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。用命令行的方式检查接口是否打开telnet或WebUI功能的方式:SN-NS500-FW1(M)->getinterfac
6、ee1/1Interfaceethernet1/1(VSI):number12,if_info98400,if_index0,moderoutelinkup,phy-linkup/full-duplexvsysRoot,zoneTrust,vrtrust-vr,vsd0ip192.168.1.20/29mac0010.dbff.20c0manageip192.168.1.21,mac0010.db7e.f00croute-denydisablepingenabled,telnetenabled,SSHenabled,SNMPenabledwebenabl
7、ed,ident-resetdisabled,SSLenabledwebauthdisabled,webauth-ip0.0.0.0OSPFdisabledBGPdisabledRIPdisabledbandwidth:physical100000kbps,configured0kbps,current0kbpstotalconfiguredgbw0kbps,totalallocatedgbw0kbps用WebUI的方式检查接口是否打开telnet或WebUI功能的方式:选择菜单:Network->interface选择对应接口的Edit菜单:第49页共
8、49页1.1用户NetScreen设备支持多个管理用户级别。这些级别的可用性取决