NetScreen

NetScreen

Netscreen防火牆是一種高性能的硬體防火牆,與其它的硬體防火牆相比有本質的區別。其它的硬體防火牆實際上是運行在PC平台上的一個軟體防火牆,而Netscreen防火牆則是由ASIC晶片來執行防火牆的策略和數據加解密,因此速度比其它防火牆要快得多。從軟體特性上看Netscreen防火牆是狀態檢測與套用代理混合的防火牆,對於大部份的套用Netscreen防火牆是監測整個通訊狀態,如果發現通訊狀態不正常便拒絕進入受保護的內部網路,對於FTP或H322等通訊狀態不好跟蹤的服務Netscreen防火牆通過套用代理來確保服務安全。

軟體簡介,功能,配置手冊,說明,

軟體簡介

NetScreen-Remote是一種在用戶主機(桌面或筆記本電腦)上運行的軟體,簡化了對網路、設備或公共或非信任網路中其它主機的安全遠程接入。

功能

1、防火牆2、VPN
NetScreenNetScreen
3、 流量分配和負載均衡
NetScreen公司2004年被Juniper公司收購。

配置手冊

介紹
NetScreen是防火牆設備,NetScreen-204就是其中的一種。
NetScreenNetScreen
NetScreen-204是個長方形的黑匣子,其正面面板上有四個接口。左邊一個是DB25串口,右邊三個是乙太網網口,從左向右依次為Trust
Interface、DMZ Interface、Untrust Interface。其中Trust
Interface相當於HUB口,下行連線內部網路設備。Untrust
Interface相當於主機口,上行連線上公網的路由器等外部網關設備;兩連線埠速率自適應(10M/100M)。
配置準備
PC機通過直通網線與Trust Interface相連,用IE登錄設備主頁。設備預設IP 192.168.1.1/255.255.255.0,用戶名和密碼都為netscreen ;登錄成功後修改System 的IP和掩碼,建議修改成與內部網段同網段,也可直接使用分配給Trust Interface的地 址。 修改完畢點擊ok,設備會重啟;
把PC的地址改為與設備新的地址同網段,重新登錄,即可進行配置 也可通過串口登錄,在超級終端上通過命令行修改System IP
數據配置
數據配置包括三部分內容:Policy、Interface、Route Table。配置Policy用IE登入NetScreen,在配置界面上,依次點擊左邊豎列中的Network–〉Policy,然 後選中Outgoing。如系統原有的與此不同,可點擊表中最後一列的Remove來刪除掉,然後點擊左下角的New Policy, 重新設定。
配置Interface
在配置界面上,依次點擊左邊豎列中的Configure–〉Interface選項,則顯示如下所示的配置界面,其中主要是配置Trust Interface、Untrust Interface,必要時修改System IP。
在 Interface配置圖當中;

說明

Trust Interface下面的Inside IP,即指連線埠本身的IP。因為該連線埠是設備用以與區域網路內部相連的,所以就相當於是設備對內的連線埠,故此把該連線埠的IP 就叫做設備的Inside IP。同理,Untrust Interface下面的Outside IP也是指該連線埠的IP ,因為該連線埠是面向區域網路外部的;Trust Interface下面的Default Gateway,指區域網路內部與Trust Interace相連的設備的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公網的網關地址(即NAT的下一跳),本例中指與NAT相連的路由器的接口地址
在接口的配置選項中,Traffic Bandwidth選項是對該連線埠傳輸頻寬的描述,不用設定。因為兩連線埠都是自適應的,會根據所連對端連線埠的頻寬而自動調整。
在Enable的選項中,Trust Interface連線埠按照預設的選擇即可。而Untrust Interface因為面對公網,為安全起見,應當把ping、telnet等性能禁止掉, 不要選擇。只有當有必要進行遠程維護時,才把telnet選中。對於System IP,當第一次登錄後把它修改為與Trust Interface或Untrust Interface的IP 在同一網段,則用戶就只能從Trust Interface或Untrust Interface登錄。為了實現從兩個連線埠都可登入,以便管理,需要在上述界面上把System IP 的值改為0.0.0.0
Untrust Interface和Trust Interface配置內容完全一樣,上面的例圖由於是用PrtSc屏拷下來的,不能把Untrust Interface的配置內容拷全,特此說明。
配置Route Table
在配置界面上,依次點擊左邊豎列中的Configure –〉Route Table選項,則顯示圖5所示界面。
系統要正常運行,在NAT內部有兩條路由是必不可少的,一條是去內部網段下面的用戶網段的 路由,其網關是與NAT相連的接口的地址。該路由為:10.10.0.0 255.255.0.0 10.100.0.1 Trust ;另一條是去外部公網的預設路由,其網關是與NAT 相連的外部路由器的接口地址。該路由為: 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。
路由表中可以看出,後一條路由是系統預設自動生成的,所以只需手工添加的第一條路由。點擊界面左下角的New Entry創建新的路由。對於已生成的路由,可以通過點擊Edit、Remove進行修改或刪除。
至此,所有配置全部完成。

相關詞條

熱門詞條

聯絡我們