Netscreen防火墙的简单配置

　　1、进入字符配置界面：

　　用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是NETSCREEN。

　　2、进入WEB配置界面：

　　用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。打开IE浏览器输入http: /192.168.1.11（192.168.1.11为E1端口管理IP），用户名，密码都是NETSCREEN。

　　3、配置端口IP和管理IP：

　　E1：内部网端口

　　端口IP192.168.1.20和管理IP192.168.1.11

　　更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部网管理NETSCREEN防火墙。

　　E3: 外网端口

　　端口IP192.168.42.66和管理IP192.168.42.68

　　更改为当地电信所分配的IP地址，E3的管理IP用于外网管理者在INTERNET上配置和管理NETSCREEN防火墙。

　　4、配置由内网到外网的NAT：

　　在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

　　1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：

　　Zone Name: Trust

　　IP Address/Netmask: 172.16.40.11/24（当地内部网网关IP）

　　2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：

　　Zone Name: Untrust

　　IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。

　　3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK：

　　ID: 6

　　IP Address Range

　　Start: 215.3.4.12（当地电信所分配的IP地址）

　　End: 215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）

　　Port Translation: Enable

　　4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，

　　然后单击OK：

　　Source Address:

　　Address Book: （选择） , Any

　　Destination Address:

　　Address Book: （选择） , Any

　　Service: Any

　　Action: Permit

　　> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：

　　NAT: On

　　DIP On:（选择） , 6 (215.3.4.12–215.3.4.210)：上一步设的地址池。

　　5、配置由外网到内网的VIP：

　　在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

　　1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：

　　Zone Name: Trust

　　IP Address/Netmask: 10.1.1.1/24（当地内部网网关IP）

　　2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：

　　Zone Name: Untrust

　　IP Address/Netmask: 210.1.1.1/24（当地电信所分配的IP地址）

　　VIP

　　3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：

　　Virtual IP Address: 210.1.1.10（对外的服务器地址）

　　4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：

　　Virtual Port: 80

　　Map to Service: HTTP (80)：（此例为WEB服务器的配置，如果是其他的服务器，就加入其服务与对应的端口号）

　　Map to IP: 10.1.1.10（此为服务器本身IP，内网IP）

　　策略

　　5. Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：

　　Source Address:

　　Address Book:（选择）, ANY

　　Destination Address:

　　Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址

　　Service: HTTP（WEB服务器选项）

　　Action: Permit