| Netscreen 50防火牆***配置方法 |
| 一、通道的配置 |
| 1、初始化防火牆(請參照下圖) |
|
|
|
| Netscreen防火牆的默認IP爲192.168.1.1/255.255.255.0,用戶名和密碼相同:netscreen;可採用下一步中的WEB UI方法來進行配置,但容易發生錯誤,建議使用設備自帶的配置線連接計算機的COM口採用超級終端來行配置。上圖中的第一步爲配置通道類型,第二步爲配置端口的IP地址(這裏所指的是一端口),第三步爲配置管理IP,第四步保存,第五步重啓防火牆使用設置生效。以後可以通過IE瀏覽器鍵入防火牆地址172.16.0.1來進行管理了。 | ||
| 一、通道的配置 | |||
| 2、Trust通道的配置(請參照下圖) |
|
|
| 鍵入相應用戶名:netscreen和密碼:netscreen(默認)進入WEB管理界面,點擊左邊菜單中Network展開菜單,點擊Interfaces,(在以下的內容中關於菜單部份我們將採用Network>>Interfaces來表示)在出現的界面中點擊端口名爲:ethernet1後的EDIT,出現上圖中內容。修改圖中畫紅線的部份: |
| A、Zone Name(通道類型):從設備連接圖中可以看出端口一和內網相連,所以我們要選擇Trust(信任區); | |
| B、IP Address/Netmask(IP地址和子網掩碼):填寫172.16.0.1/16,上網用戶網關地址; | |
| C、Manage Ip(管理IP):一般系統不允許修改; | |
| D、Interface Mode(接入方式):選擇NAT轉換模式; | |
| E、Management Services(服務類型):選擇圖中的幾項,爲了遠程管理防火牆。 | |
| F、Other Services:建議選擇PING,方便測試網絡的連通情況。 | |
| 一、通道的配置 |
| 3、UNtrust通道的配置(請參照下圖) |
|
|
| 點擊菜單中Network>>Interfaces,在出現的界面中點擊端口名爲:ethernet3後的EDIT,出現上圖中內容。修改圖中畫紅線的部份: |
| A、Zone Name(通道類型):從設備連接圖中可以看出端口三和公網相連,所以我們要選擇UNTrust(非信任區); | |
| B、Obtain IP using PPPoE(選擇):填寫上網的用戶名和密碼; | |
| C、Manage Ip(管理IP):一般系統不允許修改; | |
| D、Interface Mode(接入方式):選擇NAT轉換模式; | |
| E、Management Services(服務類型):爲了安全建議不選擇任何內容; | |
| F、Other Services:建議不選擇PING。 | |
| 一、通道的配置 |
| 4、路由的配置(請參照下圖) |
|
|
| 點擊菜單中Network>>Routing>>Routing Table ,在出現的界面中可以看出當我們拔號成功時系統能夠自動爲我們加上路由(因爲採用的是動態IP),所以沒有必要在手功加路由了。 | |||
| 一、通道的配置 | |||
| 5、定義策略(請參照下圖) |
|
|
| 點擊菜單中Policies,選擇From:Trust,To:Untrust點擊右邊的NEW按鈕,出現上圖所示內容。修改圖中紅線部份: |
| A、Name(名稱):可任意輸入; | |
| B、Source Address:當選擇New Address並寫入172.16.0.2/32時所表示的意思是:只允許IP地址爲172.16.0.2的主機通過防火牆防問公網;當選中Address Book且選擇了ANY時所有內網用戶都可以防問公網; | |
| C、Destination Address:當選擇New Address並寫入相相應IP地址和子網掩碼時所表示的意思是:只允許防問公網的一個地址或一個地址段,這取決於子網掩碼的設置。如當子網掩碼爲255.255.255.255或32時指的就是一個地址,反之指一個地址段;當選中Address Book且選擇了ANY時用戶可以防問公網的所有地址; | |
| D、Service:可用來控制用戶防問公網時的服務類型,如選擇HTTP時用戶只能瀏覽網頁; | |
| 、***的配置 |
| 5、定義***用戶防問地址(請參照下圖) |
|
|
| 點擊菜單中Objccts>>Addresses>>List,點擊右邊的NEW按鈕,出現上圖所示內容。修改圖中紅線部份: |
| A、Addresses Name(名稱):填寫***_LAN; | |
| B、IP/Netmask:填寫172.16.0.0/16,所表示意思爲***用戶拔號進入後可防問內網中所有主機; | |
| C、Zone:選擇Trust; | |
| D、點擊OK按鈕。 | |
| 二、***的配置 |
| 2、定義用戶組(請參照下圖) |
|
|
| 點擊菜單中Objccts>>User Groups>>Local,點擊右邊的NEW按鈕,出現上圖所示內容。修改圖中紅線部份: |
| A、Groups Name(名稱):填寫info_Group,注意定義名稱時爲了好區分採用了'部門名稱_Group'; | |
| B、點擊OK按鈕。 | |
| 二、***的配置 |
| 3、爲用戶組定義用戶(請參照下圖) |
|
|
| 點擊菜單中Objccts>>User>>Local,點擊右邊的NEW按鈕,出現上圖所示內容。修改圖中紅線部份: |
| A、User Name(名稱):填寫info,注意定義名稱時爲了好區分採用了'部門名稱'; | |
| B、User Group:填寫剛纔建立的組名info_group; | |
| C、選擇IKE User,Number of Multiple Logins with Same ID(在該組同時允許多少個用戶登陸)可按自己的實際需要填寫數偷值; | |
| D、選擇Simple Identity,IKE ID Type選擇AUTO,IKE Identity:填寫info.ypff.net其中的info代表部門名稱; | |
| E、點擊OK按鈕。 | |
| 二、***的配置 |
|
|
| 點擊菜單中***s>>Autokey Advanced>>Gateway,點擊右邊的NEW按鈕,出現上圖所示內容。修改圖中紅線部份: |
| A、Gateway Name(名稱):填寫info_gw,注意定義名稱時爲了好區分採用了'部門名稱_gw'; | |
| B、Secutity Level:選擇Custom; | |
| C、Remote Gateway Type選擇Dialup User Group並選擇剛纔建立的info_group組; | |
| D、Preshared Key:填寫'shhg2003'(預共享密鑰),由於WEB方式只允許用戶輸入一個預共享密鑰,因此在輸入下一個時只能使用CLI方式; | |
| E、點擊Advanced按鈕出現以下畫面,修改劃紅線部份; |
|
|
| G、Secutity Level:選擇Custom; | |
| H、Phase 1 Proposal選擇pre-g2-3des-sha加密; | |
| I、Mode(Initiator)選擇Aggressive模式; | |
| J、選取Enable NAT-Traversal在Keepalive Frequency處填寫5; | |
| K、點擊Ruten按鈕返回,並點擊OK按鈕保存設置。 | |
|
|
| A、使用Telnet或超級終端進入防火牆; | |
| B、上圖中的info_gw代表網關名稱,info爲用戶名稱,shhg2003爲預共享密鑰; | |
| C、鍵入Save保存; | |
| 二、***的配置 |
| 5、Autokey IKE(請參照下圖) |
|
|
| 點擊菜單中***s>>Autokey IKE,點擊右邊的NEW按鈕,出現上圖所示內容。修改圖中紅線部份: |
| A、VON Name(名稱):info_***,注意定義名稱時爲了好區分採用了'部門名稱_***'; | |
| B、Secutity Level:選擇Custom; | |
| C、Remote Gateway 選取Predefined並選擇剛纔建立的info_gw網關; | |
| D、Outgoing Interface選擇Ethernet3; | |
| E、點擊Advanced按鈕出現以下畫面,修改劃紅線部份; |
|
|
| F、Secutity Level:選擇Custom; | |
| G、Phase 2 Proposal 選選擇nopfs-esp-3des-sha; | |
| H、選取Replay Protection; | |
| I、選取Tunnel Zone並選擇Untrust-Turst; | |
| J、選取 *** Monitor; | |
| K、點擊Return返回,點擊OK按鈕保存。 | |
| 二、***的配置 |
| 2、定義策略(請參照下圖) |
|
|
| A、Name(名稱):Info可任意輸入; | |
| B、Source Address:選中Address Book且選擇Dial-UP ***; | |
| C、Destination Address:選中Address Book且選擇剛纔建立的地址***_LAN; | |
| D、Service:可用來控制用戶防問公網時的服務類型,如選擇HTTP時用戶只能瀏覽網頁,選擇ANY; | |
| E、Action選擇Tunnel; | |
| F、Tunnel ***選擇建立的info_***。 | |
| G、點擊Advanced按鈕出現以下畫面,修改劃紅線部份; |
|
|
| H、選取Logging和Counting打監控; | |
| I、點擊Return返回,點擊OK按鈕保存。 | |
| 三、***客戶端的配置 |
| 1、添加新的連接(請參照下圖) |
|
|
| A、點擊左上方的Add a new connection按鈕; | |
| B、鍵入一個名稱; | |
| C、右上方Connection Security選擇Secure; | |
| D、ID選擇IP Subnet; | |
| E、Subnet:172.16.0.0 | |
| F、Mask:255.255.0.0 | |
| G、選取Connect using Secure Gateway Tunnel | |
| H、ID:選擇IP Address 填寫當時的廣域網地址。 | |
| 三、***客戶端的配置 |
| 2、連接模式(請參照下圖) |
|
|
| A、點擊名稱左邊的+然後單擊Security Policy圖標; | |
| B、選擇右邊的Aggressive Mode; | |
| 三、***客戶端的配置 |
| 3、定義My Identity(請參照下圖) |
|
|
| A、點擊左邊的My Identity圖標; | |
| B、Select選擇None; | |
| C、ID類型選擇E-mail Address並填寫[email protected],其中的yangying爲用戶名稱,管理員可對其進行定義,@後的爲組的IKE在上面我們定義過; | |
| D、Virtual Adapter 選擇Preferred; | |
| E、Name選擇ANY; | |
| F、點擊Pre-Shared-KEY出現下圖所示對話框: | |
| 三、***客戶端的配置 |
| 4、輸入Shared-KEY(請參照下圖) |
|
|
| A、點擊Enter Key; | |
| B、鍵入Pre-Shared key的值; | |
| C、獲得用戶的Pre-Shared key,管理員可通過telnet或超級終端進入防火牆,鍵入下圖所示中的命令; |
|
|
| 圖中紅線部份Info_gw爲網關名稱,yangying爲用戶名稱,管理員可根具需要寫入不同名稱。其中反白部份就是用戶的Pre-Shared key,複製這些字符刪除空格後寫入到客戶端軟件中。 | |
| 三、***客戶端的配置 |
| 5、Authentication(Phase 1)(請參照下圖) |
|
|
| A、單擊位於“Security Policy”圖標左邊的加號“+”,然後單擊“Authentication”(Phase 1) 左邊的加號“+”,點擊圖標Proposal 1; | |
| B、Authentication Method:Pre-Shared Key(選擇); | |
| C、Encrypt Alg:Triple DES(選擇); | |
| D、Hash Alg: SHA-1(選擇); | |
| E、Key Group:Diffie-Hellman Group 2(選擇); | |
| 三、***客戶端的配置 |
| 6、連接***通道(請參照下圖) |
|
|
| A、單擊位於“Security Policy”圖標左邊的加號“+”,然後單擊“Key Exchange”(Phase 2) 左邊的加號“+”,點擊圖標Proposal 1; | |
| B、Encapsulation Protocol(選擇); | |
| C、Encrypt Alg:Triple DES(選擇); | |
| D、Hash Alg: SHA-1(選擇); | |
| E、Encapsulation: Tunnel(選擇); | |
| 四、***客戶端的使用方法 |
| 1、新建拔號連接(請參照下圖)僅以Windows2000爲例 |
|
|
| A、右鍵點擊桌面上的網上鄰居圖標,點擊其屬性; |
|
|
| B、在出現的頁面中雙擊新建連接,選擇“拔號到Internet”然後單擊下一步; |
|
|
| C、選擇“手動設置Internet 連接或通過局域網(LAN)連接”然後單擊下一步; |
|
|
| D、選擇“通過電話線和調制解調器連接”然後單擊下一步; |
|
|
| E、選擇“調制解調器的型號,這取決於你的計算機”然後單擊下一步; |
|
|
| F、鍵入電話號碼16300,然後單擊下一步; |
|
|
| G、鍵入用戶名和密碼,然後單擊下一步; |
|
|
| H、鍵入一個連接名稱,然後單擊下一步; |
|
|
| I、選擇“否”然後單擊下一步; |
|
|
| J、單擊完成按鈕。以後只需要進行上述的第一步操作,找到建立好的拔號連接拔號便可。 | |
| 四、***客戶端的使用方法 |
| 2、修改拔號連接的DNS(請參照下圖)如果遠程用戶不需要防問物流系統,那該步驟可以省略。 |
|
|
| A、如上述方法打開網上鄰居屬性,找到剛纔建立的“連接到16300”右鍵點擊其屬性; |
|
|
| B、在出現的屬性對話框中選擇“網絡”然後選擇“Internet協議(TCP/IP)”點擊屬性按鈕; |
|
|
| C、在出現的Internet協議(TCP/IP)屬性對話框中選擇“使用下面的DNS服務器地址”然後填寫圖中的值(根據實際情況填寫);點擊確定返回後在點擊確定按鈕保存設置。進行此操作後你可能無法正常瀏覽公網網頁,但可將上圖中首選DNS服務器填寫成:202.98.160.68,用戶可以根據需要進行設置。 | |
| 四、***客戶端的使用方法 |
| 3、連接***通道 |
| 當客戶端軟件設置正確且拔號成功後客戶端能夠自動建立***連接。連接成功後的圖標如下圖所示:(有藍色N字和黃色鑰匙,綠色箭頭所指圖標) |
|
|
| 四、***客戶端的使用方法 |
| 4、客戶端的關閉與開啓(請參照下圖) |
|
|
| A、客戶端的關閉,右鍵點擊客戶端軟件圖標,在彈出的菜單中點擊Deactivate Security Policy;當你的計算機工作在局域網中時請關閉客戶端,否則將無法防問本地的局域網資源; |
|
|
| B、客戶端被關閉後的圖標; |
|
|
| C、客戶端的開啓,右鍵點擊客戶端軟件圖標,在彈出的菜單中點擊Activate Security Policy;當你要連接***時請開戶客戶端,否則將無法連通***; |
|
|
| D、客戶端開啓但沒有連接***或連接不成功時的圖標; |
|
|
![clip_image054[1]](http://90844.blog.51cto.com/attachment/201011/12/80844_1289557414sO5D.gif "clip_image054[1]"){kind=small}
| E、連接***成功後的客戶端圖標。 | |
| 五、配置文件的應用 |
| 1、配置文件的保存(請參照下圖) |
|
|
| A、點擊左邊菜單Configuration>>Updata>>Config File,出現的界面中點擊Save To File按鈕,出現保存對話框單擊保存。保存配置文件的用途:當進行固件版本升級時可用該文件恢復配置。 | |
| 五、配置文件的應用 |
| 2、配置文件的導入 |
|
|
| A、點擊左邊菜單Configuration>>Updata>>Config File,出現的界面中選擇Replace Current Configuration,然後單擊瀏覽按鈕找到上述方法中保存的配置文件後點擊Apply按鈕,連繼點擊確定後恢復配置完成。保存配置文件的導入:當進行固件版本升級後可快速恢復配置。 |