密碼恢復:
使用筆記本連接防火牆的console口,用戶名和密碼都輸入機身後面的序列號,此時會警告你要reset configure,兩次按"y"後防火牆恢復了出廠設置,並重新啓動。(防火牆啓動時要把console線拔開,否則將會進入一個tftp傳送映像的模式。)
出廠的默認用戶名和密碼是netscreen,ether1的ip是192.168.1.1,把筆記本的ip地址設置一個192.168.1.0/24網段的IP,用網線連接到ether1,就可以用瀏覽器訪問了。
“NetScreen 的接口能以三種不同模式運行,分別是 : 網絡地址轉換 (NAT)、路由(Route)和透明。如果綁定到第 3 層(OSI的模型)區段的接口具有 IP 地址,則可爲該接口定義 NAT 或路由操作模式。綁定到第 2 層區段 (如預定義的 v1-trust、v1-untrust 和 v1-dmz,或用戶定義的第 2 層區段 ) 的接口必須爲透明模式。在配置接口時選擇操作模式。 vsys 不能處於“透明”模式下。”
初次看到netscreen的接口模式肯定有點不知所措(起碼本人愚鈍,如此反應),其實如果明白有這幾種模式就很容易理解了。由於透明網橋是工作在第二層,所以肯定是layer2方面的,也就是v1-trust,v1-untrust、v1-dmz這幾種了(因爲選擇好模式後在netscreen的界面中可以看到ineteface的type屬性寫着"Layer2",:-))
理解後就很容易配置了。我選擇了ether7作爲連接wan的,ether8連接lan(lan內部已經有nat設備了,所以我才用netscreen做網橋) 。ether7連接的是外網,那當然是非信任區域了,ether7->v1-untrust;ether8連接的是內網,ether8->v1-trust。都不用設置ip。
爲了可以在內網登錄防火牆,到”network"->"zones"->"v1-trust",勾上"web ui”,"telnet","ping"這幾個(根據自己需要勾上就可以了)。netscreen比較奇特的一個東西是vlan1(對於我來說是奇特的東東,用慣了當然不會覺得);我之前以爲是extreme中的vlan一樣,是802.1q協議構建的虛網,但是卻沒看見802.1q的tag設置,也沒看見有真實的端口在。後來才知道原來那個只是虛擬的東東(理解上還不是很清晰),我們在vlan1上設置IP後,再勾上“web ui"之類的權限,於是就可以在用這個IP登錄防火牆了(不用對應到某個物理端口)。
最後還要讓允許端口間通訊,防火牆的規則是——沒有明確允許的就是禁止的——所以我們要設置規則讓v1-trust和v1-untrust的數據可以放行。“Polices”->"from v1-trust to v1-untrust",選擇permit(默認就是any),"from v1-untrust to v1-trust",選擇permit。
收工,連接好ether7和ether8的網線測試下效果吧。
當然防火牆這樣直通的規則是沒什麼作用的,所以我在“screening"->"screen"中,對於v1-untrust勾選上了一些防止***的選項,現在攔截到一些數據了,也算是起到一點作用了),如果真正要發揮作用的話,關鍵還是要有選擇的制定放行規則,否則防火牆就只是一個hub,沒有任何作用。