【正文】 如 ip,service 等等。5，對于各個(gè) zone 之間，按照不同的需求，配置上不同的 object，產(chǎn)生不同的 policy。6，配置 HA7，其他周邊配置，如 dns,snmp,syslog,date 等等。文檔《寧夏現(xiàn)場 Netscreen 》用截圖的方式，展示了現(xiàn)場的基本配置情況，以便模仿和參考整體更新和上傳配置文件的地方在這里 configuration?update?config file一、透明模式1．1 、網(wǎng)絡(luò)結(jié)構(gòu)圖接口為透明模式時(shí)，NetScreen設(shè)備過濾通過防火墻的數(shù)據(jù)包，而不會(huì)修改IP數(shù)據(jù)包包頭中的任何源或目的地信息。所有接口運(yùn)行起來都像是同一網(wǎng)絡(luò)中的一部分，而NetScreen設(shè)備的作用更像是第2層交換機(jī)或橋接器。在透明模式下，接口的IP地址被設(shè)置為 ，使得NetScreen設(shè)備對于用戶來說是可視或“透明”的。透明模式是一種保護(hù) Web 服務(wù)器，或者主要從不可信源接收信息流的其它任意類型服務(wù)器的方便手段。使用透明模式有以下優(yōu)點(diǎn):? 不需要重新配置路由器或受保護(hù)服務(wù)器的IP設(shè)置? 不需要為到達(dá)受保護(hù)服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬IP地址1． 配置文件命令行步驟（以上圖為例）： 創(chuàng)建二層 zone（本例中用的是默認(rèn)的二層 zone，因此不須創(chuàng)建。如須創(chuàng)建，命令行格式如下：set zone name name L2 vlan_tag例如:ns208 set zone name L2Demo L2 1 指派端口至二層 zone格式如下：set interface intname zone zonename本例中命令行如下：ns208 set interface ether1 zone v1trustns208 set interface ether2 zone v1DMZns208 set interface ether3 zone v1untrust 設(shè)置 VLAN1 端口ns208 set interface vlan1 ip ns208 set interface vlan1 manage webns208 set interface vlan1 manage telns208 set interface vlan1 manage ping 為二層 zone 配置管理服務(wù)（可選）格式如下：set zone name manage [service]以本圖v1trust zone為例，配置服務(wù)如下：ns208 set zone v1trust manage webns208 set zone v1trust manage telns208 set zone v1trust manage ping 配置策略（略）WebUI 方式 創(chuàng)建二層 zone指派端口至二層 zone 置 VLAN1 端口 為二層 zone 配置管理服務(wù)（可選）配置策略（略）二、NAT 模式2．1 、網(wǎng)絡(luò)結(jié)構(gòu)圖NAT 拓?fù)鋱D用戶需求： 內(nèi)網(wǎng)用戶能通過防火墻訪問 Inter，防火墻做 NAT。 Inter 用戶能訪問內(nèi)部的 Mail Server 的相關(guān)應(yīng)用。 Inter 用戶能通過不同的端口訪問內(nèi)部的 WebServer Group。2． 安裝步驟 初始化配置? 連接防火墻Console 方式基于 Console 終端配置 ISG2022 的準(zhǔn)備安裝 Windows 操作系統(tǒng)的 PC 一臺(tái)（裝有超級(jí)終端）ISG2022 設(shè)備自帶的 Console 電纜一條使用超級(jí)終端建立一個(gè)連接，通過 Console 電纜一端連接 ISG2022，一端連接COM，COM 的參數(shù)設(shè)置如圖：使用 Console 端口做初始化配置。 Netscreen 防火墻的初始賬號(hào)和密碼：login: screenpassword:screennsisg2022 set hostname NSISG20221 設(shè)置主機(jī)名稱NSISG20221NSISG20221 set int mgt ip 基于 WEB 方式 將管理 PC 機(jī)的電腦網(wǎng)卡地址設(shè)置成和管理端口同一網(wǎng)段。并通過網(wǎng)線和 ISG2022的 MGT 端口連接，打開 IE 瀏覽器，在瀏覽器地址欄鍵入 設(shè)備 IP 地址） ，如上圖。? 圖形登陸打開 IE 瀏覽器，并在 URL：輸入防火墻的管理地址。 管理功能設(shè)置? 設(shè)置管理口令選擇 Configuration Admin Administrators，點(diǎn)擊 NEW 鍵，可以修改并添加防火墻管理員 安全區(qū)? 設(shè)置安全區(qū)選擇 Network Zone ，點(diǎn)擊 NEW 鍵，可以添加新的安全區(qū)。在 Zone name：Intra 安全區(qū)的名字Virtual Router Name：trustvr 用默認(rèn)的 VRZone type：Layer 3 zone 類別為 3 層? 命令行配置方式set zone name Intra在配置防火墻的時(shí)候也可以不定義新的安全區(qū)，而使用防火墻預(yù)定義的安全區(qū)，默認(rèn)的 3 層安全區(qū)有：Trust，UnTrust 和 DMZ 這 3 個(gè)安全區(qū)。本文檔使用的是防火墻預(yù)定義的安全區(qū)。 端口設(shè)置? 設(shè)置端口選擇 Network Interfaces Ether1/1 Edit在 Zone Name ：Trust 將 Ether 1/1 綁定到 trust zone。IP Address / Netwask : /24 輸入 IP 地址和掩碼選擇 Network Interfaces Ether1/2 Edit在 Zone Name ：UnTrust 將 Ether 1/1 綁定到 trust zone。IP Address / Netwask : /24 輸入 IP 地址和掩碼? 命令行配置方式set inte e1/1 zone trustset inte e1/2 zone untrustset inte e1/1 ip set inte e1/2 ip 設(shè)置路由? 路由表選擇Network Routing Routing Entries ? 增加對外的默認(rèn)路由Network Routing Routing Entries trustvr New，輸入以下內(nèi)容，單擊 OK。Network Address / Netmask : / 0Gateway : Interface: ether1/2 Gateway IP Address : 對外的網(wǎng)關(guān)地址route list? 命令行配置方式set route NAT 設(shè)置? 基于接口的 NAT 設(shè)置對綁定到 Trust Zone 的接口的工作模式進(jìn)行設(shè)置Network Interfaces Ether1/1 Edit 編輯綁定到 trust zone 的接口將接口設(shè)置為 NAT 模式? 命令行配置方式set interface e1/1 route? 設(shè)置 MIP 地址翻譯選擇 Network Interface E1/2，點(diǎn)擊 Edit 編輯綁定到 Untrust zone 的接口點(diǎn)擊 New 按鈕，進(jìn)入 MIP 的設(shè)置界面輸入需要映射的 MIP 地址Mapped IP : 公網(wǎng) Mail 服務(wù)器地址Network : Host IP Address : 內(nèi)網(wǎng) Mail 服務(wù)器網(wǎng)卡地址Host Virtual Router Name :trustvr 點(diǎn)擊 OK 添加? 命令行配置方式set interface ether1/2 mip host mask vrouter trustvr? 設(shè)置 VIP 地址翻譯選擇 Network Interface E1/2，點(diǎn)擊 Edit 編輯綁定到 Untrust zone 的接口輸入 Virtual IP Address： 公網(wǎng) Web 服務(wù)器地址點(diǎn)擊 Add 添加點(diǎn)擊 New VIP Servie 按鍵輸入需要映射的 Web 服務(wù)器的地址和對外發(fā)布服務(wù)端口Virtual IP : 公網(wǎng) Web 服務(wù)器地址Virtual Port : 80 對外發(fā)布的服務(wù)端口Map to service : HTTP(80) 內(nèi)網(wǎng) Web 服務(wù)器的真實(shí)端口Map to IP: 內(nèi)網(wǎng) Web 服務(wù)器的地址Virtual IP : 公網(wǎng) Web 服務(wù)器地址Virtual Port : 8080 對外發(fā)布的服務(wù)端口Map to service : HTTP(80) 內(nèi)網(wǎng) Web 服務(wù)器的真實(shí)端口Map to IP: 內(nèi)網(wǎng) Web 服務(wù)器的地址Virtual IP : 公網(wǎng) Web 服務(wù)器地址Virtual Port : 8800 對外發(fā)布的服務(wù)端口Map