【正文】 由Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: ethernet3Gateway IP Address: Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: Gateway IP Address: 5. 策略Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Name: To ParisSource Address: Trust_LANDestination Address: Paris_OfficeService: ANYAction: PermitPosition at Top: (選擇)Policies (From: Untrust, To: Trust) New: 輸入以下內(nèi)容，然后單擊OK:Name: From ParisSource Address: Paris_OfficeDestination Address: Trust_LANService: ANYAction: PermitPosition at Top: (選擇)WebUI (巴黎)1. 接口Network Interfaces Edit (對于ethernet1 ): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: (出現(xiàn)時選擇此選項)IP Address/Netmask: 選擇以下內(nèi)容，然后單擊OK:Interface Mode: NATNetwork Interfaces Edit (對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: UntrustStatic IP: (出現(xiàn)時選擇此選項)IP Address/Netmask: Network Interfaces New Tunnel IF: 輸入以下內(nèi)容，然后單擊OK:Tunnel Interface Name: Zone (VR): Untrust (trustvr)Unnumbered: (選擇)Interface: ethernet3 (trustvr)2. 地址Objects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Trust_LANIP Address/Domain Name:IP/Netmask: (選擇), Zone:TrustObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Tokyo_OfficeIP Address/Domain Name:IP/Netmask: (選擇), Zone: Untrust3. VPNVPNs AutoKey Advanced Gateway New: 輸入以下內(nèi)容，然后單擊OK:Gateway Name: To_TokyoSecurity Level: CustomRemote Gateway Type:Static IP Address: (選擇), IP Address/Hostname: 預共享密鑰Preshared Key: h1p8A24nG5Outgoing Interface: ethernet3Advanced: 輸入以下高級設置，然后單擊Return，返回基本Gateway 配置頁:Security Level: CustomPhase 1 Proposal (for Custom Security Level ):preg23desshaMode (Initiator): Main (ID Protection)(或)證書Outgoing Interface: ethernet3Advanced: 輸入以下高級設置，然后單擊Return，返回基本Gateway配置頁:Security Level: CustomPhase 1Proposal (for Custom Security Level ):rsag23desshaPreferred certificate (optional)Peer CA: EntrustPeer Type: X509SIGVPNs AutoKey IKE New: 輸入以下內(nèi)容，然后單擊OK:Name: Paris_TokyoSecurity Level: CustomRemote Gateway:Predefined: (選擇), To_TokyoAdvanced: 輸入以下高級設置，然后單擊Return，返回基本“AutoKeyIKE”配置頁: Security Level: CompatibleBind To: Tunnel Interface, ProxyID: (選擇)Local IP/Netmask: Remote IP/Netmask: Service:ANY4. 路由Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Netw。在兩個設備上用作外向接口的物理接口或子接口都有一個固定的IP 地址，同時內(nèi)部主機也擁有靜態(tài)IP 地址。使用直接嵌入在NetScreen 防火墻中的Websense API，NetScreen 設備可以直接鏈接到Websense URL 過濾服務器。對于Trust 區(qū)段，將源會話數(shù)最大限值設置為80 個并發(fā)會話。WebUIScreening Screen (Zone: Untrust): 輸入以下內(nèi)容，然后單擊Apply:Generate Alarms without Dropping Packet: (選擇)IP Address Spoof Protection: (選擇)CLIset zone untrust screen alarmwithoutdropset zone untrust screen ipspoofingsave 典型配置（5）――三層IP欺騙保護試獲得網(wǎng)絡中受限區(qū)域的訪問權(quán)限的一個方法是，在封包包頭中插入虛假的源地址，以使該封包看似發(fā)自信任來源。配置實例：在本例中，您需要為三個部門(Support、Sales 和Marketing) 配置保障帶寬和最大帶寬，如下所示:如果三個部門同時通過NetScreen 防火墻發(fā)送和接收信息流，那么NetScreen 設備必須分配20 Mbps 的帶寬以滿足保證的策略要求。Trust和Untrust 區(qū)段都在trustvr 路由選擇域中。定義FTP 和郵件服務器的地址。通用和共性的有關防火墻管理、技術、配置方面的內(nèi)容，請參照《中國移動防火墻安全規(guī)范》。所有接口運行起來都像是同一網(wǎng)絡中的一部分，而NetScreen 設備的作用更像是第2 層交換機或橋接器。NetScreen 設備用Untrust 區(qū)段接口的IP 地址替換發(fā)端主機的源IP 地址。 NetScreen 設備首先處理具有較高優(yōu)先級策略的所有信息流，然后再處理具有次優(yōu)先級設置策略的信息流，依此類推，直至處理完所有的信息流請求。配置實例：在本例中，來自Untrust區(qū)段的IP欺騙攻擊每日都發(fā)生，通常是在晚上9:00點與12:00 之間。設置基于源的會話限制的一個優(yōu)點是該操作可以阻止像Nimda 病毒(實際上既是病毒又是蠕蟲)這樣的攻擊，該類病毒會感染服務器，然后開始從服務器生成大量的信息流。3. 策略Policies (From: Untrust, To: DMZ) New: 輸入以下內(nèi)容，然后單擊OK:Source Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), web_serversService: HTTPAction: Permit4. SCREENScreening Screen (Zone: Untrust): 輸入以下內(nèi)容，然后單擊Apply:SYN Flood Protection: (選擇)Threshold: 625Alarm Threshold: 250Source Threshold: 25Destination Threshold: 0Timeout Value: 206Queue Size: 1000CLI1. 接口set interface ethernet2 zone dmzset interface ethernet2 ip set interface ethernet3 zone untrustset interface ethernet3 ip 2. 地址set address dmz ws1 set address dmz ws2 set address dmz ws3 set address dmz ws4 set group address dmz web_servers add ws1set group address dmz web_servers add ws2set group address dmz web_servers add ws3set group address dmz web_servers add ws43. 策略set policy from untrust to dmz any web_servers HTTP permit4. SCREENset zone untrust screen synflood attackthreshold 625set zone untrust screen synflood alarmthreshold 250set zone untrust screen synflood sourcethreshold 25set zone untrust screen synflood timeout 207set zone untrust screen synflood queuesize 1000set zone untrust screen synfloodsave 典型配置（8）――URL過濾配置NetScreen 利用Websense Enterprise Engine 支持URL 過濾，根據(jù)站點的URL、域名和IP 地址， WebsenseEnterprise Engine 可以阻止或允許訪問不同的站點。由于該URL 過濾服務器不在其中任一個NetScreen 設備接口的直接子網(wǎng)中，因此為過濾服務器添加一個通過ethernet1 的路由器的路由。 和Untrust 區(qū)段的通訊簿中輸入本地及遠程端點的IP 地址。對于“階段1”和“階段2”安全級別，為“階段1”提議指定preg23dessha 預共享密鑰方法或rsag23dessha 證書，并為“階段2”選擇預定義的“Compatible”提議集。當HTTP 客戶端請求訪問被禁止的URL 時，您希望NetScreen 設備發(fā)送下列消息:“We39。WebUI1. 接口Network Interfaces Edit (對于ethernet2 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: DMZStatic IP: (有此選項時將其選定)IP Address/Netmask: Network Interfaces Edit (對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: UntrustStatic IP: (有此選項時將其選定)IP Address/Netmask: 2. 地址Objects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: ws1IP Address/Domain Name:IP/Netmask: (選擇), Zone: DMZObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: ws2IP Address/Domain Name:IP/Netmask: (選擇), Zone: DMZObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: ws3IP Address/Domain Name:IP/Netmask: (選擇), Zone: DMZObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: ws4IP Address/Domain Name:IP/Netmask: (選擇), Zone: DMZObjects Addresses Groups (對于Zone: DMZ )New: 輸入以下組名稱，移動以下地址，然后單擊OK:Group Name: web_servers選擇ws1，并使用 按鈕將地址從Available Members 欄移動到GroupMembers 欄中。WebUINetwork Interface