【正文】 OK:Source Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), AnyService: HTTPAction: PermitAdvanced: 選擇URL Filter復(fù)選框，然后單擊Return 以設(shè)置高級(jí)選項(xiàng)并返回基本配置頁(yè)。CLI1. 接口set interface ethernet1 zone trustset interface ethernet1 ip set interface ethernet3 zone untrustset interface ethernet3 ip 2. URL過(guò)濾服務(wù)器set url server 15868 10set url failmode permitset url type NetScreenset url message “We’re sorry, but the requested URL is prohibited. If thisprohibition appears to be in error, contact .”set url config enable3. 路由set vrouter trustvr route interface ethernet3 gateway set vrouter trustvr route 4. 策略set policy from trust to untrust any any permit urlfilter 典型配置（9）――站點(diǎn)到站點(diǎn)IPSEC VPN 配置IPSec VPN 通道存在于兩個(gè)網(wǎng)關(guān)之間，同時(shí)每個(gè)網(wǎng)關(guān)都需要一個(gè)IP 地址。當(dāng)兩個(gè)網(wǎng)關(guān)都擁有靜態(tài)IP 地址時(shí)，可配置以下各種通道:?站點(diǎn)到站點(diǎn)VPN，自動(dòng)密鑰IKE 通道(具有預(yù)共享密鑰或證書(shū))?站點(diǎn)到站點(diǎn)VPN，手動(dòng)密鑰通道當(dāng)一個(gè)網(wǎng)關(guān)擁有靜態(tài)地址，而另一個(gè)網(wǎng)關(guān)擁有動(dòng)態(tài)分配的地址時(shí)，可配置以下各種通道:?動(dòng)態(tài)對(duì)等方站點(diǎn)到站點(diǎn)VPN，自動(dòng)密鑰IKE 通道(具有預(yù)共享密鑰或證書(shū))用于此處時(shí)，靜態(tài)站點(diǎn)到站點(diǎn)VPN 包括一個(gè)連接兩個(gè)站點(diǎn)的IPSec 通道，每個(gè)站點(diǎn)都擁有一個(gè)作為安全網(wǎng)關(guān)的NetScreen 設(shè)備。在兩個(gè)設(shè)備上用作外向接口的物理接口或子接口都有一個(gè)固定的IP 地址，同時(shí)內(nèi)部主機(jī)也擁有靜態(tài)IP 地址。如果NetScreen 設(shè)備在“透明”模式下，它將VLAN1 地址當(dāng)作外向接口的IP 地址使用。由于遠(yuǎn)程網(wǎng)關(guān)的IP 地址保持不變而可以到達(dá)，因此，位于通道任一端的主機(jī)可使用靜態(tài)站點(diǎn)到站點(diǎn)VPN 發(fā)起VPN 通道設(shè)置。如果其中一個(gè)NetScreen 設(shè)備的外向接口具有動(dòng)態(tài)分配的IP 地址，則該設(shè)備在術(shù)語(yǔ)上被稱(chēng)為“動(dòng)態(tài)對(duì)等方”，并且具有不同的VPN 配置。由于只有那些位于動(dòng)態(tài)對(duì)等方后面的主機(jī)的遠(yuǎn)程網(wǎng)關(guān)才有固定的IP 地址，并且可以從它們的本地網(wǎng)關(guān)到達(dá)，因此只有它們才能使用動(dòng)態(tài)對(duì)等方站點(diǎn)到站點(diǎn)VPN 發(fā)起VPN 通道設(shè)置。但是，當(dāng)在動(dòng)態(tài)對(duì)等方和靜態(tài)對(duì)等方之間建立通道之后，如果目的主機(jī)有固定的IP 地址，在兩個(gè)網(wǎng)關(guān)之中的任一個(gè)網(wǎng)關(guān)后面的主機(jī)，可發(fā)起VPN信息流。在本例中，“自動(dòng)密鑰IKE”通道使用預(yù)共享機(jī)密或一對(duì)證書(shū)(通道兩端各一個(gè))，提供東京和巴黎分公司之間的安全連接。對(duì)于“階段1”和“階段2”安全級(jí)別，為“階段1”提議指定preg23dessha 預(yù)共享密鑰方法或rsag23dessha 證書(shū)，并為“階段2”選擇預(yù)定義的“Compatible”提議集。所有區(qū)段都在trustvr 中。使用預(yù)共享機(jī)密或證書(shū)來(lái)設(shè)置基于路由的“自動(dòng)密鑰IKE”通道，包括以下步驟: 地址。 通道，在Untrust 區(qū)段內(nèi)指定其外向接口，將其綁定到通道接口，并配置其代理ID。 和Untrust 區(qū)段的通訊簿中輸入本地及遠(yuǎn)程端點(diǎn)的IP 地址。 中輸入通向外部路由器的缺省路由，并輸入通過(guò)通道接口通向目的地的路由。 信息流設(shè)置策略。在以下例子中，預(yù)共享密鑰為h1p8A24nG5。假定兩個(gè)參與者都已有RSA 證書(shū)，并將Entrust 用作證書(shū)授權(quán)機(jī)構(gòu)(CA)。WebUI (東京)1. 接口Network Interfaces Edit (對(duì)于ethernet1 ): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: (出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: 選擇以下內(nèi)容，然后單擊OK:Interface Mode: NATNetwork Interfaces Edit (對(duì)于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: UntrustStatic IP: (出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: Network Interfaces New Tunnel IF: 輸入以下內(nèi)容，然后單擊OK:Tunnel Interface Name: Zone (VR): Untrust (trustvr)Unnumbered: (選擇)Interface: ethernet3 (trustvr)2. 地址Objects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Trust_LANIP Address/Domain Name:IP/Netmask: (選擇), Zone: TrustObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Paris_OfficeIP Address/Domain Name:IP/Netmask: (選擇), Zone: Untrust3. VPNVPNs AutoKey Advanced Gateway New: 輸入以下內(nèi)容，然后單擊OK:Gateway Name: To_ParisSecurity Level: CustomRemote Gateway Type:Static IP Address: (選擇), IP Address/Hostname: 預(yù)共享密鑰Preshared Key: h1p8A24nG5Outgoing Interface: ethernet3Advanced: 輸入以下高級(jí)設(shè)置，然后單擊Return，返回基本Gateway配置頁(yè):Security Level: CustomPhase 1 Proposal (for Custom Security Level ):preg23desshaMode (Initiator): Main (ID Protection)(或)證書(shū)Outgoing Interface: ethernet3 Advanced: 輸入以下高級(jí)設(shè)置，然后單擊Return，返回基本Gateway配置頁(yè):Security Level: CustomPhase 1 Proposal (for Custom Security Level ):rsag23desshaPreferred certificate (optional)Peer CA: EntrustPeer Type: X509SIGVPNs AutoKey IKE New: 輸入以下內(nèi)容，然后單擊OK:VPN Name: Tokyo_ParisSecurity Level: CompatibleRemote GatewayPredefined: (選擇), To_ParisAdvanced: 輸入以下高級(jí)設(shè)置，然后單擊Return，返回基本“AutoKeyIKE”配置頁(yè):Security Level: CompatibleBind To: Tunnel Interface, ProxyID: (選擇)Local IP/Netmask: Remote IP/Netmask: Service: ANY4. 路由Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: ethernet3Gateway IP Address: Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: Gateway IP Address: 5. 策略Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Name: To ParisSource Address: Trust_LANDestination Address: Paris_OfficeService: ANYAction: PermitPosition at Top: (選擇)Policies (From: Untrust, To: Trust) New: 輸入以下內(nèi)容，然后單擊OK:Name: From ParisSource Address: Paris_OfficeDestination Address: Trust_LANService: ANYAction: PermitPosition at Top: (選擇)WebUI (巴黎)1. 接口Network Interfaces Edit (對(duì)于ethernet1 ): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: (出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: 選擇以下內(nèi)容，然后單擊OK:Interface Mode: NATNetwork Interfaces Edit (對(duì)于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: UntrustStatic IP: (出現(xiàn)時(shí)選擇此選項(xiàng))IP Address/Netmask: Network Interfaces New Tunnel IF: 輸入以下內(nèi)容，然后單擊OK:Tunnel Interface Name: Zone (VR): Untrust (trustvr)Unnumbered: (選擇)Interface: ethernet3 (trustvr)2. 地址Objects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Trust_LANIP Address/Domain Name:IP/Netmask: (選擇), Zone:TrustObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Tokyo_OfficeIP Address/Domain Name:IP/Netmask: (選擇), Zone: Untrust3. VPNVPNs AutoKey Advanced Gateway New: 輸入以下內(nèi)容，然后單擊OK:Gateway Name: To_TokyoSecurity Level: CustomRemote Gateway Type:Static IP Address: (選擇), IP Address/Hostname: 預(yù)共享密鑰Preshared Key: h1p8A24nG5Outgoing Interface: ethernet3Advanced: 輸入以下高級(jí)設(shè)置，然后單擊Return，返回基本Gateway 配置頁(yè):Security Level: CustomPhase 1 Proposal (for Custom Security Level ):preg23desshaMode (Initiator): Main (ID Protection)(或)證書(shū)Outgoing Interface: ethernet3Advanced: 輸入以下高級(jí)設(shè)置，然后單擊Return，返回基本Gateway配置頁(yè):Security Level: CustomPhase 1Proposal (for Custom Security Level ):rsag23desshaPreferred certificate (optional)Peer CA: EntrustPeer Type: X509SIGVPNs AutoKey IKE New: 輸入以下內(nèi)容，然后單擊OK:Name: Paris_TokyoSecurity Level: CustomRemote Gateway:Predefined: (選擇), To_TokyoAdvanced: 輸入以下高級(jí)設(shè)置，然后單擊Return，返回基本“AutoKeyIKE”配置頁(yè): Security Level: CompatibleBind To: Tunnel Interface, ProxyID: (選擇)Local IP/Netmask: Remote IP/Netmask: Service:ANY4. 路由Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Netw