【正文】 ............23 管理功能設(shè)置 ......................................................................................................................26 安全區(qū) ..................................................................................................................................27 端口設(shè)置 ..............................................................................................................................28 Route 模式設(shè)置 ................................................................................................................29 設(shè)置路由 ..............................................................................................................................30 定義策略 ..............................................................................................................................31四、HA ……………………………………………………………………………………………..344．網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 ........................................................................................................................344．設(shè)置步驟 ....................................................................................................................................344．命令行配置方式 ........................................................................................................................354．圖形界面下的配置步驟 ............................................................................................................39 對(duì)于每一個(gè)端口，一般使用后兩種模式，NAT 模式和 Route 模式。對(duì)于 screen 的配置，主要過(guò)程為：1，定義 zone。3，定義端口的 ip 和路由。5，對(duì)于各個(gè) zone 之間，按照不同的需求，配置上不同的 object，產(chǎn)生不同的 policy。文檔《寧夏現(xiàn)場(chǎng) Netscreen 》用截圖的方式，展示了現(xiàn)場(chǎng)的基本配置情況，以便模仿和參考整體更新和上傳配置文件的地方在這里 configuration?update?config file一、透明模式1．1 、網(wǎng)絡(luò)結(jié)構(gòu)圖接口為透明模式時(shí)，NetScreen設(shè)備過(guò)濾通過(guò)防火墻的數(shù)據(jù)包，而不會(huì)修改IP數(shù)據(jù)包包頭中的任何源或目的地信息。在透明模式下，接口的IP地址被設(shè)置為 ，使得NetScreen設(shè)備對(duì)于用戶來(lái)說(shuō)是可視或“透明”的。使用透明模式有以下優(yōu)點(diǎn):? 不需要重新配置路由器或受保護(hù)服務(wù)器的IP設(shè)置? 不需要為到達(dá)受保護(hù)服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬IP地址1． 配置文件命令行步驟（以上圖為例）： 創(chuàng)建二層 zone（本例中用的是默認(rèn)的二層 zone，因此不須創(chuàng)建。 Inter 用戶能訪問(wèn)內(nèi)部的 Mail Server 的相關(guān)應(yīng)用。2． 安裝步驟 初始化配置? 連接防火墻Console 方式基于 Console 終端配置 ISG2022 的準(zhǔn)備安裝 Windows 操作系統(tǒng)的 PC 一臺(tái)（裝有超級(jí)終端）ISG2022 設(shè)備自帶的 Console 電纜一條使用超級(jí)終端建立一個(gè)連接，通過(guò) Console 電纜一端連接 ISG2022，一端連接COM，COM 的參數(shù)設(shè)置如圖：使用 Console 端口做初始化配置。并通過(guò)網(wǎng)線和 ISG2022的 MGT 端口連接，打開(kāi) IE 瀏覽器，在瀏覽器地址欄鍵入 設(shè)備 IP 地址） ，如上圖。 管理功能設(shè)置? 設(shè)置管理口令選擇 Configuration Admin Administrators，點(diǎn)擊 NEW 鍵，可以修改并添加防火墻管理員 安全區(qū)? 設(shè)置安全區(qū)選擇 Network Zone ，點(diǎn)擊 NEW 鍵，可以添加新的安全區(qū)。本文檔使用的是防火墻預(yù)定義的安全區(qū)。IP Address / Netwask : /24 輸入 IP 地址和掩碼選擇 Network Interfaces Ether1/2 Edit在 Zone Name ：UnTrust 將 Ether 1/1 綁定到 trust zone。Network Address / Netmask : / 0Gateway : Interface: ether1/2 Gateway IP Address : 對(duì)外的網(wǎng)關(guān)地址route list? 命令行配置方式set route NAT 設(shè)置? 基于接口的 NAT 設(shè)置對(duì)綁定到 Trust Zone 的接口的工作模式進(jìn)行設(shè)置Network Interfaces Ether1/1 Edit 編輯綁定到 trust zone 的接口將接口設(shè)置為 NAT 模式? 命令行配置方式set interface e1/1 route? 設(shè)置 MIP 地址翻譯選擇 Network Interface E1/2，點(diǎn)擊 Edit 編輯綁定到 Untrust zone 的接口點(diǎn)擊 New 按鈕，進(jìn)入 MIP 的設(shè)置界面輸入需要映射的 MIP 地址Mapped IP : 公網(wǎng) Mail 服務(wù)器地址Network : Host IP Address : 內(nèi)網(wǎng) Mail 服務(wù)器網(wǎng)卡地址Host Virtual Router Name :trustvr 點(diǎn)擊 OK 添加? 命令行配置方式set interface ether1/2 mip host mask vrouter trustvr? 設(shè)置 VIP 地址翻譯選擇 Network Interface E1/2，點(diǎn)擊 Edit 編輯綁定到 Untrust zone 的接口輸入 Virtual IP Address： 公網(wǎng) Web 服務(wù)器地址點(diǎn)擊 Add 添加點(diǎn)擊 New VIP Servie 按鍵輸入需要映射的 Web 服務(wù)器的地址和對(duì)外發(fā)布服務(wù)端口Virtual IP : 公網(wǎng) Web 服務(wù)器地址Virtual Port : 80 對(duì)外發(fā)布的服務(wù)端口Map to service : HTTP(80) 內(nèi)網(wǎng) Web 服務(wù)器的真實(shí)端口Map to IP: 內(nèi)網(wǎng) Web 服務(wù)器的地址Virtual IP : 公網(wǎng) Web 服務(wù)器地址Virtual Port : 8080 對(duì)外發(fā)布的服務(wù)端口Map to service : HTTP(80) 內(nèi)網(wǎng) Web 服務(wù)器的真實(shí)端口Map to IP: 內(nèi)網(wǎng) Web 服務(wù)器的地址Virtual IP : 公網(wǎng) Web 服務(wù)器地址Virtual Port : 8800 對(duì)外發(fā)布的服務(wù)端口Map to service : HTTP(80) 內(nèi)網(wǎng) Web 服務(wù)器的真實(shí)端口Map to IP: 內(nèi)網(wǎng) Web 服務(wù)器的地址點(diǎn)擊 OK 添加? 命令行配置方式set interface ether1/2 vip 80 HTTP set interface ether1/2 vip + 8080 HTTP set interface ether1/2 vip + 8800 HTTP 端口服務(wù)針對(duì) WEB 服務(wù)器對(duì)外訪問(wèn)提供的非標(biāo)準(zhǔn)服務(wù)端口，我們必須自定義服務(wù)端口。方法如下：選擇 PolicyFrom TrustTo UntrustNew輸入以下內(nèi)容，單擊 OK 創(chuàng)建 Policy Source Address : Address Book Entry :