NetScreen 防火墻及VPN快速安裝指南Screen OS 4.0

南車(chē)集團(tuán)NetScreen防火墻及VPN快速安裝指南PAGEPAGE8NetScreen防火墻及VPN快速安裝培訓(xùn)(4.0)北京安泰成發(fā)科技有限公司

TOC\o"1-3"\h\z1基本安裝知識(shí) 21.1電源連接 21.2Console口連接 21.3清除系統(tǒng)配置(此步驟對(duì)于第一次配置的防火墻不用做) 21.4修改防火墻用戶(hù)名及密碼 32基本接口配置 32.1NAT模式 32.2ADSL動(dòng)態(tài)分配地址PPPoE設(shè)置(此步驟對(duì)Untrust端口靜態(tài)分配地址的不必設(shè)置) 43.基本策略配置 43.1建立策略 43.2連接及測(cè)試防火墻 54.VPN建立 64.1地址本建立 64.2設(shè)置ike安全通訊的兩個(gè)階段P1&P2 74.3設(shè)置vpn安全通訊策略 84.4測(cè)試vpn策略的正確性 105.常見(jiàn)故障排除 105.1內(nèi)部網(wǎng)不能訪問(wèn)INTERNET 105.2分公司內(nèi)部網(wǎng)不能和總部進(jìn)行VPN通訊 10

1基本安裝知識(shí)1.1電源連接先連好電源線，再打開(kāi)電源開(kāi)關(guān)。1.2Console口連接?連接步驟用console線連接NetScreen設(shè)備的console口和控制臺(tái)計(jì)算機(jī)的com1口；開(kāi)始程序附件通訊超級(jí)終端；name中輸入任意名字選擇確定； 連接使用：選擇com1選擇確定；在端口設(shè)置中選擇還原默認(rèn)值選擇確定；出現(xiàn)登陸提示符login：。?通過(guò)console口登陸到NetScreen設(shè)備使用系統(tǒng)默認(rèn)的用戶(hù)名和密碼login:netscreenpassword:netscreenns25->1.3清除系統(tǒng)配置(此步驟對(duì)于第一次配置的防火墻不用做)?執(zhí)行以下兩步：確認(rèn)在Flash配置文件將會(huì)在Netscreen重啟動(dòng)后刪除ns->unsetallEraseallsystemconfig,areyousure y/[n]?y重新裝載Netscreen，清除RAM內(nèi)容ns->resetConfigurationmodified,save?[y]/nnSystemreset,areyousure?y/[n]yInreset...1.4修改防火墻用戶(hù)名及密碼（此步驟在防火墻配置及測(cè)試完成，防火墻及VPN完全工作正常后進(jìn)行）Configuration->Admin->Administrators->Edit?請(qǐng)不要忘記ROOT管理員的登錄名和口令!!!?如果丟失了ROOT管理員的登錄名和口令，則需要清空所有的配置信息?。?！2基本接口配置2.1NAT模式系統(tǒng)管理地址設(shè)置成，使管理地址和各接口地址一致 ns->setintvlan1ip/0設(shè)置接口所屬zone ns->setintethernet1zonetrustns->setintethernet2zoneDMZns->setintethernet3zoneuntrust設(shè)置接口為NAT模式（默認(rèn)狀態(tài)） ns->setintethernet1nat在接口上設(shè)置IP地址–端口地址翻譯在NAT模式下進(jìn)行 ns->setintethernet1ip(trust端口地址根據(jù)總部規(guī)定而定)ns->setintethernet3ip0（untrust端口地址根據(jù)各地情況自定，AdSL動(dòng)態(tài)分配地址不用設(shè)此步） ns->setroute/0intethernet3gateway（untrust端口Gateway根據(jù)各地情況自定，AdSL動(dòng)態(tài)分配地址不用設(shè)此步）在這種模式下，Web或Telnet管理可在Trust端口連接，輸入Trust端口地址。2.2ADSL動(dòng)態(tài)分配地址PPPoE設(shè)置(此步驟對(duì)Untrust端口靜態(tài)分配地址的不必設(shè)置)Untrust接口PPPoE配置 WebUI配置?選擇ObtainIPusingPPPoE?輸入ADSL供應(yīng)商提供的用戶(hù)名和口令?選擇Connect需要存儲(chǔ)配置并重新啟動(dòng)設(shè)備N(xiāo)etwork->Interface->Untrust->Edit3.基本策略配置3.1建立策略Policy->在下拉菜單中選擇TrustUntrust在點(diǎn)擊New?Name:（可以不取名字）為策略指定一個(gè)名字來(lái)標(biāo)識(shí)?SourceAddress:InsideAny指定數(shù)據(jù)包的原IP地址?DestinationAddress:OutsideAny指定數(shù)據(jù)包的目的IP地址?Service:Any指定Layer-4protocol或原IP/目標(biāo)IP的服務(wù)端口范圍?Action:Permit-允許數(shù)據(jù)包通過(guò)?其他選項(xiàng)不用選擇（對(duì)于這一條策略）?ClickOKtosavethepolicyrule一般策略只需指定SourceAddress、DestinationAddress、Service、Action共四項(xiàng)。如需要，再指定Logging和Counting。3.2連接及測(cè)試防火墻 這樣，防火墻已經(jīng)可以工作了。用戶(hù)可以將防火墻接入網(wǎng)絡(luò)，內(nèi)部網(wǎng)就可以訪問(wèn)Internet。 接入方法： Untrust(ethernet3)端口接外部路由器，或ADSL/ISDNModen。 Trust(ethernet1)端口接內(nèi)部交換機(jī)。 測(cè)試方法：1.通過(guò)客戶(hù)機(jī)Ping防火墻的trustIP地址正確2.Ping(Internet合法ip地址正確)3.設(shè)置客戶(hù)機(jī)的dns服務(wù)器4.通過(guò)瀏覽器瀏覽web頁(yè)面正確，如訪問(wèn)正確5.那么表示防火墻配置沒(méi)有問(wèn)題4.VPN建立4.1地址本建立設(shè)置本地私有IP地址表進(jìn)入菜單：Objects->Address->List->Trust->New?Enteraname:192.168.8-net（內(nèi)部地址薄命名規(guī)則:廠名;如:株洲電力則定義為zhuzhoudianli四方廠則定義為sifang）?EntertheIPAddress:（根據(jù)南車(chē)分配的IP及各廠實(shí)際情況設(shè)置）?EntertheNetmask:（根據(jù)南車(chē)分配的IP及各廠實(shí)際情況設(shè)置）?Comment:Optional（可選，可不添）?Zone:Trust設(shè)置總公司內(nèi)部私有IP地址表進(jìn)入菜單：Objects->Address->List->Untrust->New?Enteraname:nanche?EntertheIPAddress:?EntertheNetmask:?Comment:Optional（可選，可不添）?Zone:Utrust4.2設(shè)置ike安全通訊的兩個(gè)階段P1&P2?Step1–在分公司NetScreen防火墻上生成一個(gè)在IKE第一階段安全通道(IKEGateway)?VPNs>AutoKeyAdvanced>Gateway>New?EnterorSelectthefollowing:–Name:<tozongbu1>–SecurityLevel:選擇Custom–選擇StaticIPAddress，IPAddress:30–PresharedKey<12345678>–LocalID:user**(Untrust端口靜態(tài)地址不用添此項(xiàng)，**根據(jù)分配)再選擇按鍵Advanced進(jìn)入–Phase1Proposal:pre-g2-3des-md5–ModeUntrust端口靜態(tài)地址：MainUntrust端口動(dòng)態(tài)地址：Aggressive點(diǎn)擊Return->OK?Step2–在分公司NetScreen防火墻上生成一個(gè)在IKE在第二階段利用第一階段的安全通道生成一個(gè)安全聯(lián)盟?VPNs>AutoKeyIKE>New–Name:<tozongbu2>–SecurityLevel:選擇Custom–RemoteGatewayName:<tozongbu2>再選擇按鍵Advanced進(jìn)入–EnableReplayProtection–選擇VPNMonitor–Phase2Proposal:g2-esp-3des-md5點(diǎn)擊Return->OK4.3設(shè)置vpn安全通訊策略Policy->在下拉菜單中選擇UntrustTrust在點(diǎn)擊New?SelectorEnterthefollowing:–Name:VPN-zongbu–SourceAddress:廠名(根據(jù)地址本建立的選擇)–DestinationAddress:nanche–Service:Any–Action:Tunnel–VPNTunnel:<tozongbu2> 選上：Modifymachingbi-directionalVPNPolicy選上：PositionatTop–OK4.4測(cè)試vpn策略的正確性?從本地計(jì)算機(jī)發(fā)一個(gè)ping包,到對(duì)方內(nèi)部私有IP地址的計(jì)算機(jī)上；?如ping正確?VPN配置結(jié)束！?則VPN正常運(yùn)行！5.常見(jiàn)故障排除5.1內(nèi)部網(wǎng)不能訪問(wèn)INTERNET 檢查網(wǎng)線連接情況 查看防火墻策略 查看防火墻路