NetScreen防火墙简明配置手册
对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵:Console控制台和WEB。
1. Console控制台:使用Console线连接到Juniper的防火墙上的Console口,利用超级终端用CLI命令行界面进行配置。
2. 使用WEB界面:Juniper防火墙上默认情况下在E1接口(trust)口有一个初始管理IP地址192.168.1.1 255.255.255.0;我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来,然后把本机的地址配置为192.168.1.X 255.255.255.0,之后我们就可以在本机上通过IE浏览器登陆192.168.1.1的地址通过WEB界面对设备进行配置了。
注意1:Juniper防火墙接口的WEB管理特性默认只在E1接口(trust)口才启用,也就是说我们有可能无法通过用WEB登陆其他接口进行操纵,除非我们提前已经打开了相应接口的WEB管理选项。
注意2:如果Juniper防火墙上有配置,我们不知道目前E1接口的IP地址,我们可以先通过Console控制台用“get interface”的命令看一下目前E1口的IP地址。
注意3:Juniper防火墙OS 5.0以上的版本支持MDI和MDIX自适应,也就是说我们的主机和E1口也可以用直通线进行互连,但这种方式有失效的时候,如果出现用交叉线互连物理也无法UP的情况,可以在Console控制台用 “ NS208-> delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。
注意4:系统默认登陆用户名和口令都是:“netscreen”。
在进行了配置后,我们就可以登录到web界面配置其它了:
1、设置相应端口的IP地址
步骤:
Network--Interface--然后根据 网络的编址设置相应接口的IP地址
2、内网接口(TRUST)应该设置成NAT模式,外网接口(UNTRUST)应该设置成ROUTING模式;
步骤:
Network--Interface--Edit--Interface Mode
3、NAT设置
步骤:
Network--Interface--Untrust-Edit--VIP--
选择1 >>Same as the untrusted interface IP address--New VIP Service
选择2 >>Virtual IP Address--ADD--New VIP Service
4、路由设置
步骤:
Network--Routing--Routing Entries--New--0.0.0.0/0.0.0.0-- Gateway IP Address-输入电信给的网关地址;
5、策略配置
步骤:
Policies--
A从内网(TrustDMZ)到外网设置成Permit any;
B从Trust到DMZ设置Permit any;
C设置从Untrust到DMZ的具体 主机的具体端口。
6、设置管理选项(可选)
步骤:
Configuration--Admin--Management--然后修改相应的管理选项
7、修改管理用户密码(可选)
步骤:
Configuration--Admin--Administrators--Local Administrator Database--Edit
8、设置可管理接口及管理方式
步骤:
Network--Interface--Edit--Service Options--选中Web UI、Telnet等;