Juniper NetScreen防火墙新人指南

NetScreen防火墙支持多种管理方式：WEB管理，CLI (Telnet) 管理等，由于一般调试工作中，我们最常用的也就是前面两种。

    (ScreenOS 4.0) 　首先，使用CONSOLE口进行配置

　　1.把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。

　　2.打开WINDOWS的附件-》通讯-》超级终端 ，选择插有CONSOLE线的串口连接。(设置串口属性：9600-8-无-硬件)

　　3.出现提示符号后输入帐号密码进入设置命令行界面。(默认帐号：Netscreen;密码Netscreen)

　　4.进入Netscreen命令行管理界面 }B4B

　　Web管理连接设置

　　1.设置接口IP;

　　若所有接口均未配置IP(Netscreen设备初始化设置)，需设置一个端口IP，用于连接web管理界面，这里设置trust端口;在命令行模式下输入：

　　ns5XT->set int trust ip *

　　命令说明： A.B.C.D为IP地址，通常设置为一个内网地址，E 为IP地址的掩码位，通常设为24。

　　此时通过get interface命令可以看到端口状态的信息(类似CISCO SHOW　接口命令)

　　2.启动接口的web管理功能;

　　ns5XT->set int trust manage web

　　3.连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置 DW,

　　建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。

　　注意：将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内;

　　打开IE浏览器，键入防火墙的管理IP，打开登陆画面;

　　防火墙基本设置：

　　1.设置访问超时时间：　Web: 　在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数，并在前面打勾。

　　CLI: Y3

　　NS5XT->set admin auth timeout 2.Netscreen的管理权限: 设置超级管理员(Root) RL|(DDF*7M

　　WEB： Z QG

　　进入Configuration>Admin>Administrators ，在这里可以管理所有的管理员。

　　CLI： D NS5XT->set admin name V

　　NS5XT->set admin password

　　添加本地管理员 WEB： L

　　点击New链接，打开配置页。输入管理员登录名和密码，指定权限(可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改)。

　　CLI: D NS5XT->set admin user password privilege < p>

　　3.设置DNS Web：打开Network>DNS页面，可配置Host Name(主机名)，Domain Name(域名)，Primary DNS Server(主域名服务器)，Second DNS Server(副哉名服务器)，还有DNS每天更新的时间。配置完后按Apply按键实施。　NS5XT->set hostname hMRr6

　　NS5XT->set domain B

　　NS5XT->set DNS host

　　4.设置Zone(安全区域) 　 Web：

　　打开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置，有许多默认的Zone 是不允许配置的，在Configure中不会出现Edit)。按New按键可以新增一个Zone。 CLI： ho NS5XT->set zone vrouter OWV6jS

　　5.设置Interface(接口) v

　　WEB：打开Network>Interfaces，选择需要配置的接口对应的属性页(有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口)。

　　点击对应接口Configure列中的Edit链接，打开接口配置窗口。(对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容) Zone name: 设置从属的安全区域;

　　IP Address/Netmask：设置接口的IP和掩码; Manage IP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0..0.0.0，则该Manage IP默认为接口IP。

　　Interface Mode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。 　 Management Services：选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。 wF=W .da2

　　设置完成后点击Apply按钮记录设置。 CLI：

　　设置接口IP：

　　NS5XT->set interface ip

　　设置接口网关： $NS5XT->set interface < trust|untrust|dmz > gateway J

　　启动接口的管理功能：

　　NS5XT->set interface manage

　　关闭接口的管理功能：

　　NS5XT->unset interface manage

　　设置Trust接口工作模式： NS5XT->set interface trust

　　结合CLI和WEB方式，我们能很轻松的将NS搞定。

【编辑推荐】

1. 独家专访VB100：趋势科技退出缘于新病毒检测失败
2. 趋势科技发文挑衅VB100 金山对此不以为然
3. 趋势退出VB100病毒测试 强调评测与病毒的不对等博弈
4. 趋势科技：云安全是安全领域的一场工业革命
5. 2009年世界顶级杀毒软件排行(ToptenReviews)
6. 51CTO云安全专题页
7. 企业需要在应用程序开发时保证数据安全
8. “云”火墙让Cisco防火墙能够与众不同