《Juniper+netscreen端口映射》由会员分享,可在线阅读,更多相关《Juniper+netscreen端口映射(19页珍藏版)》请在金锄头文库上搜索。
1、NETSCREEN防火墙的配置说明书第一部分 服务器网络设备配置公司服务器使用联通公司光纤宽带,带宽2M;硬件防火墙采用netsreen 5GT防火墙,其应用软件为全英文;交换机有固网和阿尔卡特两个(其中一个备用);服务器采用DELL服务器。服务器网络设置为:宽带光纤信号转换器netcreen防火墙交换机服务器。网络结构为:固定IP设置到防火墙上,服务器是内网IP,因此,外网如果要访问服务器,必须经过地址映射才能访问到服务器。一、防火墙的基本设置 1、防火墙程序的重装如果防火墙出现故障,需要重装程序或重新配置,可以采用超级终端,先清空程序,再进行安装。具体操作为:第一步:用9针数据线(防火墙有
2、带)连接防火墙和电脑(下图画红线端口),打开电源。第二步:打开程序附件通讯超级终端(下图),第四步:打开超级终端出现下图,随便填写连接名称,按确定,第五步:确定后出现下图,“连接使用”选择COM1,其它不填第六步:再确定后出现下图, 第七步:再按确定,就出现名为“1111”的超级终端第八步:当防火墙接上电脑后,超级终端就会出现login: ,如果要重装软件,就输入防火墙产品背面的序列号,本公司使用的产品序列号为0064092004011007,再按回车,出现password: ,再输入序列号,回车,就出现重启画面。下图红线部分是询问是否重启y/n,键盘输入y,回车,自动重启,防火墙恢复到出厂设
3、置,web入口为192.168.1.1:第九步:把防火墙拆下,通过网络线放入到服务器端(或者用网络线与任意一机器相连都行,但机器的本地连接要与防火墙同一网段,即网关设为192.168.1.1),接上电源,然后打开IE,输入http:/192.168.1.1,就可登录防火墙首页,然后进行防火墙的基本程序重装。2、防火墙程序重装第一步:打开IE,输入http:/192.168.1.1,可见下图第二步:直接按“下一步”,出现下图第三步:再按next,出现下图。可以自定义用户名和密码(现在防火墙上设置的用户名为netscreen,密码为hai2DA),再输入一遍密码密码用户名第四步:然后再按next,
4、可见下图第五步:选中“Enable Nat”,按“next”,出现下图第六步:选择“trust-untrust Mode”,按“next”,可见下图第七步:因为我们的是固定外网IP,选中“static IP”,在“untrust zone interface IP(即:非信任区入口IP)”填写入外网IP:121.40.245.10;在netmask(子网掩码)填写入:255.255.255.0;在gateway(网关)中填写入:121.40.245.1。然后按“next”第八步:可见下图,在方框的信任区入口IP和子网掩码就按下图的设置不变。再按next第九步:可见下图,在图中选择“No”,按n
5、ext第十步:然后可见下图,再按next第十一步:最后按finish完成即可,防火墙自动重启,基本的设备已完成。接下来要进入防火墙内部进行配置。3、防火墙的内部配置第一步:在WEB中输入http:/192.168.1.1,输入用户名和密码(现用户名:netscreen,密码:hai2DA),可见下图:第二步:按左边Network,再按下面的DNS,可见下图,在画红线的部分填写入DNS,按图中的填写,其它不填,然后按apply,完成DNS设置。4、IP地址映射设置Netcreen 5GT 防火墙IP地址映射设置第一部分1、打开interface 2、untruest,打开edit3、打开MIP,
6、4、按new,在Mapped IP中输入外网IP(ISP提供的IP地址),在Netmask中输入ISP提供的掩码(255.255.255.255),在Host IP Adress中输入本地网服务器的内网IP地址(如192。168。1。22),Host Virtual Router Name 选择“trust-vr”,然后按“OK”,即可看到一条MIP被添加进来。5、打开policies选择fromuntrust totrust ,再按new 在name 中填写任意名称,如tang、any等;Source AdressAdress Book Entry 选择Any;Destination Adr
7、essAdress Book Entry 选择MIP 即已建好的MIPService 选择所需用的端口,公司的售票系统使用8888端口。然后按OK即可看到一条策略被添加进去。如果下拉菜单中没有所需端口,则进行下一步添加端口。第二部 添加端口1、打开object servicecustom2、按new在service name 中输入8888,Transport protocol 选择TCP,Source Port Low 填写0,high填写65535,Destination Port low填写8888,High填写8888,(如下图),然后按“OK”,即可看到一个端口被添加进去。第三部分
8、对MIP的更改如果外网IP或内网IP需要更改,则首先删除我们已建立的策略Polices选择要删除的策略move,然后打开MIP,按Edit ,可对MIP进行更改。最后按上述方法重新建立策略即可。上述地址映射的目的,就是让外部网络能够访问局域网内的主机。因为防火墙是把外网IP和内网IP隔离开来,当内网访问外网时,通过防火墙把内网IP隐藏起来,外部网络就无法识别内网主机。通过IP地址映射,可以把内网IP映射到外网IP,使得外网访问IP时,可直接到达内网主机。地址映射也可以设置VIP,设置的情形如下:1、 先在objectaddresseslist, 选择Global,再按new, 在Adresse
9、s name 中写入名字,如vip1等,要IP/netmask中填写入外网IP和掩码,现公司用125。46。27。170/28,zone选global,然后按OK,就有一条加入地址本加好的VIP如下图2,在policy中选择from untrust to trust ,按 new,可以看到下图,在name中随便写上名字,如any等,destination addreee选address book entry 选择vip1,在service 中选择端口8888(新建端口的方法与mip建口方法一样),然后按OK可以看到下图3、打开networkinterface,untrust 按edit,可以看到下图,再按VIP可以看到下图,按new VIPservice, 在virtual IP 中选择外网IP,在virtual port中写入8888,MAP to service 选择8888(8888),MAP to ip中写入192。168。1。22(即服务器内网地址),然后按OK,VIP设置就完成了,如下图
