收藏
下载资源

NETSCREEN防火墙配置.doc

上传人:飞****9 文档编号:135603947 上传时间:2020-06-17 格式:DOC 页数:49 大小:1.68MB
返回 下载 相关 举报
NETSCREEN防火墙配置.doc_第1页
第1页 / 共49页
NETSCREEN防火墙配置.doc_第2页
第2页 / 共49页
NETSCREEN防火墙配置.doc_第3页
第3页 / 共49页
NETSCREEN防火墙配置.doc_第4页
第4页 / 共49页
NETSCREEN防火墙配置.doc_第5页
第5页 / 共49页
点击查看更多>>
资源描述

《NETSCREEN防火墙配置.doc》由会员分享,可在线阅读,更多相关《NETSCREEN防火墙配置.doc(49页珍藏版)》请在金锄头文库上搜索。

1、NetScreen防火墙防火墙配置指导书配置指导书 NetScreen OS 5 0 目 录 1NETSCREEN的管理的管理 3 1 1访问方式 3 1 2用户 6 1 3日志 7 1 4性能 8 1 5其他常用维护命令 9 2NETSCREEN防火墙的规划和配置步骤防火墙的规划和配置步骤 10 2 1组网规划 10 2 2IP地址分配 10 2 3地址映射及策略 11 2 4NETSCREEN防火墙步骤 12 3防火墙的配置防火墙的配置 13 3 1配置机器名 13 3 2双机基本配置 13 3 3防火墙基本配置 16 3 4配置虚拟路由器 16 3 5配置区段 16 3 6配置接口 17

2、 3 7配置路由 19 3 8配置策略 20 3 8 1配置含有MIP的策略 20 3 8 2配置含有DIP的策略 25 3 8 3配置普通的策略 31 3 9双机的切换配置 34 4NETSCREEN防火墙定位工具防火墙定位工具 35 4 1DEBUG命令 35 4 2SNOOP命令 37 5NETSCREEN防火墙防火墙FAQ 40 5 1ALARM灯的问题 40 5 2如何检查双机的配置是否同步 40 5 3防火墙的双机状态 41 5 4配置文件的备份 41 5 5NETSCREEN防火墙密码的恢复 42 5 6什么时候使用SNOOP 什么时候使用DEBUG FLOW 42 5 7如何使

3、用DEBUG FFILTER的逻辑与和逻辑或 42 6附录附录A 配置文件配置文件 42 7附录附录B 一些术语的说明一些术语的说明 43 7 1虚拟系统 VSYS 43 7 2虚拟路由器 VR 43 7 3区段 ZONE 43 7 3 1安全区段 43 7 3 2Global区段 43 7 3 3通道区段 44 7 3 4功能区段 44 7 4接口 44 7 4 1安全区段接口 44 7 4 2功能区段接口 45 7 4 3通道接口 45 7 5接口工作模式 45 7 5 1NAT模式 45 7 5 2路由模式 46 7 5 3透明模式 46 7 6地址转换 47 7 6 1源网络地址转换

4、47 7 6 2映射IP地址 MIP 47 7 6 3VIP 47 7 7策略元素 48 7 7 1策略元素 48 7 7 2地址和地址组 49 7 7 3服务和服务组 49 1NetScreen 的管理的管理 1 1访问方式 NetScreen防火墙支持多种的管理方式 WebUI Telnet console ssh NetScreen 防火墙管理软件等 常用的有console WebUI和Telnet Console是通过直接的串口线连接防火墙 对防火墙进行管理和配置 telnet是通过终 端仿真协议登录到防火墙上的可管理地址 对防火墙进行管理和配置 WebUI是通过IE或 Netscap

5、e Communicator登录到防火墙的可管理地址 对防火墙进行管理和配置 通过串口直接登录到防火墙时 超级终端的端口配置如下 串行通讯9600bps 8位 无奇偶校验 1停止位 无信息流控制 Telnet或console登录后的命令行界面如下 WebUI登录的界面如下 注意注意 如果要通过telnet或WebUI登录和管理防火墙 所登录的防火墙的接口需要 打开telnet或WebUI的功能 如果防火墙的接口配置了管理IP 一般只能对接口的管理IP 进行telnet或WebUI 而不能直接对接口IP地址进行telnet或WebUI 版本不支持 用命令行的方式检查接口是否打开telnet或We

6、bUI功能的方式 SN NS500 FW1 M get interface e1 1 Interface ethernet1 1 VSI number 12 if info 98400 if index 0 mode route link up phy link up full duplex vsys Root zone Trust vr trust vr vsd 0 ip 192 168 1 20 29 mac 0010 dbff 20c0 manage ip 192 168 1 21 mac 0010 db7e f00c route deny disable ping enabled te

7、lnet enabled SSH enabled SNMP enabled web enabled ident reset disabled SSL enabled webauth disabled webauth ip 0 0 0 0 OSPF disabled BGP disabled RIP disabled bandwidth physical 100000kbps configured 0kbps current 0kbps total configured gbw 0kbps total allocated gbw 0kbps 用WebUI的方式检查接口是否打开telnet或Web

8、UI功能的方式 选择菜单 Network interface 选择对应接口的Edit菜单 1 2用户 NetScreen 设备支持多个管理用户级别 这些级别的可用性取决于 NetScreen 设备 的模式 NetScreen根管理员具有完全的管理权限 每个 NetScreen 设备只有一个根管理 员 缺省情况下根管理员的用户名和密码为netscreen netscreen 在进行防火墙配置时 在进行防火墙配置时 务必先修改防火墙根用户的默认用户名和默认口令 务必先修改防火墙根用户的默认用户名和默认口令 用命令行的方式修改根用户的用户名和口令的命令 用命令行的方式修改根用户的用户名和口令的命令

9、SN NS500 FW1 M set admin user xxx password yyy 其中xxx为根用户的用户名 yyy为根用户的密码 用WebUI的方式修改根用户名和密码的方式 选择菜单 Configuration Admin Adminstrators 选择Edit按钮后可出现以下菜单 可以输入新的根用户和口令 注意注意 NetScreen防火墙在启用后 强烈建议修改缺省密码 同时在上线后 每次修 改NetScreen防火墙的配置 都建议对配置作备份 因为NetScreen防火墙密码丢失后 恢 复密码的操作会把防火墙所有的配置丢掉 1 3日志 防火墙有各种日志 常用的有告警日志和事

10、件日志 这些日志信息对于维护防火墙时 是非常有用的 用命令行的方式查看告警日志的命令 用命令行的方式查看告警日志的命令 SN NS500 FW1 M get alarm event Total event entries 44 Date Time Module Level Type Description 2004 12 07 15 14 26 system crit 00015 Peer device 8319360 in the Virtual Security Device group 0 changed state from backup to primary backup 2004

11、12 07 15 14 25 system crit 00071 The local device 8318976 in the Virtual Security Device group 0 changed state from primary backup to master missing master 用命令行的方式查看事件日志的命令 用命令行的方式查看事件日志的命令 SN NS500 FW1 M get event Total event entries 2091 Date Time Module Level Type Description 2004 12 14 13 33 50

12、system info 00524 SNMP NetScreen device has responded successfully to the SNMP request from 139 107 68 10 1670 2004 12 14 13 33 17 system info 00524 SNMP NetScreen device has responded successfully to the SNMP request from 139 107 68 10 1670 通过WebUI方式查看告警日志和事件日志的方法 通过WebUI登录到防火墙上即可 1 4性能 维护时检查防火墙的性能

13、主要是查看防火墙CPU和Session的使用情况 通过命令行的方式查看防火墙的CPU使用情况 SN NS500 FW1 M get performance cpu Average System Utilization 1 Last 1 minute 2 Last 5 minutes 2 Last 15 minutes 2 SN NS500 FW1 M get performance cpu detail Average System Utilization 1 Last 60 seconds 59 2 58 2 57 2 56 2 55 2 54 2 53 2 52 2 51 2 50 2 4

14、9 2 48 2 47 2 46 2 45 2 44 2 43 2 42 2 41 2 40 2 39 2 38 2 37 2 36 2 35 2 34 2 33 2 32 2 31 2 30 2 29 2 28 2 27 2 26 2 25 2 24 2 23 2 22 2 21 2 20 2 19 2 18 2 17 2 16 2 15 2 14 2 13 2 12 2 11 2 10 2 9 2 8 2 7 2 6 2 5 2 4 2 3 2 2 2 1 2 0 2 Last 60 minutes 59 2 58 2 57 2 56 2 55 2 54 2 53 2 52 2 51 2

15、50 2 49 2 48 2 47 2 46 2 45 2 44 2 43 2 42 2 41 2 40 2 39 2 38 2 37 2 36 2 35 2 34 2 33 2 32 2 31 2 30 2 通过命令行方式查看通过命令行方式查看Session的使用情况 的使用情况 SN NS500 FW1 M get session alloc 26 max 250000 alloc failed 0 di alloc failed 0 id 7953 s vsys 0 flag 04000000 0400 00 policy 7 time 180 dip 0 12 8801 139 107

16、 20 65 1378 10 161 115 177 21 6 00e0fc45259f 2 vlan 0 tun 0 vsd 0 route 0 上述表明现在防火墙有26个Session 通过WebUI的方式查看防火墙的cpu及session的使用情况 登录到WebUI首页 1 5其他常用维护命令 NetScreen防火墙其他常用维护命令有 防火墙其他常用维护命令有 get tech support 收集当前系统的运行状态信息 供远程支持人员或厂商进行 故障分析 get system 查看当前防火墙的软件版本 硬件版本 接口的配置和状态的信息 get counter 查看各种计数器的统计值 后面需要加上相应的类型参数 get mip 查看防火墙的MIP地址映射 get policy 查看防火墙的策略信息 get route 查看防火墙的路由的信息 get arp 查看防火墙的arp信息 get clock 查看防火墙的时间 2NetScreen 防火墙的规划和配置步骤防火墙的规划和配置步骤 2 1组网规划 在配置NetScreen防火墙前 做好网络拓朴图 规划好网络的连接情况 本文后

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号