juniper防火墙详细配置手册
JuniperSSG防火墙配置手册
Juniper SSG-5(NS-5GT)防火墙配置手册一样策略设置1.第一能够指定IP地址,依照IP地址作策略,选择Policy – Policy Elements – Addresses – List,然后在中间页面选择Trust,然后点击New,如以下图:2.在Address Name为指定IP地址设置识别名称,然后在下面输入具体IP,如以下图:3.设置以后如以下图:4.再设置一个指定IP地址,如以下图:5.设置以后两个都能够显示出来,如以下图:6.设置多个指定IP组,选择Policy – Policy Elements – Addresses – Groups,如以下图:中间页面的Zone选择Trust,点击右边的New。
7.为此IP组起识别名称,下面将需要加入组的IP添加到组里,点OK,如以下图:8.依照需求能够自概念效劳,选择Policy – Policy Elements – Services – Customs,如以下图:点击右边New9.输入此自概念效劳的识别名称,然后下面能够选择效劳类型和效劳端口,如以下图:10.设置完以后如以下图:11.定制多个效劳组,选择Policy – Policy Elements – Services – Groups,点击页面中间右边的New,如以下图:12.为此定制效劳组设置识别名称,将需要的效劳添加进入,点击OK。
13.设置完成以后如以下图:14.策略设置,此处能够直接利用之前设置的指定IP地址(组),自概念效劳(组)。
选择Policy – Polices,如以下图:选择From Untrust to Trust(可依照需要修改),点击右边New,15.如也能够设置From Trust to Untrust,如以下图:16.策略设置页面如以下图,设置名称,选择源地址和目的地址,效劳类型等,最后选择许诺仍是拒绝。
17.设置以后如以下图:18.也能够设置一个全拒绝的策略,如以下图:19.设置以后如以下图:20.能够点击ID为1的策略右边的双箭头符号,显现脚本提示点确信,21.如此能够把ID为1的策略放到下面,如以下图策略含义为从Trust口到Untrust口的流量中,来自IT 组的IP地址到任意目的地,效劳类型属于CTG-APP中的流量许诺通过,其他所有流量都拒绝。
Juniper网络安全防火墙配置手册
Juniper网络安全防火墙设备快速安装手册V1.02009-7目录第一章前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)第二章软件操作 (5)2.1、防火墙配置文件的导出和导入 (5)2.1.1、配置文件的导出 (5)2.1.2、配置文件的导入 (6)2.2、防火墙软件(S CREEN OS)更新 (7)2.3、防火墙恢复密码及出厂配置的方法 (8)2.4、防火墙重启 (8)第三章 NS-5000系列(NS5200/NS5400) (9)3.1、NS-5000结构 (9)3.2、硬件组件故障检查 (10)3.3、设备组件更换 (11)第四章 JUNIPER防火墙部署模式及基本配置 (11)4.1、NAT模式 (11)4.2、R OUTE路由模式 (12)4.3、透明模式 (13)4.4、NAT/R OUTE模式下的基本配置 (14)4.4.1、NS-5200/5400 NAT/Route模式下的基本配置 (14)4.5、透明模式下的基本配置 (16)第五章 JUNIPER防火墙常用功能的配置 (17)5.1、MIP的配置 (17)5.1.1、使用Web浏览器方式配置MIP (18)5.1.2、使用命令行方式配置MIP (19)5.2、VIP的配置 (20)5.2.1、使用Web浏览器方式配置VIP (20)5.2.2、使用命令行方式配置VIP (21)5.3、DIP的配置 (21)5.3.1、使用Web浏览器方式配置DIP (22)5.3.2、使用命令行方式配置DIP (23)5.4、聚合接口(AGGREGATE)的配置 (24)第六章 JUNIPER防火墙双机的配置 (25)6.1、使用W EB浏览器方式配置 (25)6.2、使用命令行方式配置 (27)第七章 JUNIPER防火墙的维护命令 (28)7.1登录J UNIPER防火墙的方式 (28)7.2查看设备相关日志和工作状态 (29)7.3检查设备CPU的占有率 (37)7.3.1 原因分析 (37)7.3.2采取的措施 (37)7.4检查内存占有率 (38)7.4.1 原因分析 (38)7.4.2 采取的措施 (38)7.5双机异常 (38)7.5.1原因分析 (38)7.5.2采取的措施 (39)7.6故障处理工具 (39)7.6.1 Debug (40)7.6.2 Snoop (40)第八章JUNIPER防火墙的配置优化 (41)8.1ALG优化 (41)8.2防火墙数据包处理性能优化 (41)8.3日志优化 (41)8.4关闭双机会话同步 (42)第九章移动W AP网关配置案例 (42)附录、JUNIPER防火墙的一些概念 (51)第一章前言我们制作本安装手册的目的是使维护Juniper网络安全防火墙设备(在本安装手册中简称为“Juniper防火墙”)的NSN公司相关技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现、应用和排错。
Juniper 防火墙HA配置详解_主从(L3 路由模式)
J u n i p e r防火墙H A配置详解_主从(L3路由模式)------------------------------------------作者xxxx------------------------------------------日期xxxxJuniper HA 主双(L3)路由模式配置实际环境中防火墙做主双是不太可能实现全互联结构,juniper防火墙标配都是4个物理以太网端口,全互联架构需要防火墙增加额外的以太网接口(这样会增加用户成本),或者在物理接口上使用子接口(这样配置的复杂性增加许多),最主要的是用户的网络中大多没有像全互联模式那样多的设备。
因此主双多数实现在相对冗余的网络环境中。
HAG 2/23G 2/1G 2/1G 2/23G 2/24G 2/24防火墙A上执行的命令set hostname ISG1000-Aset intset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 10set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp vsd-group id 0 monitor interface ethernet1/2 set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 manage-ipset interface ethernet2 zone Untrustset .254/24set inter.1set interface eth1 manageset interface eth2 manage防火墙B上执行的命令set hostname ISG1000-Bset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 100set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp vsd-group id 0 monitor interface ethernet1/2 set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 manage-ipset interface ethernet2 zone Untrustset interface ethernet2 manage-ip 172.16.1.2set interface eth1 manageset interface eth2 manage任意一个防火墙上执行的命令即可set policy id 2 from "Trust" to "Untrust" "Any" "Any" "ANY" permitset policy id 3 from "UnTrust" to "trust" "Any" "Any" "ANY" permit___________________________________________________________最后 A 和 B 都必须执行的命令exec nsrp sync global save。
Juniper_SSG__5防火墙中文版配置手册
J u n i p e r S S G-5防火墙配置手册中文版初始化设置1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
——,然后点击下面的Next:5.在登录页面输入用户名,密码,初始均为netscreen,如下图:6.登陆到web管理页面,选择Configuration–Date/Time,然后点击中间右上角SyncClockWithClient选项,如下图:7.选择Interfaces–List,在页面中间点击bgroup0最右侧的Edit,如下图:8.此端口为Trust类型端口,建议Internet网络设置1.修改本地IP地址为本地内网IP地址,如下图:2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:3.选择Interfaces–List,点击页面中ethernet0/0最右侧的Edit选项,如下图:4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP提供的网络服务类型选择)A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Createnewpppoesetting,在如下图输入本地ADSLpppoe拨号账号,PPPoEInstance输入名称,BoundtoInterface选择ethernet0/0,Username和Password输入ADSL账号密码,之后OK,如下图:PPPoE拨号设置完毕之后,点击Connect,如下图:回到Interface–List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
C.第三种设置IP地址方法是设置固定IP地址,如下图:选择StaticIP,输入IP地址和ManageIP:.1/30,勾选WebUI,Telnet,SSH,然后点OK。
JuniperSSG防火墙中文版配置手册
J u n i p e r S S G-5防火墙配置手册中文版初始化设置…………………………………………………………………………………….错误!未指定书签。
Internet网络设置………………………………………………………………………………错误!未指定书签。
一般策略设置………………………………………………………………………………….错误!未指定书签。
VPN连接设置…………………………………………….................................... ....................错误!未指定书签。
初始化设置1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
——,然后点击下面的Next:5.在登录页面输入用户名,密码,初始均为netscreen,如下图:6.登陆到web管理页面,选择Configuration–Date/Time,然后点击中间右上角SyncClockWithClient选项,如下图:7.选择Interfaces–List,在页面中间点击bgroup0最右侧的Edit,如下图:8.此端口为Trust类型端口,建议Internet网络设置1.修改本地IP地址为本地内网IP地址,如下图:2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:3.选择Interfaces–List,点击页面中ethernet0/0最右侧的Edit选项,如下图:4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP提供的网络服务类型选择)A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Createnewpppoesetting,在如下图输入本地ADSLpppoe拨号账号,PPPoEInstance输入名称,BoundtoInterface选择ethernet0/0,Username和Password输入ADSL账号密码,之后OK,如下图:PPPoE拨号设置完毕之后,点击Connect,如下图:回到Interface–List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
JuniperSSG防火墙中文版配置手册
J u n i p e r S S G防火墙中文版配置手册集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-Juniper SSG-5防火墙配置手册中文版初始化设置1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
2.电脑本地连接设置静态IP地址,IP地址(在/24都可以),子网掩码,默认网关,如下图:3.设置好IP地址后,测试连通,在命令行ping ,如下图:4.从IE浏览器登陆防火墙web页面,在地址栏输入,如下图向导选择最下面No, skip——,然后点击下面的Next:5.在登录页面输入用户名,密码,初始均为netscreen,如下图:6.登陆到web管理页面,选择Configuration – Date/Time,然后点击中间右上角Sync Clock With Client选项,如下图:7.选择Interfaces – List,在页面中间点击bgroup0最右侧的Edit,如下图:8.此端口为Trust类型端口,建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址,如/24,Manage IP 。
之后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。
如下图:Internet网络设置1.修改本地IP地址为本地内网IP地址,如下图:2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:3.选择Interfaces – List,点击页面中ethernet0/0最右侧的Edit选项,如下图:4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP 提供的网络服务类型选择)A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Create new pppoe setting,在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称,Bound to Interface选择ethernet0/0,Username和Password输入ADSL账号密码,之后OK,如下图:PPPoE拨号设置完毕之后,点击Connect,如下图:回到Interface – List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
juniper防火墙详细配置手册
juniper防火墙详细配置手册Juniper防火墙简明实用手册(版本号:V1.0)目录1juniper中文参考手册重点章节导读 (4)1.1第二卷:基本原理41.1.1第一章:ScreenOS 体系结构41.1.2第二章:路由表和静态路由41.1.3第三章:区段41.1.4第四章:接口41.1.5第五章:接口模式51.1.6第六章:为策略构建块51.1.7第七章:策略51.1.8第八章:地址转换51.1.9第十一章:系统参数61.2第三卷:管理61.2.1第一章:管理61.2.2监控NetScreen 设备61.3第八卷:高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本:Juniper防火墙5.0中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。
Juniper防火墙配置图解
Juniper 防火墙v6.0以上版本 L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name :用户自定义名称Start IP :用户自定义一段地址的起始地址End IP :用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程,建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前,先确定好用于拨入VPN的接口编号。
VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ,填入你要访问的目的地址或目的地址段Service :选择要访问的服务Action : 选择 tunnelL2TP :选择新建的L2TP vpn tunnelLogging :可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成,vpn拨号配置建立完,后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定,进入注册表配置。
进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Paramete rs ,在右侧新建值命名为“ProhibitIpSec”注意大小写,数值为1修改完毕后重启计算机,进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper防火墙简明实用手册(版本号:)目录1juniper中文参考手册重点章节导读 (3)第二卷:基本原理 (3)第一章:ScreenOS 体系结构 (3)第二章:路由表和静态路由 (3)第三章:区段 (3)第四章:接口 (3)第五章:接口模式 (4)第六章:为策略构建块 (4)第七章:策略 (4)第八章:地址转换 (4)第十一章:系统参数 (5)第三卷:管理 (5)第一章:管理 (5)监控NetScreen 设备 (5)第八卷:高可用性 (5)NSRP (5)故障切换 (6)2Juniper防火墙初始化配置和操纵 (7)3查看系统概要信息 (8)4主菜单常用配置选项导航 (9)5Configration配置菜单 (10)Date/Time:日期和时间 (10)Update更新系统镜像和配置文件 (11)更新ScreenOS系统镜像 (11)更新config file配置文件 (12)Admin管理 (14)Administrators管理员账户管理 (14)Permitted IPs:允许哪些主机可以对防火墙进行管理 (15)6Networks配置菜单 (16)Zone安全区 (16)Interfaces接口配置 (18)查看接口状态的概要信息 (18)设置interface接口的基本信息 (18)设置地址转换 (20)设置接口Secondary IP地址 (24)Routing路由设置 (25)查看防火墙路由表设置 (25)创建新的路由条目 (26)7Policy策略设置 (27)查看目前策略设置 (27)创建策略 (28)8对象Object设置 (30)9策略Policy报告Report (32)1juniper中文参考手册重点章节导读版本:Juniper防火墙中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。
1.1第二卷:基本原理1.1.1第一章:ScreenOS 体系结构安全区安全区接口策略1.1.2第二章:路由表和静态路由配置静态路由1.1.3第三章:区段安全区配置安全区功能区段:HA区段1.1.4第四章:接口接口类型:安全区接口:物理接口类型:安全区接口:功能区段接口察看接口配置安全区接口:将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址二级IP地址1.1.5第五章:接口模式透明模式NAT模式路由模式1.1.6第六章:为策略构建块地址:地址条目、地址组服务:预定义的服务、定制服务DIP池:端口地址转换、范例:创建带有PAT的DIP池、范例:修改DIP池、扩展接口和DIP时间表1.1.7第七章:策略三种类型的策略策略定义策略应用1.1.8第八章:地址转换地址转换简介源网络地址转换目的网络地址转换映射IP 地址虚拟IP地址1.1.9第十一章:系统参数下载/上传设置和固件系统时钟1.2第三卷:管理1.2.1第一章:管理通过WEB 用户界面进行管理通过命令行界面进行管理管理的级别:根管理员、可读/ 写管理员、只读管理员、定义Admin用户保证管理信息流的安全:更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen 设备储存日志信息事件日志信息流日志系统日志1.3第八卷:高可用性1.3.1NSRPNSRP 概述NSRP 和NETSCREEN 的操作模式NSRP集群VSD组同步1.3.2故障切换设备故障切换(NSRP)VSD 组故障切换(NSRP)为设备或VSD 组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵:Console控制台和WEB。
1.Console控制台:使用Console线连接到Juniper的防火墙上的Console口,利用超级终端用CLI命令行界面进行配置。
2.使用WEB界面:Juniper防火墙上默认情况下在E1接口(trust)口有一个初始管理IP地址;我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来,然后把本机的地址配置为,之后我们就可以在本机上通过IE浏览器登陆的地址通过WEB界面对设备进行配置了。
注意1:Juniper防火墙接口的WEB管理特性默认只在E1接口(trust)口才启用,也就是说我们有可能无法通过用WEB登陆其他接口进行操纵,除非我们提前已经打开了相应接口的WEB管理选项。
注意2:如果Juniper防火墙上有配置,我们不知道目前E1接口的IP地址,我们可以先通过Console控制台用“get interface”的命令看一下目前E1口的IP地址。
注意3:Juniper防火墙OS 以上的版本支持MDI和MDIX自适应,也就是说我们的主机和E1口也可以用直通线进行互连,但这种方式有失效的时候,如果出现用交叉线互连物理也无法UP的情况,可以在Console控制台用“NS208-> delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。
注:系统默认登陆用户名和口令都是:“netscreen”。
3查看系统概要信息使用WEB登陆防火墙的管理地址,进入GUI管理界面,如上图所示。
左边是主配置菜单。
右边最上方是系统启动以及时间信息,右上角显示主机名。
Device information:设备信息,显示设备硬软件版本、序列号以及主机名。
Interface link status:接口链路状态,显示接口所属区和链路UP/DOWN信息。
Resources Status:资源状况,显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。
(其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题)。
The most recent alarms:系统最近的报警信息The most recent events:系统最近的通告信息4主菜单常用配置选项导航在主菜单中我们经常用到的配置菜单如下,后面将针对这些常用配置选项进行详细的介绍。
1.Configuration:Date/Time;Update;Admin;Auth;Report Settingswork:Zones;Interfaces;Routing;NSRP3.Polices4.Objects:Addresses;Services5.Reports:Polices只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护的工作。
5Configration配置菜单5.1Date/Time:日期和时间准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错,设置时钟主要有三种方法。
1.用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。
2.用WEB界面使用和客户端本机的时钟同步:简单实用。
3.用WEB界面配置NTP和NTP服务器的时钟同步。
5.2Update更新系统镜像和配置文件5.2.1更新ScreenOS系统镜像5.2.2更新config file配置文件在这个菜单中我们可以查看目前文本形式的配置文件,把目前的配置文件导出进行备份,以及替换和更新目前的配置。
注意单选框默认是点选在“Merge to Current Configration”即和目前配置融合的位置,而我们一般是要完全替换目前的配置文件的,因此一定要注意把单选框点击到“Replace Current Configration”。
当进行配置替换的之后系统会自动重起使新配置生效。
TIP:进行配置的替换必须用ROOT用户进行登陆,用Read-Write用户进行登陆是无法进行配置的替换操纵的,只有融合配置的选项,替换目前配置的选项将会隐藏不可见,如下图所示:5.3Admin管理5.3.1Administrators管理员账户管理只有用根ROOT用户才能够创建管理员账户。
可以进行ROOT用户账户用户名和密码的更改,但此账户不能被删除。
可以创建只读账户和读写账户,其中读写账户可以对设备的大部分配置进行更改。
5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理6Networks配置菜单6.1Zone安全区查看目前的安全区设置安全区内必须有物理接口才会有实际意义,每一个安全区同时可以包含多个物理接口,但每一个物理接口同时只能属于一个安全区。
几个系统默认的安全区和接口:1:Trust区包含ETH1口2:Untrust区包含ETH4口3:DMZ区包含ETH3口其他区必须进行手工创建并把相应物理接口放入安全区内。
虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不建议使用。
创建新的安全区:在输入安全区名称后其余选项均保持默认值即可。
6.2Interfaces接口配置6.2.1查看接口状态的概要信息接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。
其中接口类型除非是防火墙使用透明模式,否则都会是Layer3三层的。
6.2.2设置interface接口的基本信息接口基本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以及接口的管理特性选项。
最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。
下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。
Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable 的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。
Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。
接口模式有路由模式和NAT模式:NAT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。
路由模式:除非我们在策略定义中明确引用了转换地址池,否则源地址都不会做转换。
由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。
ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。
Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进行管理,默认情况下ETH1(内网口)的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆ETH4口的IP进行管理,必须把相应的WEB或TELNET选项点中。