NetScreen（硬件防火墙）

NetScreen

硬件防火墙

Netscreen防火墙是一种高性能的硬件防火墙,与其它的硬件防火墙相比有本质的区别.其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密,因此速度比其它防火墙要快得多。

功能

1、防火墙

2、VPN

3、流量分配和负载均衡

NetScreen公司2004年被Juniper公司收购。

配置手册

介绍

NetScreen是防火墙设备，NetScreen－204就是其中的一种。

NetScreen-204是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右边三个是以太网网口，从左向右依次为TrustInterface、DMZ Interface、Untrust Interface。其中TrustInterface相当于HUB口，下行连接内部网络设备。UntrustInterface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。

配置准备

PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP192.168.1.1/255.255.255.0，用户名和密码都为netscreen ；登录成功后修改System的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地址。修改完毕点击ok，设备会重启。

把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置也可通过串口登录，在超级终端上通过命令行修改System IP。

数据配置

数据配置包括三部分内容：Policy、Interface、Route Table。配置Policy用IE登陆NetScreen，在配置界面上，依次点击左边竖列中的Network–〉Policy，然后选中Outgoing。如系统原有的与此不同，可点击表中最后一列的Remove来删除掉，然后点击左下角的New Policy，重新设置。

配置Interface

在配置界面上，依次点击左边竖列中的Configure–〉Interface选项，则显示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要时修改System IP。

配置RouteTable

在配置界面上，依次点击左边竖列中的Configure–〉Route Table选项。

系统要正常运行，在NAT内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的路由，其网关是与NAT相连的接口的地址。该路由为：10.10.0.0 255.255.0.0 10.100.0.1 Trust；另一条是去外部公网的缺省路由，其网关是与NAT相连的外部路由器的接口地址。该路由为： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。

从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的第一条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由，可以通过点击Edit、Remove进行修改或删除。

至此，所有配置全部完成。

参考资料

1.企业安全解决方案--Netscreen防火墙·万方数据