netscreen25客户端配置步骤

网神设置指南1.资料准备需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。

其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。

2.网神设置2.1.主机设置将本机IP设置为10.50.10.44，子网掩码为255.255.255.0。

将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin程序安装许可证，安装过程中需要输入密码，默认密码为123456。

安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。

在IE地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为：firewall。

即可进入网神设置画面。

2.2.防火墙设置2.2.1.导入许可证初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。

具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。

如下图：2.2.2.网络接口对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。

2.2.3.透明桥设置须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。

2.2.4.安全规则设置为了使I、II区的网口联通，需要对安全规则进行设置。

设置方法如下：点击“安全策略”点击“安全规则”点击“添加”将“源地址”、“目标地址”和“服务”设成any 点击“确定”点击“保存配置”。

3.测试通过上文的设置，即完成对网神的设置，但切记每一步都需要有“配置生效”的提示，且保存配置。

NetScreen防火墙常用CLI配置NetScreen防火墙常用CLI配置目录1. 接口三种部署模式及基本配置 (2)1.1Nat模式 (2)1.1.1 MIP配置 (2)1.1.2 VIP配置 (2)1.1.3 DIP (2)1.2透明模式： (3)1.2.1二层消息流转发 (3)1.2.2未知单点传送选项 (3)1.2.3透明模式配置实例 (3)2. 设备管理、用户认证配置 (4)2.1 telent一些特殊配置 (4)2.2 SSH配置 (4)2.3NSM代理配置 (5)2.4通过MGT、VLAN1管理设备 (5)2.5管理相关命令 (5)3. 攻击与防御配置 (6)3.1攻击监视示例 (6)3.2防御侦查配置 (6)3.3防范DOS攻击 (6)3.4完整的防范SYN泛洪攻击脚本 (7)3.5防范操作系统相关的DoS攻击 (7)4. 虚拟局域网（VPN） (8)4.1基于路由的站点到站点VPN，自动密钥IKE (8) 4.2基于策略的站点到站点VPN，自动密钥IKE (9)4.3 L2TP 配置 (10)5. 高安全性 (11)5.1 NSRP配置 (11)5.2配置双主动NSRP 集群 (11)5.3冗余接口和聚合接口配置 (12)5.4 NSRP 对象监控 (13)5.5使用跟踪IP配置接口故障切换 (13)1.接口三种部署模式及基本配置1.1Nat模式1.1.1 MIP配置MIP是“一对一”的双向地址翻译（转换）过程，1.配置接口参数set interface ethernet1 zone trust //把接口划分到“trust”里set interface ethernet1 ip 10.1.1.1/24 //配置接口IPset interface ethernet1 nat //将接口的模式配置为natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/242.定义MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr//将内部ip 10.1.1.5与公网IP1.1.1.5做对应，并且绑定到trust-vr虚拟路由器中3.定义策略set policy from untrust to trust any mip(1.1.1.5) http permit //配置来自任意源目的ip为1.1.1.5，端口为80端口的流量可以从untrust区到达trust 区save1.1.2 VIP配置是一个公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。

中国移动N E T S C R E E N防火墙安全配置规范S p e c i f i c a t i o n f o r N E T S C R E E N F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部1概述 (4)1.1适用范围 (4)1.2内部适用性说明 (4)1.3外部引用说明 (5)1.4术语和定义 (6)1.5符号和缩略语 (6)2NETSCREEN防火墙设备安全配置要求 (6)2.1直接引用《通用规范》的配置要求 (6)2.2日志配置要求 (12)2.3告警配置要求 (15)2.4安全策略配置要求 (19)2.5攻击防护配置要求 (24)2.6设备其它安全要求 (25)3编制历史 (26)附录 (27)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准明确了NETSCREEN防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位：中国移动通信有限公司网路部、中国移动通信集团上海、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：刘金根、石磊、程晓鸣、周智、曹一生。

1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的NETSCREEN防火墙。

本规范明确了NETSCREEN防火墙安全配置方面的基本要求。

NETSCREEN—25配置文档1、进入字符配置界面：用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是NETSCREEN。

2、进入WEB配置界面：用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。

打开IE浏览器输入http:/192.168.1.11（192.168.1.11为E1端口管理IP），用户名，密码都是NETSCREEN。

3、配置端口IP和管理IP：E1：内部网端口端口IP192.168.1.20和管理IP192.168.1.11更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，管理IP用于在内部理NETSCREEN防火墙。

E3:外网端口端口IP192.168.42.66和管理IP192.168.42.68更改为当地电信所分配的IP地址，E3的管理IP用于外部管理者在INTERNET上配置和管理NETSCREEN防火墙。

4、配置由内网到外网的NAT：在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

work>Interfaces>Edit（对于ethernet1）：输入以下内容，然后单击OK：Zone Name:TrustIP Address/Netmask:172.16.40.11/24（当地内部网网关IP）work>Interfaces>Edit（对于ethernet3）：输入以下内容，然后单击OK：Zone Name:UntrustIP Address/Netmask:215.3.4.11/24(当地电信所分配的IP地址)。

work>Interfaces>Edit（对于ethernet3）>DIP>New：输入以下内容，然后单击OK：ID:6IP Address RangeStart:215.3.4.12（当地电信所分配的IP地址）End:215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）Port Translation:Enable4.Policies（策略）>(From:Untrust,To:Trust)>New：输入以下内容，然后单击OK：Source Address:Address Book:（选择）,AnyDestination Address:Address Book:（选择）,AnyService:AnyAction:Permit>Advanced:输入以下内容，然后单击Return，设置高级选项并返回基本配置页：NAT:OnDIP On:（选择）,6(215.3.4.12–215.3.4.210)：上一步设的地址池。

NetScreen配置步骤
1.安装netscreen软件，点击setup.exe安装默认安装即可！
2.安装完成后，自动重启计算机。

3.再次进入系统后，在屏幕的任务栏右下角出现netscreen小图标。

4、双击该小图标，出现下面的配置画面
5、右键点击“My Connections”，出现下面的画面：
6、点击添加“Connection”，出现以下画面，按图示设置即可：
7、完成第六步后，点开“New Connection”，然后点击“Security Policy”展开可见下图，按下图配置：
8、完成第七步后，点击“My Identity”可见下图，按图示选择“None”：
9、接着出现下图，点击红色框中的“Pre-Shared Key”按钮：
就会出现下图，输入“12345678”，点击“OK”退出
10、接着出现下图，将图中阴影部分用相应人员的名字的汉语拼音替换，其它如图所示：
11、接着展开“Security Policy”,出现下图，选择“Proposal 1”,按下图所示配置即可。

12、然后展开“Key Exchange （Phase 2）”,出现下图，按图示配置即可：
这样整个配置步骤就完成了，当然最后要点击左上角的“保存”按钮。

中国移动Netscreen防火墙安全配置手册密级：文档编号：项目代号：中国移动Netscreen防火墙安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月目录1 综述 (3)2 Netscreen的几种典型配置 (4)2.1典型配置（1）――跟踪IP地址 (4)2.2典型配置（2）――接口模式配置 (5)2.2.1透明模式 (5)2.2.2路由模式 (8)2.2.3NAT模式 (11)2.3 典型配置（3）――信息流整形与优先级排列 (13)2.3.1 信息流整形 (13)2.3.2 优先级排列 (18)2.4 典型配置（4）――攻击监视 (23)2.5 典型配置（5）――三层IP欺骗保护 (24)2.6 典型配置（6）――基于源的会话限制 (26)2.7 典型配置（7）――SYN泛滥保护 (27)2.8 典型配置（8）――URL过滤配置 (30)2.9 典型配置（9）――站点到站点IPSEC VPN 配置 (33)2.10 典型配置（10）――高可靠性 (44)2.10.1 NSRP 概述 (44)2.10.2 主动/被动配置的NSRP (45)2.10.3 双主动配置的NSRP (48)3 Netscreen防火墙自身加固 (54)3.1 网管及认证问题 (54)3.1.1远程登录 (54)3.1.2 帐号和密码管理 (56)3.1.3 帐号认证和授权 (57)3.1.4 SNMP协议 (58)3.1.5 HTTP的配置要求 (59)3.2 安全审计 (61)3.2.1 针对重要策略开启信息流日志 (62)3.2.2 根据需要开启SELF日志功能 (62)3.2.3 将日志转发至SYSLOG服务器 (62)3.3 设备IOS升级方法 (63)3.3.1 前期准备 (63)3.3.2 升级操作 (64)3.4 特定的安全配置 (65)3.4.1NetScreen防火墙的防攻击选项 (65)3.4.2 NetScreen防火墙防攻击选项配置方法 (71)1综述本配置手册介绍了Netscreen防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。