Netscreen 50防火墙VPN配置方法文档格式.docx
《Netscreen 50防火墙VPN配置方法文档格式.docx》由会员分享,可在线阅读,更多相关《Netscreen 50防火墙VPN配置方法文档格式.docx(27页珍藏版)》请在冰豆网上搜索。
键入相应用户名:
netscreen和密码:
netscreen(默认)进入WEB管理界面,点击左边菜单中Network展开菜单,点击Interfaces,(在以下的内容中关于菜单部份我们将采用Network>
>
Interfaces来表示)在出现的界面中点击端口名为:
ethernet1后的EDIT,出现上图中内容。
修改图中画红线的部份:
A、ZoneName(通道类型):
从设备连接图中可以看出端口一和内网相连,所以我们要选择Trust(信任区);
B、IPAddress/Netmask(IP地址和子网掩码):
填写172.16.0.1/16,上网用户网关地址;
C、ManageIp(管理IP):
一般系统不允许修改;
D、InterfaceMode(接入方式):
选择NAT转换模式;
E、ManagementServices(服务类型):
选择图中的几项,为了远程管理防火墙。
F、OtherServices:
建议选择PING,方便测试网络的连通情况。
3、UNtrust通道的配置(请参照下图)
点击菜单中Network>>Interfaces,在出现的界面中点击端口名为:
ethernet3后的EDIT,出现上图中内容。
从设备连接图中可以看出端口三和公网相连,所以我们要选择UNTrust(非信任区);
B、ObtainIPusingPPPoE(选择):
填写上网的用户名和密码;
为了安全建议不选择任何内容;
建议不选择PING。
4、路由的配置(请参照下图)
点击菜单中Network>>Routing>>RoutingTable,在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由(因为采用的是动态IP),所以没有必要在手功加路由了。
5、定义策略(请参照下图)
点击菜单中Policies,选择From:
Trust,To:
Untrust点击右边的NEW按钮,出现上图所示内容。
修改图中红线部份:
A、Name(名称):
可任意输入;
B、SourceAddress:
当选择NewAddress并写入172.16.0.2/32时所表示的意思是:
只允许IP地址为172.16.0.2的主机通过防火墙防问公网;
当选中AddressBook且选择了ANY时所有内网用户都可以防问公网;
C、DestinationAddress:
当选择NewAddress并写入相相应IP地址和子网掩码时所表示的意思是:
只允许防问公网的一个地址或一个地址段,这取决于子网掩码的设置。
如当子网掩码为255.255.255.255或32时指的就是一个地址,反之指一个地址段;
当选中AddressBook且选择了ANY时用户可以防问公网的所有地址;
D、Service:
可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页;
二、VPN的配置
1、定义VPN用户防问地址(请参照下图)
点击菜单中Objccts>
Addresses>
List,点击右边的NEW按钮,出现上图所示内容。
A、AddressesName(名称):
填写VPN_LAN;
B、IP/Netmask:
填写172.16.0.0/16,所表示意思为VPN用户拔号进入后可防问内网中所有主机;
C、Zone:
选择Trust;
D、点击OK按钮。
2、定义用户组(请参照下图)
UserGroups>
Local,点击右边的NEW按钮,出现上图所示内容。
A、GroupsName(名称):
填写info_Group,注意定义名称时为了好区分采用了'
部门名称_Group'
;
B、点击OK按钮。
3、为用户组定义用户(请参照下图)
User>
A、UserName(名称):
填写info,注意定义名称时为了好区分采用了'
部门名称'
B、UserGroup:
填写刚才建立的组名info_group;
C、选择IKE User,NumberofMultipleLoginswithSameID(在该组同时允许多少个用户登陆)可按自己的实际需要填写数偷值;
D、选择SimpleIdentity,IKEIDType选择AUTO,IKE Identity:
填写其中的info代表部门名称;
E、点击OK按钮。
4、定义网关和预共享密钥(请参照下图)
点击菜单中VPNs>
AutokeyAdvanced>
Gateway,点击右边的NEW按钮,出现上图所示内容。
A、GatewayName(名称):
填写info_gw,注意定义名称时为了好区分采用了'
部门名称_gw'
B、SecutityLevel:
选择Custom;
C、RemoteGatewayType选择DialupUserGroup并选择刚才建立的info_group组;
D、PresharedKey:
填写'
shhg2003'
(预共享密钥),由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式;
E、点击Advanced按钮出现以下画面,修改划红线部份;
G、SecutityLevel:
H、Phase1Proposal选择pre-g2-3des-sha加密;
I、Mode(Initiator)选择Aggressive模式;
J、选取EnableNAT-Traversal在KeepaliveFrequency处填写5;
K、点击Ruten按钮返回,并点击OK按钮保存设置。
由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式(请参照下图):
A、使用Telnet或超级终端进入防火墙;
B、上图中的info_gw代表网关名称,info为用户名称,shhg2003为预共享密钥;
C、键入Save保存;
D、使用WEB方式进行修改;
5、AutokeyIKE(请参照下图)
AutokeyIKE,点击右边的NEW按钮,出现上图所示内容。
A、VONName(名称):
info_vpn,注意定义名称时为了好区分采用了'
部门名称_vpn'
C、RemoteGateway选取Predefined并选择刚才建立的info_gw网关;
D、OutgoingInterface选择Ethernet3;
F、SecutityLevel:
G、Phase2Proposal选选择nopfs-esp-3des-sha;
H、选取ReplayProtection;
I、选取TunnelZone并选择Untrust-Turst;
J、选取VPNMonitor;
K、点击Return返回,点击OK按钮保存。
2、定义策略(请参照下图)
点击菜单中Policies,选择From:
Untrust,To:
Trust点击右边的NEW按钮,出现上图所示内容。
Info可任意输入;
选中AddressBook且选择Dial-UPVPN;
选中AddressBook且选择刚才建立的地址VPN_LAN;
可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页,选择ANY;
E、Action选择Tunnel;
F、TunnelVPN选择建立的info_vpn。
G、点击Advanced按钮出现以下画面,修改划红线部份;
H、选取Logging和Counting打监控;
I、点击Return返回,点击OK按钮保存。
三、VPN客户端的配置
1、添加新的连接(请参照下图)
A、点击左上方的Addanewconnection按钮;
B、键入一个名称;
C、右上方ConnectionSecurity选择Secure;
D、ID选择IP Subnet;
E、Subnet:
172.16.0.0
F、Mask:
255.255.0.0
G、选取ConnectusingSecureGatewayTunnel
H、ID:
选择IP Address填写当时的广域网地址。
2、连接模式(请参照下图)
A、点击名称左边的+然后单击SecurityPolicy图标;
B、选择右边的AggressiveMode;
3、定义MyIdentity(请参照下图)
A、点击左边的MyIdentity图标;
B、Select选择None;
C、ID类型选择E-mailAddress并填写yangying@,其中的yangying为用户名称,管理员可对其进行定义,@后的为组的IKE在上面我们定义过;
D、VirtualAdapter选择Preferred;
E、Name选择ANY;
F、点击Pre-Shared-KEY出现下图所示对话框:
4、输入Shared-KEY(请参照下图)
A、点击EnterKey;
B、键入Pre-Sharedkey的值;
C、获得用户的Pre-Sharedkey,管理员可通过telnet或超级终端进入防火墙,键入下图所示中的命令;
图中红线部份Info_gw为网关名称,yangying为用户名称,管理员可根具需要写入不同名称。
其中反白部份就是用户的Pre-Sharedkey,复制这些字符删除空格后写入到客户端软件中。
5、Authentication(Phase1)(请参照下图)
A、单击位于“SecurityPolicy”图标左边的加号“+”,然后单击“Authentication”(Phase1)左边的加号“+”,点击图标Proposal1;
B、AuthenticationMethod:
Pre-SharedKey(选择);
C、EncryptAlg:
TripleDES(选择);
D、HashAlg:
SHA-1(选择);
E、KeyGroup:
Diffie-HellmanGroup2(选择);
6、连接VPN通道(请参照下图)
A、单击位于“SecurityPolicy”图标左边的加号“+”,然后单击“KeyExchange”(Phase2)左边的加号“+”,点击图标Proposal1;
B、EncapsulationProtocol(选择);
E、Encapsulation:
Tunnel(选择);
四、VPN客户端的使用方法
1、新建拔号连接(请参照下图)仅以Windows2000为例
A、右键点击桌面上的网上邻居图标,点击其属性;
B、在出现的页面中双击新建连接,选择“拔号到Internet”然后单击下一步;
C、选择“手动设置Internet连接或通过局域网(LAN)连接”然后单击下一步;
D、选择“通过电话线和调制解调器连接”然后单击下一步;
E、选择“调制解调器的型号,这取决于你的计算机”然后单击下一步;
F、键入电话号码16300,然后单击下一步;
G、键入用户名和密码,然后单击下一步;
H、键入一个连接名称,然后单击下一步;
I、选择“否”然后单击下一步;
J、单击完成按钮。
以后只需要进行上述的第一步操作,找到建立好的拔号连接拔号便可。
五、配置文件的应用
1、配置文件的保存(请参照下图)
A、点击左边菜单Configuration>>Updata>>ConfigFile,出现的界面中点击SaveToFile按钮,出现保存对话框单击保存。
保存配置文件的用途:
当进行固件版本升级时可用该文件恢复配置。
2、配置文件的导入
A、点击左边菜单Configuration>>Updata>>ConfigFile,出现的界面中选择ReplaceCurrentConfiguration,然后单击浏览按钮找到上述方法中保存的配置文件后点击Apply按钮,连继点击确定后恢复配置完成。
保存配置文件的导入:
当进行固件版本升级后可快速恢复配置。
升级会员 