netscreen防火墙VPN配置详细图解

Netscreen50防火墙VPN配置方法一、通道的配置1、初始化防火墙（请参照下图）Netscreen防火墙的默认IP为192.168.1.1/255.255.255.0，用户名和密码相同：netscreen；可采用下一步中的WEBUI方法来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。上图中的第一步为配置通道类型，第二步为配置端口的IP地址（这里所指的是一端口），第三步为配置管理IP，第四步保存，第五步重启防火墙使用设置生效。以后可以通过IE浏览器键入防火墙地址172.16.0.1来进行管理了。一、通道的配置2、Trust通道的配置（请参照下图）键入相应用户名：netscreen和密码：netscreen(默认)进入WEB管理界面，点击左边菜单中Network展开菜单，点击Interfaces，（在以下的内容中关于菜单部份我们将采用Network>>Interfaces来 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示）在出现的界面中点击端口名为：ethernet1后的EDIT，出现上图中内容。修改图中画红线的部份：A、ZoneName（通道类型）：从设备连接图中可以看出端口一和内网相连，所以我们要选择Trust（信任区）；B、IPAddress/Netmask（IP地址和子网掩码）：填写172.16.0.1/16，上网用户网关地址；C、ManageIp（管理IP）：一般系统不允许修改；D、InterfaceMode（接入方式）：选择NAT转换模式；E、ManagementServices（服务类型）：选择图中的几项，为了远程管理防火墙。F、OtherServices：建议选择PING，方便测试网络的连通情况。一、通道的配置3、UNtrust通道的配置（请参照下图）点击菜单中Network＞＞Interfaces，在出现的界面中点击端口名为：ethernet3后的EDIT，出现上图中内容。修改图中画红线的部份：A、ZoneName（通道类型）：从设备连接图中可以看出端口三和公网相连，所以我们要选择UNTrust（非信任区）；B、ObtainIPusingPPPoE（选择）：填写上网的用户名和密码；C、ManageIp（管理IP）：一般系统不允许修改；D、InterfaceMode（接入方式）：选择NAT转换模式；E、ManagementServices（服务类型）：为了安全建议不选择任何内容；F、OtherServices：建议不选择PING。一、通道的配置4、路由的配置（请参照下图）点击菜单中Network＞＞Routing＞＞RoutingTable，在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由（因为采用的是动态IP），所以没有必要在手功加路由了。一、通道的配置5、定义策略（请参照下图）点击菜单中Policies，选择From：Trust，To：Untrust点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、Name（名称）：可任意输入；B、SourceAddress：当选择NewAddress并写入172.16.0.2/32时所表示的意思是：只允许IP地址为172.16.0.2的主机通过防火墙防问公网；当选中AddressBook且选择了ANY时所有内网用户都可以防问公网；C、DestinationAddress：当选择NewAddress并写入相相应IP地址和子网掩码时所表示的意思是：只允许防问公网的一个地址或一个地址段，这取决于子网掩码的设置。如当子网掩码为255.255.255.255或32时指的就是一个地址，反之指一个地址段；当选中AddressBook且选择了ANY时用户可以防问公网的所有地址；D、Service：可用来控制用户防问公网时的服务类型，如选择HTTP时用户只能浏览网页；、VPN的配置5、定义VPN用户防问地址（请参照下图）点击菜单中Objccts>>Addresses>>List，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、AddressesName（名称）：填写VPN＿LAN；B、IP/Netmask：填写172.16.0.0/16，所表示意思为VPN用户拔号进入后可防问内网中所有主机；C、Zone：选择Trust；D、点击OK按钮。二、VPN的配置2、定义用户组（请参照下图）点击菜单中Objccts>>UserGroups>>Local，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、GroupsName（名称）：填写info_Group，注意定义名称时为了好区分采用了'部门名称＿Group'；B、点击OK按钮。二、VPN的配置3、为用户组定义用户（请参照下图）点击菜单中Objccts>>User>>Local，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、UserName（名称）：填写info，注意定义名称时为了好区分采用了'部门名称'；B、UserGroup：填写刚才建立的组名info_group；C、选择IKEUser，NumberofMultipleLoginswithSameID（在该组同时允许多少个用户登陆）可按自己的实际需要填写数偷值；D、选择SimpleIdentity，IKEIDType选择AUTO，IKEIdentity：填写info.ypff.net其中的info代表部门名称；E、点击OK按钮。二、VPN的配置4、定义网关和预共享密钥（请参照下图）点击菜单中VPNs>>AutokeyAdvanced>>Gateway，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、GatewayName（名称）：填写info_gw，注意定义名称时为了好区分采用了'部门名称＿gw'；B、SecutityLevel：选择Custom；C、RemoteGatewayType选择DialupUserGroup并选择刚才建立的info_group组；D、PresharedKey：填写'shhg2003'（预共享密钥），由于WEB方式只允许用户输入一个预共享密钥，因此在输入下一个时只能使用CLI方式；E、点击Advanced按钮出现以下画面，修改划红线部份；G、SecutityLevel：选择Custom；H、Phase1Proposal选择pre-g2-3des-sha加密；I、Mode(Initiator)选择Aggressive模式；J、选取EnableNAT-Traversal在KeepaliveFrequency处填写5；K、点击Ruten按钮返回，并点击OK按钮保存设置。由于WEB方式只允许用户输入一个预共享密钥，因此在输入下一个时只能使用CLI方式（请参照下图）：A、使用Telnet或超级终端进入防火墙；B、上图中的info_gw代表网关名称，info为用户名称，shhg2003为预共享密钥；C、键入Save保存；D、使用WEB方式进行修改；二、VPN的配置5、AutokeyIKE（请参照下图）点击菜单中VPNs>>AutokeyIKE，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、VONName（名称）：info＿vpn，注意定义名称时为了好区分采用了'部门名称＿vpn'；B、SecutityLevel：选择Custom；C、RemoteGateway选取Predefined并选择刚才建立的info_gw网关；D、OutgoingInterface选择Ethernet3；E、点击Advanced按钮出现以下画面，修改划红线部份；F、SecutityLevel：选择Custom；G、Phase2Proposal选选择nopfs-esp-3des-sha；H、选取ReplayProtection；I、选取TunnelZone并选择Untrust-Turst；J、选取VPNMonitor；K、点击Return返回，点击OK按钮保存。二、VPN的配置2、定义策略（请参照下图）点击菜单中Policies，选择From：Untrust，To：Trust点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、Name（名称）：Info可任意输入；B、SourceAddress：选中AddressBook且选择Dial-UPVPN；C、DestinationAddress：选中AddressBook且选择刚才建立的地址VPN_LAN；D、Service：可用来控制用户防问公网时的服务类型，如选择HTTP时用户只能浏览网页,选择ANY；E、Action选择Tunnel；F、TunnelVPN选择建立的info_vpn。G、点击Advanced按钮出现以下画面，修改划红线部份；H、选取Logging和Counting打监控；I、点击Return返回，点击OK按钮保存。三、VPN客户端的配置1、添加新的连接（请参照下图）A、点击左上方的Addanewconnection按钮；B、键入一个名称；C、右上方ConnectionSecurity选择Secure；D、ID选择IPSubnet；E、Subnet：172.16.0.0F、Mask：255.255.0.0G、选取ConnectusingSecureGatewayTunnelH、ID：选择IPAddress填写当时的广域网地址。三、VPN客户端的配置2、连接模式（请参照下图）A、点击名称左边的＋然后单击SecurityPolicy图标；B、选择右边的AggressiveMode；三、VPN客户端的配置3、定义MyIdentity（请参照下图）A、点击左边的MyIdentity图标；B、Select选择None；C、ID类型选择E-mailAddress并填写yangying@info.ypff.net，其中的yangying为用户名称，管理员可对其进行定义，＠后的为组的IKE在上面我们定义过；D、VirtualAdapter选择Preferred；E、Name选择ANY；F、点击Pre-Shared-KEY出现下图所示对话框：三、VPN客户端的配置4、输入Shared-KEY（请参照下图）A、点击EnterKey；B、键入Pre-Sharedkey的值；C、获得用户的Pre-Sharedkey，管理员可通过telnet或超级终端进入防火墙，键入下图所示中的命令；图中红线部份Info_gw为网关名称，yangying为用户名称，管理员可根具需要写入不同名称。其中反白部份就是用户的Pre-Sharedkey，复制这些字符删除空格后写入到客户端软件中。三、VPN客户端的配置5、Authentication(Phase1)（请参照下图）A、单击位于“SecurityPolicy”图标左边的加号“+”，然后单击“Authentication”(Phase1)左边的加号“+”，点击图标Proposal1；B、AuthenticationMethod：Pre-SharedKey（选择）；C、EncryptAlg：TripleDES（选择）；D、HashAlg：SHA-1（选择）；E、KeyGroup：Diffie-HellmanGroup2（选择）；三、VPN客户端的配置6、连接VPN通道（请参照下图）A、单击位于“SecurityPolicy”图标左边的加号“+”，然后单击“KeyExchange”(Phase2)左边的加号“+”，点击图标Proposal1；B、EncapsulationProtocol（选择）；C、EncryptAlg：TripleDES（选择）；D、HashAlg：SHA-1（选择）；E、Encapsulation:Tunnel（选择）；四、VPN客户端的使用方法1、新建拔号连接（请参照下图）仅以Windows2000为例A、右键点击桌面上的网上邻居图标，点击其属性；B、在出现的页面中双击新建连接，选择“拔号到Internet”然后单击下一步；C、选择“手动设置Internet连接或通过局域网（LAN）连接”然后单击下一步；D、选择“通过电话线和调制解调器连接”然后单击下一步；E、选择“调制解调器的型号，这取决于你的计算机”然后单击下一步；F、键入电话号码16300，然后单击下一步；G、键入用户名和密码，然后单击下一步；H、键入一个连接名称，然后单击下一步；I、选择“否”然后单击下一步；J、单击完成按钮。以后只需要进行上述的第一步操作，找到建立好的拔号连接拔号便可。四、VPN客户端的使用方法2、修改拔号连接的DNS（请参照下图）如果远程用户不需要防问物流系统，那该步骤可以省略。A、如上述方法打开网上邻居属性，找到刚才建立的“连接到16300”右键点击其属性；B、在出现的属性对话框中选择“网络”然后选择“Internet 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 (TCP/IP)”点击属性按钮；C、在出现的Internet协议(TCP/IP)属性对话框中选择“使用下面的DNS服务器地址”然后填写图中的值（根据实际情况填写）；点击确定返回后在点击确定按钮保存设置。进行此操作后你可能无法正常浏览公网网页，但可将上图中首选DNS服务器填写成：202.98.160.68，用户可以根据需要进行设置。四、VPN客户端的使用方法3、连接VPN通道当客户端软件设置正确且拔号成功后客户端能够自动建立VPN连接。连接成功后的图标如下图所示：（有蓝色N字和黄色钥匙，绿色箭头所指图标）四、VPN客户端的使用方法4、客户端的关闭与开启（请参照下图）A、客户端的关闭，右键点击客户端软件图标，在弹出的菜单中点击DeactivateSecurityPolicy；当你的计算机工作在局域网中时请关闭客户端，否则将无法防问本地的局域网资源；B、客户端被关闭后的图标；C、客户端的开启，右键点击客户端软件图标，在弹出的菜单中点击ActivateSecurityPolicy；当你要连接VPN时请开户客户端，否则将无法连通VPN；D、客户端开启但没有连接VPN或连接不成功时的图标；E、连接VPN成功后的客户端图标。五、配置文件的应用1、配置文件的保存（请参照下图）A、点击左边菜单Configuration＞＞Updata＞＞ConfigFile，出现的界面中点击SaveToFile按钮，出现保存对话框单击保存。保存配置文件的用途：当进行固件版本升级时可用该文件恢复配置。五、配置文件的应用2、配置文件的导入A、点击左边菜单Configuration＞＞Updata＞＞ConfigFile，出现的界面中选择ReplaceCurrentConfiguration，然后单击浏览按钮找到上述方法中保存的配置文件后点击Apply按钮，连继点击确定后恢复配置完成。保存配置文件的导入：当进行固件版本升级后可快速恢复配置。