NetScreen50防火墙VPN配置方法
减小字体
增大字体注意:为了正确地完成配置,请参照下图进行设备连接。
全文由以下几部分组成:
首页
一、通道的配置
1、初始化防火墙
2、Trust通道
3、UNtrust通道
4、配置路由
5、定义策略
二、VPN的配置
1、防问地址
2、用户组
3、用户
4、网关和预共享密钥
5、Autokey IKE
6、定义策略
三、VPN客户端的配置
1、添加新的连接
2、连接模式
3、定义My Identity
4、输入Shared-KEY
5、Authentication
6、Key Exchange
四、客户端使用方法
1、新建拔号连接
2、修改拔号连接的DNS
3、连接VPN通道
4、客户端的关闭与开启
五、配置文件的应用
1、配置文件的保存
2、配置文件的导入
下面是具体讲解:
一、通道的配置
1、初始化防火墙(请参照下图)
Netscreen防火墙的默认IP为192.168.1.1/255.255.255.0,用户名和密码相同:netscreen;可采用下一步中的WEB UI方法来进行配置,但容易发生错误,建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。上图中的第一步为配置通道类型,第二步为配置端口的IP地址(这里所指的是一端口),第三步为配置管理IP,第四步保存,第五步重启防火墙使用设置生效。以后可以通过IE浏览器键入防火墙地址172.16.0.1来进行管理了。
2、Trust通道的配置(请参照下图)
键入相应用户名:netscreen和密码:netscreen(默认)进入WEB管理界面,点击左边菜单中Network展开菜单,点击Interfaces,(在以下的内容中关于菜单部份我们将采用Network>>Interfaces来表示)在出现的界面中点击端口名为:ethernet1后的EDIT,出现上图中内容。修改图中画红线的部份:
A、Zone Name(通道类型):从设备连接图中可以看出端口一和内网相连,所以我们要选择Trust(信任区);
B、IP Address/Netmask(IP地址和子网掩码):填写172.16.0.1/16,上网用户网关地址;
C、Manage Ip(管理IP):一般系统不允许修改;
D、Interface Mode(接入方式):选择NAT转换模式;
E、Management Services(服务类型):选择图中的几项,为了远程管理防火墙。
F、Other Services:建议选择PING,方便测试网络的连通情况。
3、UNtrust通道的配置(请参照下图)
点击菜单中Network>>Interfaces,在出现的界面中点击端口名为:ethernet3后的EDIT,出现上图中内容。修改图中画红线的部份:
A、Zone Name(通道类型):从设备连接图中可以看出端口三和公网相连,所以我们要选择UNTrust(非信任区);
B、Obtain IP using PPPoE(选择):填写上网的用户名和密码;
C、Manage Ip(管理IP):一般系统不允许修改;
D、Interface Mode(接入方式):选择NAT转换模式;
E、Management Services(服务类型):为了安全建议不选择任何内容;
F、Other Services:建议不选择PING。
4、路由的配置(请参照下图)
点击菜单中Network>>Routing>>Routing Table ,在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由(因为采用的是动态IP),所以没有必要在手功加路由了。
5、定义策略(请参照下图)
点击菜单中Policies,选择From:Trust,To:Untrust点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Name(名称):可任意输入;
B、Source Address:当选择New Address并写入172.16.0.2/32时所表示的意思是:只允许IP地址为172.16.0.2的主机通过防火墙防问公网;当选中Address Book且选择了ANY时所有内网用户都可以防问公网;
C、Destination Address:当选择New Address并写入相相应IP地址和子网掩码时所表示的意思是:只允许防问公网的一个地址或一个地址段,这取决于子网掩码的设置。如当子网掩码为255.255.255.255或32时指的就是一个地址,反之指一个地址段;当选中Address Book且选择了ANY时用户可以防问公网的所有地址;
D、Service:可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页;
二、VPN的配置
1、定义VPN用户防问地址(请参照下图)
点击菜单中Objccts>>Addresses>>List,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Addresses Name(名称):填写VPN_LAN;
B、IP/Netmask:填写172.16.0.0/16,所表示意思为VPN用户拔号进入后可防问内网中所有主机;
C、Zone:选择Trust;
D、点击OK按钮。
2、定义用户组(请参照下图)
点击菜单中Objccts>>User Groups>>Local,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Groups Name(名称):填写info_Group,注意定义名称时为了好区分采用了'部门名称_Group';
B、点击OK按钮。
3、为用户组定义用户(请参照下图)
点击菜单中Objccts>>User>>Local,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、User Name(名称):填写info,注意定义名称时为了好区分采用了'部门名称';
B、User Group:填写刚才建立的组名info_group;
C、选择IKE User,Number of Multiple Logins with Same ID(在该组同时允许多少个用户登陆)可按自己的实际需要填写数偷值;
D、选择Simple Identity,IKE ID Type选择AUTO,IKE Identity:填写info.ypff.net其中的info代表部门名称;
E、点击OK按钮。
4、定义网关和预共享密钥(请参照下图)
点击菜单中VPNs>>Autokey Advanced>>Gateway,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Gateway Name(名称):填写info_gw,注意定义名称时为了好区分采用了'部门名称_gw';
B、Secutity Level:选择Custom;
C、Remote Gateway Type选择Dialup User Group并选择刚才建立的info_group组;
D、Preshared Key:填写'shhg2003'(预共享密钥),由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式;
E、点击Advanced按钮出现以下画面,修改划红线部份;
G、Secutity Level:选择Custom;
H、Phase 1 Proposal选择pre-g2-3des-sha加密;
I、Mode(Initiator)选择Aggressive模式;
J、选取Enable NAT-Traversal在Keepalive Frequency处填写5;
K、点击Ruten按钮返回,并点击OK按钮保存设置。
由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式(请参照下图):
A、使用Telnet或超级终端进入防火墙;
B、上图中的info_gw代表网关名称,info为用户名称,shhg2003为预共享密钥;
C、键入Save保存;
D、使用WEB方式进行修改;
5、Autokey IKE(请参照下图)
点击菜单中VPNs>>Autokey IKE,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、VON Name(名称):info_vpn,注意定义名称时为了好区分采用了'部门名称_vpn';
B、Secutity Level:选择Custom;
C、Remote Gateway 选取Predefined并选择刚才建立的info_gw网关;
D、Outgoing Interface选择Ethernet3;
E、点击Advanced按钮出现以下画面,修改划红线部份;
F、Secutity Level:选择Custom;
G、Phase 2 Proposal 选选择nopfs-esp-3des-sha;
H、选取Replay Protection;
I、选取Tunnel Zone并选择Untrust-Turst;
J、选取 VPN Monitor;
K、点击Return返回,点击OK按钮保存。
2、定义策略(请参照下图)
点击菜单中Policies,选择From:Untrust,To:Trust点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Name(名称):Info可任意输入;
B、Source Address:选中Address Book且选择Dial-UP VPN;
C、Destination Address:选中Address Book且选择刚才建立的地址VPN_LAN;
D、Service:可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页,选择ANY;
E、Action选择Tunnel;
F、Tunnel VPN选择建立的info_vpn。
G、点击Advanced按钮出现以下画面,修改划红线部份;
H、选取Logging和Counting打监控;
I、点击Return返回,点击OK按钮保存。
