netscreen防火墙VPN配置详细图解.pdf

Netscreen 50 防火墙 VPN配置方法 一、通道的配置 1、初始化防火墙（请参照下图）Netscreen 防火墙的默认 IP 为 192.168.1.1/255.255.255.0，用户名和密码相同：netscreen；可采用下一步中的 WEB UI方法来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的 COM口采用超级终端来行配置。上图中的第一步为配置通道类型，第二步为配置端口的 IP 地址（这里所指的是一端口），第三步为配置管理 IP，第四步保存，第五步重启防火墙使用设置生效。以后可以通过IE 浏览器键入防火墙地址 172.16.0.1 来进行管理了。一、通道的配置 2、Trust 通道的配置（请参照下图）键入相应用户名：netscreen 和密码：netscreen(默认)进入 WEB 管理界面，点击左边菜单中 Network展开菜单，点击 Interfaces，（在以下的内容中关于菜单部份我们将采用 NetworkInterfaces 来表示）在出现的界面中点击端口名为：ethernet1 后的 EDIT，出现上图中内容。修改图中画红线的部份：A、Zone Name（通道类型）：从设备连接图中可以看出端口一和内网相连，所以我们要选择 Trust（信任区）；B、IP Address/Netmask（IP 地址和子网掩码）：填写 172.16.0.1/16，上网用户网关地址；C、Manage Ip（管理 IP）：一般系统不允许修改；D、Interface Mode（接入方式）：选择 NAT 转换模式；E、Management Services（服务类型）：选择图中的几项，为了远程管理防火墙。F、Other Services：建议选择 PING，方便测试网络的连通情况。一、通道的配置 3、UNtrust 通道的配置（请参照下图）点击菜单中 NetworkInterfaces，在出现的界面中点击端口名为：ethernet3 后的 EDIT，出现上图中内容。修改图中画红线的部份：A、Zone Name（通道类型）：从设备连接图中可以看出端口三和公网相连，所以我们要选择 UNTrust（非信任区）；B、Obtain IP using PPPoE（选择）：填写上网的用户名和密码；C、Manage Ip（管理 IP）：一般系统不允许修改；D、Interface Mode（接入方式）：选择 NAT 转换模式；E、Management Services（服务类型）：为了安全建议不选择任何内容；F、Other Services：建议不选择 PING。一、通道的配置 4、路由的配置（请参照下图）点击菜单中 NetworkRoutingRouting Table，在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由（因为采用的是动态 IP），所以没有必要在手功加路由了。一、通道的配置 5、定义策略（请参照下图）点击菜单中 Policies，选择 From：Trust，To：Untrust 点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、Name（名称）：可任意输入；B、Source Address：当选择 New Address 并写入 172.16.0.2/32 时所表示的意思是：只允许 IP 地址为172.16.0.2 的主机通过防火墙防问公网；当选中 Address Book 且选择了 ANY 时所有内网用户都可以防问公网；C、Destination Address：当选择 New Address 并写入相相应 IP 地址和子网掩码时所表示的意思是：只允许防问公网的一个地址或一个地址段，这取决于子网掩码的设置。如当子网掩码为 255.255.255.255或 32 时指的就是一个地址，反之指一个地址段；当选中 Address Book 且选择了 ANY 时用户可以防问公网的所有地址；D、Service：可用来控制用户防问公网时的服务类型，如选择 HTTP 时用户只能浏览网页；、VPN 的配置 5、定义 VPN用户防问地址（请参照下图）点击菜单中 ObjcctsAddressesList，点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、Addresses Name（名称）：填写 VPNLAN；B、IP/Netmask：填写 172.16.0.0/16，所表示意思为 VPN 用户拔号进入后可防问内网中所有主机；C、Zone：选择 Trust；D、点击 OK 按钮。二、VPN 的配置 2、定义用户组（请参照下图）点击菜单中 ObjcctsUser GroupsLocal，点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、Groups Name（名称）：填写 info_Group，注意定义名称时为了好区分采用了部门名称Group；B、点击 OK 按钮。二、VPN 的配置 3、为用户组定义用户（请参照下图）点击菜单中 ObjcctsUserLocal，点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、User Name（名称）：填写 info，注意定义名称时为了好区分采用了部门名称；B、User Group：填写刚才建立的组名 info_group；C、选择 IKE User，Number of Multiple Logins with Same ID（在该组同时允许多少个用户登陆）可按自己的实际需要填写数偷值；D、选择 Simple Identity，IKE ID Type 选择 AUTO，IKE Identity：填写 其中的 info 代表部门名称；E、点击 OK 按钮。二、VPN 的配置 4、定义网关和预共享密钥（请参照下图）点击菜单中 VPNsAutokey AdvancedGateway，点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、Gateway Name（名称）：填写 info_gw，注意定义名称时为了好区分采用了部门名称gw；B、Secutity Level：选择 Custom；C、Remote Gateway Type 选择 Dialup User Group 并选择刚才建立的 info_group 组；D、Preshared Key：填写shhg2003（预共享密钥），由于 WEB 方式只允许用户输入一个预共享密钥，因此在输入下一个时只能使用 CLI方式；E、点击 Advanced 按钮出现以下画面，修改划红线部份；G、Secutity Level：选择 Custom；H、Phase 1 Proposal 选择 pre-g2-3des-sha 加密；I、Mode(Initiator)选择 Aggressive 模式；J、选取 Enable NAT-Traversal 在 Keepalive Frequency处填写 5；K、点击 Ruten 按钮返回，并点击 OK 按钮保存设置。由于 WEB 方式只允许用户输入一个预共享密钥，因此在输入下一个时只能使用 CLI方式（请参照下图）：A、使用 Telnet 或超级终端进入防火墙；B、上图中的 info_gw 代表网关名称，info 为用户名称，shhg2003 为预共享密钥；C、键入 Save 保存；D、使用 WEB 方式进行修改；二、VPN 的配置 5、Autokey IKE（请参照下图）点击菜单中 VPNsAutokey IKE，点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、VON Name（名称）：infovpn，注意定义名称时为了好区分采用了部门名称vpn；B、Secutity Level：选择 Custom；C、Remote Gateway 选取 Predefined 并选择刚才建立的 info_gw 网关；D、Outgoing Interface 选择 Ethernet3；E、点击 Advanced 按钮出现以下画面，修改划红线部份；F、Secutity Level：选择 Custom；G、Phase 2 Proposal 选选择 nopfs-esp-3des-sha；H、选取 Replay Protection；I、选取 Tunnel Zone 并选择 Untrust-Turst；J、选取 VPN Monitor；K、点击 Return 返回，点击 OK 按钮保存。二、VPN 的配置 2、定义策略（请参照下图）点击菜单中 Policies，选择 From：Untrust，To：Trust 点击右边的 NEW 按钮，出现上图所示内容。修改图中红线部份：A、Name（名称）：Info 可任意输入；B、Source Address：选中 Address Book 且选择 Dial-UP VPN；C、Destination Address：选中 Address Book 且选择刚才建立的地址 VPN_LAN；D、Service：可用来控制用户防问公网时的服务类型，如选择 HTTP 时用户只能浏览网页,选择 ANY；E、Action 选择 Tunnel；F、Tunnel VPN 选择建立的 info_vpn。G、点击 Advanced 按钮出现以下画面，修改划红线部份；H、选取 Logging 和 Counting 打监控；I、点击 Return 返回，点击 OK 按钮保存。三、VPN 客户端的配置 1、添加新的连接（请参照下图）A、点击左上方的 Add a new connection 按钮；B、键入一个名称；C、右上方 Connection Security选择 Secure；D、ID 选择 IP Subnet；E、Subnet：172.16.0.0 F、Mask：255.255.0.0 G、选取 Connect using Secure Gateway Tunnel H、ID：选择 IP Address 填写当时的广域网地址。三、VPN 客户端的配置 2、连接模式（请参照下图）A、点击名称左边的然后单击 Security Policy图标；B、选择右边的 Aggressive Mode；三、VPN 客户端的配置 3、定义 My Identity（请参照下图）A、点击左边的 My Identity图标；B、Select 选择 None；C、ID 类型选择 E-mail Address 并填写 ，其中的 yangying 为用户名称，管理员可对其进行定义，后的为组的 IKE 在上面我们定义过；D、Virtual Adapter 选择 Preferred；E、Name 选择 ANY；F、点击 Pre-Shared-KEY 出现下图所示对话框：三、VPN 客户端的配置 4、输入 Shared-KEY（请参照下图）A、点击 Enter Key；B、键入 Pre-Shared key的值；C、获得用户的 Pre-Shared key，管理员可通过 telnet 或超级终端进入防火墙，键入下图所示中的命令；图中红线部份 Info_gw 为网关名称，yangying 为用户名称，管理员可根具需要写入不同名称。其中反白部份就是用户的 Pre-Shared key，复制这些字符删除空格后写入到客户端软件中。三、VPN 客户端的配置 5、Authentication(Phase 1)（请参照下图）A、单击位于“Security Policy”图标左边的加号“+”，然后单击“Authentication”(Phase 1)左边的加号“+”，点击图标 Proposal 1；B、Authentication Method：Pre-Shared Key（选择）；C、Encrypt Alg：Triple DES（选择）；D、Hash Alg：SHA-1（选择）；E、Key Group：Diffie-Hellman Group 2（选择）；三、VPN 客户端的配置 6、连接 VPN通道（请参照下图）A、单击位于“Security Policy”图标左边的加号“+”，然后单击“Key Exchange”(Phase 2)左边的加号“+”，点击图标 Proposal 1；B、Encapsulation Protocol（选择）；C、Encrypt Alg：Triple DES（选择）；D、Hash Alg：SHA-1（选择）；E、Encapsulation:Tunnel（选择）；四、VPN 客户端的使用方法 1、新建拔号连接（请参照下图）仅以 Windows2000 为例 A、右键点击桌面上的网上邻居图标，点击其属性；B、在出现的页面中双击新建连接，选择“拔号到 Internet”然后单击下一步；C、选择“手动设置 Internet 连接或通过局域网（LAN）连接”然后单击下一步；D、选择“通过电话线和调制解调器连接”然后单击下一步；E、选择“调制解调器的型号，这取决于你的计算机”然后单击下一步；F、键入电话号码 16300，然后单击下一步；G、键入用户名和密码，然后单击下一步；H、键入一个连接名称，然后单击下一步；I、选择“否”然后单击下一步；J、单击完成按钮。以后只需要进行上述的第一步操作，找到建立好的拔号连接拔号便可。四、VPN 客户端的使用方法 2、修改拔号连接的 DNS（请参照下图）如果远程用户不需要防问物流系统，那该步骤可以省略。A、如上述方法打开网上邻居属性，找到刚才建立的“连接到 16300”右键点击其属性；B、在出现的属性对话框中选择“网络”然后选择“Internet 协议(TCP/IP)”点击属性按钮；C、在出现的 Internet 协议(TCP/IP)属性对话框中选择“使用下面的 DNS 服务器地址”然后填写图中的值（根据实际情况填写）；点击确定返回后在点击确定按钮保存设置。进行此操作后你可能无法正常浏览公网网页，但可将上图中首选 DNS 服务器填写成：202.98.160.68，用户可以根据需要进行设置。四、VPN 客户端的使用方法 3、连接 VPN通道 当客户端软件设置正确且拔号成功后客户端能够自动建立VPN连接。连接成功后的图标如下图所示：（有蓝色 N 字和黄色钥匙，绿色箭头所指图标）四、VPN 客户端的使用方法 4、客户端的关闭与开启（请参照下图）A、客户端的关闭，右键点击客户端软件图标，在弹出的菜单中点击 Deactivate Security Policy；当你的计算机工作在局域网中时请关闭客户端，否则将无法防问本地的局域网资源；B、客户端被关闭后的图标；C、客户端的开启，右键点击客户端软件图标，在弹出的菜单中点击 Activate Security Policy；当你要连接 VPN 时请开户客户端，否则将无法连通 VPN；D、客户端开启但没有连接 VPN 或连接不成功时的图标；E、连接 VPN 成功后的客户端图标。五、配置文件的应用 1、配置文件的保存（请参照下图）A、点击左边菜单 ConfigurationUpdataConfig File，出现的界面中点击 Save To File 按钮，出现保存对话框单击保存。保存配置文件的用途：当进行固件版本升级时可用该文件恢复配置。五、配置文件的应用 2、配置文件的导入 A、点击左边菜单 ConfigurationUpdataConfig File，出现的界面中选择 Replace Current Configuration，然后单击浏览按钮找到上述方法中保存的配置文件后点击 Apply按钮，连继点击确定后恢复配置完成。保存配置文件的导入：当进行固件版本升级后可快速恢复配置。