Netscreen50防火墙VPN配置方法一、通道的配置1、初始化防火墙（请参照下图）Netscreen防火墙的默认IP为192.168.1.1/255.255.255.0，用户名和密码相同：netscreen；可采用下一步中的WEBUI方法来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。上图中的第一步为配置通道类型，第二步为配置端口的IP地址（这里所指的是一端口），第三步为配置管理IP，第四步保存，第五步重启防火墙使用设置生效。以后可以通过IE浏览器键入防火墙地址172.16.0.1来进行管理了。一、通道的配置2、Trust通道的配置（请参照下图）键入相应用户名：netscreen和密码：netscreen(默认)进入WEB管理界面，点击左边菜单中Network展开菜单，点击Interfaces，（在以下的内容中关于菜单部份我们将采用Network>>Interfaces来表示）在出现的界面中点击端口名为：ethernet1后的EDIT，出现上图中内容。修改图中画红线的部份：A、ZoneName（通道类型）：从设备连接图中可以看出端口一和内网相连，所以我们要选择Trust（信任区）；B、IPAddress/Netmask（IP地址和子网掩码）：填写172.16.0.1/16，上网用户网关地址；C、ManageIp（管理IP）：一般系统不允许修改；D、InterfaceMode（接入方式）：选择NAT转换模式；E、ManagementServices（服务类型）：选择图中的几项，为了远程管理防火墙。F、OtherServices：建议选择PING，方便测试网络的连通情况。一、通道的配置3、UNtrust通道的配置（请参照下图）点击菜单中Network＞＞Interfaces，在出现的界面中点击端口名为：ethernet3后的EDIT，出现上图中内容。修改图中画红线的部份：A、ZoneName（通道类型）：从设备连接图中可以看出端口三和公网相连，所以我们要选择UNTrust（非信任区）；B、ObtainIPusingPPPoE（选择）：填写上网的用户名和密码；C、ManageIp（管理IP）：一般系统不允许修改；D、InterfaceMode（接入方式）：选择NAT转换模式；E、ManagementServices（服务类型）：为了安全建议不选择任何内容；F、OtherServices：建议不选择PING。一、通道的配置4、路由的配置（请参照下图）点击菜单中Network＞＞Routing＞＞RoutingTable，在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由（因为采用的是动态IP），所以没有必要在手功加路由了。一、通道的配置5、定义策略（请参照下图）点击菜单中Policies，选择From：Trust，To：Untrust点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、Name（名称）：可任意输入；B、SourceAddress：当选择NewAddress并写入172.16.0.2/32时所表示的意思是：只允许IP地址为172.16.0.2的主机通过防火墙防问公网；当选中AddressBook且选择了ANY时所有内网用户都可以防问公网；C、DestinationAddress：当选择NewAddress并写入相相应IP地址和子网掩码时所表示的意思是：只允许防问公网的一个地址或一个地址段，这取决于子网掩码的设置。如当子网掩码为255.255.255.255或32时指的就是一个地址，反之指一个地址段；当选中AddressBook且选择了ANY时用户可以防问公网的所有地址；D、Service：可用来控制用户防问公网时的服务类型，如选择HTTP时用户只能浏览网页；、VPN的配置5、定义VPN用户防问地址（请参照下图）点击菜单中Objccts>>Addresses>>List，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、AddressesName（名称）：填写VPN＿LAN；B、IP/Netmask：填写172.16.0.0/16，所表示意思为VPN用户拔号进入后可防问内网中所有主机；C、Zone：选择Trust；D、点击OK按钮。二、VPN的配置2、定义用户组（请参照下图）点击菜单中Objccts>>UserGroups>>Local，点击右边的NEW按钮，出现上图所示内容。修改图中红线部份：A、GroupsName（名称）：填写info_Group，注意定义名称