在对NetScreen进行配置前,需要了解一些基础知识。以下的描述是根据NetScreen 200系列,主要以NetScreen 204为例进行讲解,其余型号应该能触类旁通。
NetScreen 200系列的204有四个以太网口,208有8个以太网口,其中,网口1缺省为trust口,网口2为DMZ口,网口3为untrust口,网口4或网口4到8是可配的。但如果用于HA,则两台防火墙之间通过4口(204型号)或8口(208型号)连接。
200系列的NetScreen工作在两种模式:transparent模式和route模式,缺省为transparent模式。Nat不再是一种模式,现在它通过网口或策略配置来实现(注:在NetScreen 100中,NAT被看作是一种工作模式)。
1. transparent模式:
在transparent模式下,NetScreen设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。
在transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使NetScreen在网络中不可见。但是,防火、vpn和流量管理还是要通过配置设备的策略来生效。此时,NetScreen相当于一个2层交换机(2层交换机本身是没有ip地址的)。
2. route模式
当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。
当一个网口处于route模式,这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变。不像nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。
当一个网口处于nat模式,NetScreen会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。
如果将NetScreen作为route模式,则必须为trust口、untrust口和DMZ(如果用到)配置ip地址,如果作为transparent模式,就必须不能为这些口配置ip。
Manage ip和trust ip不是一回事,manage ip是供登录NetScreen作配置数据的,而trust ip是为了作成route模式必须要配的,同时它也作为trust网内的网关。但实际物理上都是由trust口来提供这两个ip的。实际上在web页面中也不允许将其配为一个ip。但用命令行可以强制地配成一个ip地址。