NetScreen FIreWall

问: NetScreen防火墙总共可以支持多少个用户?
答: 1500

问: 在设置认证策略时,每次认证的生效时间?
答: 缺省有效时间为10分钟,可以在防火墙管理界面下修改,其范围是2分---10000分

问: 用户在使用象SMTP,FTP,TELNET协议时,怎样通过HTTP协议进行认证?
答: 用户首先通过HTTP请求进行认证，系统管理员先配置一条策略允许HTTP协议，然后定义一条认证策略，一旦用户通过了HTTP认证，那末，他们可以通过相应的安全认证策略。

服务

IMAP服务是怎样通过防火墙的?
IMAP也是一种邮件协议，它是用来代替POP3服务器的，它使用端口143来响应服务请求

问: Netbios应用服务(SMB),使用NET USE命令定义网络驱动器，在做IP地址到Hostname的转换时出现错误，
回:需要创建一个占用139端口的服务并允许这一服务通过防火墙。

网络地址翻译

问: 如果允许NAT方式，怎样设置内部网的网关?
答: 内部网的机器的网关应指向防火墙TRUST端口的地址。

问: 在地址转换方式下,怎样实现从内网到DMZ区及到外网的访问?
答: 1 从内网到外网,防火墙首先检查目的地址及源地址和协议类型并判断是否允许该种访问,如果允许,防火墙将用UNTRUST IP替换源地址送出包。
2 从内网到DMZ区,防火墙先检查安全规则是否允许该内网机器通过某一种服务访问DMZ区机器,如果允许,源地址将被DMZ Interface IP替换,然后,防火墙将把这一联接保存在内存的状态表里,然后把该数据包传到DMZ区的机器上.当DMZ区的机器返回包时,它的目的地址是DMZ Interface 的地址,当数据包到达防火墙的DMZ Interface时,防火墙检查它自己的TCP/IP状态连接表并找到对应的目的地址,然后把目的地址替换成内部网内的地址并把数据包送到正确的内部网机器上。

问: NetScreen防火墙是否在做NAT前实施安全策略?
答: 是的,NetScreen防火墙首先检查安全策略,并保存了所有的TCP/IP状态连接表,所以防火墙知道真正的内部IP
管理

问 NetScreen防火墙能进行远程管理吗?
答 可以通过VPN实现远程安全管理防火墙。
.
问 Netscreen如何处理时区问题,如果远程登录到Netscreen上,时间会怎样显示,如果选中"Synchronize system clock with management client",Netscreen会怎样处理时钟?
答: 如果选中"Sync system clock with admin client",netscreen上的时钟会与本地时钟同步,如果进行远程管理时,最好不要执行同步时钟。

隔离区
.
问 怎样配置隔离区
答: 在地址转换方式下(NAT),可以配置隔离区(DMZ),DMZ只支持单一子网,隔离区既可放置合法IP的主机,也可以放置具有私用IP的主机.如果放置具有合法IP的主机,则从外网可以直接路由到DMZ来访问;假如DMZ区放置私用IP地址同时该主机又需要被外网访问,需要做两件事:
(1)定义虚拟合法IP对应到内部的私用IP
(2)在INCOMING下定义一条策略允许到该虚拟IP的访问。
.
负载均衡

问: Netscreen是否支持负载均衡?在哪一端?
答: 是,Trust和DMZ区均支持负载均衡。

虚拟私用网(VPN)

问 VPN的延迟是怎样计算的?
答 平均延迟为500毫秒,实际的延迟是根据包的大小和处理器的速率确定的,最小64 byte的包,最大到1518 byte的包的处理时间可以从10ms到2500ms,加上发送和接受的时间即是一个平均值。




在浏览器URL栏输入NetScreen的system IP地址无法进入NetScreen的图形化界面。
分析：
可能是输入的NetScreen的system IP不正确。如正确仍不能进入，可能是System IP与本主机IP地址不在同一网段上。 如在同一网段上仍不能进入，可能是设定了管理客户机IP，而AdminClientIP与本主机的IP地址不同，因此无法进入NetScreen的图形化界面。
解决：
通过超级终端串行控制口的命令行方式进入NetScreen，以：“NetScreen”为用户名和口令登录，输入命令：get system查看System IP与输入的System IP是否相同，如不相同，修改过来即可。 如仍不能进入，通过串行控制口的命令行方式进入NetScreen，以"netscreen"为用户名和口令登录 ， 输入命令：get config 查看是否设定了管理客户机IP Admin Client IP），如设定了，是否与主机的IP地址相同，如不相同， 修改相同后即可进入。
在Windows95/98下可以进入NetScreen图形化界面，而在WindowsNT下却不能进入。
分析：
可能是设定了Admin Client IP，而Admin Client IP为Windows95/98的IP地 址 ，与Windows NT的IP地址不同，因此不能进入。
解决：
修改两者任何一个后即可进入。


用网线连接NetScreen 防火墙的Trusted端口或Untrusted端口，但端口的指示灯不亮，即没有接通。
分析：
可能是网线有问题。
可能是直通缆和交叉缆用错。
解决：
换一条正确的网线即可
注：Untrust端口接路由器和主机用交叉缆，接集线器用直通缆；
DMZ、Trust端口接路由器和主机用直通缆，接集线器用交叉缆；

如何上载系统配置、如何下载当前系统配置。
进入NetScreen的图形化界面，单击左侧工具栏中的“Admin”，选中“Admin”一项。在“Configuration Script Upload”一栏后的空白框，输入原系统配置的软件所在位置，或按“浏览”键，选中软件所在位置，再按最下边的“Apply”键，即可上载原系统配置。按最下边的“Download Configuration”后，可将系统当前配置下载到本地硬盘。
注: 更改password时应首先输入正确的原password。

NetScreen升级指南
打开IE或Netscape浏览器，在浏览器地址栏键入NetScreen 防火墙的IP地址，输入username和password进入图形化界面。 注：升级主机的IP地址要和防火墙所接端口在同一网段上， 建议从Trust口进行防火墙软件版本 升级。单击工具栏中的“configuration”，选中“general”一项。在 “software　update”后边的空白框中直接键入需要升级文件名（如NS100.160）及所在位置，或按后边的“浏览”键找到文件所在位置。 按最下边的“Apply”键，对防火墙进行软件升级。
注：需等待3分钟，待防火墙status状态灯为绿色均匀闪烁，升级完毕。升级过程切记不要出现断电现象。

以下是从console口观察到的防火墙升级过程:
login:
image name n100.160J
update new flash image (81087670,835013)
platform = 1, cpu = 1, version = 16
offset = 20, address = 80060000, size = 834981
date = 0, time = 0, cksum = 2812054e
Program flash (0,834981) ...
++++++++++++do
NS-100 Boot ROM v1.20
(c)1998 Netscreen Technologies, Inc
BootROM Checksum = 0x014B
32MB DRAM(2 chips) installed, bus width = 64 bits
NetScreen Technologies, Inc
Aquarius 100 Load Software
Copyright, 1997-1998
Version 1.1
Hit any key for Boot/Diag mode
Hit any key for Boot/Diag mode
Hit any key for Boot/Diag mode
Hit any key for Boot/Diag mode
Load System Image From Flash
Start loading...
.................................................................
.................
Done.
NetScreen Technologies, Inc
NS100 System Software
Copyright, 1997-1998
Version 1.60
Init Heap (81000000/800000,32, 801e2790/802b2790)
Load Manufacture Information ... Done
Load NVRAM Information ... Done
Memory Test: bd800000,40000 ....... Done
looking for free glog (12-12, 32)
Configure FPGA (150/7aef2437) ... Done
Verify ACL register default value (at hw reset) ... Done
Verify ACL register read/write ... Done
Verify ACL rule read/write ... Done
Verify ACL rule search ... Done
MD5("a") = 0cc175b9 c0f1b6a8 31c399e2 69772661
MD5("abc") = 90015098 3cd24fb0 d6963f7d 28e17f72
MD5("message digest") = f96b697d 7cb7938d 525a2f31 aaf161d0
Verify DES register read/write ... Done
Perform Walking 1 test ...Done
Perform Walking 0 test ...Done
Perform Random data test ...Done
Perform large data test ... Done
Install modules (801148c0,801e2770):
report syslog trmng vpn br mip acl alarm natftp nattftp natxing dip natreal na
tnfs nattalk natrlogin natvdo snoop route hsa (20)
Load System Configuration ...............Done
login: trust interface change state to Up
System change state to Active(1)
确认升级完毕，点“OK”键。 重新启动防火墙，用web界面浏览防火墙，在General栏中查看升级版本是否正确。