设置NetScreen:踏破鞋底无觅处,得来全不费功夫
Wednesday, 27. December 2006, 14:15:56
公司接到一个小活,给人移行服务器,任务之一是设置防火墙。防火墙产品是Juniper的Netscreen-25,从网上看对其评价相当不错。
本来设置防火是一个简单的活,没想到却花了三天才完成。弄好之后,不禁感慨:踏破鞋底无觅处,得来全不费功夫!
NetScreen-25有四个接口,把其中一个分配到Trust区(本地局域网),两个分配到Untrust区(一个是光缆,一个是ISDN,连接Internet),还有一个分配到DMZ区(放置对外公开的Web服务器等)。刚开始一切都很顺利,接口的设置和策略的设置都是哗哗哗就OK了。然而,到了测试的时候,从Trust区的机器1访问DMZ的机器2,死活不通,于是找原因、设路由、换端口、甚至清除设置从头再来了好几次,就是不通!在网上找相关的资料,也很难找到这样的先例。
到今天,终于通了。原因是由客户那头管理机房的小姑娘发现的,因为两台用来设置的PC:机器1和机器2,装了Trend的防病毒软件,其中就有防火墙的功能,防火墙把可疑的端口和服务都给封住了,所以连ping都不通,把这个防火墙功能设为无效之后,就OK了。这一点早就应该怀疑,可惜就是不肯动这个心思,前几天算是白费功夫!
通过这次设置Juniper的防火墙,也学到了不少东西,Trust/DMZ/Untrust、MIP、VIP等这些概念,是第一次接触,有了这次设置的经验,下次再拿一个Juniper的防火墙给我设置,那应该是没问题了,复杂一点的至多也不过是VPN的设置,这次没机会,以后或许会有吧。
最近接触的网络产品可真不少,给我印象最好的是BIG-IP、NetScreen,当然还有Cisco的Route和Switch。相信以后还会碰到更多优秀的网络硬件。
本来设置防火是一个简单的活,没想到却花了三天才完成。弄好之后,不禁感慨:踏破鞋底无觅处,得来全不费功夫!
NetScreen-25有四个接口,把其中一个分配到Trust区(本地局域网),两个分配到Untrust区(一个是光缆,一个是ISDN,连接Internet),还有一个分配到DMZ区(放置对外公开的Web服务器等)。刚开始一切都很顺利,接口的设置和策略的设置都是哗哗哗就OK了。然而,到了测试的时候,从Trust区的机器1访问DMZ的机器2,死活不通,于是找原因、设路由、换端口、甚至清除设置从头再来了好几次,就是不通!在网上找相关的资料,也很难找到这样的先例。
到今天,终于通了。原因是由客户那头管理机房的小姑娘发现的,因为两台用来设置的PC:机器1和机器2,装了Trend的防病毒软件,其中就有防火墙的功能,防火墙把可疑的端口和服务都给封住了,所以连ping都不通,把这个防火墙功能设为无效之后,就OK了。这一点早就应该怀疑,可惜就是不肯动这个心思,前几天算是白费功夫!
通过这次设置Juniper的防火墙,也学到了不少东西,Trust/DMZ/Untrust、MIP、VIP等这些概念,是第一次接触,有了这次设置的经验,下次再拿一个Juniper的防火墙给我设置,那应该是没问题了,复杂一点的至多也不过是VPN的设置,这次没机会,以后或许会有吧。
最近接触的网络产品可真不少,给我印象最好的是BIG-IP、NetScreen,当然还有Cisco的Route和Switch。相信以后还会碰到更多优秀的网络硬件。
WIDGETIZE