将www、FTP等服务器放在Netscreen DMZ中，
问题一：在netscreen dmz interface中，IP address如何设置？是设为一个IP还是一个网段？
问题二：服务器的IP及默认网关如何设置？

设置成ip地址,不是网段;\服务器的ip同dmz的接口地址在同一网段,网关指向到dmz的接口地址

关键是将dmz区的地址采用何种模式,建议采用内网一个网段地址,再通过MIP或VIP的方式映射成公网ip方式,具体参照<概念与手册>

[ 本帖最后由 fishyxq 于 2007-7-9 21:36 编辑 ]

很清楚,非常谢谢!
再问一个问题:分别对服务器和内网来考虑,是把服务器放在DMZ中好还是放在内网中安全?
我的理解是这样:如果把服务器放在DMZ中,对内网数据来讲是比较安全,因为内网外网完全隔离;但对服务器来讲,安全性就减弱;
反之,如果把服务器放在内网中,内网的安全性就减弱,受入侵的机会就会大一些.
我这样理解正解吗?

恩,我个人觉得这样理解是不是要好些:

现在的防火墙可以将不同的接口定义为不同的安全区域而不是原先的OUTSIDE/INSIDE/DMZ\

如果墙本身有多个接口我们可以把不同的安全区域连接在上面,相互之间的访问授权都通过策略来实现

那么通过上述的概念,外网/内网/服务器群就只是不同的安全区域,可根据自己信息安全的需要进行策略设置

说简单点,建议服务器放在DMZ区,确保服务器的安全,如果把服务器放在内网,那么内网就可以对服务器的访问就不好做控制,很容易遭受来自同一安全区域的内网段的攻击

罗嗦了半天,不知兄台是否认同,哈哈!  

基本上把netscreen调试好了,包括DMZ,VIP,VPN等，谢谢这位兄台提点.
还有个问题（MIP）没调试好，我的配置如下，请帮忙分析问题出在哪里：

DMZ Interface: 192.168.10.241 /28

WEB服务器放在DMZ ZONE：
         IP：192.168.10. 242
         NETMASK:255.255.255.240
         GW:192.168.10.241

MIP设置：
   interface->ethernet3->edit->mip
        mapped ip:202.104.*.*
        host ip:192.168.10.242
        netmask:255.255.255.255
        VRouter:trunst-vr

policies设置
       source:any
       destination:MIP(202.104.*.*)
       service:http
      action:permit
按这种配置，外网无法访问DMZ ZONE中的WEB 服务器。

policies设置
方向如何？ 是frome untrust to dmz 做的策略吗？
或者是 from untrust to global的策略

方向为from untrust to dmz