防火墙PING内部网络客户即均可以PING通(此处可以看出内部的回指路由应该没有问题).
这样你ping通的是和防火墙内口的那个网段的地址码？把你的回指路有叫我看看 [/quote]

偶PING通的是和防火墙内口的网段以及其他的内部网段也是可以PING通的（偶TELNET上NS204上PING的）
是不是我的默认路由添加上但是没有生效造成可以ping通吓一跳地址呢？还是说NAT没有做成功（即使没有成功在NS204上面也应该可以ping通其他公网IP的）？
由于俺现在不在客户那－客户在外地，具体的配置暂时无法提供，偶在去一定上传过来。

引用:

Originally posted by 1259 at 2005-8-15 14:07:
防火墙PING内部网络客户即均可以PING通(此处可以看出内部的回指路由应该没有问题).
这样你ping通的是和防火墙内口的那个网段的地址码？把你的回指路有叫我看看

偶PING通的是和防火墙内口的网段以及 ... [/quote]
怎么样了？什么时间再去实施？

偶昨天有去客户那解决了....
由于俺第一调试NS204,故对其虚拟路由器的概念不了解,问题出在偶将默认路由0.0.0.0 0.0.0.0 下一跳 这个出口路由给添加到了untrust-vr里面,故造成以上现象,这次偶将其删除添加到trust-vr里面,问题解决,一切顺利.哎.偶是说明书都没有看按照自己的想法调试,看来以后还得事先看看相关资料说明.
偶是看了说明书的一下虚拟路由器的解释才找到原因所在
NetScreen 设备上预先定义了两个虚拟路由器:
• trust-vr，在缺省情况下包含所有预定义安全区和所有用户定义区段
• untrust-vr，在缺省情况下不含任何安全区
BTW:玩多了国产的墙,第一玩NS的墙真的可不错,如果有台在公司玩多爽类..:P

[ Last edited by 1259 on 2005-8-17 at 15:54 ]

引用:

Originally posted by 1259 at 2005-8-17 15:51:
偶昨天有去客户那解决了....
由于俺第一调试NS204,故对其虚拟路由器的概念不了解,问题出在偶将默认路由0.0.0.0 0.0.0.0 下一跳 这个出口路由给添加到了untrust-vr里面,故造成以上现象,这次偶将其删除添加到tr ...

恭喜恭喜了 ！！！！
NS 其实是一款非常深的 防火墙 ，说它深是说 功能的 应用上非常的 丰富 ，很多 隐藏、内涵的功能 等等 ，我们一起共同研究 ！！！！

大家都没有遇见NS的问题吗？？？？还是没有看到这个帖子

1、我的LINUX邮件服务器接在防火墙上，有时候点开页面要等十秒，真晕，而且是NS-500在流量不大的情况下哦，后来升级OS了才搞定。
2、拨外面的PPTP服务器，N个通道要占用N个公网地址，晕！！！！这点PIX比它好多了哦。
3、地址做了VIP后，不能拿来做DIP。。。。。。 JUNIPER的工程师说低档产品可以，NS-500以上不行。。。。。。。。。。。。。。。。。。。。

两台ns25作了基于路由的站点间VPN后，ns老是警报互相之间有碎片攻击，郁闷！

引用:

Originally posted by dahliawoo at 2005-9-18 20:29:
两台ns25作了基于路由的站点间VPN后，ns老是警报互相之间有碎片攻击，郁闷！

仔细研究日志，把Screen的防攻击功能启用起来

引用:

Originally posted by mzwa at 2005-9-20 11:23 PM:

仔细研究日志，把Screen的防攻击功能启用起来

我的意思是NS会误报，2边是VPN连接的站点，NS25-A和NS25-B连接。NS25-A报NS25-B对其进行碎片攻击，而NS25-B报NS25-A对其碎片攻击。

我又遇到了一个比较奇怪的问题：ns204的会话数自动不能清除，一段时间就会导致死机，必须手动的清除
发现解决：最后发现在服务里面有很多的自定义服务，而且属性选择的是N，意思是一直保留的意思，当出现这个断口的服务时就会存在大量的会话保留断口，将自定义服务的属性该为默认后问题解决

向各位请教一个问题，NETSCREEN50 的防火墙是基于包过滤的还是基于状态检测的？

是状态检测的包过滤

我有个Netscreen的问题问一下：
现在我有两个办公室A和B， A(172.16.0.0/16) B(172.19.0.0/16) 两边都有静态IP，建立了基于policy的VPN，在进行测试的时候发现如下问题：
从A的一台机器运行如下命令：
C:\Documents and Settings\>tracert 172.19.0.2 -d

Tracing route to xxx [172.19.0.2]
over a maximum of 30 hops:

  1   <10 ms   <10 ms   <10 ms  172.16.0.1
  2    54 ms    50 ms    50 ms  210.21.xxx.xxx
  3    44 ms    43 ms    47 ms  172.19.0.2

Trace complete.
为什么会出现公网的IP啊（这个ip是B的netscreen的untrust的ip）,反过来tracert 就没有这个问题（VPN还是好的，不影响在上面的应用），那位高人能告诉我原因啊 ？

引用:

Originally posted by mzwa at 2005-10-25 04:56 PM:
是状态检测的包过滤

谢谢mzwa前辈指点，但我还是有点疑惑：状态检测包过滤到底与完全的包过滤的防火墙、完全的状态检测防火墙之间存在哪些区别呢？

[ Last edited by 孤独的意尹者 on 2005-10-26 at 15:37 ]

我也只是清楚，状态检测包是在防火墙内会有一个状态表，如果同一条连接的回复包在状态表中有记录，那防火墙就让他通过了。不过完全状态检测没有听说过？

引用:

Originally posted by yangxm at 2005-10-25 17:34:
我有个Netscreen的问题问一下：
现在我有两个办公室A和B， A(172.16.0.0/16) B(172.19.0.0/16) 两边都有静态IP，建立了基于policy的VPN，在进行测试的时候发现如下问题：
从A的一台机器运行如下命令：
C:\Doc ...

没有错啊，VPN的概念是虚拟专用网，就是利用互联网的线路来建立VPN的加密线路，所以是正常的阿

引用:

Originally posted by newgay at 2005-10-27 14:20:
我也只是清楚，状态检测包是在防火墙内会有一个状态表，如果同一条连接的回复包在状态表中有记录，那防火墙就让他通过了。不过完全状态检测没有听说过？

包过滤是基于每个数据包进行检测的，状态检测报过滤是基于会话中数据包进行检测。大大的提高了检测的效率

初来报道，比较菜问一几问题，希望能得到各位的帮助

问题1：这个表的作用是什么？看到本地往外PING。

问题二：
     现在我们公司新增加了193.168.211.0/24网段，可是我怎么设置也不能吧策略应用在它上面，只可以开放211网段的某个IP上所有网，现在这个网段按公司总策略上网。我只想开放这个网段上某些网。我的设置方法如下：

请问设置方法~