netscreen 25配置外网到内网的Webserver实践

　　本人所在的公司是通过ADSL上网的，同时为保证企业数据安全添置了一台netscreen 25的防火墙，其实公司目前并没有网上相关的应用（以前一台DLink 604的ADSL路由器就已经够用啦），关键是没有使用过netscreen产品，防火墙买回来很快就将上网相关的搞好啦，可是一直想搞个Webserver玩玩。由于其说明书也是大段大段的E文，实在看不懂，也罢，放了个把月终于沉不住……
　　经过一中午的工作，算是完成啦。下面将整个配置过程记录下来，以方便有同样需要的朋友，也要感谢给予我帮助的所有朋友。在此我将省去防火墙初始化等相关工作，而直接配置外网到内网的访问。

　　1、适合的对象
　　
　　本文所针对是只是我等初级的网络选手，如果你是经验丰富的专家大可不必看，
　　网络环境为：有内部局域网、防火墙采用netscreen 25、上网方式采用ADSL动态拨号方式上去的，假设你已经配置好如下端口：

　　
　　
　　2、优点

　　（1）、由于将web server、ftp server及email server都放在内网，外网只看到一个公开的IP可以提高系统的安全性；
　　（2）、通过花生壳之类的二级域名系统，也能从一定程度上节约开支，像我等就只好这样啦（电信分配的IP一个月也要好几K，高过薪水啦）。

　　3、具体配置步骤：
　　
　　请首先进入netscreen的web配置界面，文中出现的所有截图都是web管理界面的相关图片。
　　（1）、Network > Interfaces > Edit（对于ethernet1端口）：输入以下内容，然后单击Apply：
　　　　　 Zone Name: Trust
　　　　　 IP Address/Netmask: 192.168.0.21/24（当地内部网网关IP）

　　（2）、Network > Interfaces > Edit（对于ethernet3端口）：输入以下内容，然后单击OK：
　　　　　 Zone Name: Untrust
　　　　　 IP Address/Netmask: 210.1.1.1/24（电信局所分配的IP地址）

　　（3）、设置VIP地址及邦定相应的端口，如http:80 https:443等，注意在设置的时候netscreen默认使用的管理端口也是80，如果出现此种情况需要先在Configration>Admin>Managemnet中修改其端口，然后再配置。
　　　　　Network > Interfaces > Edit（对于ethernet3端口）> VIP：输入以下地址，然后单击Add：
　　　　　Virtual IP Address: 210.1.1.10（对外的服务器地址，动态拨号就用连接到Internet的那个地址就行啦）
　　其实这一步就是创建一个从外网到内网的IP映射。

　　（4）、创建从外网到内网的访问策略，如果你只想创建web服务器，那么就只选http服务就行啦。
　　　　　 Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：
　　　　　Source Address:
　　　　　Address Book:（选择）, ANY
　　　　　Destination Address:
　　　　　Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址
　　　　　Service: HTTP（WEB服务器选项）
　　　　　Action: Permit

　　（5）、到此防火墙部分已经配置完成，剩下的是到花生壳或其它二级域名提供商那里申请一个免费域名并装上客户端软件就行啦。