Juniper NSM设备操作手册

,*,*,*,*,Juniper NSM,设备操作手册,赵敬,2011,年,10,月,主题,NSM,介绍,NSM,原理,NSM,系统登录,NSM,使用管理,NSM,介绍,NSM,是,Juniper,防火墙统一管理的软件平台，通过,NSM,软件，可以对,JUNIPER,设备设置统一管理，,NSM,软件具有强大的管理功能、日志及报表功能、设备监控功能等。,（,Network and Security Management,）,NSM,原理,原理,:,是通过客户端配置策略，并通过服务器下发策略到设备上面，用户通过客户端的,UI,连接,Management System,，并设置详细的配置，最后通过,Management System,把具体的策略下发到,Managed Devices,上面。客户端是基于,Windows,平台或,Linux,平台的软件，而服务器是基于,Linux AS4/5,平台的软件，日常的维护基本都可以通过,UI,的方式设置，基本不需要配置,Linux,的系统参数。,系统登陆,1,安装好,NSM,客户端后，打开客户端登录界面,(UI),，并输入用户名、密码以及登录地址。,2,登陆后的界面如下所示：,设备的管理,添加设备,在,NSM,服务器安装完毕以后，必须通过,NSM,的界面管理手动添加需要管理的设备，包括防火墙、路由器，交换机和,IDP,等。,设备的导入可以使用两种方式：,第一种是,Unreachable,的导入方式。通常，在,NSM,服务器第一次导入设备的时候采用这种方式（第一次连接需要在,NSM,和设备确认协商的相关参数）。,第二种是,Reachable,的导入方式，这种方式采用的是引导的方式，操作相对比较简单。,设备的管理,/Device Unreachable,添加集群,集群适用于主、备模式部署的防火墙，如果是添加单台防火墙请选择,Devcie,，选择菜单,Device Manager,Security Devices,并点击,Security Device Tree,页面的,+,号，并选择,Cluster,，如下图：,设置,Cluster,的命名、设备类型以及,OS,颁布号,设备的管理,/Device Unreachable,添加集群以后，开始添加集群的成员，包括两台设备，主用设备和备用设备，两台设备的添加步骤一样，右图只描述一台设备的添加过程。,右键点击上一步骤添加的,Cluster,，选择,Custer Members,，选择后系统弹出设备的添加页面，因为是第一次添加设备，我们选择添加,Unreachable,的设备，如右图所示：,设备的管理,/Device Unreachable,右图设置,NSM,服务器和防火墙设备之间的通讯参数，这里的,Password,是设备建立连接的一次性密码，输入密码（长度必须大于,9,位），设置好密码以后，在节目的左下角会出现“,show Device commands”,的按钮，点击按钮，并将弹出窗口的内容复制下来（使用快捷键,Ctrl+C,复制），将这些复制的内容在防火墙设备的命令行界面上运行，,NSM,服务器和防火墙设备会根据这些信息建立两者之间的连接。,点击,OK,按钮后，设置添加成功。（重复上面的步骤，添加另一台备用的防火墙。）,设备的管理,/Device Unreachable,通过上面的设备添加步骤，下一步是导入设备的配置，,NSM,必须通过和设备当前的配置同步，才能保证在下发策略的时候不会造成配置同步导致的下发错误。,添加配置成功的界面如下：,至此，设备的添加完成。,设备的管理,/Device reachable,添加集群,集群适用于主、备模式部署的防火墙，如果是添加单台防火墙请选择,Devcie,，选择菜单,Device Manager,Security Devices,并点击,Security Device Tree,页面的,+,号，并选择,Cluster,，如下图：,设置,Cluster,的命名、设备类型以及,OS,颁布号,设备的管理,/Device reachable,添加集群成员,添加集群以后，开始添加集群的成员，包括两台设备，主用设备和备用设备，两台设备的添加步骤一样，下面只描述一台设备的添加过程。,如右图，右键点击上一步骤添加的,Cluster,，选择,Custer Members,，选择后系统弹出设备的添加页面，因为是第一次添加设备，我们选择添加,Unreachable,的设备，如下图所示：,设备的管理,/Device reachable,设备的管理,/,设备信息,1,，在导入设备配置以后，可以查看和修改设备的具体的信息，如下图，右键点击设备，选择,Edit,：,2,，弹出新的界面，界面中设置设备的大部分信息，包括设备的接口设置、设备的管理员设置、登陆设置、,VPN,设置、以及其他。以下对系统常用的部分作详细的说明。,3,，在,Info,菜单，显示的是系统的基本信息，包括设备类型，设备命名以及设备的序列号和当前系统版本等。,设备的管理,/network,菜单,Network,菜单设置,防火墙设备的网络基本配置，包括设备的虚拟路由器、安全区、设备接口、,DNS,设置等信息；,安全区设置,是,Juniper,防火墙设置的一个安全概念，在,Juniper,防火墙中它把某一部分相同类别的资源作为一个统称，防火墙根据这个的安全区做策略的设置。安全区的设置在,Device,菜单中选择,Network,Zone,；,安全区列表,提供安全区的列表，可以添加和删除,Zone,列表；,安全区设置：,双击具体的安全区，可以设置安全区的具体参数，包括设置安全区属于哪个,virtual-Router,，以及在安全区上设置防攻击选项。,虚拟路由器,是防火墙内置的虚拟路由器功能，防火墙可以设置两个路由器，没有路由器可以使用一个独立的路由表，从而在路由表方面可以进行分割。,设备的管理,/,接口设置,接口列表：,进入,Network,Interface,，并查看设备的接口设置；,接口参数：,接口设置,IP,地址、安全区以及其他的参数。,设备的管理,/,配置策略,配置策略：,在设备导入以后，默认在,Security Policies,的菜单中会出现以,Cluster,命名的策略，这就是在导入设备的时候，,NSM,通过分析防火墙配置产生的策略内容。,防火墙策略：,导入设备后，,NSM,软件自动将设备的策略配置加载到界面（,Policy Management,Security Policies,）进入具体的策略，如下图，设备的配置导入后，可以显示所有的策略，在某一项列内单击右键可以设置详细的内容，设置好策略，在策略标签上单击右键并选择,AssignPolicy,，将配置保存到,NSM,服务器上，但是还没有更新到设备。,设备的管理,/,日志系统,1,，,NSM,服务器提供强大的日志分析功能,，用户可以通过这个功能得到所需要的日志信息。,其中包括如下。,其中，针对防火墙和,IDP,设备的有：,Critical,、,Alarm,、,IDP/DI,、,Traffic,、,Info,、,Config,。,2,，日志操作,NSM,日志系统提供许多日志筛选的功能，以下对,Critical,的日志作为示范。对于管理员不需要显示的列，可以设置为,Hide,，如下图，,