《junipernsm设备操作手册》由会员分享,可在线阅读,更多相关《junipernsm设备操作手册(19页珍藏版)》请在金锄头文库上搜索。
1、Juniper NSM设备操作手册,赵敬 2011年10月,2,主题,NSM介绍 NSM原理 NSM系统登录 NSM使用管理,3,NSM介绍,NSM是Juniper防火墙统一管理的软件平台,通过NSM软件,可以对JUNIPER设备设置统一管理,NSM软件具有强大的管理功能、日志及报表功能、设备监控功能等。 (Network and Security Management),4,NSM原理,原理:是通过客户端配置策略,并通过服务器下发策略到设备上面,用户通过客户端的UI连接Management System,并设置详细的配置,最后通过Management System把具体的策略下发到Manag
2、ed Devices上面。客户端是基于Windows平台或Linux平台的软件,而服务器是基于Linux AS4/5平台的软件,日常的维护基本都可以通过UI的方式设置,基本不需要配置Linux的系统参数。,5,系统登陆,1,安装好NSM客户端后,打开客户端登录界面(UI),并输入用户名、密码以及登录地址。 2,登陆后的界面如下所示:,6,设备的管理,添加设备 在NSM服务器安装完毕以后,必须通过NSM的界面管理手动添加需要管理的设备,包括防火墙、路由器,交换机和IDP等。 设备的导入可以使用两种方式: 第一种是Unreachable的导入方式。通常,在NSM服务器第一次导入设备的时候采用这种方
3、式(第一次连接需要在NSM和设备确认协商的相关参数)。 第二种是Reachable的导入方式,这种方式采用的是引导的方式,操作相对比较简单。,7,设备的管理/Device Unreachable,添加集群 集群适用于主、备模式部署的防火墙,如果是添加单台防火墙请选择Devcie,选择菜单Device ManagerSecurity Devices并点击Security Device Tree页面的+号,并选择Cluster,如下图:,8,设备的管理/Device Unreachable,添加集群以后,开始添加集群的成员,包括两台设备,主用设备和备用设备,两台设备的添加步骤一样,右图只描述一台设
4、备的添加过程。 右键点击上一步骤添加的Cluster,选择Custer Members,选择后系统弹出设备的添加页面,因为是第一次添加设备,我们选择添加Unreachable的设备,如右图所示:,9,设备的管理/Device Unreachable,10,设备的管理/Device Unreachable,通过上面的设备添加步骤,下一步是导入设备的配置,NSM必须通过和设备当前的配置同步,才能保证在下发策略的时候不会造成配置同步导致的下发错误。 添加配置成功的界面如下:,11,设备的管理/Device reachable,添加集群 集群适用于主、备模式部署的防火墙,如果是添加单台防火墙请选择De
5、vcie,选择菜单Device ManagerSecurity Devices并点击Security Device Tree页面的+号,并选择Cluster,如下图:,12,设备的管理/Device reachable,添加集群成员 添加集群以后,开始添加集群的成员,包括两台设备,主用设备和备用设备,两台设备的添加步骤一样,下面只描述一台设备的添加过程。,13,设备的管理/Device reachable,14,设备的管理/设备信息,1,在导入设备配置以后,可以查看和修改设备的具体的信息,如下图,右键点击设备,选择Edit:,15,设备的管理/network菜单,Network菜单设置防火墙设
6、备的网络基本配置,包括设备的虚拟路由器、安全区、设备接口、DNS设置等信息; 安全区设置是Juniper防火墙设置的一个安全概念,在Juniper防火墙中它把某一部分相同类别的资源作为一个统称,防火墙根据这个的安全区做策略的设置。安全区的设置在Device菜单中选择NetworkZone; 安全区列表提供安全区的列表,可以添加和删除Zone列表; 安全区设置:双击具体的安全区,可以设置安全区的具体参数,包括设置安全区属于哪个virtual-Router,以及在安全区上设置防攻击选项。 虚拟路由器是防火墙内置的虚拟路由器功能,防火墙可以设置两个路由器,没有路由器可以使用一个独立的路由表,从而在路
7、由表方面可以进行分割。,16,设备的管理/接口设置,接口列表:进入NetworkInterface ,并查看设备的接口设置; 接口参数:接口设置IP地址、安全区以及其他的参数。,17,设备的管理/配置策略,配置策略 :在设备导入以后,默认在Security Policies的菜单中会出现以Cluster命名的策略,这就是在导入设备的时候,NSM通过分析防火墙配置产生的策略内容。 防火墙策略:导入设备后,NSM软件自动将设备的策略配置加载到界面(Policy ManagementSecurity Policies)进入具体的策略,如下图,设备的配置导入后,可以显示所有的策略,在某一项列内单击右键可以设置详细的内容,设置好策略,在策略标签上单击右键并选择AssignPolicy,将配置保存到NSM服务器上,但是还没有更新到设备。,18,设备的管理/日志系统,1,NSM服务器提供强大的日志分析功能,用户可以通过这个功能得到所需要的日志信息。其中包括如下。其中,针对防火墙和IDP设备的有:Critical、Alarm、IDP/DI、Traffic、Info、Config。,2,日志操作 NSM日志系统提供许多日志筛选的功能,以下对Critical的日志作为示范。对于管理员不需要显示的列,可以设置为Hide,如下图,,19,