JuniperNSM設(shè)備操作手冊

JuniperNSM設(shè)備操作手冊趙敬2011年10月主題NSM介紹NSM原理NSM系統(tǒng)登錄NSM使用管理NSM介紹

NSM是Juniper防火墻統(tǒng)一管理的軟件平臺，通過NSM軟件，可以對JUNIPER設(shè)備設(shè)置統(tǒng)一管理，NSM軟件具有強大的管理功能、日志及報表功能、設(shè)備監(jiān)控功能等。（NetworkandSecurityManagement）NSM原理原理:是通過客戶端配置策略，并通過服務(wù)器下發(fā)策略到設(shè)備上面，用戶通過客戶端的UI連接ManagementSystem，并設(shè)置詳細的配置，最后通過ManagementSystem把具體的策略下發(fā)到ManagedDevices上面?？蛻舳耸腔赪indows平臺或Linux平臺的軟件，而服務(wù)器是基于LinuxAS4/5平臺的軟件，日常的維護基本都可以通過UI的方式設(shè)置，基本不需要配置Linux的系統(tǒng)參數(shù)。系統(tǒng)登陸1,安裝好NSM客戶端后，打開客戶端登錄界面(UI)，并輸入用戶名、密碼以及登錄地址。2,登陸后的界面如下所示：設(shè)備的管理

添加設(shè)備

在NSM服務(wù)器安裝完畢以后，必須通過NSM的界面管理手動添加需要管理的設(shè)備，包括防火墻、路由器，交換機和IDP等。設(shè)備的導(dǎo)入可以使用兩種方式：

第一種是Unreachable的導(dǎo)入方式。通常，在NSM服務(wù)器第一次導(dǎo)入設(shè)備的時候采用這種方式（第一次連接需要在NSM和設(shè)備確認協(xié)商的相關(guān)參數(shù)）。第二種是Reachable的導(dǎo)入方式，這種方式采用的是引導(dǎo)的方式，操作相對比較簡單。設(shè)備的管理/DeviceUnreachable添加集群

集群適用于主、備模式部署的防火墻，如果是添加單臺防火墻請選擇Devcie，選擇菜單DeviceManagerSecurityDevices并點擊SecurityDeviceTree頁面的+號，并選擇Cluster，如下圖：設(shè)置Cluster的命名、設(shè)備類型以及OS頒布號

設(shè)備的管理/DeviceUnreachable

添加集群以后，開始添加集群的成員，包括兩臺設(shè)備，主用設(shè)備和備用設(shè)備，兩臺設(shè)備的添加步驟一樣，右圖只描述一臺設(shè)備的添加過程。右鍵點擊上一步驟添加的Cluster，選擇CusterMembers，選擇后系統(tǒng)彈出設(shè)備的添加頁面，因為是第一次添加設(shè)備，我們選擇添加Unreachable的設(shè)備，如右圖所示：設(shè)備的管理/DeviceUnreachable右圖設(shè)置NSM服務(wù)器和防火墻設(shè)備之間的通訊參數(shù)，這里的Password是設(shè)備建立連接的一次性密碼，輸入密碼（長度必須大于9位），設(shè)置好密碼以后，在節(jié)目的左下角會出現(xiàn)“showDevicecommands”的按鈕，點擊按鈕，并將彈出窗口的內(nèi)容復(fù)制下來（使用快捷鍵Ctrl+C復(fù)制），將這些復(fù)制的內(nèi)容在防火墻設(shè)備的命令行界面上運行，NSM服務(wù)器和防火墻設(shè)備會根據(jù)這些信息建立兩者之間的連接。點擊OK按鈕后，設(shè)置添加成功。（重復(fù)上面的步驟，添加另一臺備用的防火墻。）設(shè)備的管理/DeviceUnreachable

通過上面的設(shè)備添加步驟，下一步是導(dǎo)入設(shè)備的配置，NSM必須通過和設(shè)備當前的配置同步，才能保證在下發(fā)策略的時候不會造成配置同步導(dǎo)致的下發(fā)錯誤。添加配置成功的界面如下：至此，設(shè)備的添加完成。設(shè)備的管理/Devicereachable添加集群集群適用于主、備模式部署的防火墻，如果是添加單臺防火墻請選擇Devcie，選擇菜單DeviceManagerSecurityDevices并點擊SecurityDeviceTree頁面的+號，并選擇Cluster，如下圖：設(shè)置Cluster的命名、設(shè)備類型以及OS頒布號

設(shè)備的管理/Devicereachable添加集群成員

添加集群以后，開始添加集群的成員，包括兩臺設(shè)備，主用設(shè)備和備用設(shè)備，兩臺設(shè)備的添加步驟一樣，下面只描述一臺設(shè)備的添加過程。如右圖，右鍵點擊上一步驟添加的Cluster，選擇CusterMembers，選擇后系統(tǒng)彈出設(shè)備的添加頁面，因為是第一次添加設(shè)備，我們選擇添加Unreachable的設(shè)備，如下圖所示：設(shè)備的管理/Devicereachable設(shè)備的管理/設(shè)備信息1，在導(dǎo)入設(shè)備配置以后，可以查看和修改設(shè)備的具體的信息，如下圖，右鍵點擊設(shè)備，選擇Edit：2，彈出新的界面，界面中設(shè)置設(shè)備的大部分信息，包括設(shè)備的接口設(shè)置、設(shè)備的管理員設(shè)置、登陸設(shè)置、VPN設(shè)置、以及其他。以下對系統(tǒng)常用的部分作詳細的說明。3，在Info菜單，顯示的是系統(tǒng)的基本信息，包括設(shè)備類型，設(shè)備命名以及設(shè)備的序列號和當前系統(tǒng)版本等。設(shè)備的管理/network菜單Network菜單設(shè)置防火墻設(shè)備的網(wǎng)絡(luò)基本配置，包括設(shè)備的虛擬路由器、安全區(qū)、設(shè)備接口、DNS設(shè)置等信息；安全區(qū)設(shè)置是Juniper防火墻設(shè)置的一個安全概念，在Juniper防火墻中它把某一部分相同類別的資源作為一個統(tǒng)稱，防火墻根據(jù)這個的安全區(qū)做策略的設(shè)置。安全區(qū)的設(shè)置在Device菜單中選擇NetworkZone；安全區(qū)列表提供安全區(qū)的列表，可以添加和刪除Zone列表；安全區(qū)設(shè)置：雙擊具體的安全區(qū)，可以設(shè)置安全區(qū)的具體參數(shù)，包括設(shè)置安全區(qū)屬于哪個virtual-Router，以及在安全區(qū)上設(shè)置防攻擊選項。虛擬路由器是防火墻內(nèi)置的虛擬路由器功能，防火墻可以設(shè)置兩個路由器，沒有路由器可以使用一個獨立的路由表，從而在路由表方面可以進行分割。

設(shè)備的管理/接口設(shè)置接口列表：進入NetworkInterface，并查看設(shè)備的接口設(shè)置；接口參數(shù)：接口設(shè)置IP地址、安全區(qū)以及其他的參數(shù)。設(shè)備的管理/配置策略配置策略：在設(shè)備導(dǎo)入以后，默認在SecurityPolicies的菜單中會出現(xiàn)以Cluster命名的策略，這就是在導(dǎo)入設(shè)備的時候，NSM通過分析防火墻配置產(chǎn)生的策略內(nèi)容。防火墻策略：導(dǎo)入設(shè)備后，NSM軟件自動將設(shè)備的策略配置加載到界面（PolicyManagementSecurityPolicies）進入具體的策略，如下圖，設(shè)備的配置導(dǎo)入后，可以顯示所有的策略，在某一項列內(nèi)單擊右鍵可以設(shè)置詳細的內(nèi)容，設(shè)置好策略，在策略標簽上單擊右鍵并選擇AssignPolicy，將配置保存到NSM服務(wù)器上，但是還沒有更新到設(shè)備。設(shè)備的管理/日志系統(tǒng)1，NSM服務(wù)器提供強大的日志分析功能，用戶可以通過這個功能得到所需要的日志信息。其中包括如下。