JuniperNSM設(shè)備操作手冊(cè)

JuniperNSM設(shè)備操作手冊(cè)趙敬2011年10月主題NSM介紹NSM原理NSM系統(tǒng)登錄NSM使用管理NSM介紹

NSM是Juniper防火墻統(tǒng)一管理的軟件平臺(tái)，通過(guò)NSM軟件，可以對(duì)JUNIPER設(shè)備設(shè)置統(tǒng)一管理，NSM軟件具有強(qiáng)大的管理功能、日志及報(bào)表功能、設(shè)備監(jiān)控功能等。（NetworkandSecurityManagement）NSM原理原理:是通過(guò)客戶端配置策略，并通過(guò)服務(wù)器下發(fā)策略到設(shè)備上面，用戶通過(guò)客戶端的UI連接ManagementSystem，并設(shè)置詳細(xì)的配置，最后通過(guò)ManagementSystem把具體的策略下發(fā)到ManagedDevices上面。客戶端是基于Windows平臺(tái)或Linux平臺(tái)的軟件，而服務(wù)器是基于LinuxAS4/5平臺(tái)的軟件，日常的維護(hù)基本都可以通過(guò)UI的方式設(shè)置，基本不需要配置Linux的系統(tǒng)參數(shù)。系統(tǒng)登陸1,安裝好NSM客戶端后，打開(kāi)客戶端登錄界面(UI)，并輸入用戶名、密碼以及登錄地址。2,登陸后的界面如下所示：設(shè)備的管理

添加設(shè)備

在NSM服務(wù)器安裝完畢以后，必須通過(guò)NSM的界面管理手動(dòng)添加需要管理的設(shè)備，包括防火墻、路由器，交換機(jī)和IDP等。設(shè)備的導(dǎo)入可以使用兩種方式：

第一種是Unreachable的導(dǎo)入方式。通常，在NSM服務(wù)器第一次導(dǎo)入設(shè)備的時(shí)候采用這種方式（第一次連接需要在NSM和設(shè)備確認(rèn)協(xié)商的相關(guān)參數(shù)）。第二種是Reachable的導(dǎo)入方式，這種方式采用的是引導(dǎo)的方式，操作相對(duì)比較簡(jiǎn)單。設(shè)備的管理/DeviceUnreachable添加集群

集群適用于主、備模式部署的防火墻，如果是添加單臺(tái)防火墻請(qǐng)選擇Devcie，選擇菜單DeviceManagerSecurityDevices并點(diǎn)擊SecurityDeviceTree頁(yè)面的+號(hào)，并選擇Cluster，如下圖：設(shè)置Cluster的命名、設(shè)備類型以及OS頒布號(hào)

設(shè)備的管理/DeviceUnreachable

添加集群以后，開(kāi)始添加集群的成員，包括兩臺(tái)設(shè)備，主用設(shè)備和備用設(shè)備，兩臺(tái)設(shè)備的添加步驟一樣，右圖只描述一臺(tái)設(shè)備的添加過(guò)程。右鍵點(diǎn)擊上一步驟添加的Cluster，選擇CusterMembers，選擇后系統(tǒng)彈出設(shè)備的添加頁(yè)面，因?yàn)槭堑谝淮翁砑釉O(shè)備，我們選擇添加Unreachable的設(shè)備，如右圖所示：設(shè)備的管理/DeviceUnreachable右圖設(shè)置NSM服務(wù)器和防火墻設(shè)備之間的通訊參數(shù)，這里的Password是設(shè)備建立連接的一次性密碼，輸入密碼（長(zhǎng)度必須大于9位），設(shè)置好密碼以后，在節(jié)目的左下角會(huì)出現(xiàn)“showDevicecommands”的按鈕，點(diǎn)擊按鈕，并將彈出窗口的內(nèi)容復(fù)制下來(lái)（使用快捷鍵Ctrl+C復(fù)制），將這些復(fù)制的內(nèi)容在防火墻設(shè)備的命令行界面上運(yùn)行，NSM服務(wù)器和防火墻設(shè)備會(huì)根據(jù)這些信息建立兩者之間的連接。點(diǎn)擊OK按鈕后，設(shè)置添加成功。（重復(fù)上面的步驟，添加另一臺(tái)備用的防火墻。）設(shè)備的管理/DeviceUnreachable

通過(guò)上面的設(shè)備添加步驟，下一步是導(dǎo)入設(shè)備的配置，NSM必須通過(guò)和設(shè)備當(dāng)前的配置同步，才能保證在下發(fā)策略的時(shí)候不會(huì)造成配置同步導(dǎo)致的下發(fā)錯(cuò)誤。添加配置成功的界面如下：至此，設(shè)備的添加完成。設(shè)備的管理/Devicereachable添加集群集群適用于主、備模式部署的防火墻，如果是添加單臺(tái)防火墻請(qǐng)選擇Devcie，選擇菜單DeviceManagerSecurityDevices并點(diǎn)擊SecurityDeviceTree頁(yè)面的+號(hào)，并選擇Cluster，如下圖：設(shè)置Cluster的命名、設(shè)備類型以及OS頒布號(hào)

設(shè)備的管理/Devicereachable添加集群成員

添加集群以后，開(kāi)始添加集群的成員，包括兩臺(tái)設(shè)備，主用設(shè)備和備用設(shè)備，兩臺(tái)設(shè)備的添加步驟一樣，下面只描述一臺(tái)設(shè)備的添加過(guò)程。如右圖，右鍵點(diǎn)擊上一步驟添加的Cluster，選擇CusterMembers，選擇后系統(tǒng)彈出設(shè)備的添加頁(yè)面，因?yàn)槭堑谝淮翁砑釉O(shè)備，我們選擇添加Unreachable的設(shè)備，如下圖所示：設(shè)備的管理/Devicereachable設(shè)備的管理/設(shè)備信息1，在導(dǎo)入設(shè)備配置以后，可以查看和修改設(shè)備的具體的信息，如下圖，右鍵點(diǎn)擊設(shè)備，選擇Edit：2，彈出新的界面，界面中設(shè)置設(shè)備的大部分信息，包括設(shè)備的接口設(shè)置、設(shè)備的管理員設(shè)置、登陸設(shè)置、VPN設(shè)置、以及其他。以下對(duì)系統(tǒng)常用的部分作詳細(xì)的說(shuō)明。3，在Info菜單，顯示的是系統(tǒng)的基本信息，包括設(shè)備類型，設(shè)備命名以及設(shè)備的序列號(hào)和當(dāng)前系統(tǒng)版本等。設(shè)備的管理/network菜單Network菜單設(shè)置防火墻設(shè)備的網(wǎng)絡(luò)基本配置，包括設(shè)備的虛擬路由器、安全區(qū)、設(shè)備接口、DNS設(shè)置等信息；安全區(qū)設(shè)置是Juniper防火墻設(shè)置的一個(gè)安全概念，在Juniper防火墻中它把某一部分相同類別的資源作為一個(gè)統(tǒng)稱，防火墻根據(jù)這個(gè)的安全區(qū)做策略的設(shè)置。安全區(qū)的設(shè)置在Device菜單中選擇NetworkZone；安全區(qū)列表提供安全區(qū)的列表，可以添加和刪除Zone列表；安全區(qū)設(shè)置：雙擊具體的安全區(qū)，可以設(shè)置安全區(qū)的具體參數(shù)，包括設(shè)置安全區(qū)屬于哪個(gè)virtual-Router，以及在安全區(qū)上設(shè)置防攻擊選項(xiàng)。虛擬路由器是防火墻內(nèi)置的虛擬路由器功能，防火墻可以設(shè)置兩個(gè)路由器，沒(méi)有路由器可以使用一個(gè)獨(dú)立的路由表，從而在路由表方面可以進(jìn)行分割。

設(shè)備的管理/接口設(shè)置接口列表：進(jìn)入NetworkInterface，并查看設(shè)備的接口設(shè)置；接口參數(shù)：接口設(shè)置IP地址、安全區(qū)以及其他的參數(shù)。設(shè)備的管理/配置策略配置策略：在設(shè)備導(dǎo)入以后，默認(rèn)在SecurityPolicies的菜單中會(huì)出現(xiàn)以Cluster命名的策略，這就是在導(dǎo)入設(shè)備的時(shí)候，NSM通過(guò)分析防火墻配置產(chǎn)生的策略內(nèi)容。防火墻策略：導(dǎo)入設(shè)備后，NSM軟件自動(dòng)將設(shè)備的策略配置加載到界面（PolicyManagementSecurityPolicies）進(jìn)入具體的策略，如下圖，設(shè)備的配置導(dǎo)入后，可以顯示所有的策略，在某一項(xiàng)列內(nèi)單擊右鍵可以設(shè)置詳細(xì)的內(nèi)容，設(shè)置好策略，在策略標(biāo)簽上單擊右鍵并選擇AssignPolicy，將配置保存到NSM服務(wù)器上，但是還沒(méi)有更新到設(shè)備。設(shè)備的管理/日志系統(tǒng)1，NSM服務(wù)器提供強(qiáng)大的日志分析功能，用戶可以通過(guò)這個(gè)功能得到所需要的日志信息。其中包括如下。