juniper-security manager (nsm)操作手册

1Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 Juniper Security Manager （ NSM）操作培训 2Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 内容介绍 1、 NSM 介绍和安装 2、 NSM的管理 3、添加设备、特征库更新和策略 4、设备添加到网络的不同方法 5、配置 VPN 6、日志和报表 3Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM 介绍和安装 4Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 设备管理服务器（ device server）：负责 Juniper 设备和 Gui服务器之间的通讯，收集设备的数 据，将格式化的配置信息发送到设备，固化流量记录和事件 Gui管理服务器（ Gui server）：包括管理数据库和集中防火墙设备的信息，配置，对象和安全 策略 Device Server和 Gui Sever需要安装在 Redhat Linux ES3.0 或 4.0版本、或 Solaris 8或 9之上 如果需要管理的设备较多，则有必要将 Device Server和 Gui Server分别安装在 2个服务器上 客户端（ client）：主要作用为配置和管理服务器的图形界面 Client需要安装在 Windows或 Redhat Linux上 可以同时有多个 Client访问 NSM服务器，但是对于 NSM里的一个对象同时只有一个 client可以修 改，其他的 client只能查看 NSM组成 5Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 6Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 输入 linux的根用户名和密码（如果不是已 root登陆，则需要通过输入 “su -”和 root的密码） 确认设备的硬件配置（请参考 “硬件要求 ”）以及硬盘空间是否足够可以安装 NSM 运行服务器补丁，确保设备有必备的补丁运行 NSM。 将升级包保存在服务器上（如 linux的 systemupdate-nsm-linux， Solaris的 systemupdate-nsm-solary）， 在 Juniper-securiy Manage的安装光盘上可以找到（推荐保存在 user的目录下）。 将升级工具包解压，如输入 “tar xfv systemupdate-nsm-linux.tar”，接着会创建 /sytemupdate-nsm-linux的 目录，在该目录中有所有的升级文件， 转换到 /systemupdate-nsm-linux的目录中，运行升级的 shell脚本， “./update.sh”，脚本的进程会检查你 系统升级时候所需要的升级文件， 在输入回车以后，脚本进程会清除 RPM数据库，直到脚本运行完成，这个过程需要 20分钟左右，这个过 程可以至少需要 10分钟，视脚本进程所检查到的所需升级文件的数量和文件包多少所决定 NSM安装步骤 7Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 如果你要将数据的备份发送到远端的另外一台设备的时候，你必需在管理系统服务器和远端服 务器建立信任的关系 在 Juniper-security manager的服务器上输入命令 cd /root ssh-keygen t rsa chmod 0700.ssh 在远端服务器上输入以下命令 cd /root ssh-keygen t rsa chmod 0700 .ssh 将远端服务器的 “.ssh/id_rsa.pub”拷贝到管理服务器的 “./ssh/authorized_keys”目录下 将管理服务器的 “.ssh/id_rsa.pub”拷贝到远端服务器的 “./ssh/authorized_keys”目录下 测试管理服务器和远端服务器之间的通讯 “ssh root”。输入密码确 认是否可以连接到远端的服务器。 NSM安装步骤（续） 8Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 将 NSM软件加载到服务器上，或者直接从光盘上进行安装 进入到你保存了安装文件的目录下，如 /tmp， 运行该安装文件，在 linux上输入： sh nsm2005.2_server_linux_x86.sh，在 solaris上输入： sh nsm2005.2_servers_sol_sparc.sh。 安装会自动的进行检查并安装预安装文件，安装进程会检查 检查是否安装对应的操作系统的 NSM版本 所有的需要的文件是否齐全 登陆的用户的权限是否正确 检查硬件的内存和硬盘空间是否足够 在检查以后，输入 “3”。确认安装设备服务器和 Gui服务器，接着进程会提问是否安装成双机形式。 输入 “n”和回车，确认只是安装成单机形式。 NSM安装步骤（续） 9Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 输入文件和数据储存的目录路径。默认路径分别为： /var/Juniper/DevSvr.和 /var/Juniper/GuiSvr。 输入服务器的管理 IP地址，这个地址应该与服务器现在的 IP地址相对应。进行会设置 Gui服务器和设备服 务器通讯的 IP地址和端口号，缺省为 7800。 输入用户 “SUPER”的密码，在 NSM中第一次登陆时候所使用的用户就是 “SUPER”。密码长度为 8个字符 以上。 输入 “n”表示你不需要安装告警服务器，如果输入 “y”则表示要安装，接着输入数据库类型和数据库服务器 的 IP地址，用户名及密码， 接着输入： 00-23确认数据库备份的时间，输入： “n”则表示不是每天都备份， 输入 1 7，确认备份服务器备份的文件数量，当数字到 7以后 NSM服务器会覆盖掉第一个备份文件 输入 SSH工具的路径 输入 “y”表示是否在安装完毕以后启动 Gui服务器和设备服务器， 确认设置以后输入 “y”表示配置完毕，否则输入 “n” 确认以后进程开始安装 NSM NSM安装步骤（续） 10Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 修改 Linux服务器 IP地址、 DNS服务器地址等 #Ifconfig eth0 192.168.1.120 netmask 255.255.255.0 broadcast 192.168.1.255 #cd /etc/sysconfig/ #vi network (change gw:) #cd network-scripts #vi ifcfg-eth0 #etc/init.d/network restart #cd network-scripts #vi ifcfg-eth0 (change ip) dns: more /etc/reslov.conf，内容指定如下： nameserver 202.96.69.38 修改 NSM服务器地址 /usr/Juniper/DevSvr/bin ./devSvr.sh stop /usr/Juniper/GuiSvr/bin ./guiSvr.sh stop 用 vi修改 Device Server和 Gui Server的 IP地址 /usr/Juniper/DevSvr/var/devSvr.cfg /usr/Juniper/GuiSvr/var/server_table.nml(有两处需要修改 ) NSM修改 IP地址 11Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM客户端安装完毕后启用 可以在 server里填 Gui服 务器的 IP地址 , 如果填 *DEMO MODE*则进入 演示模式 ,即没有服务器 也可以演示 NSM的界面 给用户 12Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM的管理 13Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 登录 默认的根管理员帐户名是 “super” 密码在 GUI 服务器安装过程中设定 GUI 服务器的 IP 地址在安装过程中进行配置 客户端和服务器软件必须是同一个版本 14Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 界面导航 面向企业安全管理的集中界面 15Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 子域 每个子域： 能够包含其独特的设备、抽象和管理员 独立于其他子域进行单独管理 能够利用全局域中定义的对象，但不能利用其他子域中定义的对象 16Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 子域 (续 ) 服务供应商可能需要使用子域来管理多个独立的客户端安装。 不同子域中的设备难以看到对方。 在不同子域的对象间配置通信是有可能实现的，但需要执行额外的步骤和花费更多的时间。 17Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 角色 可以为管理员分配一个或多个角色。 角色控制管理员在全局域或子域中能 够做什么和不能做什么。 角色由用于定义管理员能够执行的具 体动作的活动所构成。 有少量预定义角色。 能够创建定制角色。 18Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 角色 (续 ) 系统管理员 “Super 用户 ” 拥有全面的接入权限， 包括服务器维护任务 只读系统管理员 拥有全面的查看权限 域管理员 除了服务器维护任务外，拥有其他所有 接入权限 只读域管理员 除了服务器和服务器日志外，拥有其他 所有查看权限 19Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 角色 (续 ) 使用活动列表来创建定制角色。 活动授予在 NSM 内创建、删除、编辑、查 看和管理各个组件的权限。 活动是 NSM 预定义的，不能够进行修改 定制角色的功能不如预定义的系统管理员 角色和域管理员角色强大。 能够为 NOC 管理员和安全事件调查器创建 定制角色。 20Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 管理员 能够在本地定义多达 20 个管理员，能够支持多达 10 个管理员同时登录。 能够在一个或多个域为管理员分配角色。 全局域管理员能够接入子域。 子域管理员仅能够接入其子域。 如果使用 RADIUS 验证方法，将能够定义无限数 量的管理员。 21Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 域版本控制 企业需要分析安全日志和事件以及事件发生的时 间。 NSM 保存有以前配置状态的档案文件。 域可以回退到前一个版本。 所部署设备的配置不会受影响，直至有更新指令 发出。 22Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 单元小结 在本单元课程中，您学习到了： 子域及其优点 使用预定义活动所能够创建的不同角色 对管理员的管理 域版本控制 23Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM 添加设备、特征库更新和策略 24Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 快速部署可以在很少用户干预的情况下部署大量的设备：首先， NSM管理员生成小文件 (叫 congfiglet)，然后发该文件给远端的当地人员，当地人员通过快速部署助手将该文件装进设备 ，设备自动和 NSM联系，并建立安全的管理通道。 NSM再将完整配置下发给设备。 NSM快速部署 25Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 模板 模板是预定义好的设备配置，从而重复使用部分信息，将该模板应用到设备里可以一 次性配置多台设备。为了更好的灵活性，可以将多个设备模板组合应用到一个设备上（最大 63 个模板）。 共享对象 在全局域定义的对象可被各个子域共享； 组 组是相类似的设备和对象的集合。用设备组和对象组可以同时对多个设备进行更新，简 化策略的生成和部署，并提供基于组的报表。甚至可以用表达式来生成自定义的组。 NSM快速创建和部署设备 26Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 点击 “device manager-security device”，并点击 “ ” NSM添加设备（ 1） 输入设备名称并选择设 备可达（即已经部署） 27Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM添加设备（ 2） 输入对应的 IP地址，用户 名字和密码，连接协议及 端口号。设备本身的端口 应该可以访问 ,如 telnet/ssh。 采用 SSH时需要在设备上 开启 SSH： set ssh enable 28Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM添加设备（ 3） 设备上应该有到 NSM服务 器的路由 29Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM添加策略（ 1） 点击 “ security policy” ， 点击 “ ” ，增加一个安全 策略 30Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM添加策略（ 2） 点击指定的策略，并对其进行增加 或者删除其中的策略 31Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM添加策略（ 3） 点击右键 “ add rule” 32Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 NSM添加策略（ 4） 点击对应的 zone，源地址， 目的地址和服务去更改对应 的策略方向及服务内容 33Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 更新 NSM的特征库 34Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 点击 Next，不成功 35Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 点击 Next，成功 36Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 37Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 38Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 39Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 40Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 41Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 42Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 43Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 44Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 45Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 46Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 47Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 实施 IDP（ DI）策略 48Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 设备添加到网络的不同方法 49Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 单元目标 我们将学习使独立设备置于 NSM 管理控制之下的不同方法。 在学习完本单元课程之后，您将能够讨论： 对网络中的设备进行定义时将面临的三种设备情况 将设备添加到网络的不同方法，包括手动添加、导入、快速部署和批量添加等 50Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 设备 概述 Security Manager 需要知道防火墙 /VPN 设备的存在以便对其进行管理。 可能仅将设备添加到单个域中（全局域或子域）。 51Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 三种设备情况 第 1 种情况： IP 地址不可到达 Security Manager 不能通过 SSH 或 telnet 进行连接 由于 DHCP、 PPPoE 或端口 NAT， IP 地址不可知 第 2 种情况： IP 地址可以到达 进行了实际安装，可能已经对其进行了配置 Security Manager 能够同 SSH 或 telnet 连接该设备 第 3 种情况：设备尚不存在 一般是尚未进行部署的新设备 将在未来安装及激活 可能是您打算对其进行模式化而不是导入的现有设备 也可能是替换设备 (RMA) 在重新激活之前似乎表现为设备不存在 52Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 添加设备 方法 1：手动添加 在用作设备模型基础的 Security Manager 数据库的 “设备管理器 ”下添加设备 IP 地址或许可以到达，也或许不可到达 53Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 添加设备 (续 ) 方法 2：导入 Security Manager 将通过从已部署的防火墙 /VPN 设备获取配置信息来填充其数据库 该设备的 IP 地址一定可以到达 方法 3：快速部署 (RD) 在使设备模式化之后， SM 将会生成 “configlet”文件，该文件使设备能够从 Security Manager 中提取模式 化配置 如果 IP 地址不可到达也没关系 54Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 添加独立设备 手动添加 将设备添加到 Security Manager 数据库 该 “模式 ” 将用于进行配置 从 GUI 启动实际配置升级 55Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 添加独立设备 导入 这种方法采用已经部署了的设备的配置，并填充 Security Manager 的数据库。 56Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 添加独立设备 快速部署 在设备模式化之后，将会生成 “Configlet” 文件，对设备稍微进行配置便可连接 Security Manager。 在设备中启动配置升级。 快速部署方法可减少设备设置时间。 该方法仅在 ScreenOS 5.0 及以后版本中提供支持 57Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 添加设备 批量添加 该方法使企业能够一次性添加多达 1,000 个设备 。 该流程分为三个步骤： 创建列出所有设备的 CSV 文件 需要为不同的 “添加设备 ”流提供不同的 CSV 文件 请 参见技术文档了解详情。 启用添加大量设备向导 向导将验证 CSV 文件，并报告任何错误 /失败的设备 创建 验证设备配置 58Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 单元小结 在本单元课程中，您学习到了： 定义网络设备时所面临的三个主要情况 向网络添加设备的不同方法，包括手动添加、导入、快速部署和批量添加等。 59Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 配置 VPN 60Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 单元目标 在本单元课程中，我们将讨论 NSM 所支持的两种 VPN 配置类型。 在学习完本单元课程之后，您将能够： 描述配置 VPN 的两种主要方法：手动配置，和使用 VPN 管理器进行配置 描述 VPN 拓扑以及如何配置拓扑 61Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 VPN 类型 类型 1：基于策略的 VPN 在策略中， “行动 ”是 “隧道 ” 支持 NAT 隧道区中的隧道接口 源或目的地 (MIP， DIP， VIP) 类型 2: 基于路由的 VPN 需要隧道接口 路由设置需要静态路由或者动态 路由协议 针对区之间的流量应用独立的由 用户定义的策略 62Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 配置 VPN 手动配置 手动 VPN 配置： 要求为每个独立设备手动创建 IKE 网关 使用策略管理器逐设备创建独立 VPN 规则。 63Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 使用 VPN 管理器进行配置 使用 VPN 管理器 对象模型将用于在 VPN 设备之间便利地建立关系。 VPN 管理器自动为所有设备创建策略、网关和 VPN。 64Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 配置 VPN 拓扑 VPN 拓扑 VPN 拓扑决定了 VPN 成员之间如何从逻辑上互相连接。 VPN 终接点决定了 VPN 成员之间如何进行实际连接 65Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 配置 VPN 最后的任务 自动创建的 VPN 不能立刻改变已部署设备的实际配置。 现在 VPN 设置存储在 Security Manager 中 VPN 规则（称为 VPN 链路）必须以手动方式添加到相应的安全策略中。 必须在已部署的设备上安装修改过的策略。 使用更新设备指令（ Update Device Directive）将设置安装到设备中。 必须创建任何所需的路由 66Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 单元小结 在本单元课程中，您学习到了： 配置 VPN 的两种主要方法：手动配置，和使用 VPN 管理器配置 如何配置 VPN 拓扑 67Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN-00-B01 日志和报告 68Copyright 2005 Juniper Networks, Inc. Proprietary and Confidential A-NSM-0011-EN