01 初始配置与管理.ppt

1、安全设备管理,苏州电信安全网关业务培训教程,2,目标,安全网关的组成 登录/管理安全网关的方法 系统管理的配置 管理license keys 配置文件的导入导出 系统文件（ScreenOS）的管理,3,系统组成,所有关键功能都是在内存中执行的。 可以通过WEB或者命令行两种方式,系统缓存 运行中的配置 运行中的 ScreenOS,ScreenOS 文件 启动配置 其它东西,内存,Flash,接口.,接口.,接口.,SOC, 启动/ 重启,外部系统/应用,Web网管,安全网关,DNS/ Syslog,CLI 网管,“Get”,“Set”,4,登录安全网关,通过Console线缆来连接安全网关 使

2、用Windows系统自带的超级终端（还原默认值）即可 最为安全的登录方式 无须网络支持就可以登录 无须IP地址就可以登录 可以看到启动的信息 可以看到实时的debug信息,安全网关,Console Port,安全网关的默认管理员用户名/密码都是 netscreen,5,图形化（WEBUI）模式,安全网关可以通过图形化模式进行管理 只需要很少的配置 (在安全网关接口上配置管理地址，并打开web访问权限即可) 客户端的地址设置到与管理地址同一网段。 默认的可网管接口是安全设备的最小号码的端口（比如eth0/0） 默认的可网管接口的管理地址是/24 默认的管理员用户名/密码是

3、netscreen,6,图形化界面的主菜单,7,配置向导,如果初次配置安全网关（或者网关进行了恢复出厂值操作），当通过WEBUI登录安全网关时，配置向导就会出现。 配置向导可以帮助不熟悉安全网关的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。,8,命令行（CLI）模式,ns208- ? clear clear dynamic system info exec exec system commands exit exit command console get get system information ping ping other host reset reset syst

4、em save save command set configure system parameters trace-route trace route unset unconfigure system parameters,输入“ ?”, 会输出该目录下可执行的所有命令。命令行的命令输入后，需要通过save命令来存盘。 左半部分列出命令或者命令的参数 右半部分列出对命令的解释 命令行的管理员默认用户名/密码是netscreen。 Console/WEBUI/CLI三种模式的管理员帐号是通用的。,9,配置安全网关的管理项,1.配置接口地址 将接口绑定到安全区（zone） 给接口地址配置地址 配

5、置可管理服务（如ping，web访问，telnet访问等） 管理地址 （可选） 2.修改 root administrator 密码 3.创建新的管理员帐号,10,安全区与接口,安全网关有严格的逻辑上的层次结构 安全区从属于虚拟路由器 安全区默认都从属于trust-vr 接口从属于安全区 一个接口只能从属于一个安全区 IP地址从属于接口,Int.,Zone,Zone,Virtual Router,IP,11,安全区的种类,安全区 预定义: Trust:一般放置内网接口 Untrust:一般放置外网接口 DMZ:一般放置服务器接口 用户自定义： 隧道安全区（Tunnel Zone）,功能安全区

6、Null MGT HA Self VLAN,ns5gt- get zone Total 10 zones created in vsys Root - 5 are policy configurable. - ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr hidden Root 1 Untrust Sec(L3) Shared trust-vr untrust Root 2 Trust Sec(L3) trust-vr trust Root 4 Self Func trust-vr self Root 5

7、MGT Func trust-vr null Root 11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 14 VLAN Func trust-vr vlan1 Root -,12,设置接口/安全区 WebUI模式,Network Interfaces (edit),13,设置接口/安全区 命令行模式,An interface must be a member of a security zone prior to having an address assigned,set interface zone set interface ip / ns2

8、08- set interface e1 zone trust ns208- set interface e1 ip /24,14,可网管选项 WebUI模式,默认的可网管选项因安全区的不同而不同 Trust zone: 所有可网管选项都是允许的 其它 zone: 所有可网管选项都是不被允许的,NetworkInterfacesEdit,15,可网管选项 CLI模式,set interface manage ns208- set interface e1 manage ping ns208- set interface e1 manage web Enable all servi

9、ces: ns208- set interface e1 manage,如果在命令的末尾没有写出特定的选项，则代表所有的选项,16,管理地址的设置,可以设定特定的非接口地址来进行网管,set interface manage-ip set interface e1 manage-ip 50,NetworkInterfacesEdit,17,管理员帐号,不同级别的管理员帐号有不同的权限 Root管理员由系统定义，不能删除 本地管理员由Root管理员创建，可以由Root管理员删除,通过New按钮来创建本地管理员帐号,Click to view settings for Root ac

10、count,ConfigurationAdminAdministrators,18,创建系统管理员,ConfigurationAdminAdministrators,set admin user name password privilege all | read-only,19,修改Root管理员用户名/密码,ConfigurationAdminAdministrators,set admin name set admin password ,20,Manager-IP 地址的设定,为了增加安全性，可以设定Manager-IP地址来限定可以网管安全网关的客户端 一旦是指定了Manager-I

11、P地址，那么只有设定了Manager-IP的客户端才可以对安全设备进行网关。 Manager-IP地址可以一个主机地址，也可以是一个网段。,21,配置Manager-IP地址,set admin manager-ip ns208- set admin manager-ip 50 55 ns208- set admin manager-ip ,ConfigurationAdminPermitted IPs,22,External Management Devices,There are several common

12、 applications that operate in conjunction with the NetScreen device DNS Syslog SNMP,23,DNS Configuration,NetworkDNS,set dns host dns1 set dns host dns2 set dns host schedule ,24,Syslog Configuration,ConfigurationReport SettingsSyslog,set syslog config facility set syslog config log all | traffic | e

13、vent set syslog src-interface set syslog enable,25,SNMP Configuration - WebUI,ConfigurationReport SettingsSNMP,26,SNMP Configuration WebUI (cont.),ConfigurationReport SettingsSNMPCommunity,27,SNMP Configuration - CLI,set snmp contact set snmp location set snmp port listen | trap set snmp community t

14、rap-on | trap-off set snmp community version v1 | v2c set snmp host src-interface set snmp host trap ,28,License Keys的管理,License Keys提供的功能: Capacity expansion (extended/advanced releases) 防病毒（Anti-virus） 网页过滤（URL filtering） 防垃圾邮件（Anti-Spam） 深层检测（Deep Inspection/IPS） 两种方式导入License Keys 手动 从Juniper网站下

15、载lic key文件导入安全网关 自动 将安全网关在Juniper网站注册，然后让安全网关自动下载lic,exec license-key capacity ,exec license-key update,29,配置文件管理 CLI模式,只有 root管理员才可以进行配置文件的管理 备份配置文件 恢复配置文件 1: 将文件拷贝到Flash 配置将在重启后生效 2: 将文件与现有的配置组合在一起生成新的配置文件（请慎重处理）,save config from flash to tftp | pcmcia | slot1 ns208- save config from flash to tftp

16、 50 15Jun03.cfg,save config from tftp | pcmcia | slot1 to flash ns208- save config from tftp 50 15June03.cfg to flash,save config from tftp | pcmcia | slot1 merge ns208- save config from tftp 50 15June03.cfg merge,30,配置文件管理 WebUI模式,ConfigurationUpdateConfig File,31,系统文件的升级 CLI模式

17、 需要设置TFTP服务器,5XT- save software from tftp 50 newimage.bin to flash ! ! ! ! ! tftp received octets = 3304662 tftp success! TFTP Succeeded Save to flash. It may take a few minutes . update new flash image (02c86db0,33 04662) platform = 17, cpu = 10, version = 16 offset = 20, address = 900000, s

18、ize = 3304584 date = 0, time = 0, cksum = 28e9f31c Program flash (0,3304662) . +done Done 5XT- reset,32,ConfigurationUpdateScreenOS/Keys,系统文件的升级 WebUI模式 直接从客户端文件夹获取,33,灾难恢复,当系统文件/配置文件被破坏时，需要做灾难恢复 系统文件被破坏 Root管理员密码丢失,34,恢复系统文件 在启动模式（Boot Loader）下,NetScreen NS-200 Boot Loader Version 3.0.0 (Checksum:

19、35E1A866) Copyright (c) 1997-2003 NetScreen Technologies, Inc. Total physical memory: 128MB Test - Pass Initialization - Done Model Number: NS-208 Hit any key to run loader Hit any key to run loader Hit any key to ru Serial Number 0043042002000034: READ ONLY HW Version Number 0110: READ ONLY Self MA

20、C Address 0010-db1d-1c30: READ ONLY Boot File Name n200-LAS0z0ad: n200-LAS0z0ad Self IP Address : TFTP IP Address 31: Save loader config (112 bytes). Done,TFTP 服务器必须与安全网关的Self IP在同一子网 TFTP服务器必须接在: 安全网关的Trust接口 安全网关的eth 1接口 安全网关的管理接口,35,启动模式 (进行中),Loading file n200-LAS0z0ad. r!r.tatatatatatatatatatata