Junipernetscreen初始配置及管理.ppt

安全设备管理,苏州电信安全网关业务培训教程,2,目标,安全网关的组成登录/管理安全网关的方法系统管理的配置管理license keys配置文件的导入导出系统文件（ScreenOS）的管理,3,系统组成,所有关键功能都是在内存中执行的。可以通过WEB或者命令行两种方式,系统缓存运行中的配置运行中的 ScreenOS,ScreenOS文件启动配置其它东西,内存,Flash,接口.,接口.,接口.,SOC,启动/重启,外部系统/应用,Web网管,安全网关,DNS/Syslog,CLI 网管,“Get”,“Set”,4,登录安全网关,通过Console线缆来连接安全网关使用Windows系统自带的超级终端（还原默认值）即可最为安全的登录方式无须网络支持就可以登录无须IP地址就可以登录可以看到启动的信息可以看到实时的debug信息,安全网关,ConsolePort,安全网关的默认管理员用户名/密码都是 netscreen,5,图形化（WEBUI）模式,安全网关可以通过图形化模式进行管理只需要很少的配置(在安全网关接口上配置管理地址，并打开web访问权限即可)客户端的地址设置到与管理地址同一网段。默认的可网管接口是安全设备的最小号码的端口（比如eth0/0）默认的可网管接口的管理地址是192.168.1.1/24默认的管理员用户名/密码是 netscreen,6,图形化界面的主菜单,7,配置向导,如果初次配置安全网关（或者网关进行了恢复出厂值操作），当通过WEBUI登录安全网关时，配置向导就会出现。配置向导可以帮助不熟悉安全网关的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。,8,命令行（CLI）模式,ns208-?clear clear dynamic system infoexec exec system commandsexit exit command consoleget get system informationping ping other hostreset reset systemsave save commandset configure system parameterstrace-route trace routeunset unconfigure system parameters,输入“?”,会输出该目录下可执行的所有命令。命令行的命令输入后，需要通过save命令来存盘。左半部分列出命令或者命令的参数右半部分列出对命令的解释命令行的管理员默认用户名/密码是netscreen。Console/WEBUI/CLI三种模式的管理员帐号是通用的。,9,配置安全网关的管理项,1.配置接口地址将接口绑定到安全区（zone）给接口地址配置地址配置可管理服务（如ping，web访问，telnet访问等）管理地址（可选）2.修改 root administrator 密码3.创建新的管理员帐号,10,安全区与接口,安全网关有严格的逻辑上的层次结构安全区从属于虚拟路由器安全区默认都从属于trust-vr接口从属于安全区一个接口只能从属于一个安全区IP地址从属于接口,Int.,Zone,Zone,Virtual Router,IP,11,安全区的种类,安全区预定义:Trust:一般放置内网接口 Untrust:一般放置外网接口 DMZ:一般放置服务器接口用户自定义：隧道安全区（Tunnel Zone）,功能安全区NullMGTHASelfVLAN,ns5gt-get zoneTotal 10 zones created in vsys Root-5 are policy configurable.-ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr hidden Root 1 Untrust Sec(L3)Shared trust-vr untrust Root 2 Trust Sec(L3)trust-vr trust Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr null Root 11 V1-Untrust Sec(L2)trust-vr v1-untrust Root 14 VLAN Func trust-vr vlan1 Root-,12,设置接口/安全区 WebUI模式,Network Interfaces(edit),13,设置接口/安全区 命令行模式,An interface must be a member of a security zone prior to having an address assigned,set interface zone set interface ip/ns208-set interface e1 zone trustns208-set interface e1 ip 1.1.1.1/24,14,可网管选项 WebUI模式,默认的可网管选项因安全区的不同而不同Trust zone:所有可网管选项都是允许的其它 zone:所有可网管选项都是不被允许的,NetworkInterfacesEdit,15,可网管选项 CLI模式,set interface manage ns208-set interface e1 manage pingns208-set interface e1 manage webEnable all services:ns208-set interface e1 manage,如果在命令的末尾没有写出特定的选项，则代表所有的选项,16,管理地址的设置,可以设定特定的非接口地址来进行网管,set interface manage-ip set interface e1 manage-ip 1.1.1.250,NetworkInterfacesEdit,17,管理员帐号,不同级别的管理员帐号有不同的权限Root管理员由系统定义，不能删除本地管理员由Root管理员创建，可以由Root管理员删除,通过New按钮来创建本地管理员帐号,Click to view settings for Root account,ConfigurationAdminAdministrators,18,创建系统管理员,ConfigurationAdminAdministrators,set admin user name password privilege all|read-only,19,修改Root管理员用户名/密码,ConfigurationAdminAdministrators,set admin name set admin password,20,Manager-IP 地址的设定,为了增加安全性，可以设定Manager-IP地址来限定可以网管安全网关的客户端一旦是指定了Manager-IP地址，那么只有设定了Manager-IP的客户端才可以对安全设备进行网关。Manager-IP地址可以一个主机地址，也可以是一个网段。,21,配置Manager-IP地址,set admin manager-ip ns208-set admin manager-ip 1.1.7.250 255.255.255.255ns208-set admin manager-ip 1.1.1.0 255.255.255.0,ConfigurationAdminPermitted IPs,22,External Management Devices,There are several common applications that operate in conjunction with the NetScreen deviceDNSSyslogSNMP,23,DNS Configuration,NetworkDNS,set dns host dns1 set dns host dns2 set dns host schedule,24,Syslog Configuration,ConfigurationReport SettingsSyslog,set syslog config facility set syslog config log all|traffic|eventset syslog src-interface set syslog enable,25,SNMP Configuration-WebUI,ConfigurationReport SettingsSNMP,26,SNMP Configuration WebUI(cont.),ConfigurationReport SettingsSNMPCommunity,27,SNMP Configuration-CLI,set snmp contact set snmp location set snmp port listen|trap set snmp community trap-on|trap-offset snmp community version v1|v2cset snmp host src-interface set snmp host trap,28,License Keys的管理,License Keys提供的功能:Capacity expansion(extended/advanced releases)防病毒（Anti-virus）网页过滤（URL filtering）防垃圾邮件（Anti-Spam）深层检测（Deep Inspection/IPS）两种方式导入License Keys手动 从Juniper网站下载lic key文件导入安全网关自动 将安全网关在Juniper网站注册，然后让安全网关自动下载lic,exec license-key capacity,exec license-key update,29,配置文件管理 CLI模式,只有 root管理员才可以进行配置文件的管理备份配置文件恢复配置文件1:将文件拷贝到Flash 配置将在重启后生效2:将文件与现有的配置组合在一起生成新的配置文件（请慎重处理）,save config from flash to tftp|pcmcia|slot1 ns208-save config from flash to tftp 1.1.7.250 15Jun03.cfg,save config from tftp|pcmcia|slot1 to flash ns208-save config from tftp 1.1.7.250 15June03.cfg to flash,save config from tftp|pcmcia|slot1 mergens208-save config from tftp 1.1.7.250 15June03.cfg merge,30,配置文件管理 WebUI模式,ConfigurationUpdateConfig File,31,系统文件的升级 CLI模式 需要设置TFTP服务器,5XT-save software from tftp 1.1.7.250 newimage.bin to flash!tftp received octets=3304662tftp success!TFTP SucceededSave to flash.It may take a few minutes.update new flash image(02c86db0,33 04662)platform=17,cpu=10,version=16offset=20,address=900000,size=3304584date=0,time=0,cksum=28e9f31cProgram flash(0,3304662).+doneDone5XT-reset,32,ConfigurationUpdateScreenOS/Keys,系统文件的升级 WebUI模式 直接从客户端文件夹获取,33,灾难恢复,当系统文件/配置文件被破坏时，需要做灾难恢复系统文件被破坏Root管理员密码丢失,34,恢复系统文件 在启动模式（Boot Loader）下,NetScreen NS-200 Boot Loader Version 3.0.0(Checksum:35E1A866)Copyright(c)1997-2003 NetScreen Technologies,Inc.Total physical memory:128MB Test-Pass Initialization-DoneModel Number:NS-208Hit any key to run loaderHit any key to run loaderHit any key to ruSerial Number 0043042002000034:READ ONLYHW Version Number 0110:READ ONLYSelf MAC Address 0010-db1d-1c30:READ ONLYBoot File Name n200-LAS0z0ad:n200-LAS0z0adSelf IP Address 172.16.10.1:1.1.1.1TFTP IP Address 172.16.10.131:1.1.1.2Save loader config(112 bytes).Done,TFTP 服务器必须与安全网关的Self IP在同一子网TFTP服务器必须接在:安全网关的Trust接口安全网关的eth 1接口安全网关的管理接口,35,启动模式(进行中),Loading file n200-LAS0z0ad.r!r.tatatatatatatatatatatatatatatatatLoaded Successfully!(size=3,444,522 bytes)Ignore image authentication!Save to on-board flash disk?(y/n/m)Yes!Saving as default system image in flash disk.Done!(size=3,444,522 bytes)Run downloaded system image?(y/n)Yes!Start loading.Done.NetScreen Technologies,IncNS200 System SoftwareCopyright,1997-2003Version 5.0.0ad.0Init Heap(1546000/50b9c00,32,00000000/00000000)GT64120 revision id:0 x11Load NVRAM Information.(5.0)Done,36,恢复默认密码 在丢失Root管理员密码的时候,密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下，用安全网关序列号作为用户名/密码进行登录。成功后系统提示将擦去现有配置，确认后则系统开始恢复默认配置使用安全网关面板上的针孔按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按一次,