JuniperNSM設備操作手冊趙敬2011年10月主題NSM介紹NSM原理NSM系統(tǒng)登錄NSM使用管理NSM介紹

NSM是Juniper防火墻統(tǒng)一管理的軟件平臺，通過NSM軟件，可以對JUNIPER設備設置統(tǒng)一管理，NSM軟件具有強大的管理功能、日志及報表功能、設備監(jiān)控功能等。（NetworkandSecurityManagement）NSM原理原理:是通過客戶端配置策略，并通過服務器下發(fā)策略到設備上面，用戶通過客戶端的UI連接ManagementSystem，并設置詳細的配置，最后通過ManagementSystem把具體的策略下發(fā)到ManagedDevices上面?？蛻舳耸腔赪indows平臺或Linux平臺的軟件，而服務器是基于LinuxAS4/5平臺的軟件，日常的維護基本都可以通過UI的方式設置，基本不需要配置Linux的系統(tǒng)參數(shù)。系統(tǒng)登陸1,安裝好NSM客戶端后，打開客戶端登錄界面(UI)，并輸入用戶名、密碼以及登錄地址。2,登陸后的界面如下所示：設備的管理

添加設備

在NSM服務器安裝完畢以后，必須通過NSM的界面管理手動添加需要管理的設備，包括防火墻、路由器，交換機和IDP等。設備的導入可以使用兩種方式：

第一種是Unreachable的導入方式。通常，在NSM服務器第一次導入設備的時候采用這種方式（第一次連接需要在NSM和設備確認協(xié)商的相關參數(shù)）。第二種是Reachable的導入方式，這種方式采用的是引導的方式，操作相對比較簡單。設備的管理/DeviceUnreachable添加集群

集群適用于主、備模式部署的防火墻，如果是添加單臺防火墻請選擇Devcie，選擇菜單DeviceManagerSecurityDevices并點擊SecurityDeviceTree頁面的+號，并選擇Cluster，如下圖：設置Cluster的命名、設備類型以及OS頒布號

設備的管理/DeviceUnreachable

添加集群以后，開始添加集群的成員，包括兩臺設備，主用設備和備用設備，兩臺設備的添加步驟一樣，右圖只描述一臺設備的添加過程。右鍵點擊上一步驟添加的Cluster，選擇CusterMembers，選擇后系統(tǒng)彈出設備的添加頁面，因為是第一次添加設備，我們選擇添加Unreachable的設備，如右圖所示：設備的管理/DeviceUnreachable右圖設置NSM服務器和防火墻設備之間的通訊參數(shù)，這里的Password是設備建立連接的一次性密碼，輸入密碼（長度必須大于9位），設置好密碼以后，在節(jié)目的左下角會出現(xiàn)“showDevicecommands”的按鈕，點擊按鈕，并將彈出窗口的內容復制下來（使用快捷鍵Ctrl+C復制），將這些復制的內容在防火墻設備的命令行界面上運行，NSM服務器和防火墻設備會根據(jù)這些信息建立兩者之間的連接。點擊OK按鈕后，設置添加成功。（重復上面的步驟，添加另一臺備用的防火墻。）設備的管理/DeviceUnreachable

通過上面的設備添加步驟，下一步是導入設備的配置，NSM必須通過和設備當前的配置同步，才能保證在下發(fā)策略的時候不會造成配置同步導致的下發(fā)錯誤。添加配置成功的界面如下：至此，設備的添加完成。設備的管理/Devicereachable添加集群集群適用于主、備模式部署的防火墻，如果是添加單臺防火墻請選擇Devcie，選擇菜單DeviceManagerSecurityDevices并點擊SecurityDeviceTree頁面的+號，并選擇Cluster，如下圖：設置Cluster的命名、設備類型以及OS頒布號

設備的管理/Devicereachable添加集群成員

添加集群以后，開始添加集群的成員，包括兩臺設備，主用設備和備用設備，兩臺設備的添加步驟一樣，下面只描述一臺設備的添加過程。如右圖，右鍵點擊上一步驟添加的Cluster，選擇CusterMembers，選擇后系統(tǒng)彈出設備的添加頁面，因為是第一次添加設備，我們選擇添加Unreachable的設備，如下圖所示：設備的管理/Devicereachable設備的管理/設備信息1，在導入設備配置以后，可以查看和修改設備的具體的信息，如下圖，右鍵點擊設備，選擇Edit：2，彈出新的界面，界面中設置設備的大部分信息，包括設備的接口設置、設備的管理員設置、登陸設置、VPN設置、以及其他。以下對系統(tǒng)常用的部分作詳細的說明。3，在Info菜單，顯示的是系統(tǒng)的基本信息，包括設備類型，設備命名以及設備的序列號和當前系統(tǒng)版本等。設備的管理/network菜單Network菜單設置防火墻設備的網絡基本配置，包括設備的虛擬路由器、安全區(qū)、設備接口、DNS設置等信息；安全區(qū)設置是Juniper防火墻設置的一個安全概念，在Juniper防火墻中它把某一部分相同類別的資源作為一個統(tǒng)稱，防火墻根據(jù)這個的安全區(qū)做策略的設置。安全區(qū)的設置在Device菜單中選擇NetworkZone；安全區(qū)列表提供安全區(qū)的列表，可以添加和刪除Zone列表；安全區(qū)設置：雙擊具體的安全區(qū)，可以設置安全區(qū)的具體參數(shù)，包括設置安全區(qū)屬于哪個virtual-Router，以及在安全區(qū)上設置防攻擊選項。虛擬路由器是防火墻內置的虛擬路由器功能，防火墻可以設置兩個路由器，沒有路由器可以使用一個獨立的路由表，從而在路由表方面可以進行分割。

設備的管理/接口設置接口列表：進入NetworkInterface，并查看設備的接口設置；接口參數(shù)：接口設置IP地址、安全區(qū)以及其他的參數(shù)。設備的管理/配置策略配置策略：在設備導入以后，默認在SecurityPolicies的菜單中會出現(xiàn)以Cluster命名的策略，這就是在導入設備的時候，NSM通過分析防火墻配置產生的策略內容。防火墻策略：導入設備后，NSM軟件自動將設備的策略配置加載到界面（PolicyManagementSecurityPolicies）進入具體的策略，如下圖，設備的配置導入后，可以顯示所有的策略，在某一項列內單擊右鍵可以設置詳細的內容，設置好策略，在策略標簽上單擊右鍵并選擇AssignPolicy，將配置保存到NSM服務器上，但是還沒有更新到設備。設備的管理/日志系統(tǒng)1，NSM服務器提供強大的日志分析功能，用戶可以通過這個功能得到所需要的日志信息。其中包括如下。