服务与管理工具-1.ppt

服务与管理工具,目标,讨论NetScreen 防火墙/VPN的管理和监控选项 使入站管理连接更安全 管理IP/管理者的IP/接口管理选项过滤 更改默认端口 SSH/SSL 讨论/配置监控选项 统计 日志 外部服务 E-mail Syslog SNMP,本地管理选项,Web 用户界面 TCP/IP-HTTP 端口 80 (默认，可更改) 使用SSL 或 VPN，使其更安全 命令行界面 Console连接 (安全的) Telnet (TCP/IP 端口23) 可用VPN增强安全性 SSH 支持V1 (SCS) 和 V2,外部管理/监控选项,NetScreen Security Manager（NSM） 使用安全的IP协议加密通讯流 Syslog SNMP Email 通告 WebTrends,增强管理流量的安全性,更改管理员的用户名和口令 内部数据库 外部的认证服务器 定义允许管理的客户端IP地址 (manager-IP) 定义指定接口的选项 定义接口的管理地址 关闭不需要的management service 更改管理服务的端口号,更改用户名/口令,ConfigurationAdminAdministrators,set admin name set admin password set admin user name password privilege all | read-only,外部的认证服务器 - WebUI,Con figuration Auth Auth 服务器s,外部的认证服务器 - CLI,set auth-服务器 服务器-name set auth-服务器 type radius | securid | ldap set auth-服务器 set auth-服务器 timeout set auth-服务器 account-type admin | auth | l2tp | xauth,使用外部服务器,注意：将首先查找本地数据库!,ConfigurationAdminAdministrators,允许的IP地址,set admin manager-ip ns208- set admin manager-ip 50 55 ns208- set admin manager-ip ,ConfigurationAdminPermitted IPs,NetworkInterfacesEdit,接口选项,用于管理功能 的目的地址,允许的管理功能,set interface manage-ip set interface manage ,更改端口号,ConfigurationAdminManagement,set admin port set admin telnet port ,SSH 支持,支持 SSH v1 和 v2 在5.0 中默认为V2 在任何时候只能激活一个版本 激活的版本可以通过get ssh 命令的首行看到,ns5xt- get ssh SSH V2 is active SSH is enabled SSH is ready for connections Maximum sessions: 2 Active sessions: 0 Admin Ip Addr Vsys Auth Method Service - - - - -,启用SSH,默认情况下，所有管理员可通过SSH连接 能覆盖单个管理员的配置 别忘记在接口上启用SSH!,ConfigurationAdminManagement,set ssh enable,切换SSH 版本,关闭所有的 SSH V1 管理会话 在所有虚系统中禁用SSH V1 删除设备上的所有SSH V1 RSA 访问密钥 删除设备上的所有SSH V1 RSA PKA 密钥 设置SSH版本,ns208- set ssh version v2 SSH version 1 currently active. SSH version 2 cannot be activated. Use the delete ssh device all command to delete all SSH v2 keys from the device. Then execute the set ssh version v1 command to activate SSH v1.,delete ssh device all,set ssh version v1 | v2,SSL 3.0 版本,增强http (https) 连接的安全性 加密客户端与服务器端的信息 需要NetScreen 设备上的证书 通过CA（如Verisign ）生成证书 ScreenOS 5.1提供自签名证书 自动或手动生成,SSL 3.0 版本的消息,1. 客户端 Hello 5. 客户端 密钥交换 6. Change Cipher Spec 7. 完成 ,2. 服务器 hello 3. 服务器 密钥交换 4. 服务器 Hello 完成 8. Change Cipher Spec 9. 完成,客户端,服务器,证书的生成 自动的方式,在系统启动时创建，如果： 无系统生成的自签名证书存在，并且 无证书与SSL相关联(通过配置),ns5gt- get pki x509 cert system CN=0064092003001520,CN=system generated,CN=self-signed, Expire on 08- 7-2014 20:20, Issued By: CN=0064092003001520,CN=system generated,CN=self-signed, Serial Number: finger print (md5) finger print (sha) subject name hash: ,证书的生成 手动的方式,生成PKCS10 文件 创建证书 提交至 CA 或 生成自签名证书,1: 生成PKCS10 文件,填写内容 确保Country字段只有两个字符 IP 地址是用于管理的接口地址 创建一个长度为1024的密钥对 点击 Generate生成,Objects Certificates (click on new),2: 提交至 CA/生成自签名证书,启用SSL - WebUI,Configuration Admin Management,启用 SSL 选择证书 HTTP重定向 调节加密长度,启用SSL - CLI,set admin http redirect,set ssl enable,set ssl certificate ,set ssl encrypt ,使用SSL,简单地使用https:浏览,提示符,Configuration Admin Banners,set admin auth banner console | telnet login “”,监控NetScreen设备,内部统计 日志 存储日志信息 事件日志 流量日志 自身日志 流量警报 Syslog SNMP,Screen统计,ReportsZone Screen Counters,get counter screen zone ,接口统计 - Hardware,Reports Counters Hardware,get counter statistics interface ,接口统计 Flow,Reports Counters Flow,get counter flow interface ,事件日志 - WebUI,ReportsSystem LogEvent,事件日志 CLI,ns5xt- get event Date Time Module Level Type Description 2003-08-26 11:04:45 system notif 00002 Admin User “netscreen“ logged in for Web(http) management (port 80) from 89:3043 2003-08-26 11:00:31 system warn 00515 Admin User netscreen has logged on via console 2003-08-26 10:59:14 system info 00551 NSRD wont start because gateway has configuration. 2003-08-26 10:59:14 system notif 00767 System was shut down at 2003-08-26 10: 2003-08-26 10:59:14 system notif 00767 System was shut down at 2003-08-26 10:,过滤/排序/保存事件日志,ns5xt- get event ? redirect output | match output dst-ip show event to destination IPs end-date stop date end-time stop time exclude exclude events containing this string include show events containing this string level events matching this severity level module events reported by module name sort-by show sorted event log src-ip show event from source IPs start-date start date start-time start time type events matching specified message type(s) ns5xt- get event sort-by ? date show event log sorted by date dst-ip show event log sorted by dest ip src-ip show event log sorted by source ip time show event log sorted by time ns5xt- get event level emergency tftp 50 EmergEvent0702.txt,流量日志,Reports Policies Traffic Log,get log traffic,自身日志,Reports System Log Self,get log self,日志和警报,可能的目的地 内部 Console E-mail SNMP Syslog WebTrends NetScreen-Security Manager 对于 CPU, memory, 和session的系统警报 当流量超过策略所定的阀值时，发送流量警报 默认发送至内部事件日志中,设置警报阀值,系统警报 流量警报,set alarm threshold cpu set alarm threshold memory set alarm threshold session count | percent ,Policies Advanced,日志设置,set log module system level destination ,ConfigurationReport SettingsLog Settings,E-mail 通知,ConfigurationReport SettingsEmail,set admin mail alert set admin mail traffic-log set admin mail 服务器-name set admin mail mail-addr1 set admin mail mail-addr2 ,Syslog 配置,ConfigurationReport SettingsSyslog,set syslog config facility set syslog config log all | traffic | event set syslog src-interface set syslog enable,SNMP 展示,NetScreen 支持SNMPv1 和SNMPv2 MIB-II SNMP agent 产生如下陷阱: 冷启动 Trap SNMP 认证失败的Trap 系统警报的Trap 流量警报的Trap 对于SNMP 管理器，无默认配置,SNMP 配置步骤,配置系统设置 定义SNMP community 向community 添加主机,SNMP 配置 - WebUI,ConfigurationReport SettingsSNMP,SNMP 配置 WebUI (续),SNMP 配置 - CLI,set snmp contact set snmp location set snmp port listen | trap set snmp community trap-on | trap-off set snmp community version v1 | v2c set snmp host src-interface set snmp host trap ,检验SNMP配置 WebUI,ConfigurationReport SettingsSNMP,检验 SNMP配置 CLI,ns5xt- get snmp The SNMP Communities: Not4Public Read: Yes Write: Yes Traps: Yes Traffic: Yes Version: any Hosts: /55 src-interface Null trap v1 /55 src-interface trust trap v2 OK2Read Read: Yes Write: No Traps: No Traffic: No Version: v1 Hosts: /55 src-interface Null trap v1 Location:unknown Contact : Sysname :ns5xt Authentication failure trap: disabled Listening Port: 161 Trap Port: 162,编译MIB库,NetScreen的MIB库必须编译到NMS 或MIB浏览器中 NetScreen 超过 40 个MIB库 /support/updates.asp NS-SMI MIB 在企业目录的基础上创建NetScreen分支 必须首先装入 All other NetScreen MIBs create branches off of the NS-SMI,WebTrends,ConfigurationReport SettingsWebTrends,set webtrends enable set webtrends host-name set webtrends port set webtrends vpn,VPN Tunnels for Self-Initiated Traffic,VPN通道可用于 NetScreen设备的安全远程监控 必须来自一个固定的IP地址 (不支持动态地址) 流量类型包括: NetScreen-Security Manager 发送到Syslog和WebTrends 服务器的事件日志 SNMP MIB trap 基于路由和基于策略的VPN均支持,举例: 基于策略的 VPN (NetScreen A 发起的),Syslog 和 SNMP 信息被安全地发送,P E E R N E T,,A,eth1 ,eth3 0,,SNMP/Syslog 服务器,eth3 0,eth1 ,A,B,set snmp community Internal trap-on set snmp community