讲义讲稿卷管理

Copyright©2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.warrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORTHEPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 约 CLI约 JuniperNetworksNetScreen文 第1章管 将帮助文 将WebUI指向新的帮助位 通过命令行界面进行管 net连接安 客户端要 NetScreen设备上的基本SSH配置 认证 SSH和

调制解调器端 通过NetScreen-SecurityManager进行管 控制管理信息 MGT和VLAN1接 管理 JuniperNetworksNetScreen概念与范例–第3卷:管 管理级 只读管理 虚拟系统管理 定义Admin用 范例:添加只读 范例:修改 范例:删除 范例:清除Admin的会 保障管理信息流安 更改Admin登录名 范例:更改Admin用户的登录名 设置根 范例:限制对单个工作站的管 限制根Admin通过控制 进行管 进行管

第2 NetScreen设备 日志信 事件日 事件日 流量日 流量日 查看Self日 排序和过滤Self日志 范例:按照时间过滤Self日 Self日 资源恢复日 流 检 JuniperNetworksNetScreen概念与范例–第3卷:管 系统日 范例:启用多个系统日志服务 范例:启用通知事件的 范例:定义读/写SNMP公共

自行生成的信息流 通 信息 信息 计数 范例:查看屏幕计数 附录ASNMPMIB文件 索引 JuniperNetworksNetScreen概念与范例–第3卷:管 JuniperNetworksNetScreen概念与范例–第3卷:管 JuniperNetworksNetScreen设备提供不同的方法来管理设备，既可本地管理，也可管理。第3卷“管理”，介NetScreenScreenOSNetScreen设备本地和远程管理的安全，以及如何设备的活动情况。附录中包含“NetScreen(MIB)文件的概述，该文件支持NetScreen设备和SNMP管理应用程序之间的通信。JuniperNetworksNetScreen概念与范例–第3卷:管 前 约约“CLIvii页上的“WebUIsetinterface{ethernet1|ethernet2|ethernet3}变量以方式出现。例如setadminusernameNetScreen设备的序列号”。当键入关键字时，只需键入足够的字母就可以唯一地标识单词。例如，要输入命setadminuserjoeJuniperNetworksNetScreen概念与范例–第3卷:管 前 约贯穿本书的全部篇章，用一个V形符号(>)来指示在WebUI中导航，其方法是单击菜单选项和 框的路径显示为Objects>Addresses>List>New。此导航序列如下所示。4123在菜单栏中，单击ObjectsObjects菜单选项展开，显示Objects选项的子菜单

List出现通讯薄表单击 出现新地址配 框JuniperNetworksNetScreen概念与范例–第3卷:管 前 约如要用WebUI执行任务，必须首先导航到相应的 令集划分为两部分:导航路径和配置详细信息。例如，下列指令集包含指向地址配 框的路径和要配置的设置ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于没由于没CommentIPAddressName/ Zone:JuniperNetworksNetScreen概念与范例–第3卷:管 前 约

例如Trust例如Untrust

IP(DIP

:NAT服务器，)

JuniperNetworksNetScreen概念与范例–第3卷:管 前 约 trust“localLAN”/24。为双字节字符集，DBCS)的例子是中文、韩文和日文。控制台连接只支SBCS。WebUISBCSMBCS都支持，取决Web浏览器所支持的字符集JuniperNetworksNetScreen概念与范例–第3卷:管 前 JuniperNetworksNetScreen文档要获取任何JuniperNetworksNetScreen产品的技术文档， 1-888-314-JTAC 国内)或 以外的地区) JuniperNetworksNetScreen概念与范例–第3卷:管 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念与范例–第3卷:管 包括以下部分:第7页上的 JuniperNetworksNetScreen概念与范例–第3卷:管 1 JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管通过Web用户界面进行理Web(WebUI)NetScreenWeb技术，该技术提供了配置和管理软件的Web服务器界面。 DHTML

JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管 查看WebUI帮助文件 ) 从CD JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管ConfigurationAdminManagementHelpLinkPath为或 Apply单击WebUI右上角的help 、监视和控制配置可通过在虚拟网()HTTP管理信息流或通过“接字层”(SSL)协议来保障它的安全。还可以通过将管理信息流与网络用户信息流完全分离来进一步保障它的安全。为此，可以MGT接口运行所有管理NetScreen)MGT区段并使其于管理信息流。页上的MGTVLAN1接口ID在所有系统(vsys)上是全局唯一的。能有同一ID偶然重复的情况发生。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管IP地址:

NAT

IP地址:

ID 根NetScreen设备为每个JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管“(SSL)TCP/IPWebWeb服务器之间提供安HTTP(OSI)模型中的以下两层:SSLHP7SSLRP6SSL不依赖应用协议，而是使TCP来提供安全服务SSL首先使用认证服务器或客户端及服务器，然后对会话期间发送的信息流进行加密。NetScreenNetScreenSSLNetScreenadmin)的认证。

AliceSSL客户端NetScreenSSL)NetScreenAlice一个，并建议他们使用密钥加(SHA-1MD5)。

SSL服务器 SSL客户端

Alice用中的公开密钥对随机数进行加密，并将其与她接受的建议项列表一同发回。其间，Alice使用该随机数和已达成一致的密钥加密方法来创建密钥。)NetScreen设备使用其私有密钥对该数进行 NetScreen设备和Alice使用其共享的 JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管NetScreen设备可将使用HTTP(缺省端口80)的管理信息流重定向到SSL(缺省端口443)。SSL的缺省 。由于SSL与PKI密钥/ 列表的任意项中选择SSL 用于IPSec 名 和NetscapeCommunicator4.7xInternetExplorer5.x以后版本的兼容性 :RC4算法总是MD5配对使用DES3DES总是SHA-1配对使用 。在NetscapeJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管利用NetScreen设备在其初始启动期间自动生成的自签名 ，或者获取CA签名证书并将其加载到NetScreen设备2。 (443)或将其更改为另一端口4 setsslportsetsslcertsetsslencrypt{{3des|des}sha-1|{rc4|rc4-40}|md5}setsslenable 的ID号，请使用以下命令:getpkix509listcertJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管setinterfaceinterfacemanagesslIP地址时，将“http”更改为“https”，并在IP地址后加上冒号和HTTPS(SSL)端(如果已更改了其缺省值)(例如， JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管HTTPSSL重定

在SSL握手期间，NetScreen设备将其 Alice用 钥加密方法(3DES、DES、RC4或RC4-40)创建共享秘一致的散列算法(SHA-1或MD-5)对用于提供消息完整性 RedirectHTTPtoHTTPS:Default–SystemSelf-SignedJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过Web用户界面进行管setadminhttpredirect6不必通过输入CLI命令来应用与SSL一同使用的自动生成的自签名 :unsetsslcertid_num，其中id_num是先前分配 ID号。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过命令行界面进行管高级管理员可通过命令行界面(CLI)进行更加精细的控制。要用CLI来配置NetScreen设备，可使用任何仿真VT100终端的软件。有了终端仿真器，便可使用Windows、UNIX™或Macintosh®操作系统中的控制台来配置NetScreen设备。要通过CLI进行 后，便可使用Hyperterminal®。:ScreenOSCLI命令的完整列表，请参NetScreenCLI参考指南net是一种登录及终端仿真协议，该协议使用客户端/服务器关系连接到网络设备并通过TCP/IP网络对这些设备 。登录后，管理员可发出CLI命令，将其发送给NetScreen设备上的 net管理NetScreen设备需要以下条件: net软与NetScreen设备具有以太网连接建net连接的设置过程如下 — JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 用户登录到设备的几率，可以限制NetScreen设备终止 下命令:setadminaccessattempts 运行所有管理信息流，或者使某个接口(如DMZ)完全 此外，为了确保admin用户在通过 net管理NetScreen设备时使用安全连接，可以要求这类用户仅通过虚拟网( )通道7来执行 ，请输入以下命令set netaccess JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 NetScreen设备中内置的“安全外壳”(SSH)服务器提供了一种，借此，管理员可以使用能识别“安全外壳”(SSH)的应用程序以一种安全的方式来管理该设备。SSH允许安全地打开命令外壳并执行命令。通过SSH可以防止IP或DNS 以及或数据。NetScreenSSH1SSHv1SSH2(SSHv2)服务器。普遍认SSHv2比SSHv1IETF标准。但是，SSHv1已得到广泛部署和普遍应用。注意，SSHv1与SSHv2SSHv1NetScreenSSHv2服务器，反之亦然。客户端控制台或终端应用程序必须与服务器运行相同的SSH版本。

JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 NetScreen发送其主机和服务器密钥的公开组件、 NetScreen用其私有密钥签署该会话密钥，并将签名后的

主都有各自的主钥。主钥被永久绑/vsys。RSA公开私有密钥对，(在缺省情况下，) 密钥(DES或3DES)，用以对通信加密(会话结束时，它PKA:RSA/私有密钥，PKAadmin用户 JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 Diffie-man(DSASSHv1客户端配置成请求RSA进行公开密钥设备认证。 SSHNetScreenSSHCLIgetssh命令:ns->getSSHV1isactiveSSHisnotenabledSSHisnotreadyforumsessions:Activesessions:SSHv1SSHv2CLI:ns->deletesshdeviceJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 SSHdisabledforvsys:PKAkeydeletedfromdevice:0Hostkeysdeletedfromdevice:1Executethe‘setsshversionv2’commandtoactivateSSHv2forthens->setsshversion:SSH版本并不会NetScreen设备上启SSH 8ns->setadminsshport“SSHVsys”。ns->setsshns->setvsysns(v1)->setsshns->setinterfacemanage将NetScreen设备上生成的主 钥分发给SSH客户端。有关详细信息，请参阅第22页上的“主 JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 认证:此方法供需要配置或监视NetScreen设备的管理员使用。SSH客户端发起与NetScreen设备的 。SSH客户端获得此信息后将其发送到NetScreen设备，后者将该信息与admin用户帐户中的用户名和 进行比较。如果它们匹配，NetScreen设备即会认证该用户。如果它们不匹配，NetScreen设备将 公开密钥认证(PKA):此方法增强了 。通常，SSH客户端不发送 ，而是发送用户名和公开/私有密钥对的公开密钥组件9。NetScreen设备将其与可绑定到没有任何一个匹配，NetScreen设备将 Admin用户”)SSH客户端上做进一步设置。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 PKA作准备，必须首先执行以下任务SSHv2DSASSH) execsshtftppka-rsa[usernamename]file-namename_strip-execsshtftppka-dsa[user-namename]file-namename_strip-adminadmin只输入命令而没有输入用户名时，NetScreen设备会将密钥绑定到您自己admin帐户；也即，它会将密钥绑定到输入命令的admin。对于每admin用户NetScreen设备最多支持四PKA公开密钥也可以将公开密钥文件的内容直接粘贴到CLI命令setsshpka-rsa[usernamename_str]keykey_str(对于SSHv1)或setsshpka-dsa[user-nameSSHPKA)。但是，CLI与WebUI有大小限制:公开密钥大小 过512位。通过TFTP加载密钥时，不存在此限制。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 当管理员尝试在已启用SSH管理功能的接口上通过SSH登录时，NetScreen设备首先检查该管理员是否绑定了公 。(您可以使用以下命令强制admin只使用PKA方法:setadminsshpassworddisableusernamename_str。)无论您想要管理员使用哪种认证方法，在您初次定义其帐户时，仍必须包括 都有自己的主钥22页上的“主钥”)adminPKASSHSSHvsysSSH端。这意味着:如果更SSH端口的缺省端22vsysSSH端口也会随之更改。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 钥允许NetScreen设备向SSH客户端进行自我标识。在支持虚拟系统(vsys)的NetScreen设备上，每个vsys都有自己的主 该vsys或设备唯一的主 钥被永久绑定到该vsys或设备，并且如果在禁用了SSH后再次启用 自动—当SSH客户端连接到NetScreen设备时，SSH服务器将主 SSH客户端搜索其本 钥是否已映射到NetScreen设备的地址。如 钥未知(在客户端的主 钥数据库中没有到NetScreen设备地址的映射)，则admin用户可以决 钥。否则会终止连接。(有关接受未知主 钥的信息，请参阅相应的SSH客户端文档。)为了检验SSH客户端是否已收到正确的主 钥，客户端系统上的admin用户可以对所收到的主 钥进行SHA散列处理。然后，客户端admin用户可以将此SHA散列信息与NetScreen设备上主 较。在NetScreen设备上，可以通过执行CLI命令getsshhost-key来显示主 钥的SHA散列信息。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 在此范例中，您(作为根admin)将为运行自动 主机设置SSHv1公开密钥认证(PKA)。此 NetScreen设备的唯一目的是每天晚上 定义一个名为cfg的admin用户帐户，其 用SSH管理功能。开密钥文件移动到TFTP服务器上的某个 ，然后启动TFTP程序。TFTP服务器的IP地址是。ConfigurationAdminAdministratorsNewName:NewPassword:cfgNetworkInterfacesEditethernet1ServiceOptionsSSHOK仅可通execssh命令TFTP服务器加SSH的公开密钥文件setadminusercfgpasswordcfgprivilegesetinterfaceethernet1manageexecsshtftppka-rsausernamecfgfile-nameidnt_cfg.pubip-addrJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 客户端与NetScreen设备间传输文件。(SSH协议向SCP连 主机上SCP客户端的连接SCP要求在开始文件传输之前对 客户端进行认证。SCP认证过程与用于认证SSH客户端的过程完全相同。可 个文件。SCP客户端应用程序会确定用于指定源和目标文件名的确切方法；请参阅SCP客户端应用程序文档。EnableSSH选择)EnableSCP选择setsshenablesetscpenable是)的闪存中 为客户端系统上的“ns_sys_config_backup”文件:JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 也可以向NetScreen设备或从中 ScreenOS映像。要从SCP客户端将名为“ns.5.1.0r1”的映像保存到址为):scpns.5.1.0r1要将ScreenOS映像从NetScreen设备 入以下SCP客户端命令:scpnetscreen@:image不总是可行，但只要NetScreen设备周围是安全的，这种连接就是最安全的设备管理方法。 JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 81有关使用“超级终端”的详细信息，请参NetScreenCLIReferenceGuideGettingStarted”为防止 用户通过直接连接控制台或调制解调器端口来管理设备，可以输入下列命令来禁用这两个端口setconsoledisablesetconsoleauxdisableJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管理NetScreen-SecurityManagerLANWAN 设备与SecurityManagerUI之间交 ，驻留在每个被管理NetScreen设备上的一种服务。“ 推送至NetScreenScreenOS。“ ”还会监视设备并将报告回传给“管理系统”。“

NetScreen-SecurityManager NetScreen设备使用其嵌入的NetScreen-SecurityManager

Manager客户端接收的配置更改。

Administrator’sGuide。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管 Manager方可 ManagerUI，后者通过控制台会话在NetScreen设备上执行CLI命令。可能的初始化情况如下。 在这种情况下，SecurityManagerSecurityManagerUI添加该设备。不需要现 不到IP地址SecurityManagerUI添加该设备。管理员还要确自动与“管理系统”连接，并准备向NetScreen-SecurityManager数据库发送配置信息。 SecurityManager管理员生成。过程如下ConfigletCLI命令)JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管 如果要取消设置NetScreen-SecurityManager，请使用unsetnsmgmtall命令。此命令将 就像是从未连接到NetScreen-SecurityManager一样。当您想要重新配置NetScreen-SecurityManager设置时，可使用unsetnsmgmtall命令。

ConfigurationAdminNSMEnableCommunicationwithNetScreenSecurityManagerNSM)，然后单击Apply。setnsmgtenable

ConfigurationAdminNSMEnableCommunicationwithNetScreenSecurityManagerNSM)，然后单击Apply。unsetnsmgtenableJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管

PrimaryIPAddress/Name:setnsmgmtserverprimary00JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管 ManagerUI查看事件。 警报报告潜 日志事件报告设备配置变化以及设备上出现的非严重变协议散事件报告由下列协议产生的消息消息报告以下统计信息JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管

AttackStatistics:()PolicyStatistics:()AttackAlarms:()TrafficAlarms:(选择)FlowStatistics:(选择)DeepInspectionAlarms)EventAlarms:(选择)setnsmgmtreportstatisticsattackenablesetnsmgmtreportstatisticspolicyenablesetnsmgmtreportalarmattackenablesetnsmgmtreportalarmtrafficenablesetnsmgmtreportstatisticsflowenablesetnsmgmtreportstatisticsethernetenablesetnsmgmtreportalarmidpenablesetnsmgmtreportalarmotherenableJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管该变化通知NetScreen-SecurityManager管理员。例如，当设备管理员使用控制台、 net、SSH或WebUI更改配置都会造成配置不同步。NetScreen-SecurityManager配置文件必须与NetScreen设备配置文件同步，才能使NetScreen-SecurityManager正常工作。将配置文件导入到NetScreen-SecurityManager后，同步即告完成。有关导入设备的详细信息，请参阅JuniperNetworksNetScreen-SecurityAdministrator’sGuide。

getconfignsmgmt-JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管ns->entervsysvsys1ns(vsys1)->getconfighashns(vsys1)->JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 通过NetScreen-SecurityManager进行管getconfigtimestampvsysgetconfigsaved则显示“未知”消息。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 控制管理信息net:TCP/IP网络的终端仿真程序，net是控制网络设备常用的方式。选择此选项可启用netSSH可使用“安全命令外壳”(SSH)NetScreen设备。必须具有与SSH1.5SSHWindows95及更高版本、WindowsNT、Linux务。选择此选项可启用SSH管理功能。(MIBII)组。选择此选项可启用SNMP管理功能。 NetScreenICMP或称)，以确定是否可以通过网络特定的IP地址。Ident-ResetFTP发送标识请求相类似的服务。如果它们未收到确认，会再次发送请求。处理请求期间用户。启用Ident-resetNetScreenTCP重置通知以响应发往端口113IDENT请求，然后恢复因未确认标识请求而被的。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 VLAN1VLAN12V1-Trust、V1-Untrust、V1-DMZ2上启用所需的管理选项，管理信息流将经过这些区段到达VLAN1。

NetworkInterfacesEditmgtIPAddress/Netmask:/24ManagementServicesWebUI,SSH)setinterfacemgtip/24setinterfacemgtmanagewebsetinterfacemgtmanagesshJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 net

NetworkInterfacesEditVLAN1IPAddress/Netmask:/24ManagementServices:WebUI, NetworkZonesEditV1-TrustManagementServices setinterfacevlan1ip/24setinterfacevlan1managewebsetinterfacevlan1manage setzonev1-trustmanagewebsetzonev1-trustmanage JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 MGTNetScreen设备上，可以将一个物理接口于管理，从而将管理信息流与网络用户信息流完全分离。例如，可通过绑定到Trust区段的接口对设备进行本地管理，通过绑定到Untrust区段的接口进行管理。在本例中，将ethernet1绑定到Trust区段，将ethernet3绑定到Untrust区段。为ethernet1分配IP地址允许ethernet1接收Web和 net信息流。然后为ethernet3分配IP地址/24，并 NetworkInterfacesEditethernet1Apply:ZoneName:TrustStaticIP:(出现时选择此选项)ManageIP:WebUI:(选择)SNMP:(清除)netInterfaceMode:NATJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管

NetworkInterfacesEditethernet3ZoneName:StaticIP:(出现时选择此选项)ManagementServices:netsetinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet1manage-ipsetinterfaceethernet1managewebunsetinterfaceethernet1managesnmpsetinterfaceethernet1manage unsetinterfaceethernet1managesslunsetinterfaceethernet1managesshsetinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/2411JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 •NetScreen设备处于“透明”模式时，VLAN1IP地址可以• •JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 。允许DMZ区段中的一组本地管理员在ethernet2上进行HTTP和 在ethernet3上进行SNMP 设备进行监视。Ethernet2和ethernet3各有一个管理IP地IP:ManageIP:

DMZIP:

TrustNetworkInterfacesEdit(ethernet2ZoneName:StaticIP:(出现时选择此选项)ManageIP:JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管

netNetworkInterfacesEdit(ethernet3ZoneName:StaticIP:(出现时选择此选项)ManageIP:setinterfaceethernet2zonesetinterfaceethernet2ip/24setinterfaceethernet2manage-ipsetinterfaceethernet2managewebsetinterfaceethernet2 setinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24setinterfaceethernet3manage-ipsetinterfaceethernet3managesnmpJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 管理级管理级以及各级别的权限。admin只有在使用有效的用户名和 JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 管理级(不能将该权限委派给虚拟系统管理员 拟系统管理员具有以下权限:JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 CLI命令Admin

ConfigurationAdminAdministratorsNewName:NewPassword:2bd21wG712ConfirmNewPassword:2bd21wG7Privileges:Read-Only()setadminuserRogerpassword2bd21wG7privilegeread-onlyJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 管理级

ConfigurationAdminAdministratorsEditRogerName:NewPassword:2bd21wG7ConfirmNewPassword:2bd21wG7unsetadminusersetadminuserRogerpassword2bd21wG7privilegeall

unsetadminuserRogerJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 管理级Admin必须使CLI来清admin的会话clearadminnameRogerJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 保障管理信息流安 网络信息NetworkInterfacesEdit选择此选项将NetScreenICMP回应请或称“”)，以确定是否可从该设备特定IP地址。Ident-Reset复选NetScreen设备会自动恢复用户。unsetinterfaceinterfaceunsetinterfaceinterfacemanageident-JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 的HTTP管理信息流 号。(在下例中，管理员需要输入 。)须使用HTTP。要增加HTTP连接的安全性，要将HTTP端 由80(缺省值)改为15522。

setadminport15522JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 Admin ，JuniperNetworks建议您立即更改登录名和 盘输入的任何字符。妥善记录新的admin登录名和 服务器数据库中检查是否有匹配条目。admin用户成功登录到外部auth服务器后，NetScreen设备会在本地 admin的登录状态。当根admin更改admin用户配置文件的任何属性(如用户名、 或权限)时，该admin当前打开的任何管理会话 ，则除了该用户进行更改所处的会话外，其当前打开的所有admin会话14都会终止。NetScreenRADIUS、SecurIDLDAPadmin用户认证。8-3页上的“Admin用户”。admin帐auth服务器中根级读/adminauth服务器上根级和vsysadmin用JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 由xL7s62a1改3MAb99j215ConfigurationAdminAdministratorsEditJohnName:NewPassword:3MAb99j2ConfirmNewPassword:3MAb99j2unsetadminusersetadminuserSmithpassword3MAb99j2privilegeall 的易记字符串，可编写一句话，然后使用每个词的首字母。例如，“Charleswillbe6yearsoldonNovember21”变成“Cwb6yooN21”。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管

Name:NewPassword:ru494Vq5ConfirmNewPassword:ru494Vq5setadminpasswordru494Vq5JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 Adminadminadmin角色并管理该设备。为了防admin使用可能较易破译的短，最初的根adminadmin的设置一个131之间的最admin并且您自己的满足欲设置的最小长度要求时，才能设置该最小长度。否则，admin的指定最小长度，请输入以下命令setadminpasswordrestrictlengthJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 adminNetScreen设备重置为其缺省设置。此时将会丢失配置内容，但会恢NetScreenCLI参考指和相应的安装指南中对此进行了详 将显示以下消息:!!!!LostPasswordReset!!!!Youhaveinitiatedacommandtoresetthedevicetofactorydefaults,clearingallcurrentconfiguration,keysandsettings.Wouldyouliketocontinue?y/nY!!ReconfirmLostPasswordReset!!Ifyoucontinue,theentireconfigurationofthedevicewillbeerased.Inaddition,apermanentcounterwillbeincrementedtosignifythatthisdevicehasbeenreset.Thisisyourlastchancetocancelthiscommand.Ifyouproceed,thedevicewillreturntofactorydefaultconfiguration,whichis:SystemIP:;username:netscreen;password:netscreen.Wouldyouliketocontinue?y/nYnetscreen作为缺省用户名和进行登录。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管

ConfigurationAdminPermittedIPs:IPAddress/Netmask:setadminmanager-ip2/32JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管

ConfigurationAdminPermittedIps:IPAddress/Netmask:setadminmanager-ipAdmin 用户以根admin 登录。设置了此限制后，如果有人试图以根admin 通过其它方式(如 net或SSH)登录，则即使在进入接口上启用了这些管理选项，设备也会 ，请输入下列命令setadminrootaccessJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 可以使用虚拟(IPNetScreen设备进行管理的安全性。使用 net或SSH。(有关创的“自行生成的信息流的通道”)NetScreen支持两种类型的通道配置基于路由的NetScreen设备使用路由表条目将信息流引向绑定到通道的通道接口。有关详细信5卷，“”。)基于策略的NetScreen设备使用策略中明确提到的通道名，引导信息流通过通道。有关5卷，“”。)对于每种通道配置类型，有以下各种类型的(SA(SPI)、加密密钥和认证密钥。要更改SA中的任何元素，必须在通道两端手动将其输入。IKE一个或两个预共享一个用于认证，一个用于加密)起着值的作用IKE协议使用它们在通道两端生成一组对称密钥；也即，使用同一密钥进行加密和。这些密钥按预先具有的自动密钥IKE:(PKI)，通道两端的参与者使用一个数字(用于认证)于。道的完整说明，请参阅5卷，“”。有NetScreen-Remote的详细信息，请参NetScreen-Remote用户指南。如果使用基于策略的配置，必须用任一区段中某个接口的IP地址创建一个通讯簿条目，但不能是出接口所绑定的区段。然后可以在涉及该通道的策略中将其用作源地址。此地址还用作IPSec对等方的端实体地址。如果使用的是基于路由的配置，则无需这样的通讯簿条目。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 性。该通道从admin工作站(地址为6)上运行的NetScreen-Remote 客户端延伸到ethernet1(/24)。该admin的工作站和将其绑定到Trust区段和 通道“tunnel-adm”。tunnel./32的路由。由于下面两个原因，策略并非必要: ，意味着路由查询(而非策略查询)会将目的地址 IP地址)IP地址

Trust

JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 NetworkInterfacesEdit(ethernet1ZoneName:StaticIP:(出现时选择此选项)InterfaceMode:NetworkInterfacesEdit(ethernet3ZoneName:StaticIP:(出现时选择此选项)NetworkInterfacesNewTunnelIF:TunnelInterfaceNameTunnel.1Zone(VR):Trust(trust-vr)Unnumbered:(选择)JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 sManualKeyNewGatewayIP:6SecurityIndex(HEXNumber):5555(Local)5555OutgoingInterface:EncryptionAlgorithm:DES-CBCGenerateKeybyPassword17:netscreen1AuthenticationAlgorithm:MD5GenerateKeybyPassword::BindtoTunnelInterface)NetworkRoutingRoutingEntriestrust-vrNewInterface:GatewayIPAddress: 生成的十六进制密钥；(3)在配置通道的NetScreen-Remote端时使用这些十六进制密钥JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24setinterfacetunnel.1zonetrustsetinterfacetunnel.1ipunnumberedinterface tunnel-admmanual55555555gateway6outgoingethernet1espdespasswordnetscreen1authmd5passwordnetscreen219 tunnel-admbindinterfacesetvroutertrust-vrroute/32interfacetunnel.1由于NetScreen-Remote将 处理成密钥，这一点与其它NetScreen产品不同，因此请在配置通道后执行如下操作:(1)键入get admin-tun;(2)复制由“netscreen1”和“netscreen2”生成的两个十六进制密钥;(3)在配置通道的NetScreen-Remote端时使用这些十六进制密钥。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 NetScreen-Remote安全策略编辑OptionsGlobalPolicySettingsAllowtoSpecifyInternalNetworkAddressOptionsSecureSpecifiedConnectionsConnectionSecurity:RemotePartyIdentityandAddressing:IDType:IPAddress,Protocol:AllConnectusingSecureGatewayTunnel)IDType:IPAddress, 单击位于SecurityPolicy图标左侧的加号，然后单击KeyExchange(Phase2)左侧的加号，进一步展开策略EncryptAlg:DESHashAlg:MD5JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 Choosekeyformat:ESPEncryptionKey:ESPAuthenticationKey:Choosekeyformat:ESPEncryptionKey:ESPAuthenticationKey: JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 运行的NetScreen-Remote 客户端延伸到ethernet1(/24)。该admin的工作站和ethernet1都位于Trust区段中。将该通道命名为“tunnel-adm”并绑定到Trust区段。通道“tunnel-adm”的策略中使用此地址以及该admin的工作站内部地址。策略是必需的，因为这是一个基于策略 ，意味着策略查询(而非路由查询)会将目的地址 NetScreen-Remote使用IP地址作为处 方ID类型指定为IP地址，将相应协议指定为“All”。

Trust

JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 NetworkInterfacesEdit(ethernet1ZoneName:StaticIP:(出现时选择此选项)InterfaceMode:NetworkInterfacesEdit(ethernet3ZoneName:StaticIP:(出现时选择此选项)ObjectsAddressesListNewAddressName:Untrust-IFIPAddress/ Zone:UntrustObjectsAddressesListNewAddressName:IP Zone:TrustJuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 sManualKeyNewGatewayIP:6SecurityIndex(HEXNumber):5555(Local)5555OutgoingInterface:EncryptionAlgorithm:DES-CBCGenerateKeybyPassword21:netscreen1AuthenticationAlgorithm:MD5GenerateKeybyPassword:NetworkRoutingRoutingEntriestrust-vrNewGateway:(选择)Interface:GatewayIPAddress: 生成的十六进制密钥；(3)在配置通道的NetScreen-Remote端时使用这些十六进制密钥JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 Policies(FromTrust,ToUntrust)NewSourceAddressBookEntryadminDestinationAddress:AddressBookEntryUntrust-IFService:Any:tunnel-Modifymatchingbidirectional PositionatTop:()JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24setaddresstrustadmin/32setaddressuntrustUntrust-IF/32 tunnel-admmanual55555555gateway6outgoingethernet1espdespasswordnetscreen1authmd5passwordnetscreen222setvroutertrust-vrroute/32interfacesetpolicytopfromtrusttountrustadminUntrust-IFanytunneltunnel-admsetpolicytopfromuntrusttotrustUntrust-IFadminanytunneltunnel-adm由于NetScreen-Remote将 处理成密钥，这一点与其它NetScreen产品不同，因此请在配置通道后执行如下操作:(1)键入get admin-tun;(2)复制由“netscreen1”和“netscreen2”生成的两个十六进制密钥;(3)在配置通道的NetScreen-Remote端时使用这些十六进制密钥。JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 NetScreen-Remote安全策略编辑OptionsSecureSpecifiedConnectionsRemotePartyIdentityandAddressing:IDType:IPAddress,Protocol:AllConnectusingSecureGatewayTunnel)IDType:IPAddress, 单击位于SecurityPolicy图标左侧的加号，然后单击KeyExchange(Phase2)左侧的加号，进一步展开策略EncryptAlg:DESHashAlg:MD5JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 Choosekeyformat:ESPEncryptionKey:ESPAuthenticationKey:Choosekeyformat:ESPEncryptionKey:ESPAuthenticationKey: JuniperNetworksNetScreen概念与范例–第3卷:管 第1章管 JuniperNetworksNetScreen概念与范例–第3卷:管 NetScreen 第74页上的 第80页上的 第86页上的 Self日志 101页上的“104 JuniperNetworksNetScreen概念与范例–第3卷:管 第2 NetScreen设 日志信 器空间完全填满时，NetScreen设备就开始用 最早的日志条目。如果在保存所记录的信息之前存在先进先出(FIFO)机制，就会丢失数据。为了减少这种数据丢 到外部系统日志或WebTrends服务器中，或 到NetScreen-GlobalPRO数据库中。NetScreen设备将新事件和流量日志条目发送到外部 位置(每秒一次)。 消息(关键的、警示的、紧急的)，这样，如果在触发 SNMP:除了传送SNMP陷阱之外，NetScreen设备也能将 日志发送到SNMP公共组。系统日志:NetScreen设备可在内部 的警示事件和紧急事件，以及所指定设备中的所有其它事件(包括信息流数据)。CompactFlash(