JuniperNSM设备操作手册

JuniperNSM设备操作手册赵敬2011年10月主题NSM介绍NSM原理NSM系统登录NSM使用管理NSM介绍

NSM是Juniper防火墙统一管理的软件平台，通过NSM软件，可以对JUNIPER设备设置统一管理，NSM软件具有强大的管理功能、日志及报表功能、设备监控功能等。（NetworkandSecurityManagement）NSM原理原理:是通过客户端配置策略，并通过服务器下发策略到设备上面，用户通过客户端的UI连接ManagementSystem，并设置详细的配置，最后通过ManagementSystem把具体的策略下发到ManagedDevices上面。客户端是基于Windows平台或Linux平台的软件，而服务器是基于LinuxAS4/5平台的软件，日常的维护基本都可以通过UI的方式设置，基本不需要配置Linux的系统参数。系统登陆1,安装好NSM客户端后，打开客户端登录界面(UI)，并输入用户名、密码以及登录地址。2,登陆后的界面如下所示：设备的管理

添加设备

在NSM服务器安装完毕以后，必须通过NSM的界面管理手动添加需要管理的设备，包括防火墙、路由器，交换机和IDP等。设备的导入可以使用两种方式：

第一种是Unreachable的导入方式。通常，在NSM服务器第一次导入设备的时候采用这种方式（第一次连接需要在NSM和设备确认协商的相关参数）。第二种是Reachable的导入方式，这种方式采用的是引导的方式，操作相对比较简单。设备的管理/DeviceUnreachable添加集群

集群适用于主、备模式部署的防火墙，如果是添加单台防火墙请选择Devcie，选择菜单DeviceManagerSecurityDevices并点击SecurityDeviceTree页面的+号，并选择Cluster，如下图：设置Cluster的命名、设备类型以及OS颁布号

设备的管理/DeviceUnreachable

添加集群以后，开始添加集群的成员，包括两台设备，主用设备和备用设备，两台设备的添加步骤一样，右图只描述一台设备的添加过程。右键点击上一步骤添加的Cluster，选择CusterMembers，选择后系统弹出设备的添加页面，因为是第一次添加设备，我们选择添加Unreachable的设备，如右图所示：设备的管理/DeviceUnreachable右图设置NSM服务器和防火墙设备之间的通讯参数，这里的Password是设备建立连接的一次性密码，输入密码（长度必须大于9位），设置好密码以后，在节目的左下角会出现“showDevicecommands”的按钮，点击按钮，并将弹出窗口的内容复制下来（使用快捷键Ctrl+C复制），将这些复制的内容在防火墙设备的命令行界面上运行，NSM服务器和防火墙设备会根据这些信息建立两者之间的连接。点击OK按钮后，设置添加成功。（重复上面的步骤，添加另一台备用的防火墙。）设备的管理/DeviceUnreachable

通过上面的设备添加步骤，下一步是导入设备的配置，NSM必须通过和设备当前的配置同步，才能保证在下发策略的时候不会造成配置同步导致的下发错误。添加配置成功的界面如下：至此，设备的添加完成。设备的管理/Devicereachable添加集群集群适用于主、备模式部署的防火墙，如果是添加单台防火墙请选择Devcie，选择菜单DeviceManagerSecurityDevices并点击SecurityDeviceTree页面的+号，并选择Cluster，如下图：设置Cluster的命名、设备类型以及OS颁布号

设备的管理/Devicereachable添加集群成员

添加集群以后，开始添加集群的成员，包括两台设备，主用设备和备用设备，两台设备的添加步骤一样，下面只描述一台设备的添加过程。如右图，右键点击上一步骤添加的Cluster，选择CusterMembers，选择后系统弹出设备的添加页面，因为是第一次添加设备，我们选择添加Unreachable的设备，如下图所示：设备的管理/Devicereachable设备的管理/设备信息1，在导入设备配置以后，可以查看和修改设备的具体的信息，如下图，右键点击设备，选择Edit：2，弹出新的界面，界面中设置设备的大部分信息，包括设备的接口设置、设备的管理员设置、登陆设置、VPN设置、以及其他。以下对系统常用的部分作详细的说明。3，在Info菜单，显示的是系统的基本信息，包括设备类型，设备命名以及设备的序列号和当前系统版本等。设备的管理/network菜单Network菜单设置防火墙设备的网络基本配置，包括设备的虚拟路由器、安全区、设备接口、DNS设置等信息；安全区设置是Juniper防火墙设置的一个安全概念，在Juniper防火墙中它把某一部分相同类别的资源作为一个统称，防火墙根据这个的安全区做策略的设置。安全区的设置在Device菜单中选择NetworkZone；安全区列表提供安全区的列表，可以添加和删除Zone列表；安全区设置：双击具体的安全区，可以设置安全区的具体参数，包括设置安全区属于哪个virtual-Router，以及在安全区上设置防攻击选项。虚拟路由器是防火墙内置的虚拟路由器功能，防火墙可以设置两个路由器，没有路由器可以使用一个独立的路由表，从而在路由表方面可以进行分割。

设备的管理/接口设置接口列表：进入NetworkInterface，并查看设备的接口设置；接口参数：接口设置IP地址、安全区以及其他的参数。设备的管理/配置策略配置策略：在设备导入以后，默认在SecurityPolicies的菜单中会出现以Cluster命名的策略，这就是在导入设备的时候，NSM通过分析防火墙配置产生的策略内容。防火墙策略：导入设备后，NSM软件自动将设备的策略配置加载到界面（PolicyManagementSecurityPolicies）进入具体的策略，如下图，设备的配置导入后，可以显示所有的策略，在某一项列内单击右键可以设置详细的内容，设置好策略，在策略标签上单击右键并选择AssignPolicy，将配置保存到NSM服务器上，但是还没有更新到设备。设备的管理/日志系统1，NSM服务器提供强大的日志分析功能，用户可以通过这个功能得到所需要的日志信息。其中包括如下。