可以实现全局的集中统一管理。
本机管理方式可以通过以下管理方案实现 ? 基于Web方式的GUI管理方式
? 基于Web方式的SSL安全远程管理方式(需数字证书) ? 基于Telnet的远程管理方式
? 基于SSH的安全远程管理方式(需支持SSH1.x的客户端软件)
? 基于Console的本地管理方式 ? 基于专用NSM系统的管理 日志管理接口包括以下方式: ? Syslog ? SNMP
? Webtrends(第三方解决方案) ? NetScreen Global Pro
2.1. Web 用户界面
为了便于管理,您可使用Web 用户界面(WebUI)。NetScreen 设备使用Web 技术,该技术提供了配置和管理软件的Web 服务器界面。
6
要使用WebUI,必须具备以下条件:
Netscape Communicator (版本4.7 或更高版本)或Microsoft Internet Explorer(版本5.5 或更高版本);TCP/IP 网络连接到NetScreen 设备
2.2. 命令行界面
高级管理员可通过使用命令行界面(CLI) 进行更好的控制。要为NetScreen 设备配置CLI,可使用任何仿真VT100 终端的软件。如果使用终端机仿真器,可使用Windows、UNIX? 或Macintosh? 操作系统中的控制台配置NetScreen 设备。要通过CLI 进行远程管理,可使用Telnet 或“安全命令外壳”(SCS)。要通过控制台端口进行直接连接,可使用“Hyperterminal?”。 2.2.1 Telnet
Telnet 是一个登录及终端仿真协议,该协议使用客户端/ 服务器关系连接到TCP/IP 网络上的网络设备并进行远程配置。管理员在管理
7
工作站上运行Telnet 客户端程序并与NetScreen 设备上Telnet 服务器程序创建连接。登录后,管理员可发出CLI 命令,将其发送到NetScreen 设备上的Telnet 程序,对设备进行有效的配置,好像通过直接连接运行一样。使用Telnet 管理NetScreen 设备需要以下条件:
? 管理工作站上有Telnet 软件 ? “以太网”连接到NetScreen 设备
2.2.2 安全命令外壳
NetScreen 设备中内置的“安全命令外壳” (SCS) 服务器提供一种方法,凭借这种方法,管理员可通过使用“安全外壳”(SSH) 以一种安全的方式远程管理该设备。SSH 允许安全地打开远程的命令外壳并执行这些命令。NetScreen设备上运行的SCS 任务是执行SSH 1.x 服务器组件,它允许SSH 1.x 兼容的客户端控制台/ 终端应用程序连接到NetScreen 设备。
管理员可通过两种认证方法之一使用SSH 连接到NetScreen 设备。
? 密码认证:需要进行配置或监控NetScreen 设备的管理员通常使用此方法。SSH 客户端启用SSH 连接到NetScreen 设备。如果在接收连接请求的接口上启用SCS 可管理性,则NetScreen 设备用信号通知SSH 客户端,以提示用户输入用户名和密码。SSH 客户端收到此信息后,会将之发送到NetScreen 设备,它将其与admin 用户帐户的用户名和密码进行比较。如果它们匹配,NetScreen 设备就认证此用户。如果它们不匹配,NetScreen 设备就拒绝连接请求。
? 公开密钥认证(PKA):此方法增强了密码认证的安全性并
8
允许自动运行脚本。通常,SSH 客户端不发送用户名和密码,而是发送用户名和RSA 公开/ 私有密钥对的公开密钥组件。NetScreen 设备将其与四个公开密钥(可绑定到admin)进行比较。如果其中一个密钥匹配,NetScreen 设备就认证此用户。如果其中没有一个匹配, NetScreen 设备就拒绝连接请求。
2.3. 串行控制台
可通过直接的串行连接(通过控制台端口从管理员工作站连接到NetScreen 设备)管理NetScreen 设备。不可能始终实现直接连接,但是如果NetScreen 设备周围是安全的,那么这种连接就是管理设备最安全的方法。
根据NetScreen 设备模式创建串行连接需要以下电缆之一: ? 阴性DB-9 到阳性DB-25 直通串行电缆 ? 阴性DB-9 到阳性DB-9 直通串行电缆 ? 阴性DB-9 到阳性MiniDIN-8 串行电缆
与附带RJ-45 到RJ-45 直通以太网电缆的RJ-45 适配器相连的阴性DB-9 电缆还需要在管理工作站上安装“超级终端”软件(或另一种VT100 终端机仿真器),“超级终端”端口设置配置如下:
– 串行通信9600 bps – 8 位 – 无奇偶校验 – 1 停止位 – 无流量控制
9
2.4. 如何实现对防火墙的远程管理
管理员如果需要实现对防火墙的远程管理,防火墙的配置需要满足以下四个条件:
1、
客户端IP地址在防火墙定义的system manager-ip地址范围内,缺省情况下,防火墙没有配置system manager-ip地址段,可以允许任何客户端地址对防火墙进行管理。
2、
防火墙接口IP地址容许客户端进行远程访问,MGT口配置的IP地址,业务接口配置的manage-ip可以直接被客户端进行访问,业务接口的IP地址需要定位为manageable才容许客户端进行访问。
3、
业务接口IP地址需要明确开启远程管理访问的服务,命令如:set interface eth2/1 ip manage telnet,MGT口配置的IP地址,业务接口配置的manage-ip地址缺省情况下已经开放所有防火墙可提供的远程访问服务,不需要额外再打开这些服务。
4、
只有提供正确的管理员账户和口令,管理员才能对防火墙进行远程管理。
第3章
路由
Juniper防火墙将其路由组件划分为两个或更多 VR(虚拟路由器),其中每个 VR 以路由表、路由条目以及相关安全区的形式保持其自己的已知网络列表。一个单独的 VR 可以支持静态路由、动态路
10
Juniper防火墙用户手册
