JuniperNetworks,Inc.
1194NorthMathildaAvenueSunnyvale,CA94089USA408-745-2000www.
juniper.
net產品編號:530-017769-01-TC,修訂本02概念與範例ScreenOS參考指南第3卷:管理版本6.
0.
0,修訂本02iiCopyrightNoticeCopyright2007JuniperNetworks,Inc.
Allrightsreserved.
JuniperNetworksandtheJuniperNetworkslogoareregisteredtrademarksofJuniperNetworks,Inc.
intheUnitedStatesandothercountries.
Allothertrademarks,servicemarks,registeredtrademarks,orregisteredservicemarksinthisdocumentarethepropertyofJuniperNetworksortheirrespectiveowners.
Allspecificationsaresubjecttochangewithoutnotice.
JuniperNetworksassumesnoresponsibilityforanyinaccuraciesinthisdocumentorforanyobligationtoupdateinformationinthisdocument.
JuniperNetworksreservestherighttochange,modify,transfer,orotherwiserevisethispublicationwithoutnotice.
FCCStatementThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.
Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.
Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.
Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.
ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.
IfitisnotinstalledinaccordancewithJuniperNetworks'installationinstructions,itmaycauseinterferencewithradioandtelevisionreception.
ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.
Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.
However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.
Ifthisequipmentdoescauseharmfulinterferencetoradioortelevisionreception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:Reorientorrelocatethereceivingantenna.
Increasetheseparationbetweentheequipmentandreceiver.
Consultthedealeroranexperiencedradio/TVtechnicianforhelp.
Connecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.
Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice.
DisclaimerTHESOFTWARELICENSEANDLIMITEDWARRANTYFORTHEACCOMPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.
IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURJUNIPERNETWORKSREPRESENTATIVEFORACOPY.
目錄iii目錄關於本卷vii文件慣例.
viiWeb使用者介面慣例vii指令行介面慣例.
viii命名慣例和字元類型viii插圖慣例ix技術文件與支援x第1章管理1透過Web使用者介面進行管理2WebUI說明.
2將說明檔案複製到本機磁碟機3將WebUI指向新的說明位置3超文字傳輸通訊協定4會話ID.
4安全通訊端階層.
5SSL組態.
7將HTTP重新導向到SSL.
8透過指令行介面進行管理.
9Telnet9保證Telnet連線的安全.
10安全Shell11用戶端要求12裝置上的基本SSH組態13驗證14SSH和Vsys16主機金鑰.
16範例:SSHv1使用PKA進行自動登入.
17安全副本18序列主控台.
19遠端主控台.
20使用V.
92數據機連接埠的遠端主控台.
20使用AUX連接埠的遠端主控台.
21數據機連接埠22透過NetScreen-SecurityManager進行管理.
22初始化NSMAgent與MGT系統間的連線23啟用、停用及取消NSMAgent.
24設定管理系統的主伺服器IP位址.
25設定警示和統計資訊報告25組態同步處理26範例:檢視組態狀態.
27範例:擷取組態雜湊.
27擷取組態時戳27iv目錄概念與範例ScreenOS參考指南控制管理式通訊流量.
28MGT和VLAN1介面29範例:透過MGT介面進行管理29範例:透過VLAN1介面進行管理.
29設定管理介面選項.
30設定多個介面的管理IP31管理層級.
33根管理員33讀/寫管理員.
34唯讀管理員.
34虛擬系統管理員.
34虛擬系統唯讀管理員35定義管理員使用者35範例:新增唯讀管理員35範例:修改管理員.
35範例:刪除管理員.
36範例:設定撥號連線的管理員帳戶.
36範例:清除一個管理員的會話.
37管理之通訊流量的安全化.
37變更連接埠號碼.
38變更管理員登入名稱和密碼.
39範例:變更管理員使用者的登入名稱和密碼.
40範例:變更您本身的密碼40設定根管理員密碼的最小長度41將裝置重設為出廠預設設定.
41限制管理式存取.
42範例:限制對單一工作站的管理.
42範例:限制對子網路的管理.
42將根管理員限制為主控台存取42用於管理式通訊流量的VPN通道.
43透過以路由為基礎的手動金鑰VPN通道進行管理44透過以政策為基礎的手動金鑰VPN通道進行管理47密碼政策.
51設定密碼政策51移除密碼政策52檢視密碼政策52移除拒絕的預設管理員密碼.
52建立登入橫幅.
53第2章監看安全性裝置55儲存日誌資訊.
55事件日誌.
56按嚴重性和關鍵字檢視事件日誌57排序和過濾事件日誌58下載事件日誌59範例:下載整個事件日誌59範例:下載關鍵事件的事件記錄.
59通訊流量記錄.
60檢視通訊流量記錄.
61範例:檢視通訊流量記錄項目61排序和過濾通訊流量記錄.
62範例:按時間排序通訊流量記錄.
62下載通訊流量記錄.
62移除關閉理由欄位.
63目錄目錄v自我記錄.
65檢視自我記錄65排序和過濾自我記錄.
65範例:按時間過濾自我記錄.
66下載自我記錄66下載資源修復日誌67通訊流量示警.
67範例:以政策為基礎的入侵偵測68範例:折衷系統通知69範例:傳送電子郵件警訊.
70系統日誌.
70範例:啟用多個系統日誌伺服器71啟用通知事件的WebTrends.
72簡易網路管理通訊協定72建置概觀75定義讀/寫的SNMP社群76自行產生通訊流量的VPN通道.
77範例:透過以路由為基礎的通道自行產生的通訊流量.
78範例:透過以政策為基礎的通道自行產生的通訊流量.
85檢視螢幕計數器91索引IX-Ivi目錄概念與範例ScreenOS參考指南文件慣例vii關於本卷JuniperNetworks安全裝置提供本機或遠端管理裝置的不同方法.
第3卷:管理包含下列章節:第1章,「管理」說明可用於本機和遠端管理安全裝置的不同方法.
本章也解釋權限,和可被定義的四個網路管理員層級中的每一個等級都有關.
第2章,「監看安全性裝置」解釋各種監看方法,並提供解譯監看輸出的導引.
文件慣例本文件使用的慣例於下列各節中進行說明:「Web使用者介面慣例」第viii頁上的「指令行介面慣例」第viii頁上的「命名慣例和字元類型」第ix頁上的「插圖慣例」Web使用者介面慣例在Web使用者介面(WebUI)中,每個任務的說明集分為瀏覽路徑及組態設定兩個部分.
若要開啟可進入組態設定的WebUI頁面,請在螢幕左側的瀏覽目錄中按一下功能表項目,接著再按一下後續項目,即可瀏覽該頁面.
瀏覽時,瀏覽路徑會顯示在螢幕頂端,每一個頁面以角括號分隔.
以下顯示WebUI路徑和定義位址的參數:Policy>PolicyElements>Addresses>List>New:輸入下面的內容,然後按一下OK:AddressName:addr_1IPAddress/DomainName:IP/Netmask:(選擇),10.
2.
2.
5/32Zone:Untrust若要開啟組態設定的OnlineHelp,請按一下螢幕左上方的問號().
瀏覽目錄也提供Help>ConfigGuide組態頁面,可幫助您配置安全性政策及「網際網路通訊協定安全性」(IPSec).
從下拉式功能表選取選項,並依照頁面上的指示行事.
按一下左上方的字元,以開啟ConfigGuide上的OnlineHelp.
概念與範例ScreenOS參考指南viii文件慣例指令行介面慣例下列慣例用於在範例及文字中呈現指令行介面(CLI)指令的語法.
在範例中:在中括弧[]中的任何內容都是選擇性的.
在大括弧{}中的任何內容都是必需的.
如果選項不止一個,則使用導線(|)分隔每個選項.
例如:setinterface{ethernet1|ethernet2|ethernet3}manage變數以斜體方式顯示:setadminusername1passwordxyz文字中的指令以粗體顯示,變數以斜體顯示.
命名慣例和字元類型關於ScreenOS組態中定義的物件(如位址、admin使用者、auth伺服器、IKE閘道、虛擬系統、VPN通道和區域)的名稱,ScreenOS採用下列慣例:若名稱字串包含一個或多個空格,則必需以雙引號包住整個字串,如:setaddresstrust"localLAN"10.
1.
1.
0/24系統會刪除一組雙引號內文字的任何前導或結尾空格,例如,"localLAN"將變為"localLAN".
多個連續空格會被視為單一空格.
儘管許多CLI關鍵字並不區分大小寫,但名稱字串是區分大小寫的.
例如,"localLAN"不同於"locallan".
ScreenOS支援以下字元類型:「單位元組字元集」(SBCS)和「多位元組字元集」(MBCS).
SBCS的範例是ASCII、歐洲語和希伯萊語.
MBCS(也稱為雙位元組字元集,DBCS)的範例是中文、韓文和日文.
ASCII字元從32(十六進位0x20)到255(0xff),雙引號(")除外,這些字元有特殊的意義,可作為包含空格的名稱字串的開始或結尾指示符.
注意:輸入關鍵字時,只需鍵入足以唯一識別單詞的字母.
若輸入setadmuwheej12fmt54,setadminuserwheezerj12fmt54指令也會同時輸入.
不過,所有此處所述的指令均會完整顯示.
注意:主控台連線只支援SBCS.
WebUI對SBCS和MBCS都支援,取決於瀏覽器所支援的字元集.
文件慣例ix關於本卷插圖慣例下圖顯示貫穿本卷的插圖所用的基本影像集.
圖1:插圖中的影像自治系統或虛擬路由設定網域安全區介面:白色=受保護區域介面(例如=Trust區域)黑色=區域外介面(例如=Untrust區域)JuniperNetworks安全性裝置集線器交換機路由器伺服器VPN通道通用網路裝置「動態IP」(DIP)集區網際網路包含單一子網路的區域網路(LAN)或安全區通道介面政策引擎概念與範例ScreenOS參考指南x技術文件與支援技術文件與支援要獲得任何JuniperNetworks產品的技術文件,請造訪www.
juniper.
net/techpubs/.
如需技術支援,請使用http://www.
juniper.
net/customers/support/的CaseManager連結來開啟一個支援案例,或電洽1-888-314-JTAC(美國境內)或1-408-745-9500(美國境外).
如果在本文件中發現任何錯誤或遺漏,請寫信至techpubs-comments@juniper.
net與JuniperNetworks連絡.
1第1章管理本章介紹管理方法及工具、保證管理式通訊流量安全的方法,以及可以指派給管理員使用者的管理式權限層級.
本章包括下列各節:第2頁上的「透過Web使用者介面進行管理」第9頁上的「透過指令行介面進行管理」第22頁上的「透過NetScreen-SecurityManager進行管理」第28頁上的「控制管理式通訊流量」第33頁上的「管理層級」第35頁上的「定義管理員使用者」第37頁上的「管理之通訊流量的安全化」第51頁上的「密碼政策」第53頁上的「建立登入橫幅」概念與範例ScreenOS參考指南2透過Web使用者介面進行管理透過Web使用者介面進行管理您可使用網路使用者介面(WebUI)來設定與管理JuniperNetworks安全性裝置的軟體.
圖2顯示WebUI視窗.
左邊的窗格包含導覽功能表,右邊的窗格會顯示導覽視窗.
圖2:WebUI若要使用WebUI,必需具備下列應用程式與連線:NetscapeCommunicator(4.
7或更新版本)或MicrosoftInternetExplorer(5.
5或更新版本)到安全性裝置的TCP/IP網路連線WebUI說明您可在http://help.
juniper.
net/help/english/screenos_version中檢視說明檔案(例如,http://help.
juniper.
net/help/english/5.
3).
也可以選擇重新定位「說明」檔案.
您可能想要在本機儲存檔案,並將WebUI指向管理員的工作站或本機網路上一個安全的伺服器.
如果您無法存取網際網路,可以在本機儲存「說明」檔案以備使用.
透過Web使用者介面進行管理3第1章:管理將說明檔案複製到本機磁碟機「說明」檔案可在文件CD上找到.
您可以將WebUI修改為指向本機CD光碟機裡面的CD「說明」檔案.
您也可以將檔案從CD複製到本機網路上的伺服器或工作站上的另一個磁碟機,並組態WebUI從該位置啟動「說明」檔案.
1.
將文件CD載入工作站的CD光碟機.
2.
瀏覽到CD光碟機,然後複製名稱為help的目錄.
3.
瀏覽到要儲存Help目錄的位置,並在該處的Help目錄執行貼上.
將WebUI指向新的說明位置現在必需重新導向WebUI以使其指向Help目錄的新位置.
將預設的URL變成新檔案路徑,其中的path是從管理員的工作站到Help目錄的特定路徑.
1.
Configuration>Admin>Management:在HelpLinkPath欄位,請取代預設的URL:http://help.
juniper.
net/help/english/screenos_version為(用於本機磁碟)file://path…help或者(用於本機伺服器)http://server_name…path/help2.
按一下Apply.
按一下WebUI右上角的help連結時,裝置會使用您在HelpLinkPath欄位中指定的新路徑來找到正確的「說明」檔案.
注意:如果您要從說明文件CD直接執行「說明」檔案,則可以略過此程序.
繼續第3頁上的「將WebUI指向新的說明位置」.
概念與範例ScreenOS參考指南4透過Web使用者介面進行管理超文字傳輸通訊協定使用標準的瀏覽器,您可以使用「超文字傳輸通訊協定」(HTTP)遠端存取、監看和控制網路安全組態.
您可以透過在虛擬私人網路(VPN)通道中封裝HTTP管理式通訊流量或透過使用「安全通訊端階層」(SSL)通訊協定來保障它的安全.
還可以透過將管理式通訊流量與網路使用者通訊流量完全分離來進一步保障它的安全.
要進行此操作,您可以透過MGT介面執行所有管理式通訊流量(在某些安全性裝置上適用),或者將某個介面連結到MGT區域並使其專門用於管理式通訊流量.
會話ID安全性裝置為每個HTTP管理會話指派唯一的會話ID.
對於支援虛擬系統(vsys)的安全性裝置而言,該ID在所有系統(根和vsys)上都是全域唯一的.
每個會話ID是一個39位元組的數字,是由五個偽隨機產生的數字組合而成的.
該ID產生程序的隨機性(相對於簡單的數字增量方案而言)使得幾乎不可能預測該ID.
此外,這種隨機性與ID的長度相整合,使得兩個同時的管理會話絕對不太可能出現偶然相同的ID.
以下是會話ID為管理員提供的兩個優點:圖3說明對於為所有向外資料包指派了相同的來源IP位址的NAT裝置,安全性裝置如何能從其多個管理員中辨別出同時的會話.
圖3:含NAT裝置的會話ID圖4說明安全性裝置如何區分從相同來源IP位址與根系統,以及區分根系統與不同虛擬系統的同時根層級管理員會話.
圖4:含來源IP位址的會話ID注意:有關詳細資訊,請參閱第5頁上的「安全通訊端階層」、第43頁上的「用於管理式通訊流量的VPN通道」和第29頁上的「MGT和VLAN1介面」.
Admin-B來源IP位址:10.
2.
2.
6裝置為每個會話指派一個唯一的ID編號,因此可以區分彼此.
NAT裝置DSTDSTSRCSRCSRCSRCDSTDST將所有IP位址來源轉譯為10.
1.
1.
2安全性裝置介面IP位址:10.
1.
1.
1/24DATADATADATADATA2.
2.
2.
51.
1.
1.
110.
1.
1.
110.
2.
2.
510.
1.
1.
110.
2.
2.
52.
2.
2.
51.
1.
1.
1Admin-A來源IP位址:10.
2.
2.
5根管理員2.
2.
2.
5ROOTVSYS1VSYS2根系統1.
1.
1.
11.
1.
1.
1安全性裝置裝置為每個會話指派唯一的ID編號,因此能為不同根系統和虛擬系統區分同一主機的每個會話.
DATADATADATA1.
1.
1.
11.
1.
1.
12.
2.
2.
52.
2.
2.
52.
2.
2.
5SRCDST透過Web使用者介面進行管理5第1章:管理安全通訊端階層「安全通訊端階層」(SSL)是一組通訊協定,為在TCP/IP網路上通訊的web用戶端和web伺服器之間提供安全的連線.
SSL是由SSL詢問通訊協定(SSLHandshakeProtocol,SSLHP)和SSL登入通訊協定(SSLRecordProtocol,SSLRP)組成,前者允許用戶端及伺服器相互驗證並交涉加密方法,後者則提供基本安全性服務給更高層級的通訊協定(例如HTTP).
這兩個通訊協定在「開放式系統互相連線」(OSI)模式下的下列兩層中執行:應用程式層(第7層)中的SSLHP展示層(第6層)中的SSLRPSSL不依賴應用程式通訊協定,而是使用TCP來提供安全服務(請參閱圖5).
SSL先使用認證驗證伺服器或用戶端及伺服器,然後在會話期間對傳送的通訊流量進行加密.
ScreenOS只能驗證伺服器(安全性裝置),而不能驗證用戶端(管理員嘗試透過SSL連線到安全性裝置).
圖5:SSL用戶端至伺服器JuniperNetworks安全性裝置可使用HTTP(預設連接埠80),將管理式通訊流量重新導向到SSL(預設連接埠443).
SSL的預設認證是自動產生的自助簽名認證,但您稍後可使用不同的認證(如果您需要).
由於SSL已和PKI金鑰/認證管理整合,所以可以從認證清單的任何認證中選擇SSL認證.
也可以將相同的認證用於IPSecVPN.
Alice(SSL用戶端)連絡安全性裝置(SSL伺服器)進行登入.
裝置會傳給Alice所需的認證和提議,讓她用來執行金鑰密碼(3DES、DES、RC4或RC4-40)、壓縮法(PKZip或gzip)和雜湊演算法(SHA-1或MD5).
Alice會以認證的公開金鑰加密一個隨機號碼,並一起傳回該號碼與她所接受的提議項目清單.
(Alice同時會使用隨機號碼和同意的金鑰密碼來建立金鑰.
)安全性裝置(SSL伺服器)AliceNetScreen-SecurityManager管理員(SSL用戶端)裝置會使用其私密金鑰來解密該號碼.
接下來會使用該號碼及同意的金鑰密碼來建立金鑰.
Alice和安全性裝置會使用其共用的金鑰來加密其間的通訊流量.
他們也會使用同意的壓縮方法來壓縮資料,並使用同意的雜湊演算法來產生資料的雜湊,以提供訊息完整性.
注意:如需將管理式HTTP通訊流量重新導向到SSL的詳細資訊,請參閱第8頁上的「將HTTP重新導向到SSL」.
如需自助簽名認證的詳細資訊,請參閱第5-33頁上的「自助簽名認證」.
如需取得認證的資訊,請參閱第5-22頁上的「認證和CRL」.
概念與範例ScreenOS參考指南6透過Web使用者介面進行管理SSL的ScreenOS執行提供了下列功能、相容性和整合:SSL伺服器驗證(非SSL伺服器和用戶端驗證);換言之,安全性裝置會針對試圖透過SSL連線的管理員驗證它本身,但管理員不會使用SSL向裝置驗證它自己SSL版本3相容性(不是版本2)NetscapeCommunicator4.
7x及更新版本與InternetExplorer5.
x更新版本的相容性「公開金鑰基礎結構」(PKI)金鑰管理整合(請參閱第5-17頁上的「公開金鑰密碼編譯」)下列是SSL的加密演算法:使用40位元金鑰的RC4-40使用128位元金鑰的RC4DES:使用56位元金鑰的資料加密標準3DES:使用168位元金鑰的三重DESSSL與VPN所使用的相同驗證演算法:訊息整理版本5(MD5)-128位元金鑰安全雜湊演算法版本1(SHA-1)-160位元金鑰注意:RC4演算法一定和MD5配成對,而DES和3DES則與SHA-1配成對.
透過Web使用者介面進行管理7第1章:管理SSL組態設定SSL的基本步驟如下:1.
使用安全性裝置在其初始啟動時自動產生的自助簽名認證,或建立另一個自助簽名認證,或者取得CA簽名認證,並在裝置上載入它.
2.
啟用SSL管理.
WebUIConfiguration>Admin>Management:輸入下面的內容,然後按一下Apply:SSL:(選擇)Port:使用預設的連接埠號碼(443)或變為其他連接埠號碼.
Certificate:從下拉式清單選擇您要使用的認證.
Cipher:從下拉式清單選擇您要使用的加密.
CLIsetsslportnumsetsslcertid_numsetsslencrypt{{3des|des}sha-1|{rc4|rc4-40}|md5}setsslenablesave注意:檢查瀏覽器以查看加密的可靠性及瀏覽器支援的加密.
(安全性裝置和您的瀏覽器都必需支援用於SSL的相同種類及大小的加密.
)在InternetExplorer5x中,按一下[說明]和[關於InternetExplorer],然後閱讀關於加密強度的章節.
若要取得進階的安全性套件,請按一下[更新資訊].
在NetscapeCommunicator中,按一下[說明]和[關於Communicator],然後閱讀關於RSA的章節.
若要變更SSL組態設定,請按一下SecurityInfo、Navigator、ConfigureSSLv3.
有關詳細資訊,請參閱第5-33頁上的「自助簽名認證」.
如需要求並載入認證的詳細資訊,請參閱第5-22頁上的「認證和CRL」.
注意:預設會啟用SSL.
注意:如果您變更SSL連接埠號碼,則管理員在其瀏覽器中輸入URL時就需要指定非預設的連接埠號碼.
注意:若要瞭解認證的ID編號,請使用下面的指令:getpkix509listcert.
概念與範例ScreenOS參考指南8透過Web使用者介面進行管理3.
組態介面,透過該介面管理安全性裝置,以允許進行SSL管理:WebUINetwork>Interfaces>Edit(對於要管理的介面):選取[SSL管理服務]核取方塊,然後按一下OK.
CLIsetinterfaceinterfacemanagesslsave4.
透過SSL連接埠連線到安全性裝置.
當您輸入IP位址以在瀏覽器的URL欄位管理安全性裝置時,若已變更預設值,請將http改為https,並在IP位址後加上一個冒號與HTTPS(SSL)連接埠號碼.
例如:https://123.
45.
67.
89:1443.
將HTTP重新導向到SSL安全性裝置可使用HTTP(預設連接埠80),將管理式通訊流量重新導向到SSL(預設連接埠443),如圖6所示.
在SSL詢問期間,安全性裝置會將其認證傳給Alice.
Alice會以認證所包含的公開金鑰加密一個隨機號碼,並將它傳回安全性裝置(使用其私密金鑰來解密號碼).
這兩個參與者接著會使用共用的隨機號碼和交涉的金鑰密碼(3DES、DES、RC4或RC4-40)來建立共用金鑰,以便使用該金鑰來加密其間的通訊流量.
他們也會使用同意的壓縮方法(PKZip或gzip)來壓縮資料,並使用同意的雜湊演算法(SHA-1或MD-5)來產生資料的雜湊,以提供訊息完整性.
圖6:從HTTP重新導向至SSL若要啟用重新導向,並為SSL使用預設的自動產生的自助簽名認證,請執行以下任一操作:WebUIConfiguration>Admin>Management:輸入下面的內容,然後按一下Apply:將HTTP重新導向到HTTPS:(選擇)Certificate:Default–SystemSelf-SignedCertCLIsetadminhttpredirectsaveAlice(NetScreen管理)安全性裝置DstPort443DstPort80已加密HTTP-GetHTTP-GetHTTP-ReplySSL詢問純文字HTTP到HTTPS的重新導向指令透過指令行介面進行管理9第1章:管理雖然HTTP未提供SSL所需的安全性,但您可以設定安全性裝置,使其不會重新導向HTTP通訊流量.
若要停用HTTP到SSL的重新導向機制,請清除WebUI中的[RedirectHTTPtoHTTPS]選項,或輸入unsetadminhttpredirectCLI指令.
透過指令行介面進行管理進階管理員可透過使用指令行介面(CLI)進行更精確的控制.
若要使用CLI組態安全性裝置,可以使用任何模擬VT100終端機的軟體.
使用終端機模擬器時,可用Windows、UNIX或Macintosh作業系統中的主控台組態安全性裝置.
要透過CLI進行遠端管理,可使用Telnet或「安全Shell」(SSH).
透過主控台連接埠進行直接連線,就可以使用「超級終端機」軟體.
TelnetTelnet是一個登入及終端機模擬通訊協定,其使用用戶端/伺服器關係來連線到TCP/IP網路上的網路裝置並進行遠端組態.
管理員在管理工作站上執行Telnet用戶端程式並與安全性裝置上的Telnet伺服器程式建立連線.
登入後,管理員可以發出CLI指令,將其傳送到安全性裝置上的Telnet程式,對裝置進行有效的組態,就像透過直接連線操作一樣.
使用Telnet來管理安全性裝置需要下列應用程式與連線:管理工作站上的Telnet軟體到安全性裝置的「乙太網路」連線注意:您不必輸入CLI指令就能套用自動產生的自助簽名認證(與SSL搭配使用),因為依預設安全性裝置會將它套用到SSL.
如果您已先指派其他認證以與SSL一起使用,且現在想改用預設的認證,則必需使用unsetsslcertid_num指令來取消設定其他的認證,其中id_num是先前指定認證的ID號碼.
注意:如需ScreenOSCLI指令的完整清單,請參閱ScreenOSCLIReferenceGuide:IPv4CommandDescriptions.
概念與範例ScreenOS參考指南10透過指令行介面進行管理圖7說明建立Telnet連線的安裝程序.
圖7:建立Telnet連線為了將未授權使用者登入到裝置上的機會減至最低,您可以限制安全性裝置終止Telnet會話之前所允許的不成功登入的次數.
此限制也可以預防某些類型的攻擊,例如自動化的辭典式攻擊.
預設情況下,在關閉Telnet會話之前,裝置最多允許三次不成功的登入嘗試.
要變更此數目,請輸入以下指令:setadminaccessattemptsnumber保證Telnet連線的安全可以透過將Telnet通訊流量與網路使用者通訊流量完全分離來保證其安全.
根據您的安全性裝置型號,則可透過MGT介面或將一個介面(例如,DMZ)完全用於管理式通訊流量以執行所有的管理式通訊流量.
此外,為了確保管理員使用者在透過Telnet管理安全性裝置時所用的是一個安全的連線,可以要求這類使用者僅透過虛擬私人網路(VPN)通道來執行Telnet連線.
在設定了此限制後,如果有任何人嘗試不透過VPN通道進行Telnet連線,該裝置將拒絕其存取.
要限制透過VPN進行Telnet存取,請輸入以下指令:setadmintelnetaccesstunnel1.
Telnet用戶端將TCP連線要求傳送到安全性裝置上的連接埠23(當作Telnet伺服器使用).
2.
裝置提示用戶端輸入使用者名稱和密碼以登入.
3.
用戶端在VPN通道中以明文或加密形式傳送其使用者名稱和密碼.
注意:您必需使用CLI來設定此限制.
注意:如需有關VPN通道的資訊,請參閱第5卷:虛擬私人網路.
注意:您必需使用CLI來設定此限制.
透過指令行介面進行管理11第1章:管理安全ShellJuniperNetworks安全性裝置中內建的「安全Shell」(SSH)伺服器提供一種方法,憑藉這種方法,管理員可透過使用能識別SSH的應用程式,以一種安全的方式來遠端管理裝置.
SSH讓您可以安全地開啟遠端的指令shell並執行指令.
SSH提供對IP或DNS欺騙式攻擊以及密碼或資料截獲的保護.
您可以選擇在裝置上執行SSH版本1(SSHv1)還是SSH版本2(SSHv2)伺服器.
普遍認為SSHv2比SSHv1更安全,而且其目前正被制定為IETF標準.
但是,SSHv1已被廣泛組態和普遍應用.
注意SSHv1和SSHv2彼此並不相容.
也就是說,不能使用SSHv1用戶端連線到安全性裝置上的SSHv2伺服器,反之亦然.
用戶端主控台或終端應用程式必需執行與伺服器相同的SSH版本.
圖8說明SSH通訊流量.
圖8:SSH通訊流量SSH用戶端網際網路管理員的工作站加密的管理式通訊流量ScreenOSSSH伺服器安全性裝置概念與範例ScreenOS參考指南12透過指令行介面進行管理圖9說明基本的SSH連線程序.
圖9:SSH連線在一個JuniperNetworks安全性裝置上,一次最多只允許五個SSH會話.
用戶端要求如第11頁上的「安全Shell」、所述,用戶端應用程式必需執行與安全性裝置上的伺服器相同的SSH版本.
必需組態SSHv2用戶端才能要求使用Diffie-Hellman金鑰交換演算法和「數位簽名演算法」(DSA)於公開金鑰裝置驗證.
必需組態SSHv1用戶端才能要求使用RSA於公開金鑰裝置驗證.
1.
SSH用戶端將TCP連線要求傳送到安全性裝置上的連接埠22(作為SSH伺服器).
2.
裝置與用戶端交換關於它們支援的SSH版本的資訊.
3.
裝置傳送其主機和伺服器金鑰的公開元件、cookie、及其支援的加密和驗證演算法.
4.
用戶端建立一個會話金鑰,並使用主機和伺服器金鑰的公開元件對其進行加密,然後將會話金鑰傳送到裝置.
5.
裝置用其私人金鑰簽名該會話金鑰,並將簽名後的會話金鑰傳送到用戶端.
用戶端會使用金鑰交換程序中產生的會話金鑰驗證該簽名.
完成建立安全通道.
6.
裝置會發信號通知SSH用戶端以提示終端使用者輸入驗證資訊.
7.
用戶端會加密使用者名稱和密碼或其PKA金鑰的公開元件,然後將傳送它們以進行驗證.
主機金鑰:公開/私人金鑰對中的公開金鑰元件,用於對用戶端進行安全性裝置/vsys驗證和加密會話金鑰.
(每個vsys都有其主機金鑰).
主機金鑰被永久連結到裝置/vsys上.
伺服器金鑰:暫時RSA公開/私人金鑰對,用於加密會話金鑰.
(預設情況下,裝置每隔一小時為每個vsys產生一個新金鑰.
)會話金鑰:在連線設定期間,用戶端與裝置共同建立的暫時的金鑰(DES或3DES),以對通訊加密(會話結束時,它將被丟棄).
PKA金鑰:常駐於SSH用戶端的持續RSA公開/私密金鑰對.
啟動SSH連線之前,必需在安全性裝置上載入用戶端的公開金鑰;並且必需將PKA金鑰連結到管理使用者上.
注意:公開/私密金鑰對=一組加密的金鑰,只有使用一個金鑰加密時,另一個金鑰才能解密.
金鑰透過指令行介面進行管理13第1章:管理裝置上的基本SSH組態以下是在JuniperNetworks安全性裝置上組態SSH的基本步驟:1.
確定您要在SSH中使用密碼,還是「公開金鑰驗證」(PKA).
如果使用PKA,則在進行SSH連線之前,必需將PKA金鑰連結到管理員使用者上.
有關使用密碼或PKA的詳細資訊,請參閱第14頁上的「驗證」.
2.
確定需要在安全性裝置上啟用哪個SSH版本.
(切記:用戶端應用程式和安全性裝置上的伺服器必需執行相同的SSH版本).
如果您在前一ScreenOS版本的裝置上啟用了SSH,則現在在啟用SSH時將執行SSHv1.
要檢視裝置上哪個SSH版本是作用中但未啟用,請輸入getsshCLI指令:device>getsshSSHV1isactiveSSHisnotenabledSSHisnotreadyforconnectionsMaximumsessions:8Activesessions:0在以上所示的輸出中,SSHv1是作用中,並且在啟用SSH時執行.
如要使用不同的SSH版本,請確定已刪除用前一版本建立的所有金鑰.
例如,要清除SSHv1金鑰並使用SSHv2,請輸入下列CLI指令:device>deletesshdeviceall出現以下訊息:SSHdisabledforvsys:1PKAkeydeletedfromdevice:0Hostkeysdeletedfromdevice:1Executethe'setsshversionv2'commandtoactivateSSHv2forthedevice要使用SSHv2,請輸入下列CLI指令:device->setsshversionv23.
如果不想將連接埠22(預設連接埠)用於SSH用戶端連線,可以指定1024至32767之間的一個連接埠號碼.
device->setadminsshport10244.
為根系統或虛擬系統啟用SSH.
關於以每個vsys為基礎啟用和使用SSH的其他資訊,請參閱第16頁上的「SSH和Vsys」.
為根系統啟用SSH:device->setsshenable注意:設定SSH版本並不會在安全性裝置上啟用SSH.
注意:也可以使用WebUI來變更連接埠號碼,並在Configuration>Admin>Management頁面上啟用SSHv2和SCP.
概念與範例ScreenOS參考指南14透過指令行介面進行管理要為vsys啟用SSH,需要先進入該vsys,然後啟用SSH:device->setvsysv1device(v1)->setsshenable5.
在SSH用戶端將要從中實現連線的介面上啟用SSH.
device->setinterfacemanagessh6.
將安全性裝置上產生的主機金鑰分配到SSH用戶端.
有關詳細資訊,請參閱第16頁上的「主機金鑰」.
驗證管理員可以用兩種驗證方法的一個來使用SSH連線到JuniperNetworks安全性裝置.
密碼驗證:需要組態或監看安全性裝置的管理員通常使用此方法.
SSH用戶端初始化到裝置的SSH連線.
如果在接收連線要求的介面上啟用SSH可管理性,則裝置用信號通知SSH用戶端,以提示使用者輸入使用者名稱和密碼.
SSH用戶端收到此資訊後,會將之傳送到裝置,將其與管理員使用者帳戶的使用者名稱和密碼進行比較.
如果它們配對,裝置會驗證使用者.
如果它們不配對,裝置就拒絕連線要求.
公開金鑰驗證(PKA):此方法增強了密碼驗證的安全性並讓您可以執行自動化指令碼.
SSH用戶端並不傳送使用者名稱和密碼,而是傳送使用者名稱和公開/私人金鑰對的公開金鑰元件.
裝置將其與四個可連結到管理的公開金鑰進行比較.
如果其中一個金鑰配對,裝置會驗證使用者.
如果其中都沒有配對,裝置就拒絕連線要求.
這兩種驗證方法都需要在SSH用戶端登入前建立一個安全的連線.
SSH用戶端與裝置建立SSH連線後,使用者必需輸入使用者名稱和密碼或使用者名稱和公開金鑰以驗證自身.
密碼驗證和PKA需要在裝置上為管理員使用者建立一個帳戶,然後在介面上透過要管理的裝置(透過SSH連線進行管理)啟用SSH可管理性.
(如需建立管理員使用者帳戶的資訊,請參閱第35頁上的「定義管理員使用者」).
密碼驗證方法不需要在SSH用戶端上進行任何其他設定.
注意:所支援的驗證演算法是用於SSHv1的RSA和用於SSHv2的DSA.
透過指令行介面進行管理15第1章:管理另一方面,為了準備PKA,必須先執行下列工作:1.
在SSH用戶端上,使用金鑰產生程式來產生公開和私人金鑰對.
(該金鑰對是用於SSHv1的RSA或用於SSHv2的DSA.
有關詳細資訊,請參閱SSH用戶端應用程式文件.
)2.
將公開金鑰從本機SSH目錄移到TFTP伺服器上的目錄,然後啟動TFTP程式.
3.
登入到裝置,以便可透過CLI對其進行組態.
4.
要將公開金鑰從TFTP伺服器載入到裝置,請輸入以下CLI指令之一:對於SSHv1:execsshtftppka-rsa[usernamename]file-namename_strip-addrtftp_ip_addr對於SSHv2:execsshtftppka-dsa[user-namename]file-namename_strip-addrtftp_ip_addrusername或user-name選項僅用於根管理員,因此只有根管理員可以將RSA金鑰連結到另一個管理員.
當您-作為根管理或讀/寫管理-只輸入指令而沒有輸入使用者名稱時,裝置將金鑰連結到您自己的管理帳戶;也就是將金鑰連結到輸入指令的管理.
當管理員嘗試在已啟用SSH可管理性的介面上透過SSH登入,裝置會先檢查公開金鑰是否已連結至該管理員.
如果的確如此,裝置就使用PKA驗證管理員.
如果公開金鑰沒有連結到管理員,那麼裝置會提示輸入使用者名稱和密碼.
(您可以使用下面的指令強制管理只使用PKA方法:setadminsshpassworddisableusernamename_str.
)無論您要管理員使用哪種驗證方法,初次定義管理員的帳戶時,仍必需包括密碼,即使後來將公開金鑰連結到此使用者,該密碼會變成無效.
注意:如果要使用PKA進行自動化登入,則必需在SSH用戶端載入一個代理程式以加密PKA公開/私密金鑰組的私密金鑰元件,並在記憶體中保留私密金鑰的解密版本.
注意:也可以將公開金鑰檔案的內容直接貼到CLI指令setsshpka-rsa[usernamename_str]keykey_str(對於SSHv1)或setsshpka-dsa[user-namename_str]keykey_str(對於SSHv2)中,貼到顯示變數key_str的位置,或貼到WebUI的Key欄位中(Configuration>Admin>Administrators>SSHPKA).
然而,CLI與WebUI有大小限制:公開金鑰大小不可超過512位元.
透過TFTP載入金鑰時,則沒有此限制.
注意:對於每個管理員使用者,安全性裝置最多可支援四個PKA公開金鑰.
概念與範例ScreenOS參考指南16透過指令行介面進行管理SSH和Vsys對於支援vsys的安全性裝置,您可以以每個vsys為基礎啟用和組態SSH.
每個vsys都有其本身的主機金鑰(參閱第16頁上的「主機金鑰」),並為系統的管理員維護和管理PKA金鑰.
最大的SSH會話數是本末倒置裝置的限制,其值在2至24之間,視作業平台的不同而定.
如果登入到該裝置上的SSH用戶端數目已達到最大值,則其他SSH用戶端不能再登入到該SSH伺服器.
根系統和vsys共用同一SSH連接埠號碼.
這就意味著:如果變更了SSH連接埠的預設連接埠號號碼22,則所有vsys的SSH連接埠也將被變更.
主機金鑰主機金鑰允許安全性裝置將自身識別為一個SSH用戶端.
在支援虛擬系統(vsys)的裝置上,每個vsys都有其本身的主機金鑰.
在vsys(對於支援vsys的裝置)或在裝置上首次啟用SSH時,將產生該vsys或裝置的唯一的主機金鑰.
該主機金鑰被永久連結到vsys或裝置上,並且如果在停用了SSH後再次啟用SSH,則仍將使用同一主機金鑰.
裝置上的主機金鑰必需用下面兩種方式之一指派到SSH用戶端:手動-根管理員或vsys管理員會透過電子郵件、電話等,將主機金鑰傳送至用戶端管理員使用者.
收到的管理員會將主機金鑰儲存於SSL用戶端系統上相應的SSH檔.
(SSH用戶端應用程式確定該檔案位置和格式.
)自動-當SSH用戶端連線到裝置時,SSH伺服器將主機金鑰的未加密公開元件傳送給用戶端.
SSH用戶端搜尋其本地主機金鑰資料庫,以檢視所接收到的主機金鑰是否已對應到裝置的位址上.
如果主機金鑰是未知的(在用戶端的主機金鑰資料庫中沒有裝置位址的對應),則管理員使用者也許能決定是否接受該主機金鑰.
否則連線將被終止.
(有關接受未知的主機金鑰的資訊,請參閱相應的SSH用戶端文件.
)注意:當您在單一裝置上部署大量的虛擬系統,請注意如果多個或所有vsys管理員都使用SSH,則可填滿為PKI物件所保留的儲存空間.
透過指令行介面進行管理17第1章:管理為了驗證SSH用戶端已接收到了正確的主機金鑰,用戶端系統上管理員使用者可以產生所收到的主機金鑰的SHA雜湊.
然後用戶端管理員使用者可以將該SHA雜湊與裝置上的SHA雜湊進行比較.
在裝置上,可以透過執行CLI指令getsshhost-key來顯示主機金鑰的SHA雜湊.
範例:SSHv1使用PKA進行自動登入在此範例中,請您(作為根管理員)為自動執行指令碼的遠端主機設定SSHv1公開金鑰確認(PKA).
此遠端主機存取裝置的唯一目的是每天晚上下載設定檔.
由於自動進行驗證,因此SSH用戶端登入到裝置時不需要人員操作.
您定義了一個管理員使用者帳戶,名為cfg,密碼為cfg,有讀寫權限.
可在介面ethernet1(被連結到Untrust區域)上啟用SSH可管理性.
您以前已經在SSH用戶端上使用過金鑰產生程式以產生RSA公開/私人金鑰對,將檔案名稱為"idnt_cfg.
pub"的公開金鑰檔案移動到TFTP伺服器上的目錄中,然後執行TFTP程式.
TFTP伺服器的IP位址是10.
1.
1.
5.
WebUIConfiguration>Admin>Administrators>New:輸入下面的內容,然後按一下OK:Name:cfgNewPassword:cfgConfirmPassword:cfgPrivileges:Read-Write(選擇)SSHPasswordAuthentication:(選擇)Network>Interfaces>Edit(對於ethernet1):在ServiceOptions中選擇SSH,然後按一下OK.
CLIsetadminusercfgpasswordcfgprivilegeallsetinterfaceethernet1managesshexecsshtftppka-rsausernamecfgfile-nameidnt_cfg.
pubip-addr10.
1.
1.
5save注意:僅可透過execssh指令從TFTP伺服器載入SSH的公開金鑰檔案.
概念與範例ScreenOS參考指南18透過指令行介面進行管理安全副本安全副本(SCP)提供了一個途徑,使遠端用戶端能使用SSH通訊協定與安全性裝置交換檔案.
(SSH通訊協定為SCP連線提供驗證、加密和資料完整性.
)該裝置作為一個SCP伺服器,接受來自遠端主機上的SCP用戶端的連線.
SCP要求在開始檔案傳輸之前對遠端用戶端進行驗證.
SCP驗證程序與用於驗證SSH用戶端的程序完全相同.
可以用密碼或PKA金鑰來驗證SCP用戶端.
一旦驗證該SCP用戶端後,就可以向裝置傳輸或從中傳輸一個或多個檔案.
SCP用戶端應用程式確定用於指定來源和目的地檔案名稱的準確方法;請參閱SCP用戶端應用程式文件.
在裝置上預設為停用SCP.
若要啟用SCP,還必須啟用SSH.
WebUIConfiguration>Admin>Management:選擇下面的內容,然後按一下Apply:EnableSSH:(選擇)EnableSCP:(選擇)CLIsetsshenablesetscpenablesave下面是一個SCP用戶端指令的範例,該指令將組態檔案從裝置(管理員名稱是"juniper",IP位址是10.
1.
1.
1)上的快閃記憶體中複製到用戶端系統的"ns_sys_config_backup"檔案中:scpjuniper@10.
1.
1.
1:ns_sys_configns_sys_config_backup您也能將ScreenOS影像複製到裝置,或從裝置複製該影像.
若要將名為"ns.
5.
1.
0r1"的影像存入SCP用戶端的裝置,請輸入下列SCP用戶端指令,管理員在其中的登入名稱是"juniper",而裝置的IP位址則是10.
1.
1.
1:scpns.
5.
1.
0r1juniper@10.
1.
1.
1:image然後,輸入reset指令來重新啟動安全性裝置,以載入並執行新的ScreenOS影像.
若要將ScreenOS影像從裝置複製到SCP用戶端,並將儲存的影像命名為"current_image_backup",請輸入下列SCP用戶端指令:scpjuniper@10.
1.
1.
1:imagecurrent_image_backup您需要參閱SCP用戶端應用程式文件,以瞭解如何指定管理員名稱、裝置IP位址、原始檔案和目的地檔案.
透過指令行介面進行管理19第1章:管理序列主控台您可以透過直接的序列連線(透過主控台連接埠從管理員工作站連線到裝置)來管理安全性裝置.
雖然不可能一直使用直接連線,但是如果裝置的所在位置是安全的,那麼這種連線就是最安全的裝置管理方法.
根據JuniperNetworks安全性裝置型號建立序列連線時,需要下列纜線之一:母接頭DB-9到公接頭DB-25直通序列纜線母接頭DB-9到公接頭DB-9直通序列纜線母接頭DB-9到公接頭MiniDIN-8序列纜線與附帶RJ-45到RJ-45直通乙太網路纜線的RJ-45配接卡相連的母接頭DB-9纜線您也需要在管理工作站上安裝「超級終端機」軟體(或另一種VT100終端機模擬器),「超級終端機」連接埠設定組態如下:序列通訊9600bps8位元無同位檢查1停止位元無流量控制注意:為了防止未經授權的使用者以根管理員身份遠端登入,您可以要求根管理員只能透過主控台登入到裝置.
有關這種限制的附加資訊,請參閱第42頁上的「將根管理員限制為主控台存取」.
注意:如需如何使用「超級終端機」的詳細資訊,請參閱ScreenOSCLIReferenceGuide:IPv4CommandDescriptions或您裝置的說明文件.
概念與範例ScreenOS參考指南20透過指令行介面進行管理遠端主控台撥接至安全性裝置即可於遠端存取該安全性裝置上的主控台介面.
撥接至主控台的方法有兩種:使用V.
92數據機連接埠的遠端主控台使用AUX連接埠的遠端主控台使用V.
92數據機連接埠的遠端主控台撥接至配備v.
92數據機連接埠的安全性裝置連接埠,並存取主控台介面,即可於遠端管理安全性裝置.
若要使用遠端主控台,請將裝置上的v.
92數據機連接埠接上電話線,然後使用配備數據機的遠端電腦撥接至裝置.
您可使用如HyperTerminal的終端機程式來建立主控台會話.
若要使用遠端主控台連線,您必須先以下列CLI指令啟用遠端管理:setinterfaceserialx/0modemauxenablesave圖10顯示如何與裝置連線以進行遠端主控台管理.
圖10:遠端主控台管理連線您也需要在管理工作站上安裝「超級終端機」軟體(或另一種VT100終端機模擬器),「超級終端機」連接埠設定組態如下:序列通訊9600bps8位元無同位檢查1停止位元無流量控制配備數據機的管理工作站公共電話系統安全性裝置上的v.
92連接埠注意:如需如何使用「超級終端機」的詳細資訊,請參閱ScreenOSCLIReferenceGuide:IPv4CommandDescriptions或您裝置的說明文件.
透過指令行介面進行管理21第1章:管理使用AUX連接埠的遠端主控台撥接至與AUX連接埠連接的數據機,並存取主控台介面,即可於遠端管理配備AUX連接埠的安全性裝置.
若要使用遠端主控台,請將裝置上的AUX數據機連接埠接上使用外部數據機的電話線,然後使用配備數據機的遠端電腦撥接至裝置.
您可使用如HyperTerminal的終端機程式來建立主控台會話.
圖11顯示如何與裝置連線以進行遠端主控台管理.
圖11:遠端主控台管理連線您也需要在管理工作站上安裝「超級終端機」軟體(或另一種VT100終端機模擬器),「超級終端機」連接埠設定組態如下:序列通訊9600bps8位元無同位檢查1停止位元無流量控制配備數據機的管理工作站公共電話系統安全性裝置上的AUX連接埠外部v.
92數據機注意:如需如何使用「超級終端機」的詳細資訊,請參閱ScreenOSCLIReferenceGuide:IPv4CommandDescriptions或您裝置的說明文件.
概念與範例ScreenOS參考指南22透過NetScreen-SecurityManager進行管理數據機連接埠透過將管理員工作站連線到裝置的數據機連接埠上,您也可以管理安全性裝置.
數據機連接埠的功能與主控台連接埠類似,只是您不能為數據機連接埠定義參數或使用這種連線上載影像.
為了防止未經授權的使用者透過直接連線主控台或數據機連接埠來管理裝置,可以輸入下列指令來停用這兩個連接埠:setconsoledisablesetconsoleauxdisable透過NetScreen-SecurityManager進行管理NetScreen-SecurityManager是JuniperNetworks企業級的管理軟體應用程式,可設定與監看本地區域網路(LAN)或寬域網路(WAN)環境下的多個JuniperNetworks安全性裝置.
NetScreen-SecurityManagerUserInterface(UI)使網路管理員能從中心位置部署、設定和管理多個裝置.
NetScreen-SecurityManager使用三個元件來允許與安全性裝置進行遠端通訊:NetScreen-SecurityManagerUserInterface(UI)是用來存取與設定NetScreen-SecurityManager管理系統上網路資料的java軟體應用程式.
您可從UI中檢視、設定與管理您的網路.
管理系統是常駐在外部主機上的一組服務.
這些服務會處理、追蹤和儲存裝置與NetScreen-SecurityManagerUI之間交換的裝置管理資訊.
管理系統包括兩個元件:GUI伺服器可接收與回應來自UI的要求與指令.
它會管理您的網路所需的系統資源與設定資料.
它也包含您管理之安全裝置、管理員與組態的本機資料儲存空間.
裝置伺服器就像每個網路裝置所產生之所有資料的集中點.
它將此資料(主要是通訊流量紀錄)儲存於本機資料儲存空間中.
NSMAgent是常駐在所管理的每個安全性裝置上的一種服務.
NSMAgent接收來自外部管理系統的組態參數,並將其轉寄至ScreenOS.
NSMAgent也監視每個裝置並將報告傳送回管理系統中.
NSMAgent可下載安全性裝置與NetScreen-SecurityManager之間的簽名封包、認證和權利.
透過NetScreen-SecurityManager進行管理23第1章:管理圖12顯示NSMAgent如何與NetScreen-SecurityManagerUI通訊.
圖12:啟用NSMAgent的安全性裝置如需這些元件以及其他NetScreen-SecurityManager元件的詳細資訊,請參閱NetScreen-SecurityManagerAdministratorísGuide.
初始化NSMAgent與MGT系統間的連線在NetScreen-SecurityManager能存取和管理安全性裝置之前,一定要先初始化NSMAgent(常駐在裝置上)與管理系統(常駐在外部主機上)之間的通訊.
根據安全性裝置的目前可用性的不同,初始化可能需要位於不同位置的兩個使用者.
這些使用者可以包括NetScreen-SecurityManager管理員以及現場使用者,前者在一個用戶端主機上使用NetScreen-SecurityManagerUI,後者透過主控台會話在裝置上執行CLI指令.
初始化的可能情況包含如下:情況1:裝置已擁有一個已知的IP位址,並可在網路基礎設施上加以存取.
在這種情況下,NetScreen-SecurityManager管理員使用用戶端主機上的NetScreen-SecurityManagerUI新增該裝置.
(不需要現場使用者.
)裝置自動回接到管理系統中,並準備將組態資訊傳送到其中常駐的NetScreen-SecurityManager資料庫中.
情況2:IP位址不可存取.
在這種情況下,兩個使用者都執行初始化任務.
管理員透過NetScreen-SecurityManagerUI新增該裝置.
管理員也確定現場使用者需要哪些CLI指令,並將這些指令傳送給該使用者,然後該使用者透過主控台執行它們.
隨後,該裝置自動與管理系統連線,並準備將組態資訊傳送到NetScreen-SecurityManager資料庫中.
NSMAgent:安全性裝置使用其嵌入的Agent來與裝置伺服器進行通訊.
NetScreen-SecurityManagerUI管理系統NetScreen-SecurityManager管理員透過用戶端執行管理系統.
主要伺服器主要伺服器包含一個裝置伺服器和GUI伺服器.
裝置與GUI伺服器:裝置伺服器將組態變化傳送到安全性裝置,並從中接收執行和統計報告.
GUI伺服器處理其從一個或多個NetScreen-SecurityManager用戶端接收到的組態變化.
概念與範例ScreenOS參考指南24透過NetScreen-SecurityManager進行管理情況3:該裝置是新的設備,且包含出廠預設設定.
在這種情況下,兩個使用者都執行初始化任務.
現場使用者可以使用名為Configlet的一個加密組態指令碼,該指令碼由NetScreen-SecurityManager管理員產生.
操作程序如下:1.
管理員用NetScreen-SecurityManagerUI中的AddDevice精靈選擇裝置平台和ScreenOS版本.
2.
管理員編輯該裝置並輸入所需的任何組態.
3.
管理員啟動該裝置.
4.
管理員產生並傳送Configlet檔案(或者像情況2中那樣,傳送必要的CLI指令)給現場使用者.
5.
現場使用者執行Configlet(或CLI指令).
有關詳細資訊,請參閱NetScreen-SecurityManager2004AdministratorísGuide中關於新增裝置的討論.
啟用、停用及取消NSMAgent您必需啟用裝置內的NetScreen-SecurityManager(NSM)Agent,安裝裝置才能與管理系統通訊.
若要取消NetScreen-SecurityManager設定,請使用unsetnsmgmtall指令.
此指令會將NSMAgent設為其初始的預設值,如此它就能以看似從未連線NetScreen-SecurityManager的方式運作.
當您要重新設定NetScreen-SecurityManager設定時,請使用unsetnsmgmtall指令.
若要在安全性裝置上啟用NSMAgent,請執行下列任一操作:WebUIConfiguration>Admin>NSM:選擇EnableCommunicationwithNetScreen-SecurityManager(NSM),然後按一下Apply.
CLIsetnsmgtenablesave若要在裝置上啟用NSMAgent,請執行下列任一操作:WebUIConfiguration>Admin>NSM:清除EnableCommunicationwithNetScreen-SecurityManager(NSM),然後按一下Apply.
CLIunsetnsmgtenablesave透過NetScreen-SecurityManager進行管理25第1章:管理設定管理系統的主伺服器IP位址NSMAgent用於識別外部管理系統伺服器的IP位址是一個可組態的參數.
在下例中將主要伺服器IP位址設定為1.
1.
1.
100.
WebUIConfiguration>Admin>NSM:輸入下面的內容,然後按一下Apply:PrimaryIPAddress/Name:1.
1.
1.
100CLIsetnsmgmtserverprimary1.
1.
1.
100save設定警示和統計資訊報告NSMAgent會監視裝置事件並將報告傳送回管理系統中.
這樣就允許NetScreen-SecurityManager管理員從NetScreen-SecurityManagerUI檢視事件.
NSMAgent所追蹤的事件類別如下:警示會報告潛在的危險攻擊或流量異常,包括透過深入檢查而偵測到的攻擊.
日誌事件報告裝置組態的變化以及裝置上發生的不嚴重變化.
通訊協定分發事件報告由下列通訊協定產生的訊息:驗證標頭(AH)封裝安全性負載(ESP)通用路由封裝(GRE)網際網路控制訊息通訊協定(ICMP)開放最短路徑優先(OSPF)傳輸控制通訊協定(TCP)使用者資料電報通訊協定(UDP)概念與範例ScreenOS參考指南26透過NetScreen-SecurityManager進行管理統計訊息報告下列統計資訊:攻擊統計資訊乙太網路統計資訊通訊流量統計資訊政策統計資訊在下例中,對管理系統啟用所有警示和統計訊息的傳送.
WebUIConfiguration>Admin>NSM:輸入下面的內容,然後按一下Apply:AttackStatistics:(選擇)PolicyStatistics:(選擇)AttackAlarms:(選擇)TrafficAlarms:(選擇)FlowStatistics:(選擇)EthernetStatistics:(選擇)DeepInspectionAlarms:(選擇)EventAlarms:(選擇)CLIsetnsmgmtreportstatisticsattackenablesetnsmgmtreportstatisticspolicyenablesetnsmgmtreportalarmattackenablesetnsmgmtreportalarmtrafficenablesetnsmgmtreportstatisticsflowenablesetnsmgmtreportstatisticsethernetenablesetnsmgmtreportalarmidpenablesetnsmgmtreportalarmotherenablesave組態同步處理如果ScreenOS組態自前次與NetScreen-SecurityManager同步處理以來已經過變更,則安全性裝置會將這項變更通知NetScreen-SecurityManager管理員.
例如,當裝置管理員使用主控台、telnet、SSH或WebUI來變更安全性裝置組態時,裝置就會傳送訊息.
以NetScreen-SecurityManager以外的應用程式變更組態時,可能會取消它的同步處理.
NetScreen-SecurityManager組態檔案必需同步處理安全性裝置組態檔案,NetScreen-SecurityManager才能正確運作.
當您將組態檔案匯入NetScreen-SecurityManager時,即可達到同步.
如需匯入裝置的資訊,請參閱NetScreen-SecurityManagerAdministratorísGuide.
透過NetScreen-SecurityManager進行管理27第1章:管理下列範例顯示了用來檢視組態狀態的指令.
範例:檢視組態狀態在下列範例中,您可以檢視安全性裝置的組態同步處理狀態.
WebUICLIgetconfignsmgmt-dirty範例:擷取組態雜湊NetScreen-SecurityManager會使用組態雜湊來驗證安全性裝置的組態同步.
在下列範例中,您可以擷取特定的虛擬系統正在執行的組態雜湊.
WebUICLIdevice->entervsysvsys1device(vsys1)->getconfighasha26a16cd6b8ef40dc79d5b2ec9e1ab4fdevice(vsys1)->device(vsys1)->exit擷取組態時戳安全裝置會提供兩個組態時戳-running-config與saved-config.
running-config時戳是前次針對每個虛擬系統執行set或unset指令的時間.
saved-config時戳則是前次儲存裝置組態的時間.
在下列範例中,安全性裝置會擷取vsys1虛擬系統前次執行的組態時戳和已儲存的組態時戳:WebUI注意:您必需使用CLI來擷取執行中的組態狀態.
注意:如果NetScreen-SecurityManager以外的應用程式尚未變更組態檔,則指令會傳回一個空白,否則就會傳回"yes".
注意:您必需使用CLI來擷取執行中的組態雜湊.
注意:您必需使用CLI來擷取執行中的組態時戳和已儲存的組態時戳.
概念與範例ScreenOS參考指南28控制管理式通訊流量CLIgetconfigtimestampvsysvsys1getconfigsavedtimestamp控制管理式通訊流量ScreenOS為組態和管理安全性裝置提供了下列選項:WebUI:選擇此選項以讓介面可以透過Web使用者介面(WebUI)接收管理的HTTP通訊流量.
Telnet:是TCP/IP網路(如網際網路)的終端模擬程式.
Telnet是遠端控制網路裝置的常見方式.
選擇此選項可啟用Telnet可管理性.
SSH:您可以使用「安全指令Shell」(SSH),透過「乙太網路」連線或撥接數據機來管理安全性裝置.
您必需具有與SSH通訊協定版本1.
5相容的SSH用戶端.
這些用戶端可用於Windows95及更新版本、WindowsNT、Linux和UNIX.
安全性裝置透過內建的SSH伺服器與SSH用戶端通訊,該伺服器提供裝置組態與管理服務.
選擇此選項可啟用SSH可管理性.
SNMP:安全性裝置同時支援SNMPv1和SNMPv2c以及所有相關的管理資訊庫II(MIBII)群組,如RFC-1213中所定義.
選擇此選項則啟用SNMP可管理性.
SSL:選擇此選項以讓介面可以透過WebUI接收安全性裝置安全管理的HTTPS通訊流量.
NetScreen-SecurityManager:選擇此選項可允許介面接收NetScreen-SecurityManager流量.
Ping:選擇此選項讓安全性裝置可以回應ICMP回應要求或"ping",這會確定是否可從網路上存取特定的IP位址.
Ident-Reset:類似傳送識別要求的「郵件」或FTP服務.
如果沒有接收到確認,會再次傳送要求.
處理要求時,沒有使用者存取.
透過啟用「識別重設」選項,安全性裝置傳送TCP重設通知以回應傳送到連接埠113的「識別」要求,然後將未確認的識別要求阻斷的存取回原.
要使用這些選項,可在一個或多個介面中啟用它們,取決於您的安全和管理需要.
注意:如果省略指令中的vsysvsys_name,則安全性裝置會擷取根系統的組態時戳.
如果無法使用時戳,則會顯示"unknown"訊息.
控制管理式通訊流量29第1章:管理MGT和VLAN1介面某些JuniperNetworks安全性裝置具有一個實體介面-管理(MGT)-專門用於管理式流量.
當介面處於NAT、Route或Transparent模式時,您可以使用此介面來管理通訊流量.
在「透明」模式下,可以組態所有安全性裝置以允許透過邏輯介面VLAN1進行管理.
要啟用管理通訊流量以到達VLAN1介面,您必須同時在VLAN1和第二層區(V1-Trust、V1-Untrust、V1-DMZ、使用者定義的第二層區)上啟用所要的管理選項,管理通訊流量透過這些區域到達VLAN1.
若要保持最高層級的安全性,JuniperNetworks建議將管理式通訊流量限制為專用於VLAN1或MGT介面,而使用者通訊流量則專用於安全區介面.
從網路使用者通訊流量分離管理式通訊流量會大大增加管理安全性,並確保穩定的管理頻寬.
範例:透過MGT介面進行管理在本範例中,將MGT介面的IP位址設定為10.
1.
1.
2/24,並啟用MGT介面接收web和SSH管理式通訊流量.
WebUINetwork>Interfaces>Edit(對於mgt):輸入下面的內容,然後按一下OK:IPAddress/Netmask:10.
1.
1.
2/24ManagementServices:WebUI,SSH:(選擇)CLIsetinterfacemgtip10.
1.
1.
2/24setinterfacemgtmanagewebsetinterfacemgtmanagesshsave範例:透過VLAN1介面進行管理在本範例中,將VLAN1介面的IP位址設定為10.
1.
1.
2/24,並啟用VLAN1介面,以接收透過V1-Trust區域的Telnet和web管理式通訊流量.
WebUINetwork>Interfaces>Edit(對於VLAN1):輸入下面的內容,然後按一下OK:IPAddress/Netmask:10.
1.
1.
1/24ManagementServices:WebUI,Telnet:(選擇)Network>Zones>Edit(對於V1-Trust):選擇下面的內容,然後按一下OK:ManagementServices:WebUI,Telnet:(選擇)概念與範例ScreenOS參考指南30控制管理式通訊流量CLIsetinterfacevlan1ip10.
1.
1.
1/24setinterfacevlan1managewebsetinterfacevlan1managetelnetsetzonev1-trustmanagewebsetzonev1-trustmanagetelnetsave設定管理介面選項在有多個用於網路通訊流量的實體介面(但沒有實體MGT介面)的安全性裝置上,您可以將一個實體介面專門用於管理,以便將管理式通訊流量與網路使用者通訊流量完全分離.
例如,可透過將介面連結到Trust區域對裝置進行本機管理存取,或可透過將介面連結到Untrust區域對裝置進行遠端管理.
在本例中,將ethernet1連結到Trust區域,而將ethernet3連結到Untrust區域.
在本例中,您為ethernet1指派IP位址10.
1.
1.
1/24,並為其指定「管理IP」位址10.
1.
1.
2.
(請注意,「管理IP」位址必需和安全區介面IP位址在相同的子網路中.
)也可以允許ethernet1接收web和Telnet通訊流量.
然後,為ethernet3指派IP位址1.
1.
1.
1/24,並封鎖透過該介面的所有管理式通訊流量.
WebUINetwork>Interfaces>Edit(對於ethernet1):輸入下面的內容,然後按一下Apply:ZoneName:TrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:10.
1.
1.
1/24管理IP:10.
1.
1.
2ManagementServices:WebUI:(選擇)SNMP:(清除)Telnet:(選擇)SSL:(清除)SSH:(清除)輸入下面的內容,然後按一下OK:InterfaceMode:NATNetwork>Interfaces>Edit(對於ethernet3):輸入下面的內容,然後按一下OK:ZoneName:UntrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:1.
1.
1.
1/24ManagementServices:WebUI:(清除)SNMP:(清除)Telnet:(清除)SSL:(清除)SSH:(清除)控制管理式通訊流量31第1章:管理CLIsetinterfaceethernet1zonetrustsetinterfaceethernet1ip10.
1.
1.
1/24setinterfaceethernet1manage-ip10.
1.
1.
2setinterfaceethernet1managewebunsetinterfaceethernet1managesnmpsetinterfaceethernet1managetelnetunsetinterfaceethernet1managesslunsetinterfaceethernet1managesshsetinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.
1.
1.
1/24save設定多個介面的管理IP連結到一個安全區域上的任何實體介面、冗餘介面或聚集介面或子介面都可擁有至少兩個IP位址:一個連線到網路的介面IP位址.
一個用於接收管理式通訊流量的邏輯管理IP位址.
安全性裝置為「高可用性」(HA)冗餘群組中的備份設備時,您可以透過設備的管理IP位址(一個或多個位址)進行存取和組態.
如果您在WebUI的介面組態頁面上選擇[Manageable]選項,則您可透過介面IP位址或與該介面關聯的「管理IP」位址來管理安全性裝置.
第32頁上的圖13說明在本例中,將ethernet2連結到DMZ區域,而將ethernet3連結到Untrust區域.
在每個介面上設定管理選項,以提供對特定種類的管理式通訊流量的存取.
允許HTTP和Telnet在ethernet2上存取DMZ區域中的本機管理員群組,允許SNMP在ethernet3上從遠端站台監看中央裝置.
Ethernet2和ethernet3都有一個管理IP位址,管理式通訊流量會指向該位址.
您也會設定一個路由,將ethernet3外部自助產生的SNMP通訊流量導向位於1.
1.
1.
250的外部路由器.
注意:當您將介面連結到Trust和V1-Trust區域以外的任何安全區時,預設會停用所有管理選項.
因此,在本例中,您不必停用ethernet3上的管理選項.
注意:管理IP位址和VLAN1位址的差異在下面兩個方面:安全性裝置處於「透明」模式時,VLAN1IP位址可以是VPN通道的端點,但是管理IP位址不能是VPN通道的端點.
可以定義多個管理IP位址-每個網路介面一個-但是只能定義一個VLAN1IP位址-用於整個系統.
概念與範例ScreenOS參考指南32控制管理式通訊流量圖13:設定多個介面的管理IPWebUINetwork>Interfaces>Edit(ethernet2):輸入下面的內容,然後按一下OK:ZoneName:DMZStaticIP:(出現時選擇此選項)IPAddress/Netmask:1.
2.
2.
1/24管理IP:1.
2.
2.
2ManagementServices:WebUI:(選擇)Telnet:(選擇)Network>Interfaces>Edit(ethernet3):輸入下面的內容,然後按一下OK:ZoneName:UntrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:1.
1.
1.
1/24管理IP:1.
1.
1.
2ManagementServices:SNMP:(選擇)路由器1.
1.
1.
250Untrust區域ethernet3IP:1.
1.
1.
1/24管理IP:1.
1.
1.
2網際網路LAN本機管理員DMZ區域ethernet2IP:1.
2.
2.
1/24管理IP:1.
2.
2.
2SNMP管理站Trust區域管理層級33第1章:管理CLIsetinterfaceethernet2zonedmzsetinterfaceethernet2ip1.
2.
2.
1/24setinterfaceethernet2manage-ip1.
2.
2.
2setinterfaceethernet2managewebsetinterfaceethernet2managetelnetsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.
1.
1.
1/24setinterfaceethernet3manage-ip1.
1.
1.
2setinterfaceethernet3managesnmpsave管理層級JuniperNetworks安全性裝置可支援多重管理使用者.
對於管理員進行的任何組態變更,安全性裝置會記錄下列資訊:進行變更的管理員的姓名進行變更的IP位址變更的時間管理使用者的層級有好幾個.
這些層級的可用性取決於JuniperNetworks安全性裝置的模式.
以下各節列出所有管理層級和每個層級的權限.
這些權限只有在管理員使用有效的使用者名稱和密碼成功登入之後才可用.
根管理員根管理員具有完全的管理權限.
每個安全性裝置只有一個根管理員.
根管理員具有下列權限:管理安全性裝置的根系統新增、移除和管理所有其他的管理員建立和管理虛擬系統,然後為它們指派實體或邏輯介面建立、移除和管理虛擬路由器(VR)新增、移除和管理安全區指派介面到安全區執行資源修復將裝置設定為FIPS模式將裝置重設為其預設設定更新固體載入組態檔案清除指定的管理員或所有活動管理員的全部活動會話概念與範例ScreenOS參考指南34管理層級讀/寫管理員讀/寫管理員具有與根管理員相同的權限,但是不能建立、修改或移除其他的管理員使用者.
讀/寫管理員具有下列權限:建立虛擬系統並為每個系統指派一個虛擬系統管理員監看虛擬系統追蹤統計資料(無法委派給虛擬系統管理員的權限)唯讀管理員唯讀管理員只具有使用WebUI進行檢視的權限,他只能發出get和ping的CLI指令.
唯讀管理員具有下列權限:可使用下列四種指令在根系統中具有唯讀權限:enter、exit、get和ping在虛擬系統中具有唯讀權限虛擬系統管理員某些安全性裝置支援虛擬系統.
每個虛擬系統(vsys)是一個唯一安全性網域,具有僅套用於該vsys的權限的虛擬系統管理員可以管理虛擬系統.
虛擬系統管理員透過CLI或WebUI對虛擬系統進行獨立管理.
在每個虛擬系統上,虛擬系統管理員具有下列權限:建立並編輯auth、IKE、L2TP、XAuth和「手動金鑰」使用者建立並編輯服務建立並編輯政策建立並編輯位址建立並編輯VPN修改虛擬系統管理員的登入密碼建立並管理安全區新增和刪除虛擬系統唯讀管理員定義管理員使用者35第1章:管理虛擬系統唯讀管理員虛擬系統唯讀管理員具有與唯讀管理員相同的權限集,但僅限於特定的虛擬系統中.
虛擬系統唯讀管理員具有使用WebUI檢視特定的vsys的權限,只能在自己的虛擬系統中發出enter、exit、get和ping的CLI指令.
定義管理員使用者根管理員是唯一可以建立、修改和刪除管理使用者的管理員.
在下面的範例中,執行此程序的管理員一定是根管理員.
範例:新增唯讀管理員在此範例中,您-身為根管理員-會新增一個名為Roger且密碼為2bd21wG7的唯讀管理員.
WebUIConfiguration>Admin>Administrators>New:輸入下面的內容,然後按一下OK:Name:RogerNewPassword:2bd21wG7ConfirmNewPassword:2bd21wG7Privileges:Read-Only(選擇)CLIsetadminuserRogerpassword2bd21wG7privilegeread-onlysave範例:修改管理員在此範例中,您-身為根管理員-將Roger的權限由唯讀變更為讀/寫.
WebUIConfiguration>Admin>Administrators>Edit(對於Roger):輸入下面的內容,然後按一下OK:Name:RogerNewPassword:2bd21wG7ConfirmNewPassword:2bd21wG7Privileges:Read-Write(選擇)注意:如需虛擬系統的詳細資訊,請參閱第10-1頁上的「虛擬系統」.
注意:密碼最多可有31個字元長,並要區分大小寫.
概念與範例ScreenOS參考指南36定義管理員使用者CLIunsetadminuserRogersetadminuserRogerpassword2bd21wG7privilegeallsave範例:刪除管理員在此範例中,您-身為根管理員-刪除管理員使用者Roger.
WebUIConfiguration>Admin>Administrators:在Roger的Configure欄中按一下Remove.
CLIunsetadminuserRogersave範例:設定撥號連線的管理員帳戶有些裝置支援向外撥接故障修復狀況下的數據機連線.
您可設定介面、數據機或兩者的受託者帳戶.
本節說明兩種受託者:介面受託者介面受託者僅可存取WebUI,且受限於訊號方法以及指派給主Untrust介面的IP位址.
對於含ADSL介面的裝置,介面受託者可控制下列特徵:第1層特徵:VPI/VCI、多工法節點、RFC1483橋接或路由第2層訊號方法(PPPoE或PPPoA以及它們的參數)IP位址指派方法(由管理員依統計資料來定義,或透過PPPoE或PPPoA從電路動態取得).
對於僅有乙太網路介面的裝置,介面受託者可控制指派介面IP位址的方式(管理員依統計資料來定義,或透過DHCP或PPPoE從電路動態取得).
數據機受託者數據機受託者僅可存取WebUI,且受限於序列介面的Modem與ISP設定.
數據機受託者可建立、修改與刪除數據機定義,以符合他們特定的需要,且可以建立、修改與刪除ISP1與ISP2的設定.
數據機受託者可檢視ISP3與ISP4的組態,且可測試任何定義之ISP與電話號碼的連線性.
管理之通訊流量的安全化37第1章:管理您可輸入getadminuser指令來檢視所有管理員帳戶,或輸入getadminusertrustee指令來僅檢視受託者帳戶.
在下列範例中,您可將讀取/覆寫數據機受託者帳戶設定為RichardBrockie.
您將此使用者名稱設定為rbrockie,將他的密碼設定為!
23fb.
WebUIConfiguration>Admin>AdministratorsCLIsetadminuserrbrockiepassword!
23fbprivilegeallsetadminuserrbrockietrusteemodem範例:清除一個管理員的會話在此範例中,您-身為根管理員-終止管理員使用者Roger的所有活動會話.
當您執行以下指令時,安全性裝置關閉所有活動會話,並自動從系統中登出Roger.
WebUICLIclearadminnameRogersave管理之通訊流量的安全化若要在設定時保證安全性裝置的安全,請執行下列步驟:1.
在WebUI上變更管理連接埠.
請參閱第38頁上的「變更連接埠號碼」.
2.
變更使用者名稱和密碼,以便管理時存取.
請參閱第39頁上的「變更管理員登入名稱和密碼」.
3.
為管理使用者定義管理用戶端的IP位址.
請參閱第42頁上的「限制管理式存取」.
4.
關閉不需要的介面管理服務選項.
請參閱第28頁上的「控制管理式通訊流量」.
5.
停用介面上的ping和ident-reset服務選項,兩者都會回應未知方初始化的要求,也能夠顯示有關網路的資訊:注意:您必需使用CLI來清除管理員的會話.
概念與範例ScreenOS參考指南38管理之通訊流量的安全化WebUINetwork>Interfaces>Edit(對於要編輯的介面):停用下面的服務選項,然後按一下OK:Ping:選擇此選項讓安全性裝置可以回應ICMP回應要求或"ping",這會確定是否可從裝置存取特定的IP位址.
Ident-Reset:當服務(如「郵件」或FTP)傳送分辨要求並且沒有收到確認時,會再度傳送要求.
進行要求時,會停用使用者存取.
啟用[Ident-Reset]核取方塊後,安全性裝置會自動還原使用者存取.
CLIunsetinterfaceinterfacemanagepingunsetinterfaceinterfacemanageident-reset變更連接埠號碼變更安全性裝置為HTTP管理式通訊流量聆聽的連接埠號碼,以改善安全性.
預設設定為連接埠80,是HTTP通訊流量的標準連接埠號碼.
變更連接埠號碼後,在下次嘗試連絡安全性裝置時,必需在Web瀏覽器的URL欄位中輸入新的連接埠號碼.
(在下面的範例中,管理員必需輸入http://188.
30.
12.
2:15522.
)在本範例中,連結到「信任」區域的介面IP位址為10.
1.
1.
1/24.
若要透過此介面上的WebUI管理安全性裝置,您必需使用HTTP.
若要增加HTTP連線的安全性,應將HTTP連接埠號碼從80(預設值)變更為15522.
WebUIConfiguration>Admin>Management:在「HTTP連接埠」欄位中,輸入15522,然後按一下Apply.
CLIsetadminport15522save管理之通訊流量的安全化39第1章:管理變更管理員登入名稱和密碼預設情況下,安全性裝置的初始登入名稱為netscreen.
初始密碼也是netscreen.
由於這些資訊已廣泛公佈,所以JuniperNetworks建議您立刻變更登入名稱和密碼.
登入名稱和密碼都會區分大小寫.
它們可以包含可從鍵盤輸入的任何字元(和"除外).
用安全的方法記錄新的管理登入名稱和密碼.
可使用內部資料庫或外部auth伺服器驗證安全性裝置的管理員使用者.
管理員使用者登入到安全性裝置時,會先檢查本地內部資料庫,以便進行驗證.
如果沒有項目,並且連線了外部auth伺服器,則會在外部auth伺服器資料庫中尋找配對項目.
管理員使用者成功登入到外部auth伺服器後,安全性裝置會在本機上維持管理員的登入狀態.
當根管理員變更管理使用者設定檔的任何屬性—使用者名稱、密碼或權限時—管理目前開啟的任何管理會話都會自動終止.
如果根管理員為自己變更任何一個屬性,或如果根層級讀/寫管理或vsys讀/寫管理變更自己的密碼,則使用者目前開啟的所有管理員會話都會終止,除了進行變更的會話以外.
警告:務必記錄新的密碼.
如果忘記密碼,必需將安全性裝置重設為出廠設定,並將遺失所有的組態.
如需詳細資訊,請參閱第41頁上的「將裝置重設為出廠預設設定」.
注意:JuniperNetworks支援用於管理員使用者驗證的RADIUS、SecurID和LDAP伺服器.
(有關詳細資訊,請參閱第9-2頁上的「Admin使用者」.
)雖然根管理員帳戶必需儲存在本機資料庫中,但是可以在外部auth伺服器中儲存根層級讀/寫和根層級唯讀管理員使用者.
若要在外部auth伺服器上儲存根層級和vsys層級管理使用者並查詢他們的權限,伺服器必需是RADIUS,並且必需在伺服器上載入netscreen.
dct檔案.
如需管理員使用者層級的詳細資訊,請參閱第33頁上的「管理層級」.
如需使用外部auth伺服器的詳細資訊,請參閱第9-15頁上的「外部驗證伺服器」.
注意:HTTP或HTTPS會話則用不同的方式使用WebUI.
因為HTTP不支援持續連線,因此對自己的使用者設定檔所做的任何變更都會自動將您登出該會話和所有開啟的其他會話.
概念與範例ScreenOS參考指南40管理之通訊流量的安全化範例:變更管理員使用者的登入名稱和密碼在此例中,您-身為根管理員-將一個讀/寫管理員的登入名稱從"John"變更為"Smith",將其密碼從xL7s62a1變更為3MAb99j2.
WebUIConfiguration>Admin>Administrators>Edit(對於John):輸入下面的內容,然後按一下OK:Name:SmithNewPassword:3MAb99j2ConfirmNewPassword:3MAb99j2CLIunsetadminuserJohnsetadminuserSmithpassword3MAb99j2privilegeallsave範例:變更您本身的密碼擁有讀/寫權限的管理員使用者可以變更其自己的管理員密碼,但不能變更其登入名稱.
在此例中,一個擁有讀/寫權限和登入名稱"Smith"的管理員將其密碼由3MAb99j2改為ru494Vq5.
WebUIConfiguration>Admin>Administrators>Edit(對於第一個項目):輸入下面的內容,然後按一下OK:Name:SmithNewPassword:ru494Vq5ConfirmNewPassword:ru494Vq5CLIsetadminpasswordru494Vq5save注意:避免使用實際的字當作密碼,因為這樣可透過dictionary攻擊猜出或發現該密碼,您可以使用字母和數字組成的隨機字串.
若要建立這種易於記憶的字串,可以編寫一句話並使用每個字的第一個字母.
例如,"Charleswillbe6yearsoldonNovember21"變成"Cwb6yooN21".
如需詳細資訊,請參閱第33頁上的「管理層級」.
管理之通訊流量的安全化41第1章:管理設定根管理員密碼的最小長度在某些公司裏,一個人最初可能將裝置組態為根管理員,但另一個人在稍後接受了根管理員的角色並管理裝置.
為了避免後面的根管理員使用有可能很容易解碼的短密碼,最初的根管理員可以對根管理員的密碼設定一個1到31之間的最小長度要求.
只有當您是根管理員,並且您的密碼符合正在嘗試設定的最小長度要求時,才能設定最小密碼長度.
否則,安全性裝置將顯示一則錯誤資訊.
要為根管理員的密碼指定一個最小長度,可輸入下列CLI指令:setadminpasswordrestrictlengthnumber將裝置重設為出廠預設設定如果遺失管理員密碼,可以使用下面的程序將安全性裝置重設為預設設定.
將會遺失組態,但也將還原裝置存取.
若要執行此作業,您必需建立在以下中詳述的主控台連線:ScreenOSCLIReferenceGuide:IPv4CommandDescriptions及您裝置的說明文件.
1.
在登入提示下,輸入裝置的序號.
2.
在密碼提示下,再度輸入序號.
會出現下面的訊息:!
!
!
!
LostPasswordReset!
!
!
!
Youhaveinitiatedacommandtoresetthedevicetofactorydefaults,clearingallcurrentconfiguration,keysandsettings.
Wouldyouliketocontinuey/n3.
按y鍵.
會出現下面的訊息:!
!
ReconfirmLostPasswordReset!
!
Ifyoucontinue,theentireconfigurationofthedevicewillbeerased.
Inaddition,apermanentcounterwillbeincrementedtosignifythatthisdevicehasbeenreset.
Thisisyourlastchancetocancelthiscommand.
Ifyouproceed,thedevicewillreturntofactorydefaultconfiguration,whichis:SystemIP:192.
168.
1.
1;username:netscreen;password:netscreen.
Wouldyouliketocontinuey/n4.
按y鍵以重設裝置.
現在可以用netscreen作為預設使用者名稱和密碼來登入.
注意:您必需使用CLI來設定此限制.
注意:依預設,會啟用裝置的修復功能.
您可以輸入unsetadmindevice-reset指令將之停用.
同樣的,如果安全性裝置處於FIPS模式,會自動停用修復功能.
概念與範例ScreenOS參考指南42管理之通訊流量的安全化限制管理式存取可以從一個或多個子網路位址管理安全性裝置.
依預設,受信任的介面上的任何主機都可以管理安全性裝置.
若要限制對特定工作站的管理能力,必須組態管理用戶端IP位址.
範例:限制對單一工作站的管理在本範例中,IP位址為172.
16.
40.
42的工作站管理員是指定管理安全性裝置的唯一管理員.
WebUIConfiguration>Admin>PermittedIPs:輸入下面的內容,然後按一下Add:IPAddress/Netmask:172.
16.
40.
42/32CLIsetadminmanager-ip172.
16.
40.
42/32save範例:限制對子網路的管理在本範例中,172.
16.
40.
0/24子網路中的工作站管理員群組被指定管理安全性裝置.
WebUIConfiguration>Admin>PermittedIPs:輸入下面的內容,然後按一下Add:IPAddress/Netmask:172.
16.
40.
0/24CLIsetadminmanager-ip172.
16.
40.
0255.
255.
255.
0save將根管理員限制為主控台存取您也可要求根管理員只能透過主控台登入安全性裝置.
這種限制要求根管理員對要登入的裝置擁有實體的存取權限,因而能避免未經授權的使用者以根管理員身份透過遠端登入.
當您設定了這種限制後,如果有任何人嘗試透過其他方式(例如WebUI、Telnet或SSH)以根管理員身份登入,即使已在介面上啟用了這些管理選項,裝置仍將會拒絕存取.
管理之通訊流量的安全化43第1章:管理要將根管理員限制為只能透過主控台進行存取,可輸入下列指令:setadminrootaccessconsole用於管理式通訊流量的VPN通道可以使用虛擬私人網路(VirtualPrivateNetwork,VPN)通道,以確保動態指派或固定IP位址中,安全性裝置的遠端管理的安全性.
使用VPN通道可以保護任何種類的通訊流量的安全,例如NetScreen-SecurityManager、HTTP、Telnet或SSH.
(有關建立VPN通道以確保自行產生的通訊流量(例如NetScreen-SecurityManager報告、系統日誌報告或SNMP回報)的安全性的資訊,請參閱第77頁上的「自行產生通訊流量的VPN通道」.
)JuniperNetworks安全性裝置支援兩種VPN通道組態:以路由為基礎的VPN:安全性裝置使用路由設定表項目將通訊流量導向通道介面,這些介面被連結到VPN通道上.
以政策為基礎的VPN:安全性裝置使用在政策中特別參考的VPN通道名稱,以透過VPN通道引導通訊流量.
在每個VPN通道組態類型中,有下列類型的VPN通道:手動金鑰:可以在兩個通道終點手動設定定義「安全性聯盟」(SA)的三種元素:安全性參數索引(SPI)、加密金鑰和驗證金鑰.
若要在SA中變更任何元素,必需在通道的兩端將其手動輸入.
具有預先共用金鑰的自動金鑰IKE:一個或兩個預先共用的秘密-一個用於驗證,一個用於加密-其作用為種子值.
IKE通訊協定使用它們在通道的兩端產生一組對稱金鑰;也就是使用相同的金鑰進行加密和解密.
經過預先決定的間隔後,這些金鑰會自動重新產生.
具有憑證的自動金鑰IKE:使用「公開金鑰基礎結構」(PKI),通道兩端的參與者使用一個數位憑證(用於驗證)和一個RSA公開/私密金鑰組(用於加密).
加密是不對稱的;也就是金鑰組中的一個用於加密,而另一個用於解密.
如果您使用以政策為基礎的VPN組態,則必需用任何區域中的某個介面的IP位址建立一個通訊錄項目,但不能是向外介面所連結的區域.
然後可以在參考該VPN通道的政策中使用其作為來源位址.
該位址也作為遠端IPSec對等方的端項目位址.
如果正在使用以路由為基礎的VPN組態,那麼這樣的通訊錄項目是不必要的.
注意:您必需使用CLI來設定此限制.
注意:有關VPN通道的完整說明,請參閱第5卷:虛擬私人網路.
如需NetScreen-Remote的詳細資訊,請參閱NetScreen-RemoteVPNClientAdministratorGuide.
概念與範例ScreenOS參考指南44管理之通訊流量的安全化透過以路由為基礎的手動金鑰VPN通道進行管理圖14說明範例,您可從中設定以路由為基礎的手動金鑰VPN通道以提供管理式通訊流量的機密性.
該通道從在管理員工作站上(位址為10.
1.
1.
56)執行的NetScreen-RemoteVPN用戶端延伸到ethernet1(10.
1.
1.
1/24).
該管理員的工作站和ethernet1都位於Trust區域中.
將該通道命名為"tunnel-adm".
建立一個未編號的通道介面,命名為tunnel.
1,並將其連結至Trust區域和VPN通道"tunnel-adm"上.
安全性裝置使用在NetScreen-Remote用戶端上組態的內部IP位址-10.
10.
10.
1-作為超過對等方閘道位址10.
1.
1.
56的目標的目的地位址.
定義透過tunnel.
1通向10.
10.
10.
1/32的一個路由.
由於下面兩個原因,政策不是必要的:VPN通道保護在安全性裝置本身終止的管理式通訊流量,而不是透過該裝置傳送到其他安全區域.
這是一個以路由為基礎的VPN,意味著路由檢查-而非政策檢查-將目的地位址連結到通道介面上,而此介面則被連結到適當的VPN通道上.
NetScreen-Remote使用ethernet3的IP位址-1.
1.
1.
1-作為超過遠端閘道位址10.
1.
1.
1的目的之目的地位址.
NetScreen-Remote組態指定遠端參與方ID類型為"IPaddress",通訊協定類型為"All".
圖14:透過以路由為基礎的手動金鑰VPN通道進行管理注意:將此範例與第47頁上的「透過以政策為基礎的手動金鑰VPN通道進行管理」進行比較.
管理員10.
1.
1.
56(靜態IP位址)10.
10.
10.
1/32(內部IP位址)LAN網際網路Untrust區域Trust區域手動金鑰VPN通道"tunnel-adm"tunnel.
1未編號ethernet110.
1.
1.
1/24NetScreen-Remote安全性裝置ethernet31.
1.
1.
1/24管理之通訊流量的安全化45第1章:管理WebUI1.
介面Network>Interfaces>Edit(ethernet1):輸入下面的內容,然後按一下Apply:ZoneName:TrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:10.
1.
1.
1/24選擇下面的內容,然後按一下OK:InterfaceMode:NATNetwork>Interfaces>Edit(ethernet3):輸入下面的內容,然後按一下OK:ZoneName:UntrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:1.
1.
1.
1/24Network>Interfaces>NewTunnelIF:輸入下面的內容,然後按一下OK:TunnelInterfaceName:Tunnel.
1Zone(VR):Trust(trust-vr)Unnumbered:(選擇)Interface:ethernet1(trust-vr)2.
VPNVPNs>ManualKey>New:輸入下面的內容,然後按一下OK:VPNTunnelName:tunnel-admGatewayIP:10.
1.
1.
56SecurityIndex(HEXnumber):5555(Local)5555(Remote)OutgoingInterface:ethernet1ESP-CBC:(選擇)EncryptionAlgorithm:DES-CBCGenerateKeybyPassword:netscreen1AuthenticationAlgorithm:MD5GenerateKeybyPassword:netscreen2>Advanced:輸入下面的內容,然後按一下Return以設定進階選項並返回基本組態頁面:BindtoTunnelInterface:(選擇),Tunnel.
1注意:未編號的通道介面借用指定安全區介面的IP位址.
注意:由於NetScreen-Remote將密碼處理到金鑰中,方法和其他JuniperNetworks產品不同,因此在組態通道後,您必需進行下面的操作:(1)返回「手動金鑰」對話方塊(為"tunnel-adm"按一下"Configure"欄中的Edit);(2)複製產生的十六進位金鑰;並且(3)在組態通道的NetScreen-Remote端時使用十六進位金鑰.
概念與範例ScreenOS參考指南46管理之通訊流量的安全化3.
路由Network>Routing>Destination>trust-vrNew:輸入下面的內容,然後按一下OK:NetworkAddress/Netmask:10.
10.
10.
1/32Gateway:(選擇)Interface:Tunnel.
1GatewayIPAddress:0.
0.
0.
0CLI1.
介面setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.
1.
1.
1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.
1.
1.
1/24setinterfacetunnel.
1zonetrustsetinterfacetunnel.
1ipunnumberedinterfaceethernet12.
VPNsetvpntunnel-admmanual55555555gateway10.
1.
1.
56outgoingethernet1espdespasswordnetscreen1authmd5passwordnetscreen2setvpntunnel-admbindinterfacetunnel.
13.
路由setvroutertrust-vrroute10.
10.
10.
1/32interfacetunnel.
1saveNetScreen-Remote安全政策編輯器1.
按一下Options>GlobalPolicySettings,然後選擇[AllowtoSpecifyInternalNetworkAddress]核取方塊.
2.
按一下Options>Secure>SpecifiedConnections.
3.
按一下Addanewconnection,在出現的新連線圖示旁輸入Admin.
4.
組態連線選項:ConnectionSecurity:SecureRemotePartyIdentityandAddressing:IDType:IPAddress,1.
1.
1.
1Protocol:AllConnectusingSecureGatewayTunnel:(選擇)IDType:IPAddress,10.
1.
1.
1注意:未編號的通道介面借用指定安全區介面的IP位址.
注意:由於NetScreen-Remote將密碼處理到金鑰中,方法和其他JuniperNetworks產品不同,因此在組態通道後,您必需進行下面的操作:(1)輸入getvpnadmin-tun;(2)複製由"netscreen1"和"netscreen2"產生的兩個十六進位金鑰;並且(3)在組態通道的NetScreen-Remote端時使用這些十六進位金鑰.
管理之通訊流量的安全化47第1章:管理5.
按一下位於UNIX圖示左邊的+符號以展開連線政策.
6.
按一下MyIdentity;在SelectCertificate下拉清單中,選擇None;在InternalNetworkIPAddress中,輸入10.
10.
10.
1.
7.
按一下SecurityPolicy,然後選擇UseManualKeys.
8.
按一下位於"SecurityPolicy"圖示左邊的"+"符號,然後按一下"KeyExchange(Phase2)"左邊的"+"符號以更進一步展開政策.
9.
按一下Proposal1,然後選擇下列IPSec通訊協定:EncapsulationProtocol(ESP):(選擇)EncryptAlg:DESHashAlg:MD5Encapsulation:Tunnel10.
按一下InboundKeys,並在"SecurityParametersIndex"欄位中輸入5555.
11.
按一下EnterKey,輸入下面的內容,然後按一下OK:Choosekeyformat:BinaryESPEncryptionKey:dccbee96c7e546bcESPAuthenticationKey:dccbe9e6c7e546bcb0b667794ab7290c12.
按一下OutboundKeys,並在"SecurityParametersIndex"欄位中輸入5555.
13.
按一下EnterKey,輸入下面的內容,然後按一下OK:Choosekeyformat:BinaryESPEncryptionKey:dccbee96c7e546bcESPAuthenticationKey:dccbe9e6c7e546bcb0b667794ab7290c14.
按一下Save.
透過以政策為基礎的手動金鑰VPN通道進行管理圖15說明範例,從中您可為管理式通訊流量設定基於政策的手動金鑰VPN通道.
該通道從在管理員工作站上(位址為10.
1.
1.
56)執行的NetScreen-RemoteVPN用戶端延伸到ethernet1(10.
1.
1.
1/24).
該管理員的工作站和ethernet1都位於Trust區域中.
將該通道命名為"tunnel-adm"並連結到Trust區域.
安全性裝置使用在NetScreen-Remote上組態的內部IP位址-10.
10.
10.
1-作為超過對等方閘道位址10.
1.
1.
56的目標的目的地位址.
定義一個指定10.
10.
10.
1/32的Trust區域通訊錄項目,以及定義指定ethernet3IP位址的Untrust區域通訊錄項目.
儘管ethernet3介面的位址為1.
1.
1.
1/24,但您所建立的位址具有32位元網路遮罩:1.
1.
1.
1/32.
在您所建立的參考通道"tunnel-adm"的政策中,使用此位址和管理員工作站的內部位址.
政策是必要的,因為這是以政策為基礎的VPN,意味著政策查詢(而非路由查詢)將目的地位址連結到相應的VPN通道上.
必需定義透過ethernet1通向10.
10.
10.
1/32的路由.
注意:這些是在組態安全性裝置後複製的兩個產生金鑰.
概念與範例ScreenOS參考指南48管理之通訊流量的安全化NetScreen-Remote使用IP位址1.
1.
1.
1作為超過遠端閘道位址10.
1.
1.
1的目標的目的地位址.
NetScreen-Remote通道組態將遠端參與方ID類型指定為「IP位址」,將通訊協定類型指定為"All".
圖15:透過基於政策的手動金鑰VPN通道進行管理WebUI1.
介面Network>Interfaces>Edit(ethernet1):輸入下面的內容,然後按一下Apply:ZoneName:TrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:10.
1.
1.
1/24選擇下面的內容,然後按一下OK:InterfaceMode:NATNetwork>Interfaces>Edit(ethernet3):輸入下面的內容,然後按一下OK:ZoneName:UntrustStaticIP:(出現時選擇此選項)IPAddress/Netmask:1.
1.
1.
1/242.
位址Policy>PolicyElements>Addresses>Lists>New:輸入下面的內容,然後按一下OK:AddressName:Untrust-IFIPAddress/DomainName:IP/Netmask:(選擇),1.
1.
1.
1/32Zone:UntrustPolicy>PolicyElements>Addresses>Lists>New:輸入下面的內容,然後按一下OK:AddressName:adminIPAddress/DomainName:IP/Netmask:(選擇),10.
10.
10.
1/32Zone:Trust注意:將此範例與第44頁上的「透過以路由為基礎的手動金鑰VPN通道進行管理」進行比較.
管理員10.
1.
1.
56(靜態IP位址)ethernet110.
1.
1.
1/24Untrust區域網際網路Trust區域LANethernet31.
1.
1.
1/24NetScreen-Remote手動金鑰VPN通道"tunnel-adm"管理之通訊流量的安全化49第1章:管理3.
VPNVPNs>ManualKey>New:輸入下面的內容,然後按一下OK:VPNTunnelName:tunnel-admGatewayIP:10.
1.
1.
56SecurityIndex(HEXnumber):5555(Local)5555(Remote)OutgoingInterface:ethernet1ESP-CBC:(選擇)EncryptionAlgorithm:DES-CBCGenerateKeybyPassword:netscreen1AuthenticationAlgorithm:MD5GenerateKeybyPassword:netscreen24.
路由Network>Routing>Destination>trust-vrNew:輸入下面的內容,然後按一下OK:NetworkAddress/Netmask:10.
10.
10.
1/32Gateway:(選擇)Interface:ethernet1GatewayIPAddress:0.
0.
0.
05.
政策Policies>(From:Trust,To:Untrust)New:輸入下面的內容,然後按一下OK:SourceAddress:AddressBookEntry:(選擇),adminDestinationAddress:AddressBookEntry:(選擇),Untrust-IFService:AnyAction:Tunnel通道:VPN:tunnel-admModifymatchingbidirectionalVPNpolicy:(選擇)PositionatTop:(選擇)注意:由於NetScreen-Remote將密碼處理到金鑰中,方法和其他JuniperNetworks產品不同,因此在組態通道後,您必需進行下面的操作:(1)返回「手動金鑰」對話方塊(為"tunnel-adm"按一下"Configure"欄中的Edit);(2)複製產生的十六進位金鑰;並且(3)在組態通道的NetScreen-Remote端時使用十六進位金鑰.
概念與範例ScreenOS參考指南50管理之通訊流量的安全化CLI1.
介面setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.
1.
1.
1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.
1.
1.
1/242.
位址setaddresstrustadmin10.
10.
10.
1/32setaddressuntrustUntrust-IF1.
1.
1.
1/323.
VPNsetvpntunnel-admmanual55555555gateway10.
1.
1.
56outgoingethernet1espdespasswordnetscreen1authmd5passwordnetscreen24.
路由setvroutertrust-vrroute10.
10.
10.
1/32interfaceethernet15.
政策setpolicytopfromtrusttountrustadminUntrust-IFanytunnelvpntunnel-admsetpolicytopfromuntrusttotrustUntrust-IFadminanytunnelvpntunnel-admsaveNetScreen-Remote安全政策編輯器1.
按一下Options>Secure>SpecifiedConnections.
2.
按一下Addanewconnection,在出現的新連線圖示旁輸入Admin.
3.
組態連線選項:ConnectionSecurity:SecureRemotePartyIdentityandAddressing:IDType:IPAddress,1.
1.
1.
1Protocol:AllConnectusingSecureGatewayTunnel:(選擇)IDType:IPAddress,10.
1.
1.
14.
按一下位於UNIX圖示左邊的+符號以展開連線政策.
5.
按一下MyIdentity,並在SelectCertificate下拉清單中,選擇None.
6.
按一下SecurityPolicy,然後選擇UseManualKeys.
7.
按一下位於SecurityPolicy圖示左邊的+符號,然後按一下KeyExchange(Phase2)左邊的+符號以更進一步展開政策.
注意:由於NetScreen-Remote將密碼處理到金鑰中,方法和其他JuniperNetworks產品不同,因此在組態通道後,您必需進行下面的操作:(1)輸入getvpnadmin-tun;(2)複製由"netscreen1"和"netscreen2"產生的兩個十六進位金鑰;並且(3)在組態通道的NetScreen-Remote端時使用這些十六進位金鑰.
密碼政策51第1章:管理8.
按一下Proposal1,然後選擇下列IPSec通訊協定:EncapsulationProtocol(ESP):(選擇)EncryptAlg:DESHashAlg:MD5Encapsulation:Tunnel9.
按一下InboundKeys,並在SecurityParametersIndex欄位中輸入5555.
10.
按一下EnterKey,輸入下面的內容,然後按一下OK:Choosekeyformat:BinaryESPEncryptionKey:dccbee96c7e546bcESPAuthenticationKey:dccbe9e6c7e546bcb0b667794ab7290c11.
按一下OutboundKeys,並在SecurityParametersIndex欄位中輸入5555.
12.
按一下EnterKey,輸入下面的內容,然後按一下OK:Choosekeyformat:BinaryESPEncryptionKey:dccbee96c7e546bcESPAuthenticationKey:dccbe9e6c7e546bcb0b667794ab7290c13.
按一下Save.
密碼政策密碼政策功能可讓您強制執行最小長度,以及管理員(admin)與授權(auth)使用者密碼的複雜機制.
密碼政策功能是要用於本機資料庫,因此可用於不可使用Windows目錄或RADIUS的情況,以加強密碼政策.
設定密碼政策您可建立密碼政策,以要求admin與auth密碼完成下列之一或兩者:最小長度複雜性密碼的最小長度範圍是1至32個字元.
使用下列指令來建立要求admin密碼最小長度為8個字元的密碼政策:setpassword-policyuser-typeadminminimum-length8注意:這些是在組態安全性裝置後複製的兩個產生金鑰.
概念與範例ScreenOS參考指南52密碼政策密碼複雜度表示密碼必需至少包含兩個大寫字,兩個小寫字,及兩個字母與兩個非字母的字元;例如:AAbb12@#.
若要要求密碼包含複雜性,您可將複雜性設定為1.
若要取消複雜性要求,請將複雜性設定為0.
使用下列指令來建立要求auth密碼包含複雜性的密碼政策:setpassword-policyuser-typeauthcomplexity1在下列範例中,您可建立要求admin與auth帳戶之複雜性與最小長度為8個字元的密碼政策:CLIsetpassword-policyuser-typeadminminimum-length8setpassword-policyuser-typeadmincomplexity1setpassword-policyuser-typeauthminimum-length8setpassword-policyuser-typeauthcomplexity1save移除密碼政策使用unsetpassword-policy指令來刪除密碼政策.
當您移除密碼政策時,帳戶的密碼要求會轉變回預設值.
在下列範例中,您移除auth密碼的最小長度要求.
CLIunsetpassword-policyuser-typeauthminimum-length檢視密碼政策使用getpassword-policy指令來顯示admin與auth使用者的密碼政策.
移除拒絕的預設管理員密碼當您刪除(取消)裝置上有設定密碼政策的根管理員帳戶,您可能必需設定新的管理員密碼才能登出系統.
這是因為當您刪除根管理員帳戶時,ScreenOS轉變回預設密碼(netscreen).
如果您有設定要求複雜性的密碼政策,或最小長度大於9個字元,則您下一次嘗試登入會失敗.
如果發生此情況,請使用資源修復程序來取得裝置的存取權.
請參閱您的作業平台的使用者指南以取得詳細資訊.
在下列範例中,您刪除名為admin2005的管理員帳戶,然後顯示目前的密碼政策.
如所示,政策會指定密碼的最小長度必需為8個字元,且使用複雜性(最少兩個大寫字、兩個小寫字、兩個字母以及兩個非字母字元).
您也可接著建立名為admin2006的新管理員帳戶,並將密碼設定為滿足密碼政策所要求的最小長度與複雜性.
CLIunsetadminadmin2005getpassword-policyuser-type:adminpasswordminimumlength:8passwordcomplexityscheme:1注意:您僅可從指令行介面(CLI)來設定密碼政策.
建立登入橫幅53第1章:管理user-type:authpasswordminimumlength:8passwordcomplexityscheme:1setadminadmin2006passwordAAbb12@#save建立登入橫幅登入橫幅的大小最多可增加至4KB.
這樣一來便可容納使用條款聲明,以便管理員與通過驗證的使用者在登入安全性裝置並存取裝置後方受保護資源之前,先看到這些聲明.
登入橫幅是建立並儲存在安全性裝置上的明文ASCII檔案,該檔案必須命名為usrterms.
txt.
您可以重新啟動系統來啟動橫幅.
如果橫幅檔案大於4KB,則安全性裝置將無法接受,並會繼續使用透過CLI與WebUI輸入的現有橫幅.
在啟動登入橫幅之後,根裝置與所有虛擬系統(vsys)將一致採用登入橫幅.
您無法區分或自訂虛擬系統.
登入橫幅會取代所有個別定義的管理式存取橫幅與防火牆驗證橫幅.
輸入使用者名稱與密碼之後,使用者必須按一下Login按鈕.
按下Enter鍵不會讓使用者登入裝置.
透過SCP公用程式安全地將橫幅檔案複製到安全性裝置中.
以netscreen使用者名稱登入的管理員透過下列指令將my_large_banner.
txt橫幅檔案複製到IP位址為1.
1.
1.
2的安全性裝置上.
橫幅檔案必須以usrterms.
txt為檔名儲存在安全性裝置上.
linux:~#scpmy_large_banner.
txtnetscreen@1.
1.
1.
2:usrterms.
txt您必須重新啟動裝置,以啟動新增的橫幅.
若要修改橫幅檔案,請建立新檔案來複寫現有檔案.
若要移除橫幅,請在安全性裝置上發出下列指令:device->deletefileusrterms.
txt這項指令可在您重新啟動裝置後停用登入橫幅功能.
注意:您僅可從指令行介面(CLI)來設定管理員帳戶.
概念與範例ScreenOS參考指南54建立登入橫幅儲存日誌資訊55第2章監看安全性裝置本章討論下列關於監看JuniperNetworks安全性裝置的主題:第55頁上的「儲存日誌資訊」第56頁上的「事件日誌」第60頁上的「通訊流量記錄」第65頁上的「自我記錄」第67頁上的「下載資源修復日誌」第67頁上的「通訊流量示警」第70頁上的「系統日誌」第72頁上的「簡易網路管理通訊協定」第77頁上的「自行產生通訊流量的VPN通道」第91頁上的「檢視螢幕計數器」儲存日誌資訊所有JuniperNetworks安全性裝置皆可讓您將事件和通訊流量記錄資料儲存於本裝置內部(快閃記憶體)和外部(在多個位置處).
儘管在內部儲存日誌資訊很方便,卻受限於裝置記憶體容量.
當內部記憶體空間完全填滿時,安全性裝置就開始用最新的日誌項目覆寫最早的項目.
如果在儲存記錄資訊之前出現先進先出(FIFO)作用程序,就可能會遺失資料.
為了減少資料遺失,可以將事件和通訊流量記錄儲存在外部系統日誌或WebTrends伺服器中,或儲存在NetScreen-GlobalPRO資料庫中.
安全性裝置每秒會將新事件和通訊流量記錄項目傳送到外部儲存位置.
概念與範例ScreenOS參考指南56事件日誌以下清單提供可能用於記錄資料的目的位置:Console:當您在主控台進行安全性裝置故障排除時,主控台即是顯示所有日誌項目的目的位置.
您也可以選擇在此只出現警示資訊(關鍵的、警示的、緊急的),這樣,觸發一個報警時,如果您恰好在使用主控台,就能夠立即提醒您.
Internal:讓您儲存有限量的記錄項目.
Email:將事件和通訊流量記錄傳送給遠端管理員的方法.
SNMP:除了傳送SNMP回報之外,安全性裝置也能將警示資訊(關鍵的、警示的、緊急的)從其事件日誌中傳送到SNMP社群.
Syslog:安全性裝置可內部儲存的所有事件和通訊流量記錄項目,其也可以傳送到系統日誌伺服器中.
由於系統日誌伺服器的儲存容量遠大於安全性裝置上的內部快閃記憶體,因此,透過將資料傳送到系統日誌伺服器,可以減少日誌項目超過最大內部儲存空間時發生的資料遺失.
系統日誌儲存指定的安全性裝置中的警示事件和緊急事件,以及所指定裝置中的所有其他事件(包括通訊流量資料).
WebTrends:可讓您檢視的關鍵、警示和緊急的事件記錄資料比在系統日誌中更具圖形化,系統日誌是以文字為基礎工具.
CompactFlash(PCMCIA):讓您將資料儲存於CompactFlash卡.
USB:可供您將資料儲存於USB隨身碟中.
若將USB設定為日誌目的地,系統即會將日誌訊息傳送至USB隨身碟上的檔案.
該日誌檔案的名稱為hostname_date.
evt_log,其中hostname是開機時的系統主機名稱,date則是上次啟動裝置的日期.
系統預設禁止將資料記入USB,請使用setlogusbenableCLI指令來啟用USB日誌記錄功能.
請使用setlog.
.
.
destination.
.
.
指令來設定所有日誌目的地的安全性層級.
下列範例將關鍵層級或較高層級的所有系統模組訊息記錄至USB隨身碟中:setlogmodulesystemlevelcriticaldestinationusb事件日誌ScreenOS提供了監視系統事件的事件日誌,例如由管理員產生的組態變化,以及和操作行為、攻擊有關的自行產生訊息和警報.
安全性裝置將系統事件分類到下列的嚴重性層級中:緊急:有關SYN攻擊、TearDrop攻擊及PingofDeath攻擊的訊息.
如需這些攻擊類型的詳細資訊,請參閱第4卷:攻擊偵測與防禦機制.
警訊:關於需要立即注意的情況的訊息,如防火牆遭受攻擊和授權金錀到期.
關鍵:關於裝置功能可能受影響的狀況的訊息,如高可用性(HA)狀態變更.
錯誤:關於可能影響裝置功能的錯誤狀況訊息,如防毒掃描失敗或與SSH伺服器通訊時失敗.
警告:關於可能影響裝置功能的狀況訊息,例如無法連線到電子郵件伺服器,或驗證失敗、逾時和成功.
事件日誌57第2章:監看安全性裝置通知:一般事件的相關訊息,包括管理員所初始的組態變更.
資訊:提供一般系統作業資訊的訊息.
除錯:提供除錯工作適用的詳細資訊之訊息.
事件記錄顯示每個系統事件的日期、時間、層級及說明.
透過WebUI或CLI可以檢視安全性裝置的快閃記憶體中儲存的各類系統事件.
您也可以在指定的位置開啟或儲存檔案,然後用ASCII文字編輯器(如Notepad或WordPad)來檢視檔案.
另一種選擇,您也可以將事件傳送到外部儲存空間(請參閱第55頁上的「儲存日誌資訊」).
按嚴重性和關鍵字檢視事件日誌透過使用CLI或WebUI來檢視裝置中儲存的事件日誌.
您可以按嚴重性層級顯示記錄項目以及用關鍵字在WebUI和CLI中搜尋事件記錄.
若要按嚴重性層級顯示事件記錄,請執行下面的操作之一:WebUIReports>SystemLog>Event:從LogLevel下拉式清單中選擇嚴重性層級.
CLIgeteventlevel{emergency|alert|critical|error|warning|notification|information|debugging}若要按關鍵字搜尋事件記錄,請執行下面的操作之一:WebUIReports>SystemLog>Event:在搜尋欄位中輸入最多包含15個字元的單字或片語,然後按一下Search.
CLIgeteventincludeword_string在此例中,檢視含有「警告」嚴重性層級的事件日誌項目,並搜尋關鍵字「病毒防護」.
WebUIReports>SystemLog>Event:LogLevel:Warning(選擇)Search:輸入AV,然後按一下Search.
CLIgeteventlevelwarningincludeav注意:如需事件記錄中所出現訊息的詳細資訊,請參閱ScreenOSMessageLogReferenceGuide.
概念與範例ScreenOS參考指南58事件日誌排序和過濾事件日誌此外,可以使用CLI根據下列條件排序或過濾事件日誌:來源或目的地IP位址:只有某些事件包含來源或目的地IP位址,例如驗證、Land攻擊(landattack)或封包洪流(pingflood)攻擊.
當您按來源或目的地IP位址排序事件日誌時,本裝置將排序並且僅顯示含有來源或目的地IP位址的事件日誌.
不包含來源或目的地IP位址的所有事件日誌則被略過.
驗證日誌訊息包括使用者的IP位址.
當您指定來源或目的地IP位址或位址範圍來過濾事件日誌時,本裝置將顯示指定的來源或目的地IP位址或位址範圍的事件日誌項目.
日期:可以僅按日期或按日期和時間排序事件日誌.
當按日期和時間排序日誌項目時,本裝置將按日期和時間的降冪列出日誌項目.
也可以透過指定一個起始日期、終止日期或日期範圍來過濾事件日誌項目.
當指定一個起始日期時,裝置將顯示含有該起始日期後的日期/時戳的日誌項目.
當指定一個終止日期時,裝置將顯示含有該終止日期前的日期/時戳的日誌項目.
時間:按照時間排序日誌時,本裝置將按降冪顯示日誌項目而不考量日期.
指定一個起始時間時,裝置將顯示含有該起始時間後的時戳的日誌項目,而不考量日期.
指定一個終止時間時,裝置將顯示含有該終止時間前的時戳的日誌項目,而不考量日期.
如果同時指定了開始和終止時間,裝置將顯示含有所指定的時間段內的時戳的日誌項目.
訊息類型ID編號:可以顯示含一個特定的訊息類型ID編號的事件日誌項目,或者可顯示含有指定範圍內的訊息類型ID編號的日誌項目.
本裝置將按日期和時間的降冪顯示含有所指定的訊息類型ID編號的日誌項目.
在此例中,將檢視來源IP位址在10.
100.
0.
0到10.
200.
0.
0範圍內的事件項目.
這些日誌項目也按來源IP位址排序.
WebUICLIgeteventsort-bysrc-ip10.
100.
0.
0-10.
200.
0.
0下載事件日誌可在指定位置開啟或儲存事件日誌,然後用ASCII文字編輯器(如Notepad或WordPad)來檢視該檔案.
另一種選擇則是將日誌項目傳送到外部儲存空間(請參閱第55頁上的「儲存日誌資訊」).
可以透過WebUI下載整個事件日誌.
可以透過CLI按嚴重性層級下載事件日誌.
日期時間模組層級層級類型說明2003-05-1615:56:20系統警告00547AVscanman已移除.
2003-05-1609:45:52系統警告00547AVtest1已移除.
符合項目總計=2注意:您必需使用CLI,按位址項目排序事件日誌.
事件日誌59第2章:監看安全性裝置範例:下載整個事件日誌在此例中,將事件日誌下載到本機目錄中.
使用WebUI,將它下載到C:\netscreen\logs.
使用CLI時,將其下載到IP位址為10.
1.
1.
5的TFTP伺服器的根目錄下.
將檔案命名為"evnt07-02.
txt".
WebUI1.
Reports>SystemLog>Event:按一下Save.
FileDownload對話方塊會提示您開啟該檔案(使用ASCII編輯器)或將其儲存到磁片.
2.
選擇Save選項,然後按一下OK.
FileDownload對話方塊會提示您選擇目錄.
3.
指定C:\netscreen\logs,命名檔案為evnt07-02.
txt,然後按一下Save.
CLIgetevent>tftp10.
1.
1.
5evnt07-02.
txt範例:下載關鍵事件的事件記錄在本例中,可將事件日誌中輸入的關鍵事件下載到IP位址為10.
1.
1.
5的TFTP伺服器的根目錄下.
將檔案命名為crt_evnt07-02.
txt.
WebUICLIgeteventlevelcritical>tftp10.
1.
1.
5crt_evnt07-02.
txt注意:您必需使用CLI按嚴重性層級下載項目.
概念與範例ScreenOS參考指南60通訊流量記錄通訊流量記錄JuniperNetworks安全性裝置可以根據先前組態的政策監視和記錄允許或拒絕的通訊流量.
可以為所組態的每個政策啟用記錄選項.
當您啟用政策的紀錄選項允許通訊流量時,裝置將記錄該政策所允許的通訊流量.
當您啟用政策的紀錄選項拒絕通訊流量時,裝置將記錄嘗試透過該裝置,但因該政策而被卸除的通訊流量.
通訊流量日誌記錄每個會話的下列要素:連接開始的日期和時間持續時間來源位址和連接埠號碼轉換後的來源位址和連接埠號碼目的地位址和連接埠號碼會話的持續時間會話中使用的服務若要記錄安全性裝置接收的所有流量,您必需啟用全部政策的記錄選項.
若要記錄特定流量,則只須啟用適用於該流量的政策記錄選項.
如要啟用某個政策記錄選項,請執行下列任一操作:WebUIPolicies>(From:src_zone,To:dst_zone)New:選擇Logging,然後按一下OK.
CLIsetpolicyfromsrc_zonetodst_zonesrc_addrdst_addrserviceactionlog除了記錄政策的流量外,本裝置也保存該政策所應用到的所有網路通訊流量的位元組數.
當啟用計數選項時,本裝置在顯示其通訊流量記錄項目時包含下列資訊從來源傳送到目的地的位元組從目的地傳送到來源的位元組您可從WebUI與CLI啟用政策計數.
WebUIPolicies>(From:src_zone,To:dst_zone)New>Advanced:選擇Counting,按一下Return,然後按一下OK.
CLIsetpolicyfromsrc_zonetodst_zonesrc_addrdst_addrserviceactionlogcount通訊流量記錄61第2章:監看安全性裝置檢視通訊流量記錄您可以使用WebUI或CLI檢視儲存在安全性裝置快閃記憶體中的通訊流量日誌項目.
WebUIPolicies>(政策IDnumber)或者Reports>Policies>Logging(政策IDnumber)CLIgetlogtrafficpolicynumber範例:檢視通訊流量記錄項目在本例中,您檢視ID編號3的政策通訊流量記錄詳細資料,而且先前已啟用記錄:WebUIPolicies:按一下含ID編號3的政策的登入圖示.
出現以下資訊:Date/Time:2003-01-0921:33:43Duration:1800sec.
SourceIPAddress/Port:1.
1.
1.
1:1046DestinationIPAddress/Port:10.
1.
1.
5:80Service:HTTPReasonforClose:AgeoutTranslatedSourceIPAddress/Port:1.
1.
1.
1:1046TranslatedDestinationIPAddress/Port:10.
1.
1.
5:80PolicyIDnumber:3CLIgetlogtrafficpolicy3概念與範例ScreenOS參考指南62通訊流量記錄排序和過濾通訊流量記錄與事件日誌類似,在使用CLI檢視通訊流量記錄時,您可以按照下列條件排序或過濾日誌項目:來源或目的地IP位址:您可以按來源或目的地IP位址排序通訊流量記錄.
也可以透過指定來源或目的地IP位址或位址範圍來過濾通訊流量記錄.
日期:您可以僅按日期或按日期和時間排序通訊流量記錄.
裝置按日期和時間的降冪列出日誌項目.
也可以透過指定一個起始日期、終止日期或日期範圍來過濾事件日誌項目.
當指定一個起始日期時,裝置將顯示含有該起始日期後的日期/時戳的日誌項目.
當指定一個終止日期時,裝置將顯示含有該終止日期前的日期/時戳的日誌項目.
時間:當按時間排序通訊流量記錄時,本裝置將按降冪顯示日誌項目,而不考量日期.
當指定一個起始時間時,裝置將顯示含有該起始時間後的時戳的日誌項目,而不考量日期.
當指定一個終止時間時,裝置將顯示含有該終止時間前的時戳的日誌項目,而不考量日期.
如果同時指定了開始和終止時間,裝置將顯示含有所指定的時間段內的時戳的日誌項目.
範例:按時間排序通訊流量記錄在此例中,您按時間排序來檢視自凌晨1點後時戳的通訊流量日誌.
WebUICLIgetlogtrafficsort-bytimestart-time01:00:00下載通訊流量記錄也可在指定位置開啟或儲存日誌,然後用ASCII文字編輯器(如Notepad或WordPad)來檢視該檔案.
另一種選擇則是將通訊流量記錄項目傳送到外部儲存空間(請參閱第55頁上的「儲存日誌資訊」).
當一個會話終止時,安全性裝置會在通訊流量記錄中產生一個項目.
當啟用安全性裝置將通訊流量記錄項目傳送到外部儲存位置時,其每秒傳送一次新項目.
由於當一個會話結束時安全性裝置產生通訊流量記錄項目,因此,對於在過去的一秒內結束的所有會話,安全性裝置都將傳送通訊流量記錄項目.
也可以包含一些通訊流量記錄項目:藉由電子郵件傳送給管理員的事件日誌項目.
在此例中,您下載ID編號12的政策的通訊流量記錄.
使用WebUI時,將其下載到本機目錄"C:\netscreen\logs".
使用CLI時,將其下載到IP位址為10.
10.
20.
200的TFTP伺服器的根目錄下.
將該檔案命名為"traf_log11-21-02.
txt".
注意:您只能透過CLI按時間排序通訊流量日誌.
通訊流量記錄63第2章:監看安全性裝置WebUI1.
Reports>Policies>Logging(政策ID12):按一下Save.
FileDownload對話方塊會提示您開啟該檔案(使用ASCII編輯器)或將其儲存到磁片.
2.
選擇Save選項,然後按一下OK.
FileDownload對話方塊會提示您選擇目錄.
3.
指定C:\netscreen\logs,將檔案命名為"traf_log11-21-02.
txt",然後按一下Save.
CLIgetlogtrafficpolicy12>tftp10.
10.
20.
200traf_log11-21-02.
txt移除關閉理由欄位預設的情況下,ScreenOS會記錄與顯示會話關閉的理由,因此您就可以分辨建立訊息與關閉訊息.
如果您不想顯示理由,可將裝置明確設定為不顯示欄位.
表1顯示ScreenOS所識別的會話理由.
所有無法識別的會話都會標示為OTHER.
表1:關閉會話的理由代碼登入理由意義TCPFIN因為FIN封包而中斷TCP連線.
TCPRST因為RST封包而中斷TCP連線.
RESP特殊會話,例如PING與DNS,收到回應時關閉.
ICMP收到ICMP錯誤.
AGEOUT連線正常過期.
ALG非因為錯誤或其他ALG特定理由,而強制會話關閉ALG.
NSRP收到NSRP會話關閉訊息.
AUTHAuth失敗.
IDP遭IDP關閉.
SYNPROXYFAILSYNProxy失敗.
SYNPROXYLIMIT已達到SYNproxy會話的系統限制.
TENT2NORMCONV嘗試進行一般會話失敗.
PARENTCLOSED父代會話已關閉.
CLI使用者指令已關閉.
OTHER關閉的理由無法識別.
概念與範例ScreenOS參考指南64通訊流量記錄含關閉理由的樣本通訊流量記錄如下:ns->getlogtrafficPID1,fromTrusttoUntrust,srcAny,dstAny,serviceANY,actionPermitTotaltrafficentriesmatchedunderthispolicy=2300DateTimeDurationSourceIPPortDestinationIPPortServiceReasonXlatedSrcIPPortXlatedDstIPPortID2001-10-2507:08:510:00:5910.
251.
10.
25137172.
24.
16.
10137NETBIOS(NS)Close-AGEOUT172.
24.
76.
1278946172.
24.
16.
101372001-10-2507:08:510:00:5910.
251.
10.
25137172.
240.
244.
10137NETBIOS(NS)Close-AGEOUT172.
24.
76.
1278947172.
24.
16.
101372001-10-2507:07:530:00:0110.
251.
10.
251028172.
24.
16.
1053DNSClose-RESP172.
24.
76.
1278945172.
24.
16.
10532001-10-2507:06:2900:01:0010.
251.
10.
25138172.
240.
244.
10138NETBIOS(NS)Close-AGEOUT172.
24.
76.
1278933172.
24.
16.
101382001-10-2507:06:110:03:1610.
251.
10.
252699172.
24.
60.
321357TCPPORT1357Close-TCPFIN172.
24.
76.
1278921172.
24.
60.
321357不含關閉理由的樣本通訊流量記錄如下:ns->getlogtrafficPID1,fromTrusttoUntrust,srcAny,dstAny,serviceHTTP,actionPermitTotaltrafficentriesmatchedunderthispolicy=1538DateTimeDurationSourceIPPortDestinationIPPortServiceXlatedSrcIPPortXlatedDstIPPortID2002-07-1915:53:110:01:3310.
251.
10.
252712207.
17.
137.
10880HTTP10.
251.
10.
252712207.
17.
137.
108802002-07-1915:51:3300:00:1210.
251.
10.
25271166.
163.
175.
12880HTTP10.
251.
10.
25271166.
163.
175.
128802002-07-1915:41:3300:00:1210.
251.
10.
25268866.
163.
175.
12880HTTP10.
251.
10.
25268866.
163.
175.
128802002-07-1915:31:390:00:1810.
251.
10.
25267866.
163.
175.
12880HTTP10.
251.
10.
25267866.
163.
175.
12880在下列範例中,您可設定裝置不顯示關閉會話的理由,因為它會影響您想在通訊流量日誌中執行的指令碼.
您必需使用指令行介面來變更日誌輸出的樣式.
WebUI不可用.
CLIsetlogtrafficdetail0save自我記錄65第2章:監看安全性裝置自我記錄ScreenOS提供了自我記錄,以監視並記錄在安全性裝置處終止的所有封包.
例如,如果在一個介面上停用了一些管理選項(如WebUI、SNMP和ping)-並且HTTP、SNMP或ICMP流量被傳送到該介面上,那麼對每個被卸除的封包,將會有項目出現在自我記錄中.
若要啟動自我記錄,請執行下列操作之一:WebUIConfiguration>ReportSettings>LogSettings:選擇LogPacketsTerminatedtoSelf核取方塊,然後按一下Apply.
CLIsetfirewalllog-self當您啟用自我記錄時,安全性裝置會將項目記錄在兩個位置:自我記錄和通訊流量日誌.
與訊流量記錄類似,自我記錄顯示在安全性裝置處被卸除的每個封包的日期、時間、來源位址/連接埠、目的地位址/連接埠、持續時間和服務.
自我記錄項目通常有一個來源區域Null,以及一個目的地區域"self".
檢視自我記錄透過CLI或WebUI可以檢視儲存在安全性裝置快閃記憶體中的自我記錄項目.
WebUIReports>SystemLog>SelfCLIgetlogself排序和過濾自我記錄與事件和通訊流量記錄類似,在使用CLI檢視自我記錄時,可以按照下列條件排序或過濾日誌項目:來源或目的地IP位址:您可以按來源或目的地IP位址排序自我記錄.
也可以透過指定來源或目的地IP位址或位址範圍來過濾自我記錄.
日期:可以僅按日期或按日期和時間排序自我記錄.
裝置按日期和時間的降冪列出日誌項目.
也可以透過指定起始日期、終止日期或日期範圍來過濾自我記錄項目.
指定一個起始日期時,裝置將顯示含有該起始日期後的日期/時戳的日誌項目.
指定一個終止日期時,裝置將顯示含有該終止日期前的日期/時戳的日誌項目.
時間:按照時間排序自我記錄,安全性裝置將按降冪顯示日誌項目,不考量日期.
指定一個起始時間時,裝置將顯示含有該起始時間後的時戳的日誌項目,而不考量日期.
指定一個終止時間時,裝置將顯示含有該終止時間前的時戳的日誌項目,而不考量日期.
如果同時指定了開始和終止時間,裝置將顯示含有所指定的時間段內的時戳的日誌項目.
概念與範例ScreenOS參考指南66自我記錄範例:按時間過濾自我記錄在此例中按終止時間過濾自我記錄.
安全性裝置顯示帶有指定的終止時間之前的時戳的日誌項目:WebUICLIgetlogselfend-time16:32:57下載自我記錄也可在指定位置開啟日誌或保存為一個文字檔案,然後用ASCII文字編輯器(如Notepad或WordPad)來檢視該檔案.
在本範例中,可將自我記錄下載到本機目錄"C:\netscreen\logs"(WebUI)或IP位址為10.
1.
1.
5的TFTP伺服器的根目錄中(CLI).
將該檔案命名為"self_log07-03-02.
txt".
WebUI1.
Reports>SystemLog>Self:按一下Save.
FileDownload對話方塊會提示您開啟該檔案(使用ASCII編輯器)或將其儲存到磁片.
2.
選擇Save選項,然後按一下OK.
FileDownload對話方塊會提示您選擇目錄.
3.
指定C:\netscreen\logs,將檔案命名為"self_log07-03-02.
txt",然後按一下Save.
CLIgetlogself>tftp10.
1.
1.
5self_log07-03-02.
txt注意:您只能透過CLI按時間篩選自我記錄.
日期時間持續時間來源IP連接埠目的地IP連接埠服務2003-08-2116:32:570:00:0010.
100.
25.
10224.
0.
0.
50OSPF2003-08-2116:32:470:00:0010.
100.
25.
10224.
0.
0.
50OSPF符合項目總計=2下載資源修復日誌67第2章:監看安全性裝置下載資源修復日誌JuniperNetworks安全性裝置提供了一個資源修復日誌,顯示每一次裝置使用資源修復程式來還原為其預設設定的相關資訊(請參閱第41頁上的「將裝置重設為出廠預設設定」).
除了透過WebUI或CLI檢視資源修復日誌外,也可在指定位置開啟或儲存檔案.
使用ASCII文字編輯器(如Notepad)來檢視檔案.
在本範例中,可將資源修復日誌下載到本機目錄"C:\netscreen\logs"(WebUI)或IP位址為10.
1.
1.
5的TFTP伺服器的根目錄中(CLI).
將檔案命名為"sys_rst.
txt".
WebUI1.
Reports>SystemLog>AssetRecovery:按一下Save.
FileDownload對話方塊會提示您開啟該檔案(使用ASCII編輯器)或將其儲存到磁片.
2.
選擇Save選項,然後按一下OK.
FileDownload對話方塊會提示您選擇目錄.
3.
指定C:\netscreen\logs,將檔案命名為"sys_rst.
txt",然後按一下Save.
CLIgetlogasset-recovery>tftp10.
1.
1.
5sys_rst.
txt通訊流量示警安全性裝置支援在通訊流量超出在政策中定義的臨界值時的流量警示.
您可以組態安全性裝置,只要安全性裝置產生通訊流量警示,就能透過下面的一種或多種方法來發出警示:主控台內部(事件日誌)電子郵件SNMP系統日誌WebTrendsNetScreen-GlobalPRO概念與範例ScreenOS參考指南68通訊流量示警設定警示臨界值以偵測異常活動.
若要瞭解異常活動的構成,必需先建立正常活動的基準.
若要為網路通訊流量建立這樣的基準,必需觀察一段時間內的通訊流量模式.
然後,在確定了認為是正常的通訊流量數後,您可以設定高於該數量的警示臨界值.
超出該臨界值的通訊流量會觸發一個警示,以引起您對背離基準的注意.
然後您可以評估情況,確定引起背離的原因,以及是否需要採取行動以作出回應.
您也可以使用通訊流量警示,提供一個折衷系統以政策為基礎的入侵偵測和通知.
下面提供了為達到這些目的而使用通訊流量警示的範例.
範例:以政策為基礎的入侵偵測在本範例中,在DMZ區域中有一個IP位址為211.
20.
1.
5(名稱為"web1")的Web伺服器.
您要偵測從Untrust區域透過Telnet存取此網路伺服器的所有嘗試.
若要實現此目的,可建立一政策,拒絕由Untrust區域內任何位址發往DMZ區域內名為web1的Web伺服器的Telnet流量,並可設定64位元組的通訊流量警示臨界值.
由於最小的IP封包為64位元組,即使只有一個嘗試從Untrust區域送往Web伺服器的Telnet封包,都會觸發警示.
WebUIPolicy>PolicyElements>Addresses>List>New:輸入下面的內容,然後按一下OK:AddressName:web1IPAddress/DomainName:IP/Netmask:(選擇),211.
20.
1.
5/32Zone:DMZPolicies>(From:Untrust,To:DMZ)New:輸入下面的內容,然後按一下OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),web1Service:TelnetAction:Deny>Advanced:輸入下面的內容,然後按一下Return以設定進階選項並返回基本組態頁面:Counting:(選擇)AlarmThreshold:64Bytes/Sec,0Kbytes/MinCLIsetaddressdmzweb1211.
20.
1.
5/32setpolicyfromuntrusttodmzanyweb1telnetdenycountalarm640save通訊流量示警69第2章:監看安全性裝置範例:折衷系統通知在本範例中,使用通訊流量警示以提供折衷系統的通知.
在DMZ區域中有一台IP位址為211.
20.
1.
10(名稱為ftp1)的FTP伺服器.
您要允許由FTP取得的通訊流量能到達此伺服器.
但您不想要任何種類源自此FTP伺服器的通訊流量.
如果出現這種通訊流量則表示系統已受到折衷,可能是與NIMDA病毒相似的病毒引起的.
在Global區域定義FTP伺服器的位址,這樣就能建立兩個全域政策.
WebUIPolicy>PolicyElements>Addresses>List>New:輸入下面的內容,然後按一下OK:AddressName:ftp1IPAddress/DomainName:IP/Netmask:(選擇),211.
20.
1.
10/32Zone:GlobalPolicies>(From:Global,To:Global)New:輸入下面的內容,然後按一下OK:SourceAddress:AddressBookEntry:(選擇),AnyDestinationAddress:AddressBookEntry:(選擇),ftp1Service:FTP-GetAction:PermitPolicies>(From:Global,To:Global)New:輸入下面的內容,然後按一下OK:SourceAddress:AddressBookEntry:(選擇),ftp1DestinationAddress:AddressBookEntry:(選擇),AnyService:ANYAction:Deny>Advanced:輸入下面的內容,然後按一下Return以設定進階選項並返回基本組態頁面:Counting:(選擇)AlarmThreshold:64Bytes/Sec,0Kbytes/MinCLIsetaddressglobalftp1211.
20.
1.
10/32setpolicyglobalanyftp1ftp-getpermitsetpolicyglobalftp1anydenycountalarm640save概念與範例ScreenOS參考指南70系統日誌範例:傳送電子郵件警訊在此範例中,設定有警示時,以電子郵件警訊來通知.
郵件伺服器位於172.
16.
10.
254,通知的第一個電子郵件位址為jharker@juniper.
net,第二個位址為driggs@juniper.
net.
安全性裝置包括通訊流量日誌及透過電子郵件傳送的事件日誌.
WebUIConfiguration>ReportSettings>Email:輸入下面的資訊,然後按一下Apply:EnableE-MailNotificationforAlarms:(選擇)IncludeTrafficLog:(選擇)SMTPServerName:172.
16.
10.
254E-MailAddress1:jharker@juniper.
netE-MailAddress2:driggs@juniper.
netCLIsetadminmailalertsetadminmailmail-addr1jharker@juniper.
netsetadminmailmail-addr2driggs@juniper.
netsetadminmailserver-name172.
16.
10.
254setadminmailtraffic-logsave系統日誌安全性裝置可以為達到預先定義的嚴重性層級(請參閱第56頁上的「事件日誌」中的嚴重性等級清單)的系統事件產生系統日誌訊息,並能可選地為政策允許跨越防火牆的通訊流產生系統日誌訊息.
其將這些訊息傳送到最多四個指定的系統日誌主機,這些主機執行在UNIX/Linux系統上.
對於每個系統日誌主機,可以指定下列各項:安全性裝置是包括通訊流量記錄項目、事件日誌項目,還是同時包括兩者.
是否透過VPN通道將通訊流量傳送到系統日誌伺服器,如果透過VPN通道,該使用哪個介面作為來源介面(例如,請參閱第78頁上的「範例:透過以路由為基礎的通道自行產生的通訊流量」和第85頁上的「範例:透過以政策為基礎的通道自行產生的通訊流量」).
安全性裝置將系統日誌訊息傳送到哪個連接埠上.
安全性裝置和常規裝置;前者分類並傳送緊急和警示級訊息到系統日誌主機;後者分類和傳送所有與安全無關的事件的其他訊息.
預設情況下,安全性裝置透過UDP(連接埠514)將訊息傳送到系統日誌主機.
為了提高訊息傳送的可靠性,可以將每個系統日誌主機的傳輸通訊協定改為TCP.
注意:如果啟用了DNS,也可以使用郵件伺服器的主機名稱,如mail.
juniper.
net.
系統日誌71第2章:監看安全性裝置您可以使用系統日誌訊息為系統管理員建立電子郵件警訊,或在使用UNIX系統日誌慣例的指定主機主控台上顯示訊息.
範例:啟用多個系統日誌伺服器在此例中,組態安全性裝置,透過TCP將事件和通訊流量記錄傳送到下列IP位址/連接埠號碼的三個系統日誌伺服器:1.
1.
1.
1/1514、2.
2.
2.
1/2514和3.
3.
3.
1/3514.
將安全等級和設備層級都設定為Local0.
WebUIConfiguration>ReportSettings>Syslog:輸入下面的內容,然後按一下Apply:Enablesyslogmessages:選擇此選項以將日誌傳送到指定的系統日誌伺服器.
No.
:選擇1、2和3表示正在新增3個系統日誌伺服器.
IP/Hostname:1.
1.
1.
1,2.
2.
2.
1,3.
3.
3.
1Port:1514,2514,3514SecurityFacility:Local0、Local0、Local0Facility:Local0、Local0、Local0EventLog:(選擇)TrafficLog:(選擇)TCP:(選擇)CLIsetsyslogconfig1.
1.
1.
1port1514setsyslogconfig1.
1.
1.
1logallsetsyslogconfig1.
1.
1.
1facilitieslocal0local0setsyslogconfig1.
1.
1.
1transporttcpsetsyslogconfig2.
2.
2.
1port2514setsyslogconfig2.
2.
2.
1logallsetsyslogconfig2.
2.
2.
1facilitieslocal0local0setsyslogconfig2.
2.
2.
1transporttcpsetsyslogconfig3.
3.
3.
1port3514setsyslogconfig3.
3.
3.
1logallsetsyslogconfig3.
3.
3.
1facilitieslocal0local0setsyslogconfig2.
2.
2.
1transporttcpsetsyslogenablesave注意:在UNIX/Linux平台上,修改檔案/etc/rc.
d/init.
d/syslog,這樣系統日誌就能從遠端資源(syslog-r)中擷取資訊.
概念與範例ScreenOS參考指南72簡易網路管理通訊協定啟用通知事件的WebTrendsNetIQ提供了稱為WebTrendsFirewallSuite的產品,可讓您根據安全性裝置產生的日誌建立自訂的報告.
WebTrends會分析日誌檔案,並以圖形格式顯示所需的資訊.
您可以建立關於所有事件與嚴重性層級的報告,或者著重報告某個方面(如防火牆攻擊).
(如需WebTrends的詳細資訊,請參閱WebTrends產品文件.
)也可透過VPN通道傳送WebTrends訊息.
在WebUI中,使用UseTrustZoneInterfaceasSourceIPforVPN選項.
在CLI中,使用setwebtrendsvpn指令.
在以下範例中,您會將通知訊息傳送到WebTrends主機(172.
10.
16.
25).
WebUI1.
WebTrends設定Configuration>ReportSettings>WebTrends:輸入下面的內容,然後按一下Apply:EnableWebTrendsMessages:(選擇)WebTrendsHostName/Port:172.
10.
16.
25/5142.
安全性層級Configuration>ReportSettings>LogSettings:輸入下面的內容,然後按一下Apply:WebTrendsNotification:(選擇)CLI3.
WebTrends設定setwebtrendshost-name172.
10.
16.
25setwebtrendsport514setwebtrendsenable4.
安全性層級setlogmodulesystemlevelnotificationdestinationwebtrendssave簡易網路管理通訊協定JuniperNetworks安全性裝置的「簡易網路管理通訊協定」(SNMP)代理讓網路管理員可以檢視關於網路及其上裝置的統計資料,以及接收關注的系統事件通知.
农历春节将至,腾讯云开启了热门爆款云产品首单特惠秒杀活动,上海/北京/广州1核2G云服务器首年仅38元起,上架了新的首单优惠活动,每天三场秒杀,长期有效,其中轻量应用服务器2G内存5M带宽仅需年费38元起,其他产品比如CDN流量包、短信包、MySQL、直播流量包、标准存储等等产品也参与活动,腾讯云官网已注册且完成实名认证的国内站用户均可参与。活动页面:https://cloud.tencent.c...
云基成立于2020年,目前主要提供高防海内外独立服务器用户,欢迎各类追求稳定和高防优质线路的用户。业务可选:洛杉矶CN2-GIA+高防(默认500G高防)、洛杉矶CN2-GIA(默认带50Gbps防御)、香港CN2-GIA高防(双向CN2GIA专线,突发带宽支持,15G-20G DDoS防御,无视CC)、国内高防服务器(广州移动、北京多线、石家庄BGP、保定联通、扬州BGP、厦门BGP、厦门电信、...
快快云怎么样?快快云是一家成立于2021年的主机服务商,致力于为用户提供高性价比稳定快速的主机托管服务,快快云目前提供有香港云服务器、美国云服务器、日本云服务器、香港独立服务器、美国独立服务器,日本独立服务器。快快云专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端服务部署,促使用户云端部署化简为零,轻松快捷运用云计算!多年云计算领域服务经验,遍布亚太地区的海量节点为业务推进提供强大...