01_初始配置及管理_图文.ppt

安全设备管理电信安全网关业务培训教程目标• 安全网关的组成• 登录 /管理安全网关的方法• 系统管理的配置• 管理 license keys• 配置文件的导入导出• 系统文件（ ScreenOS）的管理2系统组成• 所有关键功能都是在内存中执行的• 可以通过 WEB或者命令行两种方式系统缓存运行中的配置运行中的 ScreenOSScreenOS文件启动配置其它东西内存Flash接口 .接口 .接口 .SOC@启动 /重启外部系统 /应用Web网管安全网关DNS/SyslogCLI 网管“Get”“Set”3登录安全网关• 通过 Console线缆来连接安全网关• 使用 Windows系统自带的超级终端（还原默认值）即可– 最为安全的登录方式– 无须网络支持就可以登录– 无须 IP地址就可以登录– 可以看到启动的信息– 可以看到实时的 debug信息安全网关ConsolePort• 安全网关的默认管理员用户名 /密码都是 netscreen4图形化（ WEBUI）模式• 安全网关可以通过图形化模式进行管理– 只需要很少的配置 (在安全网关接口上配置管理地址，并打开 web访问权限即可 )– 客户端的地址设置到与管理地址同一网段。

– 默认的可网管接口是安全设备的最小号码的端口（比如 eth0/0）– 默认的可网管接口的管理地址是 192.168.1.1/24– 默认的管理员用户名 /密码是 netscreen5图形化界面的主菜单 6配置向导• 如果初次配置安全网关（或者网关进行了恢复出厂值操作），当通过 WEBUI登录安全网关时，配置向导就会出现• 配置向导可以帮助不熟悉安全网关的用户对系统进行基本配置高级用户不建议使用该向导进行系统配置1237命令行（ CLI）模式ssg5 -> ?clear clear dynamic system infoexec exec system commandsexit exit command consoleget get system informationping ping other hostreset reset systemsave save commandset configure system parameterstrace-route trace routeunset unconfigure system parameters• 输入 “ ?”, 会输出该目录下可执行的所有命令。

命令行的命令输入后，需要通过 save命令来存盘• 左半部分列出命令或者命令的参数• 右半部分列出对命令的解释• 命令行的管理员默认用户名 /密码是 netscreen• Console/WEBUI/CLI三种模式的管理员帐号是通用的8配置安全网关的管理项• 1.配置接口地址– 将接口绑定到安全区（ zone）– 给接口地址配置地址– 配置可管理服务（如 ping， web访问， telnet访问等）– 管理地址 （可选）• 2.修改 root administrator 密码• 3.创建新的管理员帐号9安全区与接口• 安全网关有严格的逻辑上的层次结构– 安全区从属于虚拟路由器• 安全区默认都从属于 trust-vr– 接口从属于安全区• 一个接口只能从属于一个安全区– IP地址从属于接口Int. ZoneZone Virtual RouterVRZoneInt.IP10安全区的种类• 安全区– 预定义 : • Trust:一般放置内网接口• Untrust:一般放置外网接口• DMZ:一般放置服务器接口用户自定义：• 隧道安全区（ Tunnel Zone）• 功能安全区– Null– MGT– HA– Self– VLANssg5-> get zoneTotal 10 zones created in vsys Root - 5 are policy configurable.------------------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS0 Null Null Shared untrust-vr hidden Root1 Untrust Sec(L3) Shared trust-vr untrust Root2 Trust Sec(L3) trust-vr trust Root4 Self Func trust-vr self Root5 MGT Func trust-vr null Root11 V1-Untrust Sec(L2) trust-vr v1-untrust Root14 VLAN Func trust-vr vlan1 Root------------------------------------------------------------------------11设置接口 /安全区 WebUI模式Network > Interfaces>List (edit)12设置接口 /安全区 命令行模式• An interface must be a member of a security zone prior to having an address assignedset interface zone set interface ip /ssg5-serial->set interface e1 zone trustssg5-serial->set interface e1 ip 1.1.1.1/2413可网管选项 WebUI模式• 默认的可网管选项因安全区的不同而不同– Trust zone: 所有可网管选项都是允许的– 其它 zone: 所有可网管选项都是不被允许的Network>Interfaces>Edit 14可网管选项 CLI模式set interface manage []Ssg5-serial-> set interface e1 manage pingSsg5-serial-> set interface e1 manage webEnable all services:Ssg5-serial-> set interface e1 manage• 如果在命令的末尾没有写出特定的选项，则代表所有的选项15管理地址的设置• 可以设定特定的非接口地址来进行网管set interface manage-ip set interface e1 manage-ip 1.1.1.250Network>Interfaces>Edit 16管理员帐号• 不同级别的管理员帐号有不同的权限– Root管理员由系统定义，不能删除– 本地管理员由 Root管理员创建，可以由 Root管理员删除通过 New按钮来创建本地管理员帐号Click to view settings for Root accountConfiguration>Admin>Administrators 17创建系统管理员Configuration>Admin>Administrators set admin user name password privilege [all | read-only]18修改 Root管理员用户名 /密码Configuration>Admin>Administrators set admin name set admin password 19Manager-IP 地址的设定• 为了增加安全性，可以设定 Manager-IP地址来限定可以网管安全网关的客户端• 一旦是指定了 Manager-IP地址，那么只有设定了 Manager-IP的客户端才可以对安全设备进行网关。

• Manager-IP地址可以一个主机地址，也可以是一个网段20配置 Manager-IP地址set admin manager-ip ns208-> set admin manager-ip 1.1.7.250 255.255.255.255ns208-> set admin manager-ip 1.1.1.0 255.255.255.0Configuration>Admin>Permitted IPs21DNS ConfigurationNetwork>DNSset dns host dns1 set dns host dns2 set dns host schedule 22SNMP Configuration - WebUIConfiguration>Report Settings>SNMP23License Keys的管理• License Keys提供的功能 :– Capacity expansion (extended/advanced releases)– 防病毒（ Anti-virus）– 网页过滤（ URL filtering）– 防垃圾邮件（ Anti-Spam）– 深层检测（ Deep Inspection/IPS）• 两种方式导入 License Keys– 手动 – 从 Juniper网站下载 lic key文件导入安全网关– 自动 – 将安全网关在 Juniper网站注册，然后让安全网关自动下载 licexec license-key [capacity] exec license-key update24配置文件管理 CLI模式• 只有 root管理员才可以进行配置文件的管理• 备份配置文件• 恢复配置文件– 1: 将文件拷贝到 Flash – 配置将在重启后生效– 2: 将文件与现有的配置组合在一起生成新的配置文件（请慎重处理）save config from flash to [tftp | pcmcia | slot1] ns208-> save config from flash to tftp 1.1.7.250 15Jun03.cfgsave config from [tftp | pcmcia | slot1] to flash ns208-> save config from tftp 1.1.7.250 15June03.cfg to flashsave config from [tftp | pcmcia | slot1] mergens208-> save config from tftp 1.1.7.250 15June03.cfg merge25配置文件管理 – WebUI模式Configuration>Update>Config File 26系统文件的升级 CLI模式 需要设置 TFTP服务器5XT-> save software from tftp 1.1.7.250 newimage.。