中国石油天然气股份有限公司-中国安全网.DOC

NetScreen-Security Manager安全管理系统介绍 Juniper公司NetScreen-Security Manager（NSM）安全管理软件是一款功能丰富的综合安全管理平台，提供对安全设备、网络与配置和策略的灵活管理与监控能力。Netscreen-NSM安全管理平台适用于大中型网络中Juniper安全设备（防火墙、IDP）的策略分发、集中管理和监控维护。在大型网络中尤其分散部署多台安全设备的情况下，对多台设备的快速部署、策略与配置的集中维护及网络监控均能够提供有效的管理能力， 通过Netscreen NSM的集中监控和管理功能，可以很大程度的减轻管理员的维护负担。本文对Netscreen NSM安全管理平台做扼要介绍，希望能为NSM维护管理人员带来帮助。 NSM主要功能： 支持多级用户权限管理（Root/All/Read-Only），支持在线升级，支持恢复出厂设置，支持配置的备份和恢复，可以实现所有防火墙单机的配置和管理功能。 NSM从全局角度对所有防火墙实现集中管理，集中制定安全策略，仅定义可为所有设备共同使用的资源（地址组和服务），当分支机构较多时，采用统一的安全策略和统一监控，可避免下属机构各自制定安全策略和故障引发网络混乱。 NSM具有集中的设备配置/维护、故障/事件管理、基于角色的监控、使用跟踪以及报表等功能。可以高效地把数百条、甚至数千条策略分发到各NetScreen设备或设备群组。 NSM的关键性能在于它能够通过简便操作、直观的策略管理用户界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射采用到多个设备中。NSM可为设备部署提供高度易操作性与灵活性，减少管理工作。 NSM的报表分析功能使它更加有价值。通过集中的日志收集、存储、分析、报表，可以提供专业的日志处理功能，并根据用户的喜好生成灵活的报告方式以及趋势分析。 NSM提供对设备的集中、实时的监控，以及集中的设备维护如升级等。 NSM平台结构： Netscreen NSM安全管理系统由安全设备、管理平台和管理终端三部分组成，安全设备主要指Juniper公司的防火墙和IDP产品，管理平台由GUI server 和Device server组成，GUI server负责与管理终端进行信息交互，Device server负责与安全设备进行通信，二者可安装在同一台或分别安装在两台Linux OR Solaris操作系统上。 管理终端指安装NSM Client的用户终端PC，支持Linux和windows操作系统。系统各部分通过Juniper自行研发的Security Server Protocol（SSP）安全通信协议进行通讯，SSP协议采用AES加密和SHA散列认证算法，以确保整个系统通信的安全性。Netscreen NSM平台结构如下图所示： SSP协议采用TCP7800-7801端口进行通信，通信连接建立的方向如下所示： 在SSP安全连接建立前，需要使用SSH或Telnet协议协助SSP连接的建立。SSH和Telnet协议仅用于NSM初次连接到安全设备，导入安全设备的初始配置信息并对安全设备进行自动配置，指导安全设备主动建立到NSM系统的SSP连接通道。一旦SSP安全通道建立后，系统将通过SSP通道进行通信。 配置管理： 在对安全设备进行配置和管理前需将安全设备导入到NSM中，导入方式支持设备的在线导入和离线导入，设备导入过程中需指定设备的IP地址、管理员帐号口令、软件版本号及SSH/Telnet连接方式。在NSM与安全设备建立连接后，通过Import方式导入安全设备的当前配置文件，可在NSM中对设备进行配置的调整或修改，然后通过Update方式将配置信息导入到安全设备中去，使NSM保持与安全设备在连接状态和配置信息上始终保持同步，此时在NSM的设备管理中将显示安全设备的运行状态和同步信息。注：为通过NSM对安全设备的集中管理和监控，须先通过Import方式导入设备配置信息，然后再对安全设备进行Update，一旦安全设备与NSM状态保持同步后，方可通过NSM对安全设备进行调整配置、状态查看和日志分析等管理。在NSM上调整配置后仅需Update配置信息到安全设备上。 Netscreen NSM提供统一配置的集中分发功能，在多台设备部署阶段能够根据定制的配置模板一次性分发配置信息到多台设备上，在维护阶段能够将统一的安全策略同时分发到位于不同地点的安全设备中去。NSM的配置主要在Object Manager、Device Manager和Policy Manager中进行。Object Manager定义全局的地址和服务组，可为所有安全设备的策略所使用。Device Manager可定义安全设备的配置模板，为多台