[人力资源管理]Juniper-Security Manager NSM操作手册.pptVIP

配置 VPN 有两种方法：手动配置和使用 VPN 管理器进行配置。. 在第一种手动配置方法中，VPN 能够在设备级进行配置。在设备级别，管理员必须在设备对象中明确规定所有的设置。 我们需要为每个独立设备手动创建 IKE 网关和 VPN。此外，策略管理器能够用于逐设备创建独立的 VPN 规则。尽管这种方法不可扩展，但却能够全面控制 VPN 配置的各个方面。 我们来看一下如何通过 NSM 来实现这一点。我们从 NSM 中特定设备的属性对话框开始进行手动 VPN 配置。 管理员需要手动创建所有与 VPN 隧道相关的策略、隧道接口、区和路由条目。 在两个安全设备之间配置 VPN 的另一个方法是使用 VPN 管理器。 对于企业级的配置，VPN 抽象工具使管理员能够通过定义设备、VPN 终接点以及受保护的资源等网元来描述 VPN 基础设施。 对象模型将用于在 VPN 设备之间便利地建立关系。根据该高级别设计，NSM 将自动配置独立设备配置的详细信息。 最后，VPN 管理器自动为所有设备创建策略、网关和 VPN。 现在，我们将讨论如何配置 VPN 拓扑。 VPN 拓扑决定了 VPN 成员之间如何从逻辑上互相连接。这是VPN 流量到达VPN 成员所必须通过的通信路径 。 另外，VPN 终接点决定了 VPN 成员之间如何进行实际连接。终接点是指发送和接收来自和发往VPN 隧道的 VPN 流量的接口。 对于 AutoKey IKE VPN，需要定义 VPN 拓扑。每个 VPN 成员都是拥有特定连接功能的节点，而拓扑描述了节点之间逻辑连接。 节点可能是集线器、主干设备和分支设备。 集线器能够连接到分支设备或者主干设备。 主干设备能够连接到集线器、分支设备或其他主干设备。所有主干设备之间可以互相通信，因此当配置使用多个主干设备的 VPN 时，管理员可以选择将所有主干设备组成网状拓扑或者禁用此网状拓扑。 分支设备能够连接到集线器或者主干设备。分支设备能够发送和接收发往或来自集线器或主干设备的 VPN 流量，但不能与其他分支设备直接通信。 当配置 VPN 时，还有最后一些任务需要管理员以手动方式来完成 虽然管理员能够自动创建 VPN，但它没有立刻改变已部署设备的实际配置。因此，管理员在审核 VPN 规则并执行必要的覆盖之后，必须以手动方式将 VPN 规则或 VPN 链路添加到安全策略中。 下一个步骤是，使用更新设备指令（Updated Device Directive ）将修改过的策略安装到设备中。 最后，管理员还必须为基于路由的 VPN 创建所需的静态或动态路由。 在本单元课程中，您学习到了： ? 配置 VPN 的两种主要方法：手动配置，和使用 VPN 管理器配置 ? 如何配置 VPN 拓扑 管理和报告工具 在本单元课程中，我们将为您介绍在 NSM 中用于查看事件日志、安全告警、设备和工作状态以及管理活动的各种工具。 在学习完本单元课程之后，您将能够描述各种管理和报告工具的特性和功能，这些工具包括 ? 日志查看器（Log Viewer） ? 报告管理器（Report Manager） ? 日志调查器（Log Investigator） ? 服务器监视器（Server Monitor） ? 设备监视器（ Device Monitor ） ? 工作管理器（Job Manager） ? 审计日志查看器（Audit Log Viewer） Juniper 网络公司 Juniper-Security Manager 还提供管理和报告工具以帮助集中收集关键信息，包括日志文件、设备状态、企业报告、工作监控以及对管理员的审计等。 我们首先讨论日志查看器。 日志查看器能够提供各个设备所生成的日志条目的集中视图，这些日志报告了 9 种不同类别的事件，包括警报、配置更改、流量异常、深层检测特征、策略触发日志记录、系统事件、一般信息事件、屏幕事件以及定制特征。 日志查看器还提供了一些预定义的日志查看过滤器，对收集到的数据进行过滤，以重点突出特定类别的日志条目。此外，还可以创建另外的定制过滤器来重点突出管理员特别关注的日志条目。过滤器参数可以包括来自日志查看器任何可用字段的值，包括日期和时间范围、源和目的地地址、类别及子类匹配等。 日志查看器底部和两侧的创新导航控制条，可帮助您迅速导航到日志文件中任何您想去的地方，而且原始数据能够以PDF、Postscript 或 CSV 文件格式导出。 日志查看器中划分了许多类别。 它记录设备的相关信息，包括事件、源和目的地地址、行动以及协议等。此外，它还记录关于端口、类别、子类以及攻击严重程度的信息。 您可以向上或向下滚动条目，准确查找某个特定记录。 如果您希望准确查找某个特定时间段内的记录，您可以使用缩