03-服务与管理工具 (2).pptVIP

服务与管理工具 目标 讨论NetScreen 防火墙/VPN的管理和监控选项 使入站管理连接更安全 管理IP/管理者的IP/接口管理选项过滤 更改默认端口 SSH/SSL 讨论/配置监控选项 统计 日志 外部服务 E-mail Syslog SNMP 本地管理选项 Web 用户界面 TCP/IP-HTTP 端口 80 (默认，可更改) 使用SSL 或 VPN，使其更安全 命令行界面 Console连接 (安全的) Telnet (TCP/IP 端口23) 可用VPN增强安全性 SSH 支持V1 (SCS) 和 V2 外部管理/监控选项 NetScreen Security Manager（NSM） 使用安全的IP协议加密通讯流 Syslog SNMP Email 通告 WebTrends 增强管理流量的安全性 更改管理员的用户名和口令 内部数据库 外部的认证服务器 定义允许管理的客户端IP地址 (manager-IP) 定义指定接口的选项 定义接口的管理地址 关闭不需要的management service 更改管理服务的端口号 更改用户名/口令 外部的认证服务器 - WebUI 外部的认证服务器 - CLI 使用外部服务器 注意：将首先查找本地数据库! 允许的IP地址 接口选项 更改端口号 SSH 支持 支持 SSH v1 和 v2 在5.0 中默认为V2 在任何时候只能激活一个版本 激活的版本可以通过‘get ssh’ 命令的首行看到 启用SSH 默认情况下，所有管理员可通过SSH连接 能覆盖单个管理员的配置 别忘记在接口上启用SSH! 切换SSH 版本 关闭所有的 SSH V1 管理会话 在所有虚系统中禁用SSH V1 删除设备上的所有SSH V1 RSA 访问密钥 删除设备上的所有SSH V1 RSA PKA 密钥 设置SSH版本 SSL 3.0 版本 增强http (https) 连接的安全性 加密客户端与服务器端的信息 需要NetScreen 设备上的证书 通过CA（如Verisign ）生成证书 ScreenOS 5.1提供自签名证书 自动或手动生成 SSL 3.0 版本的消息 1. 客户端 Hello? 5. 客户端 密钥交换 ? 6. Change Cipher Spec ? 7. 完成 ? ?2. 服务器 hello ?3. 服务器 密钥交换 ?4. 服务器 Hello 完成 ?8. Change Cipher Spec ?9. 完成 证书的生成 – 自动的方式 在系统启动时创建，如果： 无系统生成的自签名证书存在，并且 无证书与SSL相关联(通过配置) 证书的生成 – 手动的方式 生成PKCS10 文件 创建证书 提交至 CA 或 生成自签名证书 1: 生成PKCS10 文件 填写内容 确保Country字段只有两个字符 IP 地址是用于管理的接口地址 创建一个长度为1024的密钥对 点击 Generate生成 2: 提交至 CA/生成自签名证书 启用SSL - WebUI 启用SSL - CLI 启用 SSL 选择证书 HTTP重定向 调节加密长度 使用SSL 简单地使用https:浏览… 提示符 监控NetScreen设备 内部统计 日志 存储日志信息 事件日志 流量日志 自身日志 流量警报 Syslog SNMP Screen统计 接口统计 - Hardware 接口统计 – Flow 事件日志 - WebUI 事件日志 – CLI 过滤/排序/保存事件日志 流量日志 自身日志 日志和警报 可能的目的地 内部 Console E-mail SNMP Syslog WebTrends NetScreen-Security Manager 对于 CPU, memory, 和session的系统警报 当流量超过策略所定的阀值时，发送流量警报 默认发送至内部事件日志中 设置警报阀值 系统警报 流量警报 日志设置 E-mail 通知 Syslog 配置 SNMP 展示 NetScreen 支持SNMPv1 和SNMPv2 MIB-II SNMP agent 产生如下陷阱: 冷启动 Trap SNMP 认证失败的Trap 系统警报的Trap 流量警报的Trap 对于SNMP 管理器，无默认配置 SNMP 配置步骤 配置系统设置 定义SNMP community 向community 添加主机 SNMP 配置 - WebUI SNMP 配置 – WebUI (续) SNMP 配置 - CLI 检验SNMP配置 –WebUI 检验 SNMP配置 – CLI 编译MIB库 NetScreen的MIB库必须编译到NMS 或MIB浏览器中 NetScree