NetScreen防火墙设备管理中文配置手册_netscreenRA500配置手册资源-CSDN文库

共1个文件

pdf：1个

NetScreen

防火墙

需积分: 12 152 浏览量 2014-08-10 13:49:25 上传评论收藏 743KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

NETSCREEN设备管理配置手册.rar （1个子文件）

NETSCREEN设备管理配置手册.pdf 783KB

美河学习在线 www.eimhe.com

NETSCREEN 设备管理配置手册

1 管理员级别

.....1.1 根管理员具有的权根

每个 NetScreen 设备只有一个根管理员。根管理员具有以下权限:

● 管理 NetScreen 设备的根系统

● 添加、删除和管理所有其他的管理员

● 建立和管理虚拟系统，然后为它们分配物理或逻辑接口

● 创建、删除和管理虚拟路由器 (VR)

● 添加、删除和管理安全区域

● 分配接口到安全区域

● 执行资源恢复

● 将设备设置为 FIPS 模式

● 将设备重设为其缺省设置

● 更新固件

● 加载配置文件

● 清除指定的管理员或所有活动的管理员的全部活动会话

.....1.2 可读/ 写管理员

● 可读/ 写管理员具有与根管理员相同的权限，但是他不能创建、修改或删除其他的 admin

用户。

● 可读/ 写管理员具有权限:

● 创建虚拟系统并为每个系统分配一个虚拟系统管理员

● 监控任何虚拟系统

● 跟踪统计 ( 一个虚拟系统管理员所不具有的权限)

.....1.3 只读管理员

● 只读管理员只具有使用 WebUI 进行查看的权限，他只能发出 get 和 ping 的 CLI 命令。

● 只读管理员具有以下权限:

● 在根系统中具有只读权限，可使用以下四种命令: enter、exit、get 和 ping

● 在虚拟系统中具有只读权限

.....1.4 虚拟系统网络管理员

● 某些 NetScreen 设备支持虚拟系统。每个虚拟系统 (vsys) 是一个唯一安全的域，

● 可以被虚拟系统管理员管理，该管理员的权限仅局限于该虚拟系统。虚拟系统网络管

● 理员通过 CLI 或 WebUI 独立地对虚拟系统进行管理。

● 虚拟管理员具有权限:

● 创建并编辑 auth、IKE、L2TP、Xauth 和“手动密钥”用户

● 创建并编辑服务

● 创建并编辑策略

● 创建并编辑地址

● 创建并编辑 VPN

● 修改虚拟系统网络管理员的登录密码

● 添加并管理安全区域

● 添加和删除虚拟系统只读管理员

.....1.5 虚拟系统只读管理员

● 虚拟系统只读管理员具有与只读管理员相同的权限，但是仅限于特定的虚拟系统中。

● 虚拟系统只读管理员具有权限

美河学习在线 www.eimhe.com

● WebUI 查看特定的 vsys 的权限

● 只能在他的 vsys 中发出 enter、exit、get 和 ping 的 CLI 命令

.....1.6 添加只读 Admin

WebUI 方式:

Configuration>Admin>Administrators>New: 输入以下内容，然后单击 OK:

Name: Roger

New Password: 2bd21wG77

Confirm New Password: 2bd21wG7

Privileges: Read-Only ( 选择)

CLI 方式:

set admin user Roger password 2bd21wG7 privilege read-only

save

.....1.7 删除 Admin

WebUI 方式:

Configuration > Admin > Administrators: 在 Configure 栏中为 Roger 单击 Remove。

CLI 方式:

unset admin user Roger

.....1.8 清除 Admin 的会话

CLI 方式:

clear admin name Roger

save

注意: 必须使用 CLI 来清除 admin 的会话

.....1.9 更改管理员口令

WebUI 方式:

Configuration > Admin > Administrators > Edit ( 对于 John): 输入以下内容然后单击

OK:

Name: Smith

New Password: 3MAb99j2

Confirm New Password: 3MAb99j2

CLI 方式:

unset admin user John

set admin user Smith password 3MAb99j2 privilege all

注:需要作为根 admin 完成.

2 MGT 和 VLAN1 管理接口

某些 NetScreen 设备具有一个物理接口－管理(MGT)－专门用于管理信息流。以 NAT 或“路

由”模式运行 NetScreen 设备时，使用此接口管理信息流。在“透明”模式下，可以配置所有

NetScreen 设备以允许通过逻辑接口 VLAN1 进行管理。要启用管理信息流以到达 VLAN1 接

口，您必须同时在 VLAN1 和第二层区 (V1-Trust、V1-Untrust、V1-DMZ、用户定义的第二层

区) 上启用所需的管理选项，管理信息流通过这些区后到达 VLAN1。要保持最高级的安全性，

NetScreen 建议限制管理信息流到专用 VLAN1 或 MGT 接口上，而限制用户信息流到专用安

全区域接口上。从网络用户信息流分离管理信息流大大增加了管理安全性，并确保了稳定的

管理带宽。

.....2.1 MTG 接口的设定

将 MGT 接口的 IP 地址设置为 10.1.1.2/24，启用 MGT 接口接收 Web 和 SSH 管理信息流。

美河学习在线 www.eimhe.com

WebUI 方式:

Network>Interfaces>Edit(对于 mgt):输入以下内容,然后单击 OK:

IP Address/Netmask: 10.1.1.2/24

Management Services:WebUI,SSH:(选择)

CLI 方式:

set interface mgt ip 10.1.1.2/24

set interface mgt manage web

set interface mgt manage ssh

save

.....2.2 VLAN1 接口的设定

WebUI 方式:

Network>Interfaces>Edit(对于 VLAN1):输入以下内容，然后单击 OK:

IP Address/Netmask:10.1.1.1/24

Management Services:WebUI,Telnet:(选择)

Network >Zones>Edit(对于 V1-Trust):选择以下内容，然后单击 OK:

Management Services: WebUI, Telnet: ( 选择)

CLI 方式:

set interface vlan1 ip 10.1.1.1/24

set interface vlan1 manage web

set interface vlan1 manage telnet

set zone v1-trust manage web

set zone v1-trust manage telnet

save

3 管理接口

在有多个用于网络信息流的物理接口( 但没有 MGT 物理接口) 的 NetScreen 设备上，您可

以将一个物理接口专用于管理，以将管理信息流与网络用户信息流完全分离。例如，可通过

将接口绑定到 Trust 区域对设备进行本地管理访问，还可通过将接口绑定到 Untrust 区域对

设备进行远程管理。

.....3.1 管理接口的设定

WebUI 方式:

Network>Interfaces>Edit(对于 ethernet1):输入以下内容，然后单击 Apply:

Zone Name: Trust

Static IP: ( 有此选项时将其选定)

IP Address/Netmask: 10.1.1.1/24

Manage IP: 10.1.1.2

Management Services: WebUI, Telnet

输入以下内容，然后单击 OK:

Interface Mode: NAT

CLI 方式:

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 manage-ip 10.1.1.2

set interface ethernet1 telnet

set interface ethernet1 web

美河学习在线 www.eimhe.com

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 ip 1.1.1.1/32

save

.....3.2 SSH PKA 认证方法设定

查看 SSH 配置信息

ns-> get ssh

SSH V1 is active

SSH is not enabled

SSH is not ready for connections

Maximum sessions: 8

Active sessions: 0

删除 SSH V1

ns-> delete ssh device all

设置 SSH V2

ns-> set ssh version v2

设置 SSH 端口号

ns-> set admin ssh port 1024

在接口上启用 SSH 管理

ns-> set interface manage ssh

生成密钥对

sys-study# ssh-keygen -f /tmp/netscreen -t dsa

Generating public/private dsa key pair.

Enter passphrase (empty for no passphrase): XXX

Enter same passphrase again:XXX

Your identification has been saved in /tmp/netscreen.

Your public key has been saved in /tmp/netscreen.pub.

The key fingerprint is:

e5:ed:26:8c:e0:7b:0c:a8:ba:79:20:24:1b:5c:15:f1

root@sys-study.livedoor.cn

去除/tmp/netscreen.pub 中

ssh-dss 和

root@sys-study.livedoor.cn

信息

将内容 COPY 到 netscreen 设备管理员用户的 SSH PKA 处

ssh -2i /tmp/netscreen

[email=livedoorcn@XXXX]livedoorcn@XXXX[/email]

进行登录

4 安全区段

安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整。

安全区是绑定了一个或多个接口的逻辑实体。通过多种类型的 NetScreen 设备，您可以定义

多个安全区，确切数目可根据网络需要来确定。除用户定义的区段外，您还可以使用预定义

的区段: Trust、Untrust 和 DMZ(用于第 3 层操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ(用

于第 2 层操作)。如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使

美河学习在线 www.eimhe.com

用用户定义的区段。另外，您还可以同时使用这两种区段—预定义和用户定义。

.....4.1 创建区段

WebUI 方式:

Network>Zones>New:输入以下内容，然后单击 OK:

Zone Name: 键入区段名称 2。

Virtual Router Name: 选择要在其路由选择域中放置区段的虚拟路由器。

Zone Type: 选择 Layer 3 创建一个区段，可以将处于 NAT 或“路由”模式

的接口绑定到该区段。选择 Layer 2 创建一个区段，可以将处于“透明”

模式的接口绑定到该区段。创建通道区段并将其绑定到承载区段时，请选择

Tunnel Out Zone，然后从下拉列表中选择具体的承载区段。

Block Intra-Zone Traffic: 选择此选项可封锁同一安全区中主机之间的信息流。

在缺省情况下，禁用区段内部封锁。

CLI 方式:

set zone name zone [ l2 vlan_id_num 3 tunnel sec_zone ]

set zone zone block

set zone zone vrouter name_str

.....4.2 删除区段

WebUI 方式:

Network > Zones: 单击 Remove (对于要删除的区段)。

当出现提示，请求对删除操作进行确认时，单击 Yes。

CLI 方式:

unset zone zone

.....4.3 将接口绑定到安全区

WebUI 方式:

Network>Interfaces>Edit(对于 trust/ethernetX): 从 Zone Name 下拉列表中选择 Trust，然后

单击 OK。

CLI 方式:

set interface trust zone trust

save

.....4.4 解除接口绑定

WebUI 方式: Network>Interfaces>Edit ( 对于 ethernet3 ): 输入以下内容,然后单击 OK:

Zone Name: Null IP Address/Netmask: 0.0.0.0/0

CLI 方式:

set interface ethernet3 ip 0.0.0.0/0

set interface ethernet3 zone null

save

.....4.5 修改接口设置:

WebUI 方式:

Network > Interfaces > Edit ( 对于 ethernet1 ): 进行以下修改，然后单击 OK:

Manage IP: 10.1.1.12

Management Services: ( 选择) SSH, SSL; ( 清除) Telnet, WebUI

CLI 方式:

set interface ethernet1 manage-ip 10.1.1.12

set interface ethernet1 manage ssh

评论收藏

内容反馈

machen_smiling

粉丝: 506
资源: 1958

NetScreen防火墙设备管理中文配置手册

NetScreen 防火墙配置指导

NetScreen防火墙安全配置指导手册.pdf

Juniper-NetScreen中文配置手册

Juniper Netscreen 防火墙培训教材

netscreen防火墙配置详细说明

NETSCREEN防火墙ZONE SCREEN配置说明.docx

Netscreen防火墙SNMP配置建议new

Netscreen防火墙初级配置指南

Netscreen防火墙流量管理原理与配置定义.pdf

Netscreen 防火墙 OS 升级指南

Netscreen防火墙仅有的一篇中文教程

netscreen 防火墙常用命令

中国移动Netscreen防火墙安全配置手册V0.1.pdf

NetScreen防火墙设置指南

Netscreen防火墙学习资料

Netscreen 防火墙初级配置指南

netscreen 防火墙配置大全（第三卷）中文版

netscreen 防火墙OS (ns200.5.4.0r12.0)适用NS204 NS208

Netscreen防火墙简单配置实例

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

Goby红队版-win-x64-2.4.7版本

Chrome Header Editor 插件

ISO SAE 21434-2021 中文版.pdf

安全认证cisp教材全套

OpenVAS GVM 中文翻译补丁

2024最新：Hvv中常见的面试问题

现代永磁同步电机控制原理及MATLAB仿真__袁雷编著1

CISP、NISP二级、CISE题库最新版（2024年1月更新）

最新资源