Juniper IDP配置手册.docx
《Juniper IDP配置手册.docx》由会员分享,可在线阅读,更多相关《Juniper IDP配置手册.docx(34页珍藏版)》请在冰豆网上搜索。
JuniperIDP配置手册
JuniperIDP配置手册
北京网润杰科科技有限公司
2009年10月
目录
1.JuniperIDP系统的体系结构3
三层架构3
部署模式3
2.IDPsensor的初始化设置4
初始化设置4
3.NetScreen-SecurityManagerServer的初始化设置13
服务器系统最低需求13
运行系统更新补丁14
调整Linux系统内核参数15
安装NSMServer系统软件16
安装NSMServer补丁软件22
4.NSM客户端管理软件UI的的初始化设置23
客户端最低需求23
安装UserInterface24
安装UserInterfaceupdate24
5.IDP的策略配置25
在NSM中寻找IDP设备和模块25
配置IDP的策略27
6.IDP配置实例32
7.IDP特征库的升级34
8.查看IDPsensor的状态35
1.JuniperIDP系统的体系结构
三层架构
●IDPSensor:
:
用于监控并且处理网络流量。
●NetScreen-SecurityManagerServer:
用于存储所有的网络对象,日志,报表,IDP安全策略、规则等。
●NSMUserInterface(UI):
运行在客户端PC的图形化管理系统,用于连接ManagementServer,处理存储在ManagementServer的日志,报表;处理并分发安全策略到Sensor。
部署模式
●透明模式-提供物理接口Bypass功能
2.IDPsensor的初始化设置
初始化设置
●用console线接笔记本至Sensor。
设置笔记本串口为:
9600,8,N,1
●设置IDPsensor管理接口ip地址,例如10.82.6.71/24
●打开浏览器,输入:
https:
//10.82.6.71
●用户名为:
root,口令为:
abcd1234
●按照向导设置Sensor。
1、JuniperIDPSensor提供两种配置向导:
QuickStart和ACM(ApplianceConfigurationManager。
登陆IDP之后会任选一种进行安装。
-注:
推荐选择ACM。
2、修改root和admin的密码,在使用NSM寻找sensor的时候需要使用。
(NSM服务器查找IDPsensor的时候会查询admin用户名,admin密码和root密码)
――root用户的密码为abcd1234
――admin用户的密码为abcd1234
3、修改设备的名字和域名,
4、修改IDPsensor的部署模式,可以根据实际情况选择相应的工作模式,如sniffer,bridge,transparent等,若选择transparent模式,可以选择bypass功能(限电口,IDP800和IDP8200有光纤BYPASS模块)。
-注:
BYPASS功能是指在IDP掉电或出现问题后,IDP的两个接口是直通的状态,BYPASS切换一半需要5秒左右,设备不同时间会不一样
5、配置IDPsensor的HA模式,IDP都有自带的HA专用接口。
-注:
可以选择第三方的HA或负载均衡解决方案。
6、配置IDPsensor网络接口,若修改工作模式,则需要重启IDP才可以生效。
7、选择多个虚拟路由器(可选),若配置IDPsensor的工作模式的时候选择了transparent模式,可能需要选择是否启动多个虚拟路由器,每两个接口属于一个虚拟路由器
-注:
多个虚拟路由器既IDPsensor支持多网段的防护。
8、修改IDPsensor管理口的IP地址和管理口的网关,供NSM服务器和客户端远程连接使用,
9、配置IDPsensor那些接口处于工作模式的状态下,以transparent模式为例。
10、配置IDPsensorMGT接口的静态路由和缺省网关,以transparent模式为例。
-注:
输入缺省网关并选择对应的接口,若IDPsensor为透明模式,则只需要做一个管理接口的网关即可;若为路由模式则需要在相应的接口做相应的网关或路由。
11、DNS设置,设置IDPsensor是否自动查询相关的域名,IDP特征库的升级是通过NSM服务器完成因此在配置NSM服务器时必须设置对应的DNS服务器,而IDPsensor则可以不设置;
12、设置IDPsensor的时间区域。
-注:
建议选择Asia/Shanghai。
13、设置IDPsensor时间服务器NTP
14、设置外置的Radius服务器,用户认证的时候使用
15、IDPsensor的SNMP设置,设置对应的SNMP服务器IP地址和端口号
16、设置IDPsensor的SSH访问,NSM服务器在查找IDPsensor的时候,首先是通过SSH获取IDP的SSHkey;
-注:
此功能必须开放
17、配置NSM服务器的IP地址和一次性密码,DeviceID可以不填写,PrimaryNetScreen-SecurityManagerIP必须设置,通讯端口默认是7803,一次性密码(OTP)可以不设置。
NSM服务器查找IDP时使用了SSHKEY代替了OTP,因此可以不设置。
18、ACM配置,此处提示是否每次启动IDP管理的时候是否使用ACM模式
19、以上配置完以后会出现汇总界面,并可以点击save&apply。
IDP会进行进程重启和修改自身的配置,需要几分钟的时间,如果修改了管理口的IP地址,还需要更改自身电脑的IP就可以重新连接。
3.NetScreen-SecurityManagerServer的初始化设置
安装NSMServer软件
服务器系统最低需求
首先,选定一台服务器以安装NSMServer,该服务器的最低需求如下:
Component
MinimumRequirements
OperatingSystem
Solaris8,Solaris9operatingsystem,OR
RedHatEnterpriseLinux(ES/AS)4.0-Update6
CPU
SunMicrosystemsUltraSPARCIIi500MHz(orhigher),OR
Linux1GHz(x86)processor(orhigher)
RAM
1GB(orhigher);2GB+(dependingonthenumberofmanageddevicesandconfigurationsize)
SwapSpace
4GBforbothGUIServerandDeviceServer
Storage
IDEHardDiskDrivewith10Krpm(minimum);15Krpm
(recommended);18GBdiskspace(minimum);40GBdiskspacerecommended)
NetworkConnection
100MBpsNICEthernetadapter
Other
ServermustbededicatedtorunningNetScreen-SecurityManager
请务必按照上述要求提供安装服务器,特别是Linux版本,一定要是RedHatEnterpriseLinux(ES/AS)4.0-Update6。
对于NSM2007及以前的版本,都可以支持LinuxAS3、AS4平台。
具体的对于Linux版本的支持以及对于所管理设备OS版本的支持,可查看对应NSM版本的ReleaseNotes。
运行系统更新补丁
安装NSMServe之前,需要预先安装一个名为“nsm2007.3r1_systemupdate-linux.zip”(针对Linux操作系统平台而言)的系统更新文件补丁,否则NSM无法正常安装。
该文件在随机赠送的CD中可以找到。
不同版本的系统更新补丁,在名称的前部会标识当前的版本号信息,针对nsm2007.3r3,有2个补丁包:
nsm2007.3r1_systemupdate-linuxES_3.tar(安装在Linux版本为AS3的系统上)和nsm2007.3r1_systemupdate-linuxES_4.tar(安装在Linux版本为AS4的系统上)。
推荐将该补丁安装在/usr目录下,解压缩后执行即可。
相关命令如下:
将nsm2007.3r1_systemupdate-linux.zip文件解压,执行之后,将创建两个名为“ES3”和“ES4”的目录,分别进入2个目录,运行update脚本。
相关命令如下:
进入“ES4”目录,执行安装
[root@IDP-SERVER~]#cdes4
[root@IDP-SERVERes4]#chmod755*.*
[root@IDP-SERVERes4]#shrhes4.sh
InstallingSystemUpdateforRedHatEnterpriseServer4.0(Update55555)
warning:
chkfontpath-1.10.0-2.i386.rpm:
V3DSAsignature:
NOKEY,keyIDdb42a60e
Preparing...###########################################[100%]
1:
xorg-x11-font-utils###########################################[3%]
2:
chkfontpath###########################################[6%]
3:
ttmkfdir###########################################[8%]
4:
xorg-x11-xauth###########################################[11%]
5:
cpp###########################################[14%]
6:
xorg-x11###########################################[17%]
7:
desktop-file-utils###########################################[19%]
8:
compat-libstdc++-296###########################################[22%]
9:
compat-libstdc++-33###########################################[25%]
10:
fontconfig###########################################[28%]
11:
fonts-xorg-100dpi###########################################[31%]
12:
fonts-xorg-75dpi###########################################[33%]
13:
fonts-xorg-base###########################################[36%]
14:
fonts-xorg-truetype###########################################[39%]
15:
freetype-devel###########################################[42%]
16:
pkgconfig###########################################[44%]
17:
postgresql###########################################[47%]
18:
postgresql-devel###########################################[50%]
19:
postgresql-libs###########################################[53%]
20:
postgresql-server###########################################[56%]
21:
selinux-policy-targeted###########################################[58%]
22:
sharutils###########################################[61%]
23:
switchdesk###########################################[64%]
24:
xinitrc###########################################[67%]
25:
xorg-x11-deprecated-lib###########################################[69%]
26:
xorg-x11-deprecated-lib###########################################[72%]
27:
xorg-x11-devel###########################################[75%]
28:
xorg-x11-libs###########################################[78%]
29:
xorg-x11-Mesa-libGL###########################################[81%]
30:
xorg-x11-Mesa-libGLU###########################################[83%]
31:
xorg-x11-xdm###########################################[86%]
32:
xorg-x11-Xdmx###########################################[89%]
33:
xorg-x11-xfswarning:
/etc/X11/fs/configcreatedas/etc/X11/fs/config.rpmnew
###########################################[92%]
34:
xorg-x11-Xnest###########################################[94%]
35:
xorg-x11-Xvfb###########################################[97%]
36:
zlib-devel###########################################[100%]
[root@IDP-SERVERes4]#cd..
至此,完成了Linux系统补丁的安装工作。
调整Linux系统内核参数
登录到Linux系统,修改系统内核参数,然后重新启动设备。
相关命令如下:
[root@IDP-SERVER~]#cd/etc
[root@IDP-SERVERetc]#visysctl.conf
kernel.shmmax=402653184――修改后的内核参数
[root@IDP-SERVERetc]#reboot
安装NSMServer系统软件
安装完补丁文件并调整系统内核参数之后,就可以在该操作系统平台之上安装NSM了。
首先将NSM系统软件复制至服务器,推荐复制到/tmp文件夹中,然后直接安装即可。
相关命令如下:
[root@IDP-SERVER~]#cd/tmp
[root@IDP-SERVERtmp]#chmod755*.*
[root@IDP-SERVERtmp]#shnsm2007.3r5_servers_linux_x86.sh
之后,安装向导会依次询问一些简单的设置,然后将自动进行安装。
强烈建议使用默认设置进行安装,以后维护起来会很方便。
在安装之前,最好就能确定NSM服务器的IP地址,且在安装完后,尽量不要修改这个地址,因为NSM软件中的地址不会随着服务器地址的修改而自动修改,必须要手工进行修改,所以,一般不要改变地址。
Creatingstagingdirectory...ok
##########PERFORMINGPRE-INSTALLATIONTASKS##########
Runningpreinstallcheck...
Checkingifplatformisvalid...............................ok
Checkingforcorrectintendedplatform......................ok
CheckingforCPUarchitecture...............................ok
Checkingifallneededbinariesarepresent.................ok
Checkingforplatform-specificbinaries.....................ok
Checkingforplatform-specificpackages.....................ok
CheckinginSystemFileforPostgreSQLandXDBparameters...ok
WARNING:
Pleasemakesurethefollowinglinesarepresentinthe/etc/sysctl.conffile.
kernel.shmmax=402653184
Theinstallwillexitiftheyaren'tpresent.PleaseRebootthesystembeforecontinuing
CheckingforPostgreSQL.....................................ok
Checkingifuserisroot....................................ok
Checkingifuserrootexists................................ok
CheckingifsystemmeetsRAMrequirement....................ok
Checkingforsufficientdiskspace..........................ok
CheckingifRPMbinaryistheminimumversion..............ok
NotingOSname..............................................ok
Stoppinganyrunningservers
/bin/sed:
can'tread/usr/netscreen/HaSvr/var/haSvr.cfg:
Notadirectory
/bin/sed:
can'tread/usr/netscreen/HaSvr/var/haSvr.cfg:
Notadirectory
##########EXTRACTINGPAYLOADS##########
Extractingpayload..........................................ok
Decompressingpayload.......................................ok
Extractinglicensemanagerpackage..........................ok
##########GATHERINGINFORMATION##########
DoyouwanttodoNSMinstallationwithbaselicense?
(y/n)[y]>y
1)InstallDeviceServeronly
2)InstallGUIServeronly
3)InstallbothDeviceServerandGUIServer
Enterselection(1-3)[]>3
//同时安装DeviceServer和GUIServer,选择3。
(不大可能有用户把这两个server分别安装在两台服务器上,太浪费了。
而且维护起来也不方便。
)
##########GENERALSERVERSETUPDETAILS##########
WillthismachineparticipateinanHAcluster?
(y/n)[n]>n
WillthismachineparticipateinanHAcluster?
(y/n)[n]>n
//是否部署在HA模式下,选择NO。
##########DEVICESERVERSETUPDETAILS##########
TheDeviceServerstoresalloftheuserdataunderasingledirectory.
Bydefault,thisdirectoryis/var/netscreen/DevSvr.Because
theuserdata(includinglogsandpolicies)cangrowtobequite
large,itissometimesdesirabletoplacethisdatainanother
partition.
Pleasee