Juniper IDP配置手册.docx

1、Juniper IDP配置手册Juniper IDP配置手册北京网润杰科科技有限公司2009年10月目 录1. Juniper IDP系统的体系结构 3三层架构 3部署模式 32. IDP sensor的初始化设置 4初始化设置 43. NetScreen-Security Manager Server的初始化设置 13服务器系统最低需求 13运行系统更新补丁 14调整Linux系统内核参数 15安装NSM Server系统软件 16安装NSM Server补丁软件 224. NSM 客户端管理软件 UI的的初始化设置 23客户端最低需求 23安装User Interface 24安装User

2、 Interface update 245. IDP的策略配置 25在NSM中寻找IDP设备和模块 25配置IDP的策略 276. IDP配置实例 327. IDP特征库的升级 348. 查看IDP sensor的状态 351. Juniper IDP系统的体系结构三层架构 IDP Sensor:：用于监控并且处理网络流量。 NetScreen-Security Manager Server：用于存储所有的网络对象，日志，报表，IDP安全策略、规则等。 NSM User Interface (UI)：运行在客户端PC的图形化管理系统，用于连接Management Server，处理存储在Man

3、agement Server的日志，报表；处理并分发安全策略到Sensor。部署模式 透明模式 提供物理接口Bypass功能2. IDP sensor的初始化设置初始化设置 用console线接笔记本至Sensor。设置笔记本串口为：9600，8，N，1 设置 IDP sensor管理接口ip地址,例如10.82.6.71/24 打开浏览器，输入：https:/10.82.6.71 用户名为：root，口令为：abcd1234 按照向导设置Sensor。1、Juniper IDP Sensor提供两种配置向导：QuickStart和ACM（Appliance Configuration Man

4、ager。登陆IDP之后会任选一种进行安装。注：推荐选择 ACM。2、修改root和admin的密码，在使用NSM寻找sensor的时候需要使用。（NSM服务器查找IDP sensor的时候会查询admin用户名，admin密码和root密码） root 用户的密码为 abcd1234 admin用户的密码为 abcd12343、 修改设备的名字和域名，4、修改IDP sensor的部署模式，可以根据实际情况选择相应的工作模式，如sniffer，bridge，transparent等，若选择transparent模式，可以选择bypass功能（限电口，IDP 800和IDP 8200有光纤BY

5、PASS模块）。注：BYPASS功能是指在IDP掉电或出现问题后，IDP的两个接口是直通的状态，BYPASS切换一半需要5秒左右，设备不同时间会不一样5、 配置IDP sensor的HA模式， IDP都有自带的HA专用接口。注：可以选择第三方的HA或负载均衡解决方案。6、 配置IDP sensor网络接口，若修改工作模式，则需要重启IDP才可以生效。7、 选择多个虚拟路由器（可选），若配置IDP sensor的工作模式的时候选择了transparent模式，可能需要选择是否启动多个虚拟路由器，每两个接口属于一个虚拟路由器注： 多个虚拟路由器既IDP sensor支持多网段的防护。8、 修改ID

6、P sensor管理口的IP地址和管理口的网关，供NSM服务器和客户端远程连接使用，9、 配置IDP sensor那些接口处于工作模式的状态下，以transparent模式为例。10、配置IDP sensor MGT接口的静态路由和缺省网关，以transparent模式为例。注：输入缺省网关并选择对应的接口，若IDP sensor为透明模式，则只需要做一个管理接口的网关即可；若为路由模式则需要在相应的接口做相应的网关或路由。11、DNS设置，设置IDP sensor是否自动查询相关的域名，IDP特征库的升级是通过NSM服务器完成因此在配置NSM服务器时必须设置对应的DNS服务器，而IDP se

7、nsor则可以不设置；12、 设置IDP sensor的时间区域。注： 建议选择Asia/Shanghai 。13、设置IDP sensor 时间服务器NTP14、设置外置的Radius服务器，用户认证的时候使用15、IDP sensor 的SNMP设置，设置对应的SNMP服务器IP地址和端口号16、设置IDP sensor的SSH访问， NSM服务器在查找IDP sensor的时候，首先是通过SSH获取IDP的SSH key；注：此功能必须开放17、配置NSM服务器的IP地址和一次性密码，Device ID可以不填写，Primary NetScreen-Security Manager IP

8、必须设置，通讯端口默认是7803，一次性密码（OTP）可以不设置。NSM服务器查找IDP时使用了SSH KEY代替了OTP，因此可以不设置。18、ACM配置，此处提示是否每次启动IDP管理的时候是否使用ACM模式 19、以上配置完以后会出现汇总界面，并可以点击save & apply。IDP会进行进程重启和修改自身的配置，需要几分钟的时间，如果修改了管理口的IP地址，还需要更改自身电脑的IP就可以重新连接。3. NetScreen-Security Manager Server的初始化设置安装NSM Server软件服务器系统最低需求首先，选定一台服务器以安装NSM Server，该服务器的最

9、低需求如下：ComponentMinimum RequirementsOperating SystemSolaris 8, Solaris 9 operating system, ORRed Hat Enterprise Linux (ES/AS) 4.0-Update 6CPUSun Microsystems UltraSPARC IIi 500MHz (or higher), ORLinux 1GHz (x86) processor (or higher)RAM1GB (or higher); 2GB+ (depending on the number of managed devices

10、 and configuration size)Swap Space4 GB for both GUI Server and Device ServerStorageIDE Hard Disk Drive with 10K rpm (minimum); 15K rpm(recommended); 18 GB disk space (minimum); 40 GB disk space recommended)Network Connection100MBps NIC Ethernet adapterOtherServer must be dedicated to running NetScre

11、en-Security Manager请务必按照上述要求提供安装服务器，特别是Linux版本，一定要是Red Hat Enterprise Linux (ES/AS) 4.0-Update 6。对于NSM2007及以前的版本，都可以支持Linux AS3、AS4平台。具体的对于Linux版本的支持以及对于所管理设备OS版本的支持，可查看对应NSM版本的Release Notes。运行系统更新补丁安装NSM Serve之前，需要预先安装一个名为“nsm2007.3r1_systemupdate-linux.zip”（针对Linux操作系统平台而言）的系统更新文件补丁，否则NSM无法正常安装。该文

12、件在随机赠送的CD中可以找到。不同版本的系统更新补丁，在名称的前部会标识当前的版本号信息，针对nsm2007.3r3，有2个补丁包：nsm2007.3r1_systemupdate-linuxES_3.tar（安装在Linux版本为AS3的系统上）和nsm2007.3r1_systemupdate-linuxES_4.tar（安装在Linux版本为AS4的系统上）。推荐将该补丁安装在/usr目录下，解压缩后执行即可。相关命令如下：将nsm2007.3r1_systemupdate-linux.zip文件解压，执行之后，将创建两个名为“ES3”和“ES4”的目录，分别进入2个目录，运行updat

13、e脚本。相关命令如下：进入“ES4”目录，执行安装rootIDP-SERVER # cd es4rootIDP-SERVER es4# chmod 755 *.* rootIDP-SERVER es4# sh rhes4.sh Installing System Update for RedHat Enterprise Server 4.0 (Update 55555)warning: chkfontpath-1.10.0-2.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60ePreparing. # 100% 1:xorg-x11-font-

14、utils # 3% 2:chkfontpath # 6% 3:ttmkfdir # 8% 4:xorg-x11-xauth # 11% 5:cpp # 14% 6:xorg-x11 # 17% 7:desktop-file-utils # 19% 8:compat-libstdc+-296 # 22% 9:compat-libstdc+-33 # 25% 10:fontconfig # 28% 11:fonts-xorg-100dpi # 31% 12:fonts-xorg-75dpi # 33% 13:fonts-xorg-base # 36% 14:fonts-xorg-truetype

15、 # 39% 15:freetype-devel # 42% 16:pkgconfig # 44% 17:postgresql # 47% 18:postgresql-devel # 50% 19:postgresql-libs # 53% 20:postgresql-server # 56% 21:selinux-policy-targeted # 58% 22:sharutils # 61% 23:switchdesk # 64% 24:xinitrc # 67% 25:xorg-x11-deprecated-lib # 69% 26:xorg-x11-deprecated-lib # 7

16、2% 27:xorg-x11-devel # 75% 28:xorg-x11-libs # 78% 29:xorg-x11-Mesa-libGL # 81% 30:xorg-x11-Mesa-libGLU # 83% 31:xorg-x11-xdm # 86% 32:xorg-x11-Xdmx # 89% 33:xorg-x11-xfs warning: /etc/X11/fs/config created as /etc/X11/fs/config.rpmnew# 92% 34:xorg-x11-Xnest # 94% 35:xorg-x11-Xvfb # 97% 36:zlib-devel

17、 # 100%rootIDP-SERVER es4# cd .至此，完成了Linux系统补丁的安装工作。调整Linux系统内核参数登录到Linux系统，修改系统内核参数，然后重新启动设备。相关命令如下：rootIDP-SERVER # cd /etcrootIDP-SERVER etc# vi sysctl.confkernel.shmmax= 402653184 修改后的内核参数rootIDP-SERVER etc#reboot 安装NSM Server系统软件安装完补丁文件并调整系统内核参数之后，就可以在该操作系统平台之上安装NSM了。首先将NSM系统软件复制至服务器，推荐复制到 /tmp

18、文件夹中，然后直接安装即可。相关命令如下：rootIDP-SERVER #cd /tmprootIDP-SERVER tmp#chmod 755 *.*rootIDP-SERVER tmp# sh nsm2007.3r5_servers_linux_x86.sh之后，安装向导会依次询问一些简单的设置，然后将自动进行安装。强烈建议使用默认设置进行安装，以后维护起来会很方便。在安装之前，最好就能确定NSM服务器的IP地址，且在安装完后，尽量不要修改这个地址，因为NSM软件中的地址不会随着服务器地址的修改而自动修改，必须要手工进行修改，所以，一般不要改变地址。Creating staging dir

19、ectory.ok# PERFORMING PRE-INSTALLATION TASKS #Running preinstallcheck.Checking if platform is valid.okChecking for correct intended platform.okChecking for CPU architecture.okChecking if all needed binaries are present.okChecking for platform-specific binaries.okChecking for platform-specific packag

20、es.okChecking in System File for PostgreSQL and XDB parameters.okWARNING: Please make sure the following lines are present in the /etc/sysctl.conf file. kernel.shmmax= 402653184 The install will exit if they arent present. Please Reboot the system before continuingChecking for PostgreSQL.okChecking

21、if user is root.okChecking if user root exists.okChecking if system meets RAM requirement.okChecking for sufficient disk space.okChecking if RPM binary is the minimum version .okNoting OS name.okStopping any running servers/bin/sed: cant read /usr/netscreen/HaSvr/var/haSvr.cfg: Not a directory/bin/s

22、ed: cant read /usr/netscreen/HaSvr/var/haSvr.cfg: Not a directory# EXTRACTING PAYLOADS #Extracting payload.okDecompressing payload.okExtracting license manager package.ok# GATHERING INFORMATION #Do you want to do NSM installation with base license? (y/n) y y1) Install Device Server only2) Install GU

23、I Server only3) Install both Device Server and GUI ServerEnter selection (1-3) 3/同时安装Device Server 和GUI Server，选择3。（不大可能有用户把这两个server分别安装在两台服务器上，太浪费了。而且维护起来也不方便。）# GENERAL SERVER SETUP DETAILS #Will this machine participate in an HA cluster? (y/n) n nWill this machine participate in an HA cluster? (

24、y/n) n n/是否部署在HA模式下，选择NO。# DEVICE SERVER SETUP DETAILS #The Device Server stores all of the user data under a single directory.By default, this directory is /var/netscreen/DevSvr. Becausethe user data (including logs and policies) can grow to be quitelarge, it is sometimes desirable to place this data in anotherpartition.Please e