netscreen 概念與範例：第 3 卷，管理 - cafe horizon · netscreen-remote vpn client,...

例

ScreenOS 5.1.0

編號 093-1368-000-TC

修訂本 B

NetScreen 概念與範

ScreenOS 參考指南

第 3 卷 : 管理

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation.

interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.

Juniper Networks, the Juniper Network logo, NetScreen, NetScreen Technologies, GigaScreen and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.

Information in this document is subject to change without notice.

No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:

Juniper Networks, Inc.

ATTN: General Counsel

1194 N. Mathilda Ave.

Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a pa

If this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

http://www.netscreen.com

目錄

i

................................................... 21

................................................... 22

PKA 進行自動登入 .................... 23

................................................... 24

................................................... 25

................................................... 26

ty Manager 進行管理 ............27

之間的連接 .............................. 28

代理 ......................................... 29

址 ............................................ 30

服器 IP 位址 .............................. 30

................................................... 31

統計資訊報告............................ 32

................................................... 33

態 ............................................. 33

湊 ............................................. 34

................................................... 35

戳 ............................................. 35

..............................................36

................................................... 37

介面進行管理 ............................. 37

1 介面進行管理 .......................... 38

................................................... 39

面選項 ...................................... 39

................................................... 41

面的管理 IP ............................... 42

Juniper Networks NetScreen 概念與範例 – 第 3 卷 : 基本原理

目錄

前言................................................................................ v

慣例 ........................................................................... vi

CLI 慣例........................................................................ vi

WebUI 慣例 ..................................................................vii

插圖慣例 ...................................................................... ix

命名慣例和字元類型 ...................................................... x

Juniper Networks NetScreen 文件 .............................. xi

第 1 章管理...................................................................1

透過 Web 使用者介面進行管理 ...................................3

WebUI 說明 ...................................................................4

將說明檔案複製到本機磁碟機..................................4

將 WebUI 指向新的說明位置....................................4

HTTP...............................................................................5

會話 ID ....................................................................5

安全通訊端階層 .............................................................7

SSL 組態 ..................................................................9

將 HTTP 重新導向到 SSL..........................................11

透過指令行介面進行管理...........................................13Telnet ..........................................................................13

保證 Telnet 連接的安全 .........................................14

安全 Shell ....................................................................15

用戶端要求............................................................17

NetScreen 裝置上的基本 SSH 組態 ........................17

驗證 ......................................................................19

SSH 和 Vsys ........

主機金鑰............

範例：SSHv1 使用

安全副本 (SCP) .........

序列主控台 ..............

數據機連接埠.....

透過 NetScreen-Securi

初始化代理與管理系統

啟用、停用及取消設定

變更管理系統伺服器位

範例：設定主要伺

設定報告參數 ...........

範例：啟用警示和

組態同步 ..................

範例：檢視組態狀

範例：擷取組態雜

組態時戳 ..................

範例：擷取組態時

控制管理式通訊流量....

MGT 和 VLAN1 介面 .

範例：透過 MGT

範例：透過 VLAN

管理介面 ..................

範例：設定管理介

管理 IP .....................

範例：設定多個介

目錄

ii

.......................................73

..............................................74

..............................................75................................................... 76

級和關鍵字檢視事件記錄 .......... 77

................................................... 78

排序事件記錄項目 ....................... 79

................................................... 80

錄 ............................................. 80

件的事件記錄............................ 81

..............................................82................................................... 84

量記錄項目 ............................... 84

量記錄 ...................................... 85

通訊流量記錄............................ 85

................................................... 86

量記錄 ...................................... 86

..............................................87................................................... 87

錄 ............................................. 88

自我記錄................................... 89

................................................... 90

錄 ............................................. 90

..............................................91復記錄 ...................................... 91

..............................................92礎的入侵偵測............................ 93

知 ............................................. 94

件警訊 ...................................... 96


管理層級 ...................................................................44

根管理員 ...............................................................44

讀 / 寫管理員 .........................................................45

唯讀管理員............................................................45

虛擬系統管理員.....................................................45

虛擬系統唯讀管理員..............................................46

定義 Admin 使用者......................................................46

範例：新增唯讀管理員 ..........................................46

範例：修改管理員 .................................................47

範例：刪除管理員 .................................................47

範例：清除一個 Admin 的會話 ..............................48

保證管理式通訊流量的安全 .......................................49

變更連接埠號碼 ...........................................................50

範例：變更連接埠號碼 ..........................................50

變更管理員登入名稱和密碼 .........................................51

範例：變更 Admin 使用者的登入名稱和密碼 .........52

範例：變更您本身的密碼.......................................53

設定根管理員密碼的最小長度................................54

將裝置重設為出廠預設設定 .........................................55

限制管理式存取 ...........................................................56

範例：限制對單一工作站的管理 ............................56

範例：限制對子網路的管理 ...................................57

將根管理員限制為主控台存取................................57

用於管理式通訊流量的 VPN 通道 .................................58

範例：透過以路由為基礎的手動金鑰 VPN 通道進行管理 ...............................................................59

範例：透過以政策為基礎的手動金鑰 VPN 通道進行管理 ...............................................................65

第 2 章監看 NetScreen 裝置

儲存記錄資訊 ..............

事件記錄 .....................檢視事件記錄 ...........

範例：按嚴重性層

排序和篩選事件記錄

範例：按 IP 位址

下載事件記錄 ...........

範例：下載事件記

範例：下載關鍵事

通訊流量記錄 ..............檢視通訊流量記錄 ....

範例：檢視通訊流

排序和篩選通訊流

範例：按時間排序

下載通訊流量記錄 ....

範例：下載通訊流

自我記錄 .....................檢視自我記錄 ...........

排序和篩選自我記

範例：按時間篩選

下載自我記錄 ...........

範例：下載自我記

資源修復記錄 ..............範例：下載資源修

通訊流量警示 ..............範例：以政策為基

範例：折衷系統通

範例：傳送電子郵

目錄

iii

為基礎的通道的自行產生的................................................. 109為基礎的通道的自行產生的

................................................. 119

............................................130數器........................................ 136

..........................................A-I

......................................... IX-I


Syslog .......................................................................97

範例：啟用多個 syslog 伺服器...............................98WebTrends ..................................................................99

範例：啟用通知事件的 WebTrends........................99

SNMP ......................................................................101

執行概觀 ...................................................................104範例：定義讀 / 寫的 SNMP 社群...........................105

自行產生的通訊流量的 VPN 通道 .............................107

範例：透過以路由通訊流量............範例：透過以政策通訊流量............

計數器.........................範例：檢視螢幕計

附錄 A SNMP MIB 檔案 ......

索引 ...................................

目錄

iv

v

管理」說明管理 NetScreen 裝置本機和遠端管理的安全，以及如些檔案支援 NetScreen 裝置和

Juniper Networks NetScreen 概念與範例 – 第 3 卷 : 管理

前言

Juniper Networks NetScreen 裝置提供本機或遠端管理裝置的不同方法。第 3 卷，「的各種方法，並解釋 ScreenOS 的管理層級。本書也說明如何保證 NetScreen 裝置的何監看裝置的活動狀況。附錄包含 NetScreen 管理資訊庫 (MIB) 檔案的簡短說明，這SNMP 管理應用程式之間的通訊。

前言慣例

vi

manage

)。例如：「使用 get system 指

令令時可以使用此捷徑，但是本


慣例本文件包含幾種類型的慣例，以下部分將加以介紹：

• 「CLI 慣例」

• 第 vii 頁上的「WebUI 慣例」

• 第 ix 頁上的「插圖慣例」

• 第 x 頁上的「命名慣例和字元類型」

CLI 慣例

出現指令行介面 (CLI) 指令的語法時使用以下慣例：

• 中括弧 [ ] 中的任何內容都是可選的。

• 大括弧 { } 中的任何內容都是必需的。

• 如果選項不止一個，則使用導線 ( | ) 分隔每個選項。例如，

set interface { ethernet1 | ethernet2 | ethernet3 }

意味著「設定 ethernet1、ethernet2 或 ethernet3 介面的管理選項」。

• 變數以斜體方式出現。例如：

set admin user name password

當 CLI 指令在句子的上下文中出現時，以粗體方式出現 ( 除了始終為斜體的變數之外令顯示 NetScreen 裝置的序號」。

注意 : 鍵入關鍵字時，只需鍵入足夠的字母就可以專屬地識別單詞。例如，要輸入指set admin user joe j12fmt54，鍵入 set adm u joe j12fmt54 就足夠了。儘管輸入指文所述的所有指令都以完整的方式提供。

前言慣例

vii

下功能表選項和連結。例如，下所示。

出現。

4


WebUI 慣例

貫穿本書的全部篇章，用一個 V 形符號 ( > ) 來指示在 WebUI 中瀏覽，其方法是按一位址組態對話方塊的路徑顯示為 Objects > Addresses > List > New。此瀏覽序列如

1. 在功能表欄中，按一下 Objects。會展開 Objects 功能表選項，顯示 Objects 選項的子集。

2. ( Applet 功能表 ) 將滑鼠游標暫留在 Addresses 上。

( DHTML 功能表 ) 按一下 Addresses。

會展開 Addresses 選項，顯示出 Addresses 選項的子集。

3. 按一下 List。會出現通訊錄表格。

4. 按一下 New 連結。

新位址組態對話方塊

1

2

3

前言慣例

viii

物件和設定參數。每個任務的說方塊的路徑和要組態的設定：

注意 : 由於沒有 Comment 欄位的說明，請保持其原內容不變。


如要用 WebUI 執行任務，必須先瀏覽到相應的對話方塊，然後在該對話方塊中定義明集分為兩個部分：瀏覽路徑和組態詳細資訊。例如，下列說明集包含位址組態對話

Objects > Addresses > List > New: 輸入下面的內容，然後按一下 OK:

Address Name: addr_1IP Address/Domain Name:

IP/Netmask: ( 選擇 ), 10.2.2.5/32Zone: Untrust

Zone: Untrust

按一下 OK。

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: ( 選擇 ), 10.2.2.5/32

前言慣例

ix

含單一子網路的區域路 (LAN)

例如：10.1.1.0/24 )

際網路

上型電腦

服器

用網路裝置

例如： NAT 伺服器，存集中器 )

上型電腦

態 IP (DIP) 集區


插圖慣例

下列圖形構成了貫穿本書的插圖所用的基本影像集：

通用 NetScreen 裝置

安全區

安全區介面

白色 = 受保護區域介面( 例如：Trust 區段 )

黑色 = 區域外介面( 例如：Untrust 區域 )

路由器圖示

交換機圖示

虛擬路由設定網域

VPN 通道

包網

(

網

桌

伺

通

(取

通道介面

膝

動

前言慣例

x

、虛擬系統、VPN 通道和區域 )

) 括起，例如 set address trust

LAN ” 將變為 “local LAN”。

local LAN”不同於“local

II、歐洲語和希伯萊語。 MBCS

元有特殊的意義，可作為包含空

Web 瀏覽器所支援的字元集。


命名慣例和字元類型

關於 ScreenOS 組態中定義的物件 ( 如位址、admin 使用者、auth 伺服器、IKE 閘道的名稱，ScreenOS 採用下列慣例。

• 如果名稱字串包含一個或多個空格，則整個名稱字串的兩邊必須用雙引號 ( “ “local LAN” 10.1.1.0/24。

• NetScreen 會刪除一組雙引號內文字的任何前導或結尾空格，例如，“ local

• NetScreen 將多個連續的空格處理為單個空格。

• 儘管許多 CLI 關鍵字並不區分大小寫，但名稱字串是區分大小寫的。例如，“lan”。

ScreenOS 支援以下字元類型：

• 單位元組字元集 (SBCS) 和多位元組字元集 (MBCS)。 SBCS 的範例是 ASC( 也稱為雙位元組字元集，DBCS ) 的範例是中文、韓文和日文。

• ASCII 字元為 32 ( 十六進位 0x20 ) 到 255 (0xff)，雙引號 ( “ ) 除外，這些字格的名稱字串的開始或結尾指示符。

注意 : 主控台連接只支援 SBCS。WebUI 對 SBCS 和 MBCS 都支援，取決於

前言 Juniper Networks NetScreen 文件

xi

techpubs/。

一個支援案例，或電洽


JUNIPER NETWORKS NETSCREEN 文件

要獲得任何 Juniper Networks NetScreen 產品的技術文件，請造訪 www.juniper.net/

如需技術支援，請使用 http://www.juniper.net/support/ 的 Case Manager 連結來開啟1-888-314-JTAC ( 美國境內 ) 或 1-408-745-9500 ( 美國境外 )。

如果在下面的內容中發現任何錯誤或遺漏，請用下面的電子郵件地址與我們連絡：

[email protected]

http://www.juniper.net/techpubs/

http://www.juniper.net/support/

mailto:[email protected]

前言 Juniper Networks NetScreen 文件

xii

1

1

ðƒ 1 Š¼

dmin 使用者的管理式權限層級。


管理

本章介紹各種管理方法及工具、保證管理式通訊流量安全的方法，以及可以指派給 a本章包括下列各節：

• 第 3 頁上的「透過 Web 使用者介面進行管理」

– 第 4 頁上的「WebUI 說明」

– 第 5 頁上的「HTTP」

– 第 7 頁上的「安全通訊端階層」

• 第 13 頁上的「透過指令行介面進行管理」

– 第 13 頁上的「Telnet」

– 第 15 頁上的「安全 Shell」

– 第 24 頁上的「安全副本 (SCP)」

– 第 25 頁上的「序列主控台」

• 第 27 頁上的「透過 NetScreen-Security Manager 進行管理」

– 第 28 頁上的「初始化代理與管理系統之間的連接」

– 第 29 頁上的「啟用、停用及取消設定代理」

– 第 30 頁上的「變更管理系統伺服器位址」

– 第 31 頁上的「設定報告參數」

– 第 33 頁上的「組態同步」

– 第 35 頁上的「組態時戳」

第 1 章管理

2
• 第 36 頁上的「控制管理式通訊流量」

– 第 37 頁上的「MGT 和 VLAN1 介面」

– 第 39 頁上的「管理介面」

– 第 41 頁上的「管理 IP」

• 第 44 頁上的「管理層級」

– 第 46 頁上的「定義 Admin 使用者」

• 第 49 頁上的「保證管理式通訊流量的安全」

– 第 50 頁上的「變更連接埠號碼」

– 第 51 頁上的「變更管理員登入名稱和密碼」

– 第 55 頁上的「將裝置重設為出廠預設設定」

– 第 56 頁上的「限制管理式存取」

– 第 58 頁上的「用於管理式通訊流量的 VPN 通道」

第 1 章管理透過 Web 使用者介面進行管理

3

術，提供設定和管理軟體的 Web

5.5 或更新版本 )

說明


透過 WEB 使用者介面進行管理為了便於管理，您可以使用 Web 使用者介面 (WebUI)。NetScreen 裝置使用 Web 技伺服器介面。

若要使用 WebUI，必須具備下列條件：

• Netscape Communicator ( 4.7 或更新版本 ) 或 Microsoft Internet Explorer (

• TCP/IP 網路到 NetScreen 裝置的連接

功能表欄

中心顯示區域

Web 使用者介面(WebUI)

DHTML 或 Applet 功能表切換選項


4

glish/5.1.0/ns500 )。

管理員的工作站或本機網路上的用。

碟機中 CD 上的「說明」檔案。，並設定 WebUI 以從此處啟動

成新檔案路徑，其中的 path 是

。繼續執行底下的


WebUI 說明

您可在 http://help.juniper.net/help/english/screenos_version/nsplatform_number 檢視 WebUI 的「說明」檔案 ( 如 http://help.juniper.net/help/en

也可以選擇重新定位「說明」檔案。您可能想要在本機儲存檔案，並將 WebUI 指向一個安全的伺服器。如果您無法存取網際網路，可以在本機儲存「說明」檔案以備使

將說明檔案複製到本機磁碟機

「說明」檔案可在文件 CD 上找到。您可以將 WebUI 修改為指向本機 CD 光也可以將檔案從 CD 複製到本機網路上的伺服器或工作站上的另一個磁碟機「說明」檔案。

1. 將文件 CD 載入工作站的 CD 光碟機。

2. 瀏覽到 CD 光碟機，然後複製名稱為「help」的目錄。

3. 瀏覽到要儲存 Help 目錄的位置，並在此處將其貼上。

將 WebUI 指向新的說明位置

現在必須重新導向 WebUI 以使其指向 Help 目錄的新位置。將預設的 URL 變從管理員的工作站到 Help 目錄的特定路徑。

注意 : 如果您要從說明文件 CD 直接執行「說明」檔案，則可以略過此程序「將 WebUI 指向新的說明位置」。


5

的 URLer

位中指定的新路徑來找到正確的

控制網路安全組態。

通訊端階層 (SSL) 通訊協定來保障它的安全。要進行此操作，者將某個介面連結到 MGT 區域

) 的 NetScreen 裝置而言，該 ID

產生程序的隨機性 ( 相對於簡單合，使得兩個同時的管理會話絕

理式通訊流量的 VPN 通道」


1. Configuration > Admin > Management: 在 Help Link Path 欄位中，取代預設http://help.juniper.net/help/english/screenos_version/nsplatform_numb

為

( 用於本機磁碟機 ) file://path…/help或者

( 用於本機伺服器 ) http://server_name…/path/help2. 按一下 Apply。

按一下 WebUI 右上角的 help 連結時，本裝置會使用您在 Help Link Path 欄「說明」檔案。

HTTP使用標準的 Web 瀏覽器，您可以使用超文字傳輸通訊協定 (HTTP) 遠端存取、監看和

您可以透過在虛擬私人網路 (VPN) 通道中封裝 HTTP 管理式通訊流量或透過使用安全保障它的安全。您可以透過將管理式通訊流量與網路使用者通訊流量完全分離來進一步您可以透過 MGT 介面執行所有管理式通訊流量 ( 在某些 NetScreen 裝置上適用 )，或並使其專門用於管理式通訊流量。

會話 ID

NetScreen 裝置為每個 HTTP 管理會話指派唯一的會話 ID。對於支援虛擬系統 (vsys在所有系統 ( 根和 vsys ) 上都是全域唯一的。

每個會話 ID 是一個 39 位元組的數字，是由五個偽隨機產生的數字組合而成的。該 ID的數字增量方案而言 ) 使得幾乎不可能預測該 ID。此外，這種隨機性與 ID 的長度相整對不太可能出現偶然相同的 ID。

注意 : 如需詳細資訊，請參閱第 7 頁上的「安全通訊端階層」、第 58 頁上的「用於管和第 37 頁上的「MGT 和 VLAN1 介面」。


6

置能從其多個管理員中辨別出同

不同虛擬系統的同時根層級管理

NetScreen 裝置

NetScreen 裝置為每個會話指派一個唯一的 ID 編號，因此可以區分彼此。

介面 IP 位址 :10.1.1.1/24

NetScreen 裝置為每個會話指派唯一的 ID 編號，因此能為不同根系統和虛擬系統區分同一主機的每個會話。


以下是會話 ID 為 NetScreen 管理員提供的兩個優點：

• 對於為所有向外封包指派了相同的來源 IP 位址的 NAT 裝置，NetScreen 裝時的會話。

• NetScreen 裝置可以區分從相同來源 IP 位址到根系統，以及區分從根系統到會話。

Admin-A來源 IP位址 :

10.2.2.5

NAT 裝置將所有 IP 位址來源轉譯為 10.1.1.2

10.2.2.5 10.1.1.1 DATA

SRC DST

Admin-B來源 IP 位址 :

10.2.2.6 10.2.2.6 10.1.1.1 DATA

SRC DST

10.1.1.2 10.1.1.1 DATA

SRC DST

10.1.1.2 10.1.1.1 DATA

SRC DST

根管理員2.2.2.5

NetScreen 裝置

SRC DST

ROOT

VSYS1

VSYS2

根系統1.1.1.1

2.2.2.5 1.1.1.1 DATA

2.2.2.5 1.1.1.1 DATA

2.2.2.5 1.1.1.1 DATA


7

Web 伺服器之間提供安全的連者允許用戶端及伺服器相互驗證這兩個通訊協定在開放式系統互

證伺服器或用戶端及伺服器，然置 )，而不能驗證用戶端 ( 管理

NetScreen 裝置( SSL 伺服器 )

的。


安全通訊端階層安全通訊端階層 (SSL) 是一組通訊協定，可為在 TCP/IP 網路上通訊的 Web 用戶端和接。SSL 是由 SSL 詢問通訊協定 (SSLHP) 和 SSL 登入通訊協定 (SSLRP) 組成，前並交涉加密方法，後者則提供基本安全性服務給更高層級的通訊協定 ( 例如 HTTP )。相連接 (OSI) 模式下的下列兩層中執行：

• 應用程式層 ( 第 7 層 ) 中的 SSLHP

• 展示層 ( 第 6 層 ) 中的 SSLRP

SSL 不依賴應用程式通訊協定，而是使用 TCP 來提供安全服務。SSL 先使用認證驗後在會話期間對傳送的通訊流量進行加密。NetScreen 只能驗證伺服器 ( NetScreen 裝員嘗試透過 SSL 連接到 NetScreen 裝置 )。

Alice、NetScreen 管理( SSL 用戶端 )

Alice ( SSL 用戶端 ) 連絡 NetScreen 裝置 ( SSL 伺服器 ) 進行登入。

NetScreen 裝置會傳給 Alice 所需的認證和提議，讓她用來執行金鑰密碼 (3DES、DES、RC4 或 RC4-40)、壓縮法 (PKZip 或 gzip) 和雜湊演算法 (SHA-1 或 MD5)。

Alice 會以認證的公開金鑰加密一個隨機號碼，並一起傳回該號碼與她所接受的提議項目清單。( Alice 同時會使用隨機號碼和同意的金鑰密碼來建立金鑰。)

NetScreen 裝置會使用其私密金鑰來解密該號碼。接下來會使用該號碼及同意的金鑰密碼來建立金鑰。

NetScreen 裝置和 Alice 會使用其共享的金鑰來加密其間的通訊流量。他們也會使用同意壓縮方法來壓縮資料，並使用同意的雜湊演算法來產生資料的雜湊，以提供訊息完整性


8

( 預設連接埠 443 )。SSL 的預設SL 已和 PKI 金鑰 / 認證管理整ec VPN.

針對試圖透過 SSL 連接的管理

相容性1

碼編譯」。)

的「將 HTTP 重新導向到需取得認證的資訊，請參

的相同種類及大小的加密。) 在 Internet按一下更新資訊連結。在 Netscape

請按一下 Security Info、Navigator、

對。


NetScreen 裝置可使用 HTTP ( 預設連接埠 80 )，將管理式通訊流量重新導向到 SSL 認證是自動產生的自助簽名認證，但您稍後可使用不同的認證 ( 如果您需要 )。由於 S合，所以可以從認證清單的任何認證中選擇 SSL 認證。也可以將相同的認證用於 IPS

SSL 的 ScreenOS 執行提供了下列功能、相容性和整合：

• SSL 伺服器驗證 ( 非 SSL 伺服器和用戶端驗證 )；換言之，NetScreen 裝置會員驗證它本身，但管理員不會使用 SSL 向裝置驗證它自己

• SSL 版本 3 相容性 ( 不是版本 2 )

• Netscape Communicator 4.7x 及更新版本與 Internet Explorer 5.x 更新版本的

• 公開金鑰基礎結構 (PKI) 金鑰管理整合 ( 請參閱第 5-23 頁上的「公開金鑰密

• 下列是 SSL 的加密演算法：

– 使用 40 位元金鑰的 RC4-40– 使用 128 位元金鑰的 RC4– DES：使用 56 位元金鑰的資料加密標準

– 3DES：使用 168 位元金鑰的三重 DES• SSL 與 VPN 所使用的相同驗證演算法：

– 訊息整理版本 5 (MD5) — 128 位元金鑰

– 安全雜湊演算法版本 1 (SHA-1) — 160 位元金鑰

注意 : 如需將管理式 HTTP 通訊流量重新導向到 SSL 的詳細資訊，請參閱第 11 頁上SSL」。如需自助簽名認證的詳細資訊，請參閱第 5-47 頁上的「自助簽名認證」。如閱第 5-29 頁上的「認證和 CRL」。

1. 檢查 Web 瀏覽器以查看密碼的可靠性及瀏覽器支援的密碼。( NetScreen 裝置和您的 Web 瀏覽器都必須支援用於 SSL Explorer 5x 中，按一下說明和關於 Internet Explorer，然後閱讀「Cipher 強度」。若要取得進階的安全性套件，請Communicator 中，按一下說明和關於 Communicator，然後閱讀關於 RSA® 的部份。若要變更 SSL 組態設定，Configure SSL v3。

注意 : RC4 演算法始終和 MD5 配成對，而 DES 和 3DES 則與 SHA-1 配成


9

個自助簽名認證，或者取得 CA

:

連接埠號碼4。

。

} | md5 }

」。如需要求並載入認證的


SSL 組態

設定 SSL 的基本步驟如下：

1. 使用 NetScreen 裝置在其初始啟動時自動產生的自助簽名認證，或建立另一簽名認證，並在 NetScreen 裝置上載入它2。

2. 啟用 SSL 管理3：

WebUI

Configuration > Admin > Management: 輸入下面的內容，然後按一下 Apply

SSL: ( 選擇 )

Port: 使用預設的連接埠號碼 (443) 或變為其他

Certificate: 從下拉式清單選擇您要使用的認證

Cipher: 從下拉式清單選擇您要使用的加密。

CLI

set ssl port numset ssl cert id_num5

set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 set ssl enablesave

注意 : 如需自助簽名認證的詳細資訊，請參閱第 5-47 頁上的「自助簽名認證詳細資訊，請參閱第 5-29 頁上的「認證和 CRL」。

2. 確定指定的位元長度也受 Web 瀏覽器支援。

3. 預設會啟用 SSL。

4. 如果您變更 SSL 連接埠號碼，則管理員在其 Web 瀏覽器中輸入 URL 時就需要指定非預設的連接埠號碼。

5. 若要瞭解認證的 ID 編號，請使用下面的指令：get pki x509 list cert。


10

塊，然後按一下 OK。

輸入管理 NetScreen 裝置的 IP(SSL) 連接埠號碼 ( 如果您已變


3. 設定介面，透過該介面管理 NetScreen 裝置，以允許進行 SSL 管理：

WebUI

Network > Interfaces > Edit ( 對於要管理的介面 ): 啟用 SSL 管理服務核取方

CLI

set interface interface manage sslsave

4. 透過 SSL 連接埠連接到 NetScreen 裝置。即，當您在瀏覽器的 URL 欄位中位址時，將「http」變更為「https」，然後在 IP 位址後加上冒號和 HTTPS 更預設的連接埠號碼，例如 https://123.45.67.89:1443 )。


11

設連接埠 443 )。

操作：

:

t

creen 裝置會將其認證傳給 Alice。公開金鑰加密一個隨機號碼，並將 ( 使用其私密金鑰來解密號碼 )。這享的隨機號碼和交涉的金鑰密碼

RC4-40) 來建立共享金鑰，以便使訊流量。他們也會使用同意的壓

來壓縮資料，並使用同意的雜湊演產生資料的雜湊，以提供訊息完

etScreen 裝置


將 HTTP 重新導向到 SSL

NetScreen 裝置可使用 HTTP ( 預設連接埠 80 )，將管理通訊流量重新導向到 SSL ( 預

若要啟用重新導向，並為 SSL 使用預設的自動產生的自助簽名認證，請執行以下任一

WebUI

Configuration > Admin > Management: 輸入下面的內容，然後按一下 Apply

將 HTTP 重新導向到 HTTPS: ( 選擇 )

Certificate: Default – System Self-Signed Cer

Dst Port 80

在 SSL 詢問期間，NetSAlice 會以認證所包含的它傳回 NetScreen 裝置兩個參與者接著會使用共(3DES、DES、RC4 或用該金鑰來加密其間的通縮方法 (PKZip 或 gzip) 算法 (SHA-1 或 MD-5) 來整性。

HTTP-Get

HTTP-Get

HTTP 到 HTTPS 的重新導向指令

HTTP-Reply

Dst Port 443

Alice ( NetScreen

管理 )

已加密

SSL 詢問

N

HTTP 到 SSL 重新導向

純文字


12

新導向 HTTP 通訊流量。若要停UI)，或輸入 unset admin http

SSL。如果您先前指派另一個認證與 id_num 是先前指派的認證的 ID 號碼。


CLI

set admin http redirect6

save

雖然 HTTP 未提供 SSL 所需的安全性，但您可以設定 NetScreen 裝置，使其不會重用 HTTP 到 SSL 的重新導向機制，請清除 Redirect HTTP to HTTPS 選項 (Webredirect 指令 (CLI)。

6. 您不必輸入 CLI 指令就能套用自動產生的自助簽名認證 ( 與 SSL 搭配使用 )，因為依預設 NetScreen 裝置會將它套用到SSL 搭配使用，而您現在要使用預設的認證，則必須使用下列指令來取消其他認證的指派：unset ssl cert id_num，其中

第 1 章管理透過指令行介面進行管理

13

creen 裝置，可以使用任何模擬sh® 作業系統中的主控台設定過主控台連接埠進行直接連接，

網路上的網路裝置並進行遠端設伺服器程式建立連接。登入後，行有效的設定，就像透過直接連

e。


透過指令行介面進行管理進階管理員可透過使用指令行介面 (CLI) 進行更精確的控制。若要使用 CLI 設定 NetSVT100 終端機的軟體。使用終端機模擬器時，可用 Windows、UNIX™ 或 MacintoNetScreen 裝置。要透過 CLI 進行遠端管理，可使用 Telnet 或安全 Shell (SSH)。透就可以使用 Hyperterminal®。

TelnetTelnet 是一個登入及終端機模擬通訊協定，使用用戶端/伺服器關係來連接到 TCP/IP 定。管理員在管理工作站上執行 Telnet 用戶端程式並與 NetScreen 裝置上的 Telnet管理員可以發出 CLI 指令，將其傳送到 NetScreen 裝置上的 Telnet 程式，對裝置進接操作一樣。使用 Telnet 管理 NetScreen 裝置需要下列條件：

• 管理工作站上的 Telnet 軟體

• 到 NetScreen 裝置的乙太網路連接

建立 Telnet 連接的設定程序如下：

注意 : 如需 ScreenOS CLI 指令的完整清單，請參閱 NetScreen CLI Reference Guid

建立 Telnet 連接

1. Telnet 用戶端將 TCP 連接要求傳送到 NetScreen 裝置上的連接埠 23 ( 當作 Telnet 伺服器使用 )。

3. 用戶端傳送其使用者名稱和密碼 — VPN 通道中的純文字或加密的密碼。

2. NetScreen 提示用戶端利用使用者名稱和密碼進行登入。


14

Telnet 會話之前所允許的不成

試。若要變更此數目，請輸入以

NetScreen 裝置型號，您可透式通訊流量。

全的連接，您可以要求這類使用試不透過 VPN 通道進行 telnet


為了將未授權使用者登入到裝置上的機會減至最低，您可以限制 NetScreen 裝置終止功登入嘗試的次數。此限制也可以預防某些類型的攻擊，例如自動化的辭典式攻擊。

預設情況下，在關閉 Telnet 會話之前，NetScreen 裝置最多允許三次不成功的登入嘗下指令：

set admin access attempts number

保證 Telnet 連接的安全

可以透過將 Telnet 通訊流量與網路使用者通訊流量完全分離來保證其安全。根據您的過 MGT 介面執行所有管理式通訊流量，也可將一個介面 ( 例如 DMZ ) 完全用於管理

此外，為了確保 admin 使用者在透過 Telnet 管理 NetScreen 裝置時所用的是一個安者僅透過虛擬私人網路 (VPN) 通道來執行 telnet 連接7。在設定了此限制後，如果有人嘗連接，則該裝置將拒絕其存取。

若要限制透過 VPN 進行 Telnet 存取，請輸入以下指令：

set admin telnet access tunnel

注意 : 您必須使用 CLI 來設定此限制。

7. 如需 VPN 通道的資訊，請參閱第 5 卷，「VPN」。



15

員可透過使用能識別安全 Shell的指令 shell 並執行指令。SSH

) 伺服器。普遍認為 SSHv2 比普遍應用。請注意，SSHv1 和的 SSHv2 伺服器，反之亦然。

SSH 伺服器


安全 ShellNetScreen 裝置中內建的安全 Shell (SSH) 伺服器提供一種方法，憑藉這種方法，管理(SSH) 應用程式，以一種安全的方式來遠端管理裝置。SSH 讓您可以安全地開啟遠端提供對 IP 或 DNS 欺騙式攻擊以及密碼或資料截獲的保護。

您可以選擇在 NetScreen 裝置上執行 SSH 版本 1 (SSHv1) 或 SSH 版本 2 (SSHv2SSHv1 更安全，而且其目前正被制定為 IETF 標準。但是，SSHv1 已被廣泛部署和SSHv2 彼此並不相容。也就是說，不能使用 SSHv1 用戶端連接到 NetScreen 裝置上用戶端主控台或終端應用程式必須執行與伺服器相同的 SSH 版本。

ScreenOS

管理員的工作站

SSH 用戶端網際網路

加密的管理式通訊流量

NetScreen 裝置


16

金鑰

/私人金鑰對的公開金鑰元件行 NetScreen 裝置/vsys 驗證。(每個 vsys 都有其自己的主鑰被永久連結到裝置/vsys 上。

時 RSA 公開 / 私人金鑰對用。( 預設情況下，NetScreen個 vsys 產生一個新金鑰。)

接設定期間用戶端與建立的暫時金鑰 (DES 或通訊進行加密 ( 會話結束時，

於 SSH 用戶端的持續 RSA對。啟動 SSH 連接之前，必

n 裝置上載入用戶端的公開金 PKA 金鑰連結到 admin 使用

人金鑰對 = 一組加密的金鑰，金鑰的金鑰才能解密。


基本的 SSH 連接程序如下所示：

在一個 NetScreen 裝置上，一次最多只允許五個 SSH 會話。

1. SSH 用戶端將 TCP 連接要求傳送到 NetScreen 裝置上的連接埠 22 ( 作為 SSH 伺服器 )。

3. NetScreen 傳送其主機和伺服器金鑰的公開元件、cookie，以及它所支援的加密和驗證演算法。

7. 用戶端會加密使用者名稱和密碼或其 PKA 金鑰的公開元件，然後傳送它們以進行驗證。

2. NetScreen 與用戶端交換關於它們支援的 SSH 版本的資訊。

4. 用戶端建立一個會話金鑰，並使用 NetScreen 主機和伺服器金鑰的公開元件對其進行加密，然後將會話金鑰傳送到 NetScreen。

5. NetScreen 用其私人金鑰簽名該會話金鑰，並將簽名後的會話金鑰傳送到用戶端。用戶端會使用在金鑰交換程序中產生的會話金鑰來驗證該簽名。完成建立安全通道。

主機金鑰：公開用於對用戶端進和加密會話金鑰機金鑰。)主機金

伺服器金鑰：暫於加密會話金鑰每隔一小時為每

會話金鑰：在連NetScreen 共同3DES)，用於對它將被丟棄 )。

PKA 金鑰：常駐公開 / 私人金鑰須在 NetScree鑰，並且必須將者上。

注意：公開 / 私只有加密另一個

6. NetScreen 會發信號通知 SSH 用戶端以提示終端使用者輸入驗證資訊。


17

。必須設定 SSHv2 用戶端以要必須設定 SSHv1 用戶端以要求

SSH 連接之前，必須將 PKA 金驗證」。

式和 NetScreen 裝置上的伺服en 裝置上啟用了 SSH，則當您為活動狀態但未啟用，請輸入

同的 SSH 版本，請確定已刪除輸入下列 CLI 指令：


用戶端要求

如前所述，用戶端應用程式必須執行與 NetScreen 裝置上的伺服器相同的 SSH 版本求 Diffie-Hellman 金鑰交換演算法和數位簽名演算法 (DSA)，用於公開金鑰裝置驗證。RSA 用於公開金鑰裝置驗證。

NetScreen 裝置上的基本 SSH 組態

以下是在 NetScreen 裝置上設定 SSH 的基本步驟：

1. 確定將密碼還是將公開金鑰驗證 (PKA) 用於 SSH。如果使用 PKA，則在進行鑰連結到管理員。如需使用密碼或 PKA 的詳細資訊，請參閱第 19 頁上的「

2. 確定需要在 NetScreen 裝置上啟用哪個 SSH 版本。( 切記：用戶端應用程器必須執行相同的 SSH 版本。) 如果您在前一 ScreenOS 版本的 NetScre現在啟用 SSH 時將執行 SSHv1。要檢視 NetScreen 裝置上哪個 SSH 版本CLI get ssh 指令：

ns-> get sshSSH V1 is activeSSH is not enabledSSH is not ready for connectionsMaximum sessions: 8Active sessions: 0

在以上所示的輸出中，SSHv1 是活動中，並在啟用 SSH 時執行。如要使用不用前一版本建立的所有金鑰。例如，若要清除 SSHv1 金鑰並使用 SSHv2，請

ns-> delete ssh device all


18

SSH v2 for the device

4 至 32767 之間的一個連接埠

其他資訊，請參閱第 21 頁上的

參閱第 22 頁上的「主機金鑰」。


出現以下訊息：

SSH disabled for vsys: 1PKA key deleted from device: 0Host keys deleted from device: 1Execute the ‘set ssh version v2’ command to activate

若要使用 SSHv2，請輸入下列 CLI 指令：

ns-> set ssh version v2

3. 如果不想將連接埠 22 ( 預設連接埠 ) 用於 SSH 用戶端連接，可以指定 102號碼8。

ns-> set admin ssh port 1024

4. 為根系統或虛擬系統啟用 SSH。如需以每個 vsys 為基礎啟用和使用 SSH 的「SSH 和 Vsys」。

若要為根系統啟用 SSH：

ns-> set ssh enable

若要為 vsys 啟用 SSH，需要先進入該 vsys，然後啟用 SSH：

ns-> set vsys v1ns(v1)-> set ssh enable

5. 在 SSH 用戶端將要從中實現連接的介面上啟用 SSH。

ns-> set interface manage ssh

6. 將 NetScreen 裝置上產生的主機金鑰分配到 SSH 用戶端。如需詳細資訊，請

注意 : 設定 SSH 版本並不會在 NetScreen 裝置上啟用 SSH。

8. 也可以使用 WebUI 來變更連接埠號碼，並在 Configuration > Admin > Management 頁面上啟用 SSHv2 和 SCP。


19

戶端初始化到 NetScreen 裝置reen 裝置用信號通知 SSH 用戶傳送到 NetScreen 裝置，將其

creen 裝置會驗證使用者。如果

於密碼驗證方法，並讓您可以執使用者名稱和公開 / 私人金鑰對金鑰進行比較。如果其中一個金n 裝置就會拒絕該連接要求。

tScreen 裝置建立 SSH 連接後，

後透過 SSH 連接在您要管理參閱第 46 頁上的「定義 Admin


驗證

管理員可以用兩種驗證方法中的一個來使用 SSH 連接到 NetScreen 裝置：

• 密碼驗證：需要設定或監看 NetScreen 裝置的管理員通常使用此方法。SSH 用的 SSH 連接。如果在接收連接要求的介面上啟用 SSH 可管理性，則 NetSc端，以提示使用者輸入使用者名稱和密碼。SSH 用戶端收到此資訊後，會將之與 admin 使用者帳戶的使用者名稱和密碼進行比較。如果它們配對，則 NetS它們不配對，NetScreen 裝置就會拒絕該連接要求。

• 公開金鑰驗證 (Public Key Authentication，PKA)：此方法提供的安全性高行自動化指令碼。通常，SSH 用戶端並不傳送使用者名稱和密碼，而是傳送的公開金鑰元件9。NetScreen 裝置將其與多達四個的可連結到管理員的公開鑰配對，則 NetScreen 裝置會驗證使用者。如果其中都沒有配對，NetScree

這兩種驗證方法都需要在 SSH 用戶端登入前建立一個安全的連接。SSH 用戶端與 Ne使用者必須輸入使用者名稱和密碼或使用者名稱和公開金鑰以驗證自身。

密碼驗證和 PKA 都需要在 NetScreen 裝置上為 admin 使用者建立一個帳號，然NetScreen 裝置的介面上啟用 SSH 可管理性。( 如需建立 admin 使用者帳戶的資訊，請使用者」。) 密碼驗證方法不需要在 SSH 用戶端上進行任何其他設定。

9. 所支援的驗證演算法是用於 SSHv1 的 RSA 和用於 SSHv2 的 DSA。


20

用於 SSHv1 的 RSA 或用於

程式。

令之一：

me_str ip-addr

ame_str ip-addr

將 RSA 金鑰連結到另一個管理時，NetScreen 裝置將金鑰連結

代理以加密 PKA 公開 /

1 ) 或 set ssh pka-dsa [user-nametion > Admin > Administrators > SSH

。


另一方面，為了準備 PKA，必須先執行下列工作：

1. 在 SSH 用戶端上，使用金鑰產生程式來產生公開和私人金鑰對。( 該金鑰對是SSHv2 的 DSA。有關詳細資訊，請參閱 SSH 用戶端應用程式文件。)

2. 將公開金鑰從本機 SSH 目錄移到 TFTP 伺服器10 上的目錄，然後啟動 TFTP

3. 登入到 NetScreen 裝置，以便可透過 CLI 對其進行設定。

4. 若要將公開金鑰從 TFTP 伺服器載入到 NetScreen 裝置，請輸入以下 CLI 指

對於 SSHv1：

exec ssh tftp pka-rsa [ username name ] file-name natftp_ip_addr

對於 SSHv2：

exec ssh tftp pka-dsa [ user-name name ] file-name ntftp_ip_addr

username 或 user-name 選項僅用於根管理員，因此只有根管理員才可以員。當您 — 作為根管理員或讀 / 寫管理員 — 輸入指令而沒有輸入使用者名稱到您自己的 admin 帳戶；也就是，將金鑰連結到輸入指令的管理員。

注意 : 如果要使用 PKA 進行自動化登入，則還必須在 SSH 用戶端載入一個私人金鑰對的私人金鑰元件，並在記憶體中保留私人金鑰的解密版本。

10. 也可以將公開金鑰檔案的內容直接貼到 CLI 指令 set ssh pka-rsa [username name_str ] key key_str ( 對於 SSHvname_str ] key key_str ( 對於 SSHv2 ) 中，貼到顯示變數 key_str 的位置，或貼到 WebUI 的 Key 欄位中 (ConfiguraPKA)。然而，CLI 與 WebUI 有大小限制：公開金鑰大小不可超過 512 位元。透過 TFTP 載入金鑰時，則沒有此限制。

注意 : 對於每個 admin 使用者，NetScreen 裝置支援最多四個 PKA 公開金鑰


21

先檢查公開金鑰是否已連結至該連結到管理員，那麼 NetScreen法：set admin ssh password

的帳戶時，仍必須包括密碼，即

ys 都有其本身的主機金鑰 ( 請參

而定。如果已經登入到該裝置上。根系統和 vsys 共用同一 SSHys 的 SSH 連接埠也將被變更。


當管理員嘗試在已啟用 SSH 可管理性的介面上透過 SSH 登入時，NetScreen 裝置會管理員。如果的確如此，NetScreen 裝置就會使用 PKA 驗證管理員。如果公開金鑰沒有裝置會提示輸入使用者名稱和密碼。( 您可以使用下面的指令強制管理員只使用 PKA 方disable username name_str。) 無論您要管理員使用哪種驗證方法，初次定義管理員使後來將公開金鑰連結到此使用者，該密碼也會變成無效。

SSH 和 Vsys

對於支援 vsys 的 NetScreen 裝置，可以每個 vsys 為基礎啟用和設定 SSH。每個 vs閱第 22 頁上的「主機金鑰」 )，並為系統的管理員維護和管理 PKA 金鑰。

請注意，最大的 SSH 會話數是整個裝置的限制，其值在 2 至 24 之間，視裝置的不同的 SSH 用戶端數目已達到最大值，則其他 SSH 用戶端不能再登入到該 SSH 伺服器連接埠號碼。這就意味著：如果變更了 SSH 連接埠的預設連接埠號碼 22，則所有 vs


22

ys) 的 NetScreen 裝置上，每個次啟用 SSH 時，將產生該 vsys了 SSH 後再次啟用 SSH，則仍

端 admin 使用者。接收的管理程式確定該檔案位置和格式。)

未加密公開元件傳送給用戶端。應到 NetScreen 裝置的位址上。位址的對應 )，則 Admin 使用者鑰的資訊，請參閱相應的 SSH

產生所收到的主機金鑰的 SHA鑰的 SHA 雜湊進行比較。在

A 雜湊。


主機金鑰

主機金鑰允許 NetScreen 裝置將自身識別為一個 SSH 用戶端。在支援虛擬系統 (vsvsys 都有其本身的主機金鑰。在 vsys ( 對於支援 vsys 的裝置 ) 或 NetScreen 裝置上首或裝置的獨特的主機金鑰。該主機金鑰被永久連結到 vsys 或裝置上，並且如果在停用將使用同一主機金鑰。

NetScreen 裝置上的主機金鑰必須用下面兩種方式之一分配到 SSH 用戶端：

• 手動 — 根管理員或 vsys 管理員透過電子郵件、電話等將主機金鑰傳送給用戶員將主機金鑰儲存到 SSH 用戶端系統的相應 SSH 檔案中。( SSH 用戶端應用

• 自動 — 當 SSH 用戶端連接到 NetScreen 裝置時，SSH 伺服器將主機金鑰的SSH 用戶端搜尋其本機主機金鑰資料庫，以檢視接收到的主機金鑰是否已對如果主機金鑰是未知的 ( 在用戶端的主機金鑰資料庫中沒有 NetScreen 裝置也許能決定是否接受該主機金鑰。否則，連接將被終止。( 如需接受未知主機金用戶端文件。)

為了確認 SSH 用戶端已接收到了正確的主機金鑰，用戶端系統上的 Admin 使用者可以雜湊。然後，用戶端 Admin 使用者可以將該 SHA 雜湊與 NetScreen 裝置上主機金NetScreen 裝置上，可以透過執行 CLI 指令 get ssh host-key 來顯示主機金鑰的 SH


23

鑰驗證 (PKA)。此遠端主機存取用戶端登入到 NetScreen 裝置

面 ethernet1 ( 被連結到 Untrust

檔案名稱為「idnt_cfg.pub」的器的 IP 位址是 10.1.1.5。

OK:

H，然後按一下 OK。

b ip-addr 10.1.1.5


範例：SSHv1 使用 PKA 進行自動登入

在此範例中，您 ( 作為根管理員 ) 為執行自動化指令碼的遠端主機設定 SSHv1 公開金NetScreen 裝置的唯一目的是每天晚上下載組態檔案。由於自動進行驗證，因此 SSH時不需要人員操作。

您定義了一個 admin 使用者帳戶，名稱為 cfg，密碼為 cfg，並有讀寫許可權。可在介區域 ) 上啟用 SSH 可管理性。

您以前已經在 SSH 用戶端上使用過金鑰產生程式來產生 RSA 公開 / 私人金鑰對，將公開金鑰檔案移到了 TFTP 伺服器上的目錄中，然後啟動了 TFTP 程式。TFTP 伺服

WebUI

Configuration > Admin > Administrators > New: 輸入下面的內容，然後按一下

Name: cfg

New Password: cfg

Confirm Password: cfg

Privileges: Read-Write ( 選擇 )

SSH Password Authentication: ( 選擇 )

Network > Interfaces > Edit ( 對於 ethernet1 ): 在 Service Options 中選擇 SS

CLI

set admin user cfg password cfg privilege allset interface ethernet1 manage sshexec ssh tftp pka-rsa username cfg file-name idnt_cfg.pusave

注意 : 僅可透過 exec ssh 指令從 TFTP 伺服器載入 SSH 的公開金鑰檔案。


24

n 裝置交換檔案。( SSH 通訊協，接受來自遠端主機上的 SCP

SH 用戶端的程序完全相同。可tScreen 裝置傳輸或從中傳輸一；請參閱 SCP 用戶端應用程式

:

稱是「netscreen」，IP 位址是:

p


安全副本 (SCP)安全副本 (SCP) 提供了一個途徑，使遠端用戶端能使用 SSH 通訊協定與 NetScree定為 SCP 連接提供驗證、加密和資料完整性。) NetScreen 裝置作為一個 SCP 伺服器用戶端的連接。

SCP 要求在開始檔案傳輸之前對遠端用戶端進行驗證。SCP 驗證程序與用於驗證 S以用密碼或 PKA 金鑰來驗證 SCP 用戶端。一旦驗證該 SCP 用戶端後，就可以向 Ne個或多個檔案。SCP 用戶端應用程式確定用於指定來源和目的地檔案名稱的準確方法文件。

在 NetScreen 裝置上預設為停用 SCP。若要啟用 SCP，還必須啟用 SSH。

WebUI

Configuration > Admin > Management: 選擇下面的內容，然後按一下 Apply

啟用 SSH: ( 選擇 )

啟用 SCP: ( 選擇 )

CLI

set ssh enableset scp enablesave

下面是一個 SCP 用戶端指令的範例，該指令將組態檔案從 NetScreen 裝置 ( 管理員名10.1.1.1 ) 上的快閃記憶體中複製到用戶端系統的「ns_sys_config_backup」檔案中

scp [email protected]:ns_sys_config ns_sys_config_backu


25

若要將名為「ns.5.1.0r1」的影的登入名稱是「netscreen」，

像。

為「current_image_backup」，

來源檔案和目的地檔案。

置 ) 來管理 NetScreen 裝置。雖麼這種連接就是最安全的裝置

-9 纜線

透過主控台登入到為主控台存取」。


您也能將 ScreenOS 影像複製到 NetScreen 裝置，或從 NetScreen 裝置複製該影像。像存入 SCP 用戶端的 NetScreen 裝置，請輸入下列 SCP 用戶端指令，管理員在其中而 NetScreen 裝置的 IP 位址則是 10.1.1.1：

scp ns.5.1.0r1 [email protected]:image

然後，輸入 reset 指令來重新啟動 NetScreen 裝置，以載入並執行新的 ScreenOS 影

若要將 ScreenOS 影像從 NetScreen 裝置複製到 SCP 用戶端，並將儲存的影像命名請輸入下列 SCP 用戶端指令：

scp [email protected]:image current_image_backup

您需要參閱 SCP 用戶端應用程式文件，以瞭解如何指定管理員名稱、裝置 IP 位址、

序列主控台您可以透過直接的序列連接 ( 透過主控台連接埠從管理員工作站連接到 NetScreen 裝然不可能一直使用直接連接，但是如果 NetScreen 裝置的所在位置是安全的，那管理方法。

根據 NetScreen 裝置型號，建立序列連接需要下列纜線之一：

• 母接頭 DB-9 到公接頭 DB-25 直通序列纜線

• 母接頭 DB-9 到公接頭 DB-9 直通序列纜線

• 母接頭 DB-9 到公接頭 MiniDIN-8 序列纜線

• 與附帶 RJ-45 到 RJ-45 直通乙太網路纜線的 RJ-45 配接卡相連的母接頭 DB

注意 : 為了防止未經授權的使用者以根管理員身份遠端登入，您可以要求根管理員只能NetScreen 裝置。如需這種限制的附加資訊，請參閱第 57 頁上的「將根管理員限制


26

級終端機連接埠設定組態如下：

數據機連接埠的功能與主控台連

透過輸入下列指令來停用這兩個

Getting Started」一章


您也需要在管理工作站上安裝超級終端機軟體 ( 或另一種 VT100 終端機模擬器 )，超

– 序列通訊 9600 bps

– 8 位元

– 無同位檢查

– 1 停止位元

– 無流量控制

數據機連接埠

透過將管理員工作站連接到裝置的數據機連接埠上，您也可以管理 NetScreen 裝置。接埠類似，只是您不能為數據機連接埠定義參數或使用這種連接上載影像。

為了防止未經授權的使用者透過直接連接主控台或數據機連接埠來管理裝置，您可以連接埠：

set console disable

set console aux disable

注意 : 如需使用超級終端的詳細資訊，請參閱 NetScreen CLI Reference Guide 的「或安裝程式指南的「Initial Configuration」一章。

注意 : 在 NetScreen-5XT 上，只能使用數據機連接埠連接到一個外部數據機上。

第 1 章管理透過 NetScreen-Security Manager 進行管理

27

設定和監看多個裝置。Security

與 Security Manager UI 之間交

部管理系統的組態參數，並將其代理可下載 NetScreen 裝置與

tScreen-Security Manager 2004

Security Manager UI

NetScreen-Security Manager 管理員透過用戶端執行管理系統。


透過 NETSCREEN-SECURITY MANAGER 進行管理NetScreen-Security Manager 是一個企業級管理應用程式，能在 LAN 或 WAN 環境中Manager UI 使管理員能從中心位置部署、設定和管理許多裝置。

NetScreen-Security Manager 使用兩個元件來允許與 NetScreen 裝置進行遠端通訊。

• 管理系統是常駐在外部主機上的一組服務。這些服務會處理、追蹤和儲存裝置換的裝置管理資訊。

• 代理是常駐在所管理的每個 NetScreen 裝置上的一種服務。代理接收來自外推向 NetScreen ScreenOS 中。代理也監看裝置並將報告傳送回管理系統中。NetScreen-Security Manager 之間的簽名封包、認證和權利。

如需這些元件以及其他 NetScreen-Security Manager 元件的詳細資訊，請參閱 NeAdministrator’s Guide。

NetScreen FW/VPN 裝置啟用 Security Manager 代理

管理系統

主要伺服器

主要伺服器包含裝置伺服器和 GUI 伺服器。

NetScreen-Security Manager 代理：

NetScreen 裝置使用其嵌入的 NetScreen-Security Manager 代理與裝置伺服器進行通訊。

裝置伺服器和 GUI 伺服器：

裝置伺服器將組態變化推到 NetScreen 裝置，並從中接收執行和統計報告。

GUI 伺服器處理其從一個或多個 Security Manager 用戶端接收到的組態變化。


28

理 ( 常駐在裝置上 ) 與管理系統化最多可以需要位於兩個不同位前者在一個用戶端主機上使用的初始化情況如下。

ager UI 新增該裝置。( 不需要現其中常駐的 NetScreen-Security

r UI 新增該裝置。管理員也確定者透過主控台執行它們。隨後，anager 資料庫中。

nfiglet 的一個加密組態指令碼，

精靈選擇裝置平台和 NetScreen

LI 指令 ) 給現場使用者。

「Adding Devices」。


初始化代理與管理系統之間的連接在 NetScreen-Security Manager 能存取和管理 NetScreen 裝置之前，必須先初始化代( 常駐在外部主機上 ) 之間的通訊。根據 NetScreen 裝置的目前可用性的不同，初始置的兩個使用者。這些使用者可以包括 Security Manager 管理員以及現場使用者，Security Manager UI，後者透過主控台會話在 NetScreen 裝置上執行 CLI 指令。可能

• 情況 1：裝置已擁有一個已知 IP 位址，並可在網路基礎設施上加以存取。

在這種情況下，Security Manager 管理員使用用戶端主機上的 Security Man場使用者。) NetScreen 裝置自動回接到管理系統中，並準備將組態資訊傳送到Manager 資料庫中。

• 情況 2：IP 位址不可存取。

在這種情況下，兩個使用者都執行初始化任務。管理員透過 Security Manage現場使用者需要哪些 CLI 指令，並將這些指令傳送給該使用者，然後該使用該裝置自動與管理系統連接，並準備將組態資訊傳送到 NetScreen-Security M

• 情況 3：該裝置是新的設備，且包含出廠預設設定。

在這種情況下，兩個使用者都執行初始化任務。現場使用者可以使用名為 Co該指令碼由 Security Manager 管理員產生。操作程序如下：

a. Security Manager 管理員用 Security Manager UI 中的 Add Device ScreenOS 版本。

b. 管理員編輯該裝置並輸入所需的任何組態。

c. 管理員啟動該裝置。

d. 管理員產生並傳送 Configlet 檔案 ( 或者像情況 2 中那樣，傳送必要的 C

e. 現場使用者執行 Configlet ( 或 CLI 指令 )。

如需詳細資訊，請參閱 NetScreen-Security Manager 2004 Administrator’s Guide 中的


29

令會將代理設為其初始的預設重新設定 NetScreen-Security

een-Security Manager (NSM)，

een-Security Manager (NSM)，


啟用、停用及取消設定代理在 NetScreen 裝置能與管理系統通訊之前，您必須啟用該裝置上常駐的代理。

若要取消 NetScreen-Security Manager 設定，請使用 unset nsmgmt all 指令。此指值，如此它就能以看似從未連接 NetScreen-Security Manager 的方式運作。當您要Manager 設定時，請使用 unset nsmgmt all 指令。

若要在 NetScreen 裝置上啟用代理，請執行下列任一操作：

WebUI

Configuration > Admin > NSM: 選擇 Enable Communication with NetScr然後按一下 Apply。

CLI

set nsmgt enablesave

若要在 NetScreen 裝置上停用代理，請執行下列任一操作：

WebUI

Configuration > Admin > NSM: 清除 Enable Communication with NetScr然後按一下 Apply。

CLI

unset nsmgt enablesave


30
變更管理系統伺服器位址代理用於識別外部管理系統伺服器的 IP 位址是一個可設定的參數。

範例：設定主要伺服器 IP 位址

在下例中將主要伺服器 IP 位址設定為 1.1.1.100。

WebUI

Configuration > Admin > NSM: 輸入下面的內容，然後按一下 Apply:

Primary IP Address/Name: 1.1.1.100

CLI

set nsmgmt server primary 1.1.1.100save


31

rity Manager 管理員從 Security

。

l)


設定報告參數代理監看 NetScreen 裝置事件，並將報告傳送回管理系統中。這樣就允許 SecuManager UI 檢視事件。

代理所追蹤的事件類別如下：

• 警示報告潛在的危險攻擊或通訊流量異常，包括透過深入檢查而偵測到的攻擊

• 記錄事件報告裝置組態的變化以及裝置上發生的不嚴重變化。

• 通訊協定分發事件報告由下列通訊協定產生的訊息：

– 驗證標頭 (AH，Authentication Header)

– 封裝安全性負載 (ESP，Encapsulating Security Payload)

– 通用路由設定封裝 (GRE，Generic Routing Encapsulation)

– 網際網路控制訊息通訊協定 (ICMP，Internet Control Message Protoco

– 開放式最短路徑優先 (OSPF，Open Shortest Path First)

– 傳輸控制通訊協定 (TCP，Transmission Control Protocol)

– 使用者資料電報通訊協定 (UDP，User Datagram Protocol)

• 統計訊息報告下列統計資訊：

– 攻擊統計資訊

– 乙太網路統計資訊

– 通訊流量統計資訊

– 政策統計資訊


32
範例：啟用警示和統計資訊報告

在下例中，對管理系統啟用所有警示和統計訊息的傳送。

WebUI

Configuration > Admin > NSM: 輸入下面的內容，然後按一下 Apply:

Attack Statistics: ( 選擇 )

Policy Statistics: ( 選擇 )

Attack Alarms: ( 選擇 )

Traffic Alarms: ( 選擇 )

Flow Statistics: ( 選擇 )

Ethernet Statistics: ( 選擇 )

Deep Inspection Alarms: ( 選擇 )

Event Alarms: ( 選擇 )

CLI

set nsmgmt report statistics attack enableset nsmgmt report statistics policy enableset nsmgmt report alarm attack enableset nsmgmt report alarm traffic enableset nsmgmt report statistics flow enableset nsmgmt report statistics ethernet enableset nsmgmt report alarm idp enableset nsmgmt report alarm other enablesave


33

過變更，則 NetScreen 裝置會台、telnet、SSH 或 Web UI 來

y Manager 以外的應用程式變更 NetScreen 裝置組態檔案，

ity Manager 時，即可達到同步。Guide。

，則指令會傳回空白；否則，


組態同步如果 NetScreen ScreenOS 組態自前次與 NetScreen-Security Manager 同步以來已經將這項變更通知 NetScreen-Security Manager 管理員。例如，當裝置管理員使用主控變更 NetScreen 裝置組態時，NetScreen 裝置就會傳送訊息。以 NetScreen-Securit組態時，可能會取消它的同步。NetScreen-Security Manager 組態檔案必須同步NetScreen-Security Manager 才能正確運作。當您將組態檔案匯入 NetScreen-Secur如需匯入裝置的資訊，請參閱 Juniper Networks NetScreen-Security Administrator’s

下列範例顯示了用來檢視組態狀態的指令。

範例：檢視組態狀態

在下列範例中，您可以檢視 NetScreen 裝置的組態同步狀態。

WebUI

CLI

get config nsmgmt-dirty

注意 : 您必須使用 CLI 來擷取執行中的組態狀態。

注意 : 如果 NetScreen-Security Manager 以外的應用程式尚未變更組態檔案會傳回「yes」。


34

下列範例中，您可以擷取特定的


範例：擷取組態雜湊

NetScreen-Security Manager 會使用組態雜湊來驗證 NetScreen 裝置的組態同步。在虛擬系統正在執行的組態雜湊：

WebUI

CLI

ns-> enter vsys vsys1ns(vsys1)-> get config hasha26a16cd6b8ef40dc79d5b2ec9e1ab4fns(vsys1)-> ns(vsys1)-> exit

注意 : 您必須使用 CLI 來擷取執行中的組態雜湊。


35

ig 時戳是前次針對每個虛擬系統

的組態時戳：

的組態時戳。如果無法使用


組態時戳IA NetScreen 裝置提供兩種組態時戳：running-config 和 saved-config。running-conf執行 set 或 unset 指令的時間。saved-config 時戳則是前次儲存裝置組態的時間。

範例：擷取組態時戳

在下列範例中，NetScreen 裝置會擷取 vsys1 虛擬系統前次執行的組態時戳和已儲存

WebUI

CLI

get config timestamp vsys vsys1get config saved timestamp

注意 : 您必須使用 CLI 來擷取執行中的組態時戳和已儲存的組態時戳。

注意 : 如果省略指令中的 vsys vsys_name，則 NetScreen 裝置會擷取根系統時戳，則會顯示「unknown」訊息。

第 1 章管理控制管理式通訊流量

36

HTTP 通訊流量。

網路裝置的常見方式。選擇此選

tScreen 裝置。必須具有與 SSH新版本、Windows NT、Linux 和器提供裝置組態與管理服務。選

理資訊庫 II (MIB II) 群組 ( 在

HTTPS 通訊流量。

nager 通訊流量。

會確定是否可從網路上存取特定

，則會再次傳送要求。正在處理CP 重設通知以回應傳送到連接

。


控制管理式通訊流量ScreenOS 為設定和管理 NetScreen 裝置提供了下列選項：

• WebUI：選擇此選項以讓介面可以透過 Web 使用者介面 (WebUI) 接收管理的

• Telnet：是 TCP/IP 網路 ( 如網際網路 ) 的終端模擬程式。Telnet 是遠端控制項可啟用 Telnet 可管理性。

• SSH：可使用安全指令 Shell (SSH) 透過乙太網路連接或撥接數據機來管理 Ne通訊協定版本 1.5 相容的 SSH 用戶端。這些用戶端可用於 Windows 95 及更UNIX。NetScreen 裝置透過內建的 SSH 伺服器與 SSH 用戶端通訊，該伺服擇此選項可啟用 SSH 可管理性。

• SNMP： NetScreen 裝置同時支援 SNMPv1 和 SNMPv2c 以及所有相關的管RFC-1213 中定義 )。選擇此選項可啟用 SNMP 可管理性。

• SSL：選擇此選項可讓介面可以透過 WebUI 接收 NetScreen 裝置安全管理的

• NS Security Manager：選擇此選項可允許介面接收 NetScreen-Security Ma

• Ping：選擇此選項可讓 NetScreen 裝置可以回應 ICMP 回應要求或 ping，這的 IP 位址。

• Ident-Reset：類似郵件和 FTP 傳送識別要求的服務。如果它們未接收到確認要求時，沒有使用者存取。透過啟用 Ident-reset 選項，NetScreen 裝置傳送 T埠 113 的 IDENT 要求，然後還原被未確認的識別要求阻斷的存取。

若要使用這些選項，可在一個或多個介面中啟用它們，這取決於您的安全和管理需要


37

)。當介面處於 NAT、Route 或

進行管理。若要啟用管理通訊流t、V1-DMZ、使用者定義的第二

VLAN1 或 MGT 介面，而使用者加管理安全性，並確保穩定的管

eb 和 SSH 管理式通訊流量。


MGT 和 VLAN1 介面

某些 NetScreen 裝置具有一個專門用於管理式通訊流量的實體介面 ( 管理 (MGT) Transparent 模式時，您可以使用此介面來管理通訊流量。

在 Transparent 模式下，可以設定所有 NetScreen 裝置以允許透過邏輯介面 VLAN1 量以到達 VLAN1 介面，您必須同時在 VLAN1 和第二層區域 ( V1-Trust、V1-Untrus層區域 ) 上啟用所要的管理選項，管理通訊流量透過這些區域到達 VLAN1。

若要保持最高層級的安全性，Juniper Networks 建議將管理式通訊流量限制為專用於通訊流量則專用於安全區介面。從網路使用者通訊流量分離管理式通訊流量會大大增理頻寬。

範例：透過 MGT 介面進行管理

在本範例中，將 MGT 介面的 IP 位址設定為 10.1.1.2/24，並啟用 MGT 介面來接收 W

WebUI

Network > Interfaces > Edit ( 對於 mgt ): 輸入下面的內容，然後按一下 OK:

IP Address/Netmask: 10.1.1.2/24

Management Services: WebUI, SSH: ( 選擇 )

CLI

set interface mgt ip 10.1.1.2/24set interface mgt manage webset interface mgt manage sshsave


38

收透過 V1-Trust 區域的 Telnet

K:

)

:

)


範例：透過 VLAN1 介面進行管理

在本範例中，將 VLAN1 介面的 IP 位址設定為 10.1.1.2/24，並啟用 VLAN1 介面來接和 Web 管理式通訊流量。

WebUI

Network > Interfaces > Edit ( 對於 VLAN1 ): 輸入下面的內容，然後按一下 O


Management Services: WebUI, Telnet: ( 選擇

Network > Zones > Edit ( 對於 V1-Trust ): 選擇下面的內容，然後按一下 OK

Management Services: WebUI, Telnet: ( 選擇

CLI

set interface vlan1 ip 10.1.1.1/24set interface vlan1 manage webset interface vlan1 manage telnetset zone v1-trust manage webset zone v1-trust manage telnetsave


39

上，您可以將一個實體介面專門結到 Trust 區域的介面對裝置進

。您為 ethernet1 指派 IP 位址面 IP 位址在相同的子網路中。)址 1.1.1.1/24，並封鎖透過該介

Apply:


管理介面在有多個用於網路通訊流量的實體介面 ( 但沒有實體 MGT 介面 ) 的 NetScreen 裝置用於管理，以便將管理式通訊流量與網路使用者通訊流量完全分離。例如，可透過連行本機管理存取，也可透過連結到 Untrust 區域的介面對裝置進行遠端管理。

範例：設定管理介面選項

在本例中，將 ethernet1 連結到 Trust 區域，而將 ethernet3 連結到 Untrust 區域10.1.1.1/24，並為其指定管理 IP 位址 10.1.1.2。( 請注意，管理 IP 位址必須和安全區介也可以允許 ethernet1 接收 Web 和 Telnet 通訊流量。然後，為 ethernet3 指派 IP 位面的所有管理式通訊流量。

WebUI

Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的內容，然後按一下

Zone Name: Trust

Static IP: ( 出現時選擇此選項 )IP Address/Netmask: 10.1.1.1/24

Manage IP: 10.1.1.2

Management Services:

WebUI: ( 選擇 )

SNMP: ( 清除 )

Telnet: ( 選擇 )

SSL: ( 清除 )

SSH: ( 清除 )

輸入下面的內容，然後按一下 OK:Interface Mode: NAT


40

OK:

用 ethernet3 上的管理選項。



Zone Name: Untrust



WebUI: ( 清除 )

SNMP: ( 清除 )

Telnet: ( 清除 )

SSL: ( 清除 )

SSH: ( 清除 )

CLIset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 manage-ip 10.1.1.2set interface ethernet1 manage webunset interface ethernet1 manage snmpset interface ethernet1 manage telnetunset interface ethernet1 manage sslunset interface ethernet1 manage sshset interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 ip 1.1.1.1/2411

save

11. 當您將介面連結到 Trust 和 V1-Trust 區域以外的任何安全區時，預設會停用所有管理選項。因此，在本例中，您不必停


41

少兩個 IP 位址：

IP 位址 ( 一個或多個位址 ) 進行

或與該介面關聯的「管理 IP」

通道的端點，但是管理 IP

VLAN1 IP 位址 — 用於整個


管理 IP連結到一個安全區域上的任何實體介面、冗餘介面或者聚集介面或子介面都可擁有至

• 一個連接到網路的介面 IP 位址。

• 一個用於接收管理式通訊流量的邏輯管理 IP 位址。

NetScreen 裝置為高可用性 (HA) 冗餘群組中的備份設備時，您可以透過設備的管理存取和設定。

如果您在 WebUI 的介面組態頁面上選擇 Manageable 選項，則您可透過介面 IP 位址位址來管理 NetScreen 裝置。

注意 : 管理 IP 位址和 VLAN1 位址的差異在下面兩個方面：

• NetScreen 裝置處於 Transparent 模式時，VLAN1 IP 位址可以是 VPN位址不能是 VPN 通道的端點。

• 可以定義多個管理 IP 位址 — 每個網路介面一個 — 但是只能定義一個系統。


42

每個介面上設定管理選項，以提MZ 區域中的本機管理員群組，個管理 IP 位址，管理式通訊流量導向位於 1.1.1.250 的外部路

DMZ 區域Ethernet2

IP: 1.2.2.1/24nage IP: 1.2.2.2


範例：設定多個介面的管理 IP

在本例中，將 ethernet2 連結到 DMZ 區域，而將 ethernet3 連結到 Untrust 區域。在供對特定種類的管理式通訊流量的存取。允許 HTTP 和 Telnet 在 ethernet2 上存取 D允許 SNMP 在 ethernet3 上從遠端站台監看中央裝置。Ethernet2 和 ethernet3 都有一量會指向該位址。您也會設定一個路由，將 ethernet3 外部自助產生的 SNMP 通訊流由器。

WebUI

Network > Interfaces > Edit (ethernet2): 輸入下面的內容，然後按一下 OK:

Zone Name: DMZ

Static IP: ( 出現時選擇此選項 )


Manage IP: 1.2.2.2

Untrust 區域Ethernet3

IP: 1.1.1.1/24Manage IP: 1.1.1.2

本機管理員

SNMP 管理工作站

LAN

Trust 區域

網際網路

Ma

路由器 1.1.1.250


43

K:



WebUI: ( 選擇 )

Telnet: ( 選擇 )

Network > Interfaces > Edit (ethernet3): Enter the following, and then click O

Zone Name: Untrust



Manage IP: 1.1.1.2


SNMP: ( 選擇 )

CLI

set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24set interface ethernet2 manage-ip 1.2.2.2set interface ethernet2 manage webset interface ethernet2 manage telnet

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 manage-ip 1.1.1.2set interface ethernet3 manage snmpsave

第 1 章管理管理層級

44

裝置會記錄下列資訊：

節列出所有管理層級和每個層級。

有下列權限：


管理層級NetScreen 裝置支援多重管理使用者。對於管理員進行的任何組態變更，NetScreen

• 進行變更的管理員的姓名

• 進行變更的 IP 位址

• 變更的時間

管理使用者的層級有幾個。這些層級的可用性取決於 NetScreen 裝置的模式。以下各的許可權。這些權限只有在管理員使用有效的使用者名稱和密碼成功登入之後才可用

根管理員

根管理員具有完全的管理權限。每個 NetScreen 裝置只有一個根管理員。根管理員具

• 管理 NetScreen 裝置的根系統

• 新增、移除和管理所有其他的管理員

• 建立和管理虛擬系統，然後為它們指派實體或邏輯介面

• 建立、移除和管理虛擬路由器 (VR)

• 新增、移除和管理安全區

• 指派介面到安全區

• 執行資源修復

• 將裝置設定為 FIPS 模式

• 將裝置重設為其預設設定

• 更新固體

• 載入組態檔案

• 清除指定的管理員或所有活動管理員的全部活動會話


45

者。讀/寫管理員具有下列權限：

。唯讀管理員具有下列權限：

具有僅套用於該 vsys 的權限的行獨立管理。在每個 vsys 上，


讀/寫管理員

讀/寫管理員具有與根管理員相同的權限，但是不能建立、修改或移除其他的 admin 使用

• 建立虛擬系統並為每個系統指派一個虛擬系統管理員

• 監看虛擬系統

• 追蹤統計資料 ( 無法委派給虛擬系統管理員的權限 )

唯讀管理員

唯讀管理員只具有使用 WebUI 進行檢視的權限，並且只能發出 get 和 ping CLI 指令

• 可使用下列四種指令在根系統中具有唯讀權限：enter、exit、get 和 ping

• 在虛擬系統中具有唯讀權限

虛擬系統管理員

某些 NetScreen 裝置支援虛擬系統。每個虛擬系統 (vsys) 是一個唯一的安全性網域，虛擬系統管理員可以管理虛擬系統。虛擬系統管理員透過 CLI 或 WebUI 對虛擬系統進虛擬系統管理員具有下列權限：

• 建立並編輯 auth、IKE、L2TP、XAuth 和「手動金鑰」使用者

• 建立並編輯服務

• 建立並編輯政策

• 建立並編輯位址

• 建立並編輯 VPN

• 修改虛擬系統管理員登入密碼

• 建立並管理安全區

• 新增和移除虛擬系統唯讀管理員


46

虛擬系統唯讀管理員具有透過g CLI 指令。

行此程序的管理員一定是根管

理員。

OK:

ly


虛擬系統唯讀管理員

虛擬系統唯讀管理員具有與唯讀管理員相同的權限集，但僅限於特定的虛擬系統中。WebUI 檢視特定 vsys 的權限，並只能在自己的 vsys 中發出 enter、exit、get 和 pin

定義 Admin 使用者

根管理員是唯一可以建立、修改和移除 admin 使用者的管理員。在下面的範例中，執理員。

範例：新增唯讀管理員

在此範例中，您身為根管理員，會新增一個名為 Roger、密碼為 2bd21wG7 的唯讀管

WebUI

Configuration > Admin > Administrators > New: 輸入下面的內容，然後按一下

Name: Roger

New Password: 2bd21wG712

Confirm New Password: 2bd21wG7

Privileges: Read-Only ( 選擇 )

CLI

set admin user Roger password 2bd21wG7 privilege read-onsave

注意 : 如需虛擬系統的詳細資訊，請參閱第 9-1 頁上的「虛擬系統」。

12. 密碼最多可有 31 個字元長，並要區分大小寫。


47

容，然後按一下 OK:

Remove。


範例：修改管理員

在此範例中，您 ( 身為根管理員 ) 將 Roger 的權限由唯讀變更為讀 / 寫。

WebUI

Configuration > Admin > Administrators > Edit ( 對於 Roger ): 輸入下面的內

Name: Roger

New Password: 2bd21wG7

Confirm New Password: 2bd21wG7

Privileges: Read-Write ( 選擇 )

CLI

unset admin user Rogerset admin user Roger password 2bd21wG7 privilege allsave

範例：刪除管理員

在此範例中，您身為根管理員，刪除 admin 使用者 Roger。

WebUI

Configuration > Admin > Administrators: 在 Roger 的 Configure 欄中按一下

CLI

unset admin user Rogersave


48

行以下指令時，NetScreen 裝置


範例：清除一個 Admin 的會話

在此範例中，您身為根管理員，終止 admin 使用者 Roger 的所有活動會話。當您執關閉所有活動會話，並自動從系統中登出 Roger。

WebUI

CLI

clear admin name Rogersave

注意 : 您必須使用 CLI 來清除管理員的會話。

第 1 章管理保證管理式通訊流量的安全

49

求，也能夠顯示有關網路的資訊：

，然後按一下 OK:

應 ICMP 回應要求或「ping」，

傳送識別要求並且沒有收到確認使用者存取。啟用 Ident-Reset用者存取。


保證管理式通訊流量的安全若要在設定時保證 NetScreen 裝置的安全，請執行下列步驟：

1. 在 Web 介面上變更管理連接埠。

請參閱第 50 頁上的「變更連接埠號碼」。

2. 變更使用者名稱和密碼，以便管理時存取。

請參閱第 51 頁上的「變更管理員登入名稱和密碼」。

3. 為 admin 使用者定義管理用戶端 IP 位址。

請參閱第 56 頁上的「限制管理式存取」。

4. 關閉任何不需要的介面管理服務選項。

請參閱第 36 頁上的「控制管理式通訊流量」。

5. 停用介面上的 ping 和 ident-reset 服務選項，兩者都會回應未知方初始化的要

WebUI

Network > Interfaces > Edit ( 對於要編輯的介面 ): 停用下面的服務選項

Ping：選擇此選項可讓 NetScreen 裝置能夠回這會確定是否可從裝置存取特定的 IP 位址。

Ident-Reset：當服務 ( 如「郵件」或 FTP ) 時，會再度傳送要求。進行要求時，會停用核取方塊時，NetScreen 裝置會自動還原使

CLIunset interface interface manage pingunset interface interface manage ident-reset


50

設定為連接埠 80，是 HTTP 通必須在 Web 瀏覽器的 URL 欄位2。)

ebUI 管理 NetScreen 裝置，您值 ) 變更為 15522。

然後按一下 Apply。


變更連接埠號碼變更 NetScreen 裝置為 HTTP 管理式通訊流量監聽的連接埠號，以改善安全性。預設訊流量的標準連接埠號碼。變更連接埠號碼後，在下次嘗試連絡 NetScreen 裝置時，中鍵入新的連接埠號碼。( 在下面的範例中，管理員必須輸入 http://188.30.12.2:1552

範例：變更連接埠號碼

在本範例中，連結到 Trust 區域的介面 IP 位址為 10.1.1.1/24。若要透過此介面上的 W必須使用 HTTP。若要增加 HTTP 連接的安全性，應將 HTTP 連接埠號碼從 80 ( 預設

WebUI

Configuration > Admin > Management: 在 HTTP Port 欄位中，鍵入 15522，

CLI

set admin port 15522save


51

en。由於這些資訊已廣泛公佈，寫。它們可以包含可從鍵盤輸入

n 使用者登入到 NetScreen 裝置伺服器，則會在外部 auth 伺服裝置會在本機上維持管理員的登

理員目前開啟的任何管理會話都讀/寫管理員變更其自己的密碼，

定，並將遺失所有的組態。

「Admin 使用者」。)雖然根管理員帳外部 auth 伺服器上儲存根層級和 vsys參閱第 8-25 頁上的「NetScreen 字典

使用外部 auth 伺服器的詳細

任何變更都會自動將您登出該會話和


變更管理員登入名稱和密碼預設情況下，NetScreen 裝置的初始登入名稱為 netscreen。初始密碼也是 netscre所以 Juniper Networks 建議您立刻變更登入名稱和密碼。登入名稱和密碼都區分大小的任何字元 ( ? 和 “ 除外 )。用安全的方法記錄新的管理員登入名稱和密碼。

可使用內部資料庫或外部 auth 伺服器驗證 NetScreen 裝置的 admin 使用者13。admi時，會先檢查本地內部資料庫，以便進行驗證。如果沒有項目，並且連接了外部 auth器資料庫中尋找配對項目。admin 使用者成功登入到外部 auth 伺服器後，NetScreen 入狀態。

當根管理員變更 admin 使用者設定檔的任何屬性 (使用者名稱、密碼或權限) 時，該管會自動終止。如果根管理員為自己變更任何一個屬性，或者根層級讀/寫管理員或 vsys則該使用者目前開啟的所有管理會話

14 都會終止 (除了進行變更的會話以外)。

警告 : 請務必記錄新的密碼。如果忘記密碼，則必須將 NetScreen 裝置重設為出廠設如需詳細資訊，請參閱第 55 頁上的「將裝置重設為出廠預設設定」。

13. NetScreen 支援用於 admin 使用者驗證的 RADIUS、SecurID 和 LDAP 伺服器。(如需詳細資訊，請參閱第 8-3 頁上的戶必須儲存在本機資料庫中，但是您可以在外部 auth 伺服器中儲存根層級讀/寫和根層級唯讀 admin 使用者。若要在層級 admin 使用者並查詢其權限，該伺服器必須是 RADIUS，並且您必須在該伺服器上載入 netscreen.dct 檔案。(請檔案」。)

注意 : 如需 admin 使用者層級的詳細資訊，請參閱第 44 頁上的「管理層級」。如需資訊，請參閱第 8-20 頁上的「外部 Auth 伺服器」。

14. HTTP 或 HTTPS 會話則用不同的方式使用 WebUI。因為 HTTP 不支援持續連接，因此您對自己的使用者設定檔所做的所有開啟的其他會話。


52

mith」，並將其密碼從 xL7s62a1


字串。若要建立這種易於記憶的字串，N21」。


範例：變更 Admin 使用者的登入名稱和密碼

在本例中，您 (身為根管理員 ) 將一個讀 /寫管理員的登入名稱從「John」變更為「S變更為 3MAb99j215。

WebUI

Configuration > Admin > Administrators > Edit ( 對於 John ): 輸入下面的內容

Name: Smith

New Password: 3MAb99j2

Confirm New Password: 3MAb99j2

CLI

unset admin user Johnset admin user Smith password 3MAb99j2 privilege allsave

15. 避免使用實際的字當作密碼，因為這樣可透過 dictionary 攻擊猜出或發現該密碼，您可以使用字母和數字組成的隨機可以編寫一句話並使用每個字的第一個字母。例如，「Charles will be 6 years old on November 21」變成「Cwb6yoo

注意 : 如需不同管理員層級的資訊，請參閱第 44 頁上的「管理層級」。


53

稱。在此例中，一個擁有讀 / 寫

的內容，然後按一下 OK:


範例：變更您本身的密碼

擁有讀 / 寫權限的 Admin 使用者可以變更其自己的管理員密碼，但不能變更其登入名權限和登入名稱「Smith」的管理員將其密碼由 3MAb99j2 變更為 ru494Vq5。

WebUI

Configuration > Admin > Administrators > Edit ( 對於第一個項目 ): 輸入下面

Name: Smith

New Password: ru494Vq5

Confirm New Password: ru494Vq5

CLI

set admin password ru494Vq5save


54

根管理員的角色並管理裝置。為員的密碼 ( 1 到 31 之間的任何

求時，才能設定最小密碼長度。


設定根管理員密碼的最小長度

在某些公司裏，一個人最初可能以根管理員身份設定裝置，但另一個人在稍後接受了了避免後面的根管理員使用有可能很容易解碼的短密碼，最初的根管理員可以對根管理數字 ) 設定最小長度要求。

請注意，只有當您是根管理員，並且您的密碼符合正在您正在嘗試設定的最小長度要否則，NetScreen 裝置將顯示一則錯誤訊息。

若要為根管理員的密碼指定一個最小長度，可輸入下列指令：

set admin password restrict length number



55

遺失組態，但也將還原裝置存nce Guide 和安裝程式指南。

e to factory defaults, clearing all

of the device will be erased. Inhas been reset. This is your lasttory default configuration, whichuld you like to continue? y/n

t 指令將之停用。同樣的，


將裝置重設為出廠預設設定如果遺失管理密碼，則可以使用下面的程序將 NetScreen 裝置重設為預設設定。將會取。若要執行此操作，需要產生主控台連接，詳細說明請參閱 NetScreen CLI Refere

1. 在登入提示下，鍵入裝置的序號。

2. 在密碼提示下，再度鍵入序號。

會出現下面的訊息：

!!!! Lost Password Reset !!!! You have initiated a command to reset the deviccurrent configuration, keys and settings. Would you like to continue? y/n

3. 按 Y 鍵。

會出現下面的訊息：

!! Reconfirm Lost Password Reset !! If you continue, the entire configurationaddition, a permanent counter will be incremented to signify that this device chance to cancel this command. If you proceed, the device will return to facis: System IP: 192.168.1.1; username: netscreen; password: netscreen. Wo

4. 按 Y 鍵重設裝置。

現在可以用 netscreen 作為預設使用者名稱和密碼來登入。

注意 : 依預設，會啟用裝置的修復功能。您可以透過輸入 unset admin device-rese如果 NetScreen 裝置處於 FIPS 模式，則修復功能會自動停用。


56

主機都可以管理 NetScreen 裝

唯一管理員。

站並未包括在指派中，則


限制管理式存取可以從一個或多個子網路位址管理 NetScreen 裝置。依預設，受信任的介面上的任何置。若要限制對特定工作站的管理能力，必須設定管理用戶端 IP 位址。

範例：限制對單一工作站的管理

在本範例中，IP 位址為 172.16.40.42 的工作站管理員是指定管理 NetScreen 裝置的

WebUI

Configuration > Admin > Permitted IPs: 輸入下面的內容，然後按一下 Add:

IP Address / Netmask: 172.16.40.42/32

CLI

set admin manager-ip 172.16.40.42/32save

注意 : 管理用戶端 IP 位址的指派會立即生效。如果透過網路連接來管理裝置，而工作NetScreen 裝置會立即終止目前的會話，而且您再也不能從該工作站管理裝置。


57

置。

要登入的裝置擁有實體的存取後，如果有人嘗試透過其他方式這些管理選項，裝置仍將會拒絕


範例：限制對子網路的管理

在本範例中，172.16.40.0/24 子網路中的工作站管理員群組被指定管理 NetScreen 裝

WebUI

Configuration > Admin > Permitted IPs: 輸入下面的內容，然後按一下 Add:

IP Address / Netmask: 172.16.40.0/24

CLI

set admin manager-ip 172.16.40.0 255.255.255.0save

將根管理員限制為主控台存取

您也可要求根管理員只能透過主控台登入 NetScreen 裝置。這種限制要求根管理員對權限，因而能避免未經授權的使用者以根管理員身份遠端登入。當您設定了這種限制( 例如 WebUI、Telnet 或 SSH ) 以根管理員身份登入，則即使已在入口介面上啟用了存取。

若要將根管理員限制為只能透過主控台進行存取，請輸入下列指令：

set admin root access console



58

etScreen 裝置的安全性。使用HTTP、Telnet 或 SSH。( 如需或 SNMP 回報 ) 的安全性的資

道介面，這些介面被連結到 VPN

稱，透過 VPN 通道引導通訊流

性參數索引 (SPI)、加密金鑰和

驗證，一個用於加密 — 其功能就是，使用相同的金鑰進行加密

用一個數位認證 ( 用於驗證 ) 和中的一個金鑰用於加密，而另一

的區域 ) 中的某個介面的 IP 位位址。該位址也作為遠端 IPSec項目是不必要的。

en-Remote 的詳細資訊，請參


用於管理式通訊流量的 VPN 通道

可以使用虛擬私人網路 (VPN) 通道，來保證從動態指派或固定的 IP 位址遠端管理 NVPN 通道可以保護任何種類的通訊流量的安全，例如 NetScreen-Security Manager、建立 VPN 通道以確保自行產生的通訊流量 ( 例如 Security Manager 報告、syslog 報告訊，請參閱第 107 頁上的「自行產生的通訊流量的 VPN 通道」。)

NetScreen 支援兩種類型的 VPN 通道組態：

• 以路由為基礎的 VPN：NetScreen 裝置使用路由設定表項目將通訊流量導向通通道上。( 如需詳細資訊，請參閱第 5 卷，「VPN」。)

• 以政策為基礎的 VPN：NetScreen 裝置使用在政策中特別參考的 VPN 通道名量。( 如需詳細資訊，請參閱第 5 卷，「VPN」。)

在每個 VPN 通道組態類型中，有下列類型的 VPN 通道：

• 手動金鑰：可以在通道兩端手動設定定義安全性聯盟 (SA) 的三種元素：安全驗證金鑰。若要在 SA 中變更任何元素，必須在通道的兩端將其手動輸入。

• 具有預先共享金鑰的自動金鑰 IKE：一個或兩個預先共享的秘密 — 一個用於與種子值相同。使用它們，IKE 通訊協定在通道的兩端產生一組對稱金鑰；也和解密。經過預先確定的時間間隔後，這些金鑰會自動重新產生。

• 具有認證的自動金鑰 IKE：使用公開金鑰基礎結構 (PKI)，通道兩端的參與者使一個 RSA 公開 / 私密金鑰對 ( 用於加密 )。加密是不對稱的；也就是，金鑰對個金鑰則用於解密。

如果您使用以政策為基礎的 VPN 組態，則必須用任何區域 ( 但不能是向外介面所連結址建立一個通訊錄項目。然後，您可以在參考該 VPN 通道的政策中使用其作為來源對等方的端點實體位址。如果正在使用以路由為基礎的 VPN 組態，那麼這樣的通訊錄

注意 : 如需 VPN 通道的完整說明，請參閱第 5 卷，「VPN」。如需 NetScre閱 NetScreen-Remote User’s Guide。


59

該通道從在管理員工作站上 ( 位1.1/24)。該管理員的工作站和道介面，將其命名為 tunnel.1，

過對等方閘道位址 10.1.1.56 的原因，政策不是必要的：

裝置傳送到其他安全區。

位址連結到通道介面上，而此介

1 的目標的目的地位址。All」。

行管理」進行比較。

Untrust 區域

ernet3.1.1/24


範例：透過以路由為基礎的手動金鑰 VPN 通道進行管理

在本例中，設定以路由為基礎的手動金鑰 VPN 通道以提供管理式通訊流量的機密性。址為 10.1.1.56 ) 執行的 NetScreen-Remote VPN 用戶端延伸到 ethernet1 (10.1.ethernet1 都位於 Trust 區域中。將該通道命名為「tunnel-adm」。建立一個未編號的通並將其連結至 Trust 區域和 VPN 通道「tunnel-adm」上。

NetScreen 裝置使用在 NetScreen-Remote 上設定的內部 IP 位址 10.10.10.1 作為超目標的目的地位址。定義透過 tunnel.1 通向 10.10.10.1/32 的一個路由。由於下面兩個

• VPN 通道保護在 NetScreen 裝置本身終止的管理式通訊流量，而不是透過該

• 這是一個以路由為基礎的 VPN，意味著路由檢查 ( 而非政策檢查 ) 將目的地面則被連結到適當的 VPN 通道上。

NetScreen-Remote 使用 ethernet3 的 IP 位址 1.1.1.1 作為超過遠端閘道位址 10.1.1.NetScreen-Remote 組態指定遠端參與方 ID 類型為「IP 位址」，通訊協定類型為「

注意 : 請將此範例與第 65 頁上的「範例：透過以政策為基礎的手動金鑰 VPN 通道進

ethernet110.1.1.1/24

LAN

Trust 區域

eth1.1

手動金鑰VPN 通道

「tunnel-adm」

Admin10.1.1.56

( 靜態 IP 位址 )10.10.10.1/32( 內部 IP 位址 )

tunnel.1未編號

NetScreen-Remote

NetScreen 裝置


60

y:


WebUI

1. 介面

Network > Interfaces > Edit (ethernet1): 輸入下面的內容，然後按一下 Appl

Zone Name: Trust



選擇下面的內容，然後按一下 OK:

Interface Mode: NAT

Network > Interfaces > Edit (ethernet3): 輸入下面的內容，然後按一下 OK :

Zone Name: Untrust



Network > Interfaces > New Tunnel IF: 輸入下面的內容，然後按一下 OK:

Tunnel Interface Name: Tunnel.1

Zone (VR): Trust (trust-vr)

Unnumbered: ( 選擇 )

Interface: ethernet1 (trust-vr)16

16. 未編號的通道介面借用指定安全區介面的 IP 位址。


61

555 (Remote)

eturn 以設定進階選項並返回基

), Tunnel.1

按一下 OK:

作：(1) 返回 Manual Key Configuration-Remote 端時使用這些十六進位金鑰。


2. VPN

VPNs > Manual Key > New: 輸入下面的內容，然後按一下 OK:

VPN Tunnel Name: tunnel-adm

Gateway IP: 10.1.1.56

Security Index (HEX Number): 5555 (Local) 5

Outgoing Interface: ethernet1

ESP-CBC: ( 選擇 )

Encryption Algorithm: DES-CBC

Generate Key by Password17 : netscreen1

Authentication Algorithm: MD5

Generate Key by Password: netscreen2

> Advanced: 輸入下面的內容，然後按一下 R本組態頁面 :

Bind to Tunnel Interface: ( 選擇

3. 路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容，然後

Network Address/Netmask: 10.10.10.1/32

Gateway: ( 選擇 )

Interface: Tunnel.1

Gateway IP Address: 0.0.0.0

17. 由於 NetScreen-Remote 將密碼處理到金鑰中，其方法和其他 NetScreen 產品不同，因此在設定通道後，應進行下面的操對話方塊 ( 為「tunnel-adm」按一下 Configure 欄中的 Edit)；(2) 複製產生的十六進位金鑰；(3) 在設定通道的 NetScreen


62

18

tgoing ethernet1 esp 19

l.1

操作：(1) 鍵入 get vpn admin-tun；用這些十六進位金鑰。


CLI

1. 介面

set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone trust

set interface tunnel.1 ip unnumbered interface ethernet1

2. VPNset vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 ou

des password netscreen1 auth md5 password netscreen2set vpn tunnel-adm bind interface tunnel.1

3. 路由

set vrouter trust-vr route 10.10.10.1/32 interface tunnesave

18. 未編號的通道介面借用指定安全區介面的 IP 位址。

19. 由於 NetScreen-Remote 將密碼處理到金鑰中，其方法和其他 NetScreen 產品不同，因此在設定通道後，應進行下面的(2) 複製由「netscreen1」和「netscreen2」產生的兩個十六進位金鑰；(3) 在設定通道的 NetScreen-Remote 端時使


63

l Network Address 核取方塊。

擇 )

rnal Network IP Address 中，鍵

hase 2) 左邊的 + 號以更進一步


NetScreen-Remote 安全政策編輯器

1. 按一下 Options > Global Policy Settings，選擇 Allow to Specify Interna

2. 按一下 Options > Secure > Specified Connections。

3. 按一下 Add a new connection，在出現的新連接圖示旁鍵入 Admin。

4. 設定連接選項 :

Connection Security: Secure

Remote Party Identity and Addressing:

ID Type: IP Address, 1.1.1.1

Protocol: All

Connect using Secure Gateway Tunnel: ( 選


5. 按一下位於 unix 圖示左邊的 + 號以展開連接政策。

6. 按一下 My Identity；在 Select Certificate 下拉清單中，選擇 None；在 Inte入 10.10.10.1。

7. 按一下 Security Policy，然後選擇 Use Manual Keys。

8. 按一下位於 Security Policy 圖示左邊的 + 號，然後按一下 Key Exchange (P展開政策。

9. 按一下 Proposal 1，然後選擇下列 IPSec 通訊協定 :

Encapsulation Protocol (ESP): ( 選擇 )

Encrypt Alg: DES

Hash Alg: MD5

Encapsulation: Tunnel


64

b0b667794ab7290c

。

b0b667794ab7290c


10. 按一下 Inbound Keys，並在 Security Parameters Index 欄位中鍵入 5555。

11. 按一下 Enter 鍵，輸入下面的內容20，然後按一下 OK:

Choose key format: Binary

ESP Encryption Key: dccbee96c7e546bc

ESP Authentication Key: dccbe9e6c7e546bc

12. 按一下 Outbound Keys，並在 Security Parameters Index 欄位中鍵入 5555

13. 按一下 Enter 鍵，輸入下面的內容 20，然後按一下 OK:




14. 按一下 Save。

20. 這些是在設定 NetScreen 裝置後複製的兩個產生的金鑰。


65

從在管理員工作站上 ( 位址為該管理員的工作站和 ethernet1

過對等方閘道位址 10.1.1.56 的定 ethernet3 IP 位址的 Untrust2 位元網路遮罩：1.1.1.1/32. 在址。政策是必要的，因為這是以PN 通道上。

目的地位址。NetScreen-Remote

行管理」進行比較。

Untrust 區域

et3/24


範例：透過以政策為基礎的手動金鑰 VPN 通道進行管理

在本範例中，您為管理式通訊流量設定以政策為基礎的手動金鑰 VPN 通道。該通道10.1.1.56 ) 執行的 NetScreen-Remote VPN 用戶端延伸到 ethernet1 (10.1.1.1/24)。都位於 Trust 區域中。將該通道命名為「tunnel-adm」並將其連結到 Trust 區域。

NetScreen 裝置使用在 NetScreen-Remote 上設定的內部 IP 位址 10.10.10.1 作為超目標的目的地位址。定義一個指定 10.10.10.1/32 的 Trust 區域通訊錄項目，並定義指區域通訊錄項目。儘管 ethernet3 介面的位址為 1.1.1.1/24，但您所建立的位址具有 3您所建立的參考通道「tunnel-adm」的政策中，使用此位址和管理員工作站的內部位政策為基礎的 VPN，意味著政策查詢 ( 而非路由查詢 ) 將目的地位址連結到相應的 V

您還必須定義透過 ethernet1 通向 10.10.10.1/32 的路由。

NetScreen-Remote 使用 IP 位址 1.1.1.1 作為超過位於 10.1.1.1 的遠端閘道的目標的通道組態將遠端參與方 ID 類型指定為 IP 位址，將通訊協定類型指定為「All」。

注意 : 請將此範例與第 59 頁上的「範例：透過以路由為基礎的手動金鑰 VPN 通道進

ethernet110.1.1.1/24

LAN

Trust 區域

ethern1.1.1.1

手動金鑰VPN 通道

「tunnel-adm」

Admin10.1.1.56( 靜態 IP位址 )

NetScreen-Remote


66

y:


WebUI

1. 介面

Network > Interfaces > Edit (ethernet1): 輸入下面的內容，然後按一下 Appl

Zone Name: Trust




Interface Mode: NAT

Network > Interfaces > Edit (ethernet3): 輸入下面的內容，然後按一下 OK :

Zone Name: Untrust



2. 位址


Address Name: Untrust-IF

IP Address/Domain Name:

IP/Netmask: ( 選擇 ), 1.1.1.1/32

Zone: Untrust


Address Name: admin


IP/Netmask: ( 選擇 ), 10.10.10.1/32

Zone: Trust


67

555 (Remote)

按一下 OK:

作：(1) 返回 Manual Key Configuration-Remote 端時使用這些十六進位金鑰。


3. VPN

VPNs > Manual Key > New: 輸入下面的內容，然後按一下 OK:

VPN Tunnel Name: tunnel-adm

Gateway IP: 10.1.1.56

Security Index (HEX Number): 5555 (Local) 5


ESP-CBC: ( 選擇 )

Encryption Algorithm: DES-CBC

Generate Key by Password21: netscreen1

Authentication Algorithm: MD5

Generate Key by Password: netscreen2

4. 路由



Gateway: ( 選擇 )

Interface: ethernet1


21. 由於 NetScreen-Remote 將密碼處理到金鑰中，其方法和其他 NetScreen 產品不同，因此在設定通道後，應進行下面的操對話方塊 ( 為「tunnel-adm」按一下 Configure 欄中的 Edit)；(2) 複製產生的十六進位金鑰；(3) 在設定通道的 NetScreen


68

:

擇 )


5. 政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容，然後按一下 OK

Source Address:

Address Book Entry: ( 選擇 ), admin

Destination Address:

Address Book Entry: ( 選擇 ), Untrust-IF

Service: Any

Action: Tunnel

Tunnel:

VPN: tunnel-adm

Modify matching bidirectional VPN policy: ( 選

Position at Top: ( 選擇 )


69

tgoing ethernet1 esp 22

net1

y tunnel vpn tunnel-admy tunnel vpn tunnel-adm

操作：(1) 鍵入 get vpn admin-tun；用這些十六進位金鑰。


CLI

1. 介面

set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. 位址

set address trust admin 10.10.10.1/32set address untrust Untrust-IF 1.1.1.1/32

3. VPNset vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 ou

des password netscreen1 auth md5 password netscreen2

4. 路由

set vrouter trust-vr route 10.10.10.1/32 interface ether

5. 政策

set policy top from trust to untrust admin Untrust-IF anset policy top from untrust to trust Untrust-IF admin ansave

22. 由於 NetScreen-Remote 將密碼處理到金鑰中，其方法和其他 NetScreen 產品不同，因此在設定通道後，應進行下面的(2) 複製由「netscreen1」和「netscreen2」產生的兩個十六進位金鑰；(3) 在設定通道的 NetScreen-Remote 端時使


70

擇 )

hase 2) 左邊的 + 號以更進一步


NetScreen-Remote 安全政策編輯器

1. 按一下 Options > Secure > Specified Connections。

2. 按一下 Add a new connection，在出現的新連接圖示旁鍵入 Admin。

3. 設定連接選項 :

Connection Security: Secure

Remote Party Identity and Addressing:


Protocol: All

Connect using Secure Gateway Tunnel: ( 選


4. 按一下位於 unix 圖示左邊的 + 號以展開連接政策。

5. 按一下 My Identity，並在 Select Certificate 下拉清單中，選擇 None。

6. 按一下 Security Policy，然後選擇 Use Manual Keys。

7. 按一下位於 Security Policy 圖示左邊的 + 號，然後按一下 Key Exchange (P展開政策。

8. 按一下 Proposal 1，然後選擇下列 IPSec 通訊協定 :

Encapsulation Protocol (ESP): ( 選擇 )

Encrypt Alg: DES

Hash Alg: MD5

Encapsulation: Tunnel


71

b0b667794ab7290c

。

b0b667794ab7290c


9. 按一下 Inbound Keys，並在 Security Parameters Index 欄位中鍵入 5555。

10. 按一下 Enter 鍵，輸入下面的內容23，然後按一下 OK:




11. 按一下 Outbound Keys，並在 Security Parameters Index 欄位中鍵入 5555

12. 按一下 Enter 鍵，輸入下面的內容 20，然後按一下 OK:




13. 按一下 Save。

23. 這些是在設定 NetScreen 裝置後複製的兩個產生的金鑰。


72

2

73
ðƒ 2 Š¼

監看 NetScreen 裝置

本章討論下列關於監看 NetScreen 裝置的主題：

• 第 74 頁上的「儲存記錄資訊」

• 第 75 頁上的「事件記錄」

– 第 76 頁上的「檢視事件記錄」

– 第 78 頁上的「排序和篩選事件記錄」

– 第 80 頁上的「下載事件記錄」

• 第 82 頁上的「通訊流量記錄」

– 第 84 頁上的「檢視通訊流量記錄」

– 第 86 頁上的「下載通訊流量記錄」

• 第 87 頁上的「自我記錄」

– 第 87 頁上的「檢視自我記錄」

– 第 90 頁上的「下載自我記錄」

• 第 91 頁上的「資源修復記錄」

• 第 92 頁上的「通訊流量警示」

• 第 97 頁上的「Syslog」

– 第 99 頁上的「WebTrends」

• 第 101 頁上的「SNMP」

– 第 104 頁上的「執行概觀」

• 第 107 頁上的「自行產生的通訊流量的 VPN 通道」

• 第 130 頁上的「計數器」

第 2 章監看 NetScreen 裝置儲存記錄資訊

74

體 ) 和外部 ( 在多個位置處 )。儘時，NetScreen 裝置就開始用最可能會遺失資料。為了減少此類 NetScreen-Global PRO 資料庫

示所有記錄項目的非常有用的目樣，如果在觸發警示時您恰好在

置，但空間有限。

、警訊的、緊急的 ) 從其事件

也可以傳送到 syslog 伺服器中。因此透過將資料傳送到 syslog

log 儲存指定的安全性裝置中的。

log 中更具圖形化，syslog 是以

lash 卡上儲存資料後，可以從


儲存記錄資訊所有 NetScreen 裝置皆可讓您將事件和通訊流量記錄資料儲存於本裝置內部 ( 快閃記憶管在內部儲存記錄資訊很方便，但是記憶體的容量卻是有限的。當內部儲存空間完全填滿新的記錄項目覆寫最早的項目。如果在儲存記錄資訊之前出現先進先出 (FIFO) 機制，就資料遺失，可以在外部將事件和通訊流量記錄儲存在 syslog 或 WebTrends 伺服器，或者中。NetScreen 裝置每秒會將新的事件和通訊流量記錄項目傳送到外部儲存位置。

以下清單提供可能用於記錄資料的目的位置：

• 主控台：當您透過主控台進行 NetScreen 裝置故障排除時，主控台是用於顯的位置。您也可以選擇在此只出現警示訊息 ( 關鍵的、警示的、緊急的 )，這使用主控台，就會立即提醒您。

• 內部 ( 事件記錄 )：NetScreen 裝置上的內部資料庫是儲存記錄項目的方便位

• 電子郵件：將事件和通訊流量記錄傳送給遠端管理員的方便方法。

• SNMP：除了傳送 SNMP 回報之外，NetScreen 裝置也能將警示訊息 ( 關鍵的記錄傳送到 SNMP 社群。

• Syslog：NetScreen 裝置可在內部儲存的所有事件和通訊流量記錄項目，其由於 syslog 伺服器的儲存容量遠大於 NetScreen 裝置上的內部快閃記憶體，伺服器，可以減少在記錄項目超過最大內部儲存空間時發生的資料遺失。Sys警示事件和緊急事件，以及指定裝置中的所有其他事件 ( 包括通訊流量資料 )

• WebTrends：可讓您檢視的關鍵的、警訊的和緊急的事件記錄資料比在 sys文字為基礎的工具。

• CompactFlash (PCMCIA)：這種儲存裝置的優點是可攜性。在 CompactFNetScreen 裝置中取出該卡，並在其他裝置上儲存或載入它。

第 2 章監看 NetScreen 裝置事件記錄

75

操作行為、攻擊有關的自行產生

。如需這些攻擊類型的詳細資

。

。

服器通訊時失敗。

器，或驗證失敗、逾時和成功。

NetScreen 裝置的快閃記憶體中器 ( 如 Notepad 或 WordPad ) 來儲存記錄資訊」 )。

ference Guide。


事件記錄NetScreen 提供了監看系統事件的事件記錄，例如由管理員產生的組態變化，以及和的訊息和警示。NetScreen 裝置按下列的嚴重性層級將系統事件進行分類：

• Emergency：有關 SYN 攻擊、Tear Drop 攻擊及 Ping of Death 攻擊的訊息訊，請參閱第 4 卷，「攻擊偵測與防禦機制」。

• Alert：關於需要立即注意的情況的訊息，如防火牆遭受攻擊和授權金錀到期

• Critical：關於裝置功能可能受影響的狀況的訊息，如高可用性 (HA) 狀態變更

• Error：關於可能影響裝置功能的錯誤狀況訊息，如防毒掃描失敗或與 SSH 伺

• Warning：關於可能影響裝置功能的狀況訊息，例如無法連接到電子郵件伺服

• Notification：一般事件的相關訊息，包括管理員所初始的組態變更。

• Information：提供一般系統作業資訊的訊息。

• Debugging：提供除錯工作適用的詳細資訊之訊息。

事件記錄顯示每個系統事件的日期、時間、層級及說明。透過 WebUI 或 CLI 可以檢視儲存的各類系統事件。您也可以在指定的位置開啟或儲存檔案，然後用 ASCII 文字編輯檢視檔案。另一種選擇，您也可以將事件傳送到外部儲存空間 ( 請參閱第 74 頁上的「

注意 : 如需事件記錄中所出現訊息的詳細資訊，請參閱 NetScreen Message Log Re


76

項目以及用關鍵字在 WebUI 和

warning | notification

片語，然後按一下 Search。


檢視事件記錄透過使用 CLI 或 WebUI 來檢視裝置中儲存的事件記錄。您可以按嚴重性層級顯示記錄CLI 中搜尋事件記錄。

若要按嚴重性層級顯示事件記錄，請執行下面的操作之一：

WebUI

Reports > System Log > Event: 從 Log Level 下拉式清單中選擇嚴重性層級。

CLI

get event level { emergency | alert | critical | error | | information | debugging }

若要按關鍵字搜尋事件記錄，請執行下面的操作之一：

WebUI

Reports > System Log > Event: 在搜尋欄位中鍵入最長為 15 個字元的單字或

CLI

get event include word_string


77

ved.d.


範例：按嚴重性層級和關鍵字檢視事件記錄

在此例中，檢視含有「警告」嚴重性層級的事件記錄項目，並搜尋關鍵字 AV。

WebUI

Reports > System Log > Event:

Log Level: Warning ( 選擇 )

Search: 輸入 AV，然後按一下 Search。

CLI

get event level warning include av

Date Time Module Level Type Description2003-05-16 15:56:20 system warn 00547 AV scanman is remo2003-05-16 09:45:52 system warn 00547 AV test1 is removeTotal entries matched = 2


78

攻擊或 ping flood 攻擊。當您按目的地 IP 位址的事件記錄。不

為指定的來源或目的地 IP 位址

記錄項目時，本裝置將按日期和

當指定一個起始日期時，本裝置本裝置將顯示含有該終止日期前

期。當指定一個起始時間時，本指定一個終止時間時，本裝置將指定了起始和終止時間，本裝置

或者可顯示含有指定範圍內的訊息類型 ID 編號的記錄項目。


排序和篩選事件記錄此外，可以使用 CLI 根據下列條件排序或篩選事件記錄：

• 來源或目的地 IP 位址：只有某些事件包含來源或目的地 IP 位址，例如 land 來源或目的地 IP 位址排序事件記錄時，本裝置將排序並且僅顯示含有來源或包含來源或目的地 IP 位址的所有事件記錄則被略過。

當您透過指定來源或目的地 IP 位址或位址範圍來篩選事件記錄時，本裝置將或位址範圍顯示事件記錄項目。

• 日期：可以僅按日期 ( 或按日期和時間 ) 排序事件記錄。當按日期和時間排序時間的降冪列出記錄項目。

也可以透過指定一個起始日期、終止日期或日期範圍來篩選事件記錄項目。將顯示含有該起始日期後的日期 / 時戳的記錄項目。當指定一個終止日期時，的日期 / 時戳的記錄項目。

• 時間：當按時間排序記錄時，本裝置將按時間的降冪顯示記錄項目而不考量日裝置將顯示含有該指定的起始時間後的時戳的記錄項目，而不考量日期。當顯示含有該指定的終止時間前的時戳的記錄項目，而不考量日期。如果同時將顯示含有所指定的時間段內的時戳的記錄項目。

• 訊息類型 ID 編號：可以顯示含一個特定的訊息類型 ID 編號的事件記錄項目，息類型 ID 編號的記錄項目。本裝置將按日期和時間的降冪顯示含有所指定的訊


79

這些記錄項目也按來源 IP 位址


範例：按 IP 位址排序事件記錄項目

在此例中，您檢視來源 IP 位址在 10.100.0.0 到 10.200.0.0 範圍內的事件記錄項目。排序。

WebUI

CLI

get event sort-by src-ip 10.100.0.0-10.200.0.0

注意 : 您必須使用 CLI，按位址項目排序事件記錄。


80

Pad ) 來檢視該檔案。另一種選以透過 WebUI 下載整個事件記

\logs」。使用 CLI 時，將其下載

存到磁片。


下載事件記錄可在指定位置開啟或儲存事件記錄，然後用 ASCII 文字編輯器 ( 如 Notepad 或 Word擇則是將記錄項目傳送到外部儲存空間 ( 請參閱第 74 頁上的「儲存記錄資訊」 )。可錄。可以透過 CLI 按嚴重性層級下載事件記錄。

範例：下載事件記錄

在此例中，將事件記錄下載到本機目錄中。使用 WebUI，將它下載到「C:\netscreen到 IP 位址為 10.1.1.5 的 TFTP 伺服器的根目錄下。將檔案命名為「evnt07-02.txt」。

WebUI

1. Reports > System Log > Event: 按一下 Save。

File Download 對話方塊會提示您開啟該檔案 ( 使用 ASCII 編輯器 ) 或將其儲

2. 選擇 Save 選項，然後按一下 OK。

File Download 對話方塊會提示您選擇目錄。

3. 指定 C:\netscreen\logs，命名檔案為「evnt07-02.txt」，然後按一下 Save。

CLI

get event > tftp 10.1.1.5 evnt07-02.txt


81

的根目錄下 (CLI)。將檔案命名

xt


範例：下載關鍵事件的事件記錄

在本例中，可將事件記錄中輸入的關鍵事件下載到 IP 位址為 10.1.1.5 的 TFTP 伺服器為「crt_evnt07-02.txt」。

WebUI

CLI

get event level critical > tftp 10.1.1.5 crt_evnt07-02.t

注意 : 您必須使用 CLI 按嚴重性層級下載項目。

第 2 章監看 NetScreen 裝置通訊流量記錄

82

為所設定的每個政策啟用記錄選。當您啟用政策的紀錄選項拒絕

錄特定的通訊流量，請僅啟用適作：

OK。

ervice action log


通訊流量記錄NetScreen 裝置可以根據先前設定的政策監看和記錄其允許或拒絕的通訊流量。可以項。當您啟用政策的紀錄選項允許通訊流量時，裝置將記錄該政策所允許的通訊流量通訊流量時，裝置將記錄嘗試透過該裝置，但因該政策而被卸除的通訊流量。

通訊流量記錄將記錄每個會話的下列要素：

• 連接開始的日期和時間

• 來源位址和連接埠號碼

• 轉換後的來源位址和連接埠號碼

• 目的地位址和連接埠號碼

• 會話的持續時間

• 會話中使用的服務

若要記錄 NetScreen 裝置接收的所有流量，您必須啟用全部政策的記錄選項。若要記用於該通訊流量的政策記錄選項。如要啟用某個政策的記錄選項，請執行下列任一操

WebUI

Policies > (From: src_zone, To: dst_zone) New: 選擇 Logging，然後按一下

CLI

set policy from src_zone to dst_zone src_addr dst_addr s


83

位元組數。當啟用計數選項時，

，按一下 Return，然後按一下

ervice action log count


除了記錄政策的通訊流量外，本裝置還可保存該政策被套用到的所有網路通訊流量的本裝置在顯示其通訊流量記錄項目時包含下列資訊。

• 從來源傳送到目的地的位元組數

• 從目的地傳送到來源的位元組數

若要對某個政策啟用計數選項，請執行下列任一操作：

WebUI

Policies > (From: src_zone, To: dst_zone) New > Advanced: 選擇 CountingOK。

CLI

set policy from src_zone to dst_zone src_addr dst_addr s


84

項目：

記錄詳細資料：

持續時間傳送的

位元組數接收的位元組數

1800 秒 326452 289207


檢視通訊流量記錄

您可以透過 WebUI 或 CLI 檢視儲存在 NetScreen 裝置快閃記憶體中的通訊流量記錄

WebUI

Policies > ( 政策 ID number )

或者

Reports > Policies > ( 政策 ID number )

CLI

get log traffic policy number

範例：檢視通訊流量記錄項目

在本例中，您將檢視含有 ID 編號 3，而且您先前已為其啟用了記錄的政策的通訊流量

WebUI

政策 : 按一下含 ID number 3 的政策的圖示。

出現以下資訊 :

CLI

get log traffic policy 3

日期 / 時間來源位址 /連接埠

目的地位址 /連接埠

轉換後的來源位址 /連接埠

轉換後的目的地位址 / 連接埠服務

2003-01-09 21:33:43 1.1.1.1:1046 10.1.1.5:80 1.1.1.1:1046 10.1.1.5:80 HTTP


85

記錄項目：

可以透過指定來源或目的地 IP

間的降冪列出記錄項目。

當指定一個起始日期時，本裝置本裝置將顯示含有該終止日期前

，而不考量日期。當指定一個起期。當指定一個終止時間時，本同時指定了起始和終止時間，本


排序和篩選通訊流量記錄

與事件記錄類似，在使用 CLI 檢視通訊流量記錄時，您可以按照下列條件排序或篩選

• 來源或目的地 IP 位址：您可以按來源或目的地 IP 位址排序通訊流量記錄。也位址或位址範圍來篩選通訊流量記錄。

• 日期：您可以僅按日期或按日期和時間排序通訊流量記錄。本裝置按日期和時

也可以透過指定一個起始日期、終止日期或日期範圍來篩選事件記錄項目。將顯示含有該起始日期後的日期 / 時戳的記錄項目。當指定一個終止日期時，的日期 / 時戳的記錄項目。

• 時間：當按時間排序通訊流量記錄時，本裝置將按時間的降冪顯示記錄項目始時間時，本裝置將顯示含有該起始時間後的時戳的記錄項目，而不考量日裝置將顯示含有該指定的終止時間前的時戳的記錄項目，而不考量日期。如果裝置將顯示含有所指定的時間段內的時戳的記錄項目。

範例：按時間排序通訊流量記錄

在此例中，您按時間排序來檢視自凌晨 01:00 後時戳的通訊流量記錄。

WebUI

CLI

get log traffic sort-by time start-time 01:00:00

注意 : 您只能透過 CLI 按時間排序通訊流量記錄。


86

d ) 來檢視該檔案。

記錄資訊」 )。當一個會話終止訊流量記錄項目傳送到外部儲存流量記錄項目，因此對於在過去一些通訊流量記錄項目：藉由電

機目錄「C:\netscreen\logs」。使命名為「traf_log11-21-02.txt」。

存到磁片。

ve。

-21-02.txt


下載通訊流量記錄也可在指定位置開啟或儲存記錄，然後用 ASCII 文字編輯器 ( 如 Notepad 或 WordPa

另一種選擇則是將通訊流量記錄項目傳送到外部儲存空間 ( 請參閱第 74 頁上的「儲存時，NetScreen 裝置會在通訊流量記錄中產生一個項目。當啟用 NetScreen 裝置將通位置時，其每秒傳送一次新項目。由於當一個會話結束時 NetScreen 裝置會產生通訊的一秒內結束的所有會話，NetScreen 裝置都將傳送通訊流量記錄項目。也可以包含子郵件傳送給管理員的事件記錄項目。

範例：下載通訊流量記錄

在此例中，您下載 ID 編號為 12 的政策的通訊流量記錄。對於 WebUI，您將其下載到本用 CLI 時，您將其下載到 IP 位址為 10.10.20.200 的 TFTP 伺服器的根目錄下。將該檔案

WebUI

1. Reports > Policies > ( 政策 ID 12 ): 按一下 Save。




3. 指定 C:\netscreen\logs，將檔案命名為 traf_log11-21-02.txt，然後按一下 Sa

CLI

get log traffic policy 12 > tftp 10.10.20.200 traf_log11

第 2 章監看 NetScreen 裝置自我記錄

87

，如果在一個介面上停用了一些送到該介面上，那麼對每個被卸

ted to Self 核取方塊，然後按

量記錄。與通訊流量記錄類似，連接埠、目的地位址 / 連接埠、lf」。

。


自我記錄NetScreen 提供了自我記錄來監看並記錄在 NetScreen 裝置處終止的所有封包。例如管理選項 ( 如 WebUI、SNMP 和 ping )，並且 HTTP、SNMP 或 ICMP 通訊流量被傳除的封包，將會有項目出現在自我記錄中。

若要啟動自我記錄，請執行下列操作之一：

WebUI

Configuration > Report Settings > Log Settings: 選擇 Log Packets Termina一下 Apply。

CLI

set firewall log-self

當您啟用自我記錄時，NetScreen 裝置會將項目記錄在兩個位置：自我記錄和通訊流自我記錄顯示在 NetScreen 裝置處終止的每個已卸除封包的日期、時間、來源位址 /持續時間和服務。自我記錄項目通常有一個來源區域 Null，以及一個目的地區域「se

檢視自我記錄透過 CLI 或 WebUI 可以檢視儲存在 NetScreen 裝置快閃記憶體中的自我記錄項目

WebUI

Reports > System Log > Self

CLI

get log self


88

篩選記錄項目：

透過指定來源或目的地 IP 位址

降冪列出記錄項目。

指定一個起始日期時，本裝置將裝置將顯示含有該終止日期前的

錄項目，而不考量日期。當指定考量日期。當指定一個終止時間同時指定了起始和終止時間，本


排序和篩選自我記錄

與事件和通訊流量記錄類似，在使用 CLI 檢視自我記錄時，可以按照下列條件排序或

• 來源或目的地 IP 位址：您可以按來源或目的地 IP 位址排序自我記錄。也可以或位址範圍來篩選自我記錄。

• 日期：可以僅按日期或按日期和時間排序自我記錄。本裝置將按日期和時間的

您也可以透過指定起始日期、終止日期或日期範圍來篩選自我記錄項目。當顯示含有該起始日期後的日期 / 時戳的記錄項目。當指定一個終止日期時，本日期 / 時戳的記錄項目。

• 時間：如果按時間排序自我記錄，則 NetScreen 裝置將按時間的降冪顯示記一個起始時間時，本裝置將顯示含有該起始時間後的時戳的記錄項目，而不時，裝置將顯示含有該終止時間前的時戳的記錄項目，而不考量日期。如果裝置將顯示含有所指定的時間段內的時戳的記錄項目。


89

前的時戳的記錄項目：

=======================tination IP Port Serv=======================.0.0.5 0 OSPF.0.0.5 0 OSPF


範例：按時間篩選自我記錄

在此例中，按終止時間篩選自我記錄項目。NetScreen 裝置顯示帶有指定的終止時間

WebUI

CLI

get log self end-time 16:32:57

注意 : 您只能透過 CLI 按時間篩選自我記錄。

========================================================Date Time Duration Source IP Port Des========================================================2003-08-21 16:32:57 0:00:00 10.100.25.1 0 2242003-08-21 16:32:47 0:00:00 10.100.25.1 0 224

Total entries matched = 2


90

或 WordPad ) 來檢視該檔案。

為 10.1.1.5 的 TFTP 伺服器的

存到磁片。

ve。


下載自我記錄也可在指定位置將記錄另存為一個文字檔案，然後用 ASCII 文字編輯器 ( 如 Notepad

範例：下載自我記錄

在本範例中，可將自我記錄下載到本機目錄「C:\netscreen\logs」 (WebUI) 或 IP 位址根目錄中 (CLI)。將該檔案命名為「self_log07-03-02.txt」。

WebUI

1. Reports > System Log > Self: 按一下 Save。




3. 指定 C:\netscreen\logs，將檔案命名為 self_log07-03-02.txt，然後按一下 Sa

CLI

get log self > tftp 10.1.1.5 self_log07-03-02.txt

第 2 章監看 NetScreen 裝置資源修復記錄

91

設定的相關資訊 ( 請參閱第 55外，也可在指定位置開啟或儲存

位址為 10.1.1.5 的 TFTP 伺服

存到磁片。


資源修復記錄NetScreen 提供了一個資源修復記錄，顯示每次使用資源修復程式將本裝置還原為預設頁上的「將裝置重設為出廠預設設定」 )。除了透過 WebUI 或 CLI 檢視資源修復記錄檔案。使用 ASCII 文字編輯器 ( 如 Notepad ) 來檢視檔案。

範例：下載資源修復記錄

在本範例中，可將資源修復記錄下載到本機目錄「C:\netscreen\logs」 (WebUI) 或 IP器的根目錄中 (CLI)。將檔案命名為「sys_rst.txt」。

WebUI

1. Reports > System Log > Asset Recovery: 按一下 Save。




3. 指定 C:\netscreen\logs，將檔案命名為 sys_rst.txt，然後按一下 Save。

CLI

get log asset-recovery > tftp 10.1.1.5 sys_rst.txt

第 2 章監看 NetScreen 裝置通訊流量警示

92

可以將 NetScreen 裝置設定為：：

基準。若要為網路通訊流量建立訊流量數後，您就可以設定高於準的注意。然後，您便可以評估

下面提供了為達到這些目的而使


通訊流量警示在通訊流量超出您在政策中定義的臨界值時，NetScreen 裝置支援通訊流量警示。您只要 NetScreen 裝置產生通訊流量警示，就能透過下面的一種或多種方法來發出警示

• 主控台

• 內部 ( 事件記錄 )

• 電子郵件

• SNMP

• Syslog

• WebTrends

• NetScreen-Global PRO

設定警示臨界值以偵測異常活動。若要瞭解異常活動的構成，必須先建立正常活動的這樣的基準，必須觀察一段時間內的通訊流量模式。然後，在確定了認為是正常的通該數量的警示臨界值。超出該臨界值的通訊流量會觸發一個警示，以引起您對背離基情況，確定引起背離的原因，以及是否需要採取行動以作出回應。

您也可以使用通訊流量警示來提供一個折衷系統的以政策為基礎的入侵偵測和通知。用通訊流量警示的範例。


93

eb 伺服器。您要偵測從 Untrust拒絕由 Untrust 區域內任何位址的通訊流量警示臨界值。由於最 Telnet 封包，都會觸發警示。

:


0 Kbytes/Min


範例：以政策為基礎的入侵偵測

在本範例中，在 DMZ 區域中有一個 IP 位址為 211.20.1.5 ( 名稱為「web1」 ) 的 W區域透過 Telnet 存取此 Web 伺服器的所有嘗試。若要實現此目的，可建立一政策，發往 DMZ 區域內名為 web1 的 Web 伺服器的 Telnet 通訊流量，並可設定 64 位元組小的 IP 封包為 64 位元組，所以即使只有一個嘗試從 Untrust 區域到達 Web 伺服器的

WebUI


Address Name: web1


IP/Netmask: ( 選擇 ), 211.20.1.5/32

Zone: DMZ

Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容，然後按一下 OK

Source Address:

Address Book Entry: ( 選擇 ), Any


Address Book Entry: ( 選擇 ), web1

Service: Telnet

Action: Deny


Counting: ( 選擇 )Alarm Threshold: 64 Bytes/Sec,


94

t alarm 64 0

址為 211.20.1.10 ( 名稱為 ftp1 ) FTP 伺服器的任何種類的通訊毒引起的。在 Global 區域定義

:


CLI

set address dmz web1 211.20.1.5/32set policy from untrust to dmz any web1 telnet deny counsave

範例：折衷系統通知

在本範例中，使用通訊流量警示來提供折衷系統的通知。在 DMZ 區域中有一台 IP 位的 FTP 伺服器。您要允許由 FTP 取得的通訊流量能到達此伺服器。但您不想要源自此流量。如果出現這種通訊流量則表示系統已受到折衷，可能是與 NIMDA 病毒相似的病FTP 伺服器的位址，這樣就能建立兩個全域政策。

WebUI


Address Name: ftp1


IP/Netmask: ( 選擇 ), 211.20.1.10/32

Zone: Global

Policies > (From: Global, To: Global) New: 輸入下面的內容，然後按一下 OK

Source Address:



Address Book Entry: ( 選擇 ), ftp1

Service: FTP-Get

Action: Permit


95

:


0 Kbytes/Min


Policies > (From: Global, To: Global) New: 輸入下面的內容，然後按一下 OK

Source Address:

Address Book Entry: ( 選擇 ), ftp1



Service: ANY

Action: Deny


Counting: ( 選擇 )

Alarm Threshold: 64 Bytes/Sec,

CLI

set address global ftp1 211.20.1.10/32set policy global any ftp1 ftp-get permitset policy global ftp1 any any deny count alarm 64 0save


96

.16.10.254，通知的第一個電子置包括通訊流量記錄及透過電子

ly :


範例：傳送電子郵件警訊

在本範例中，當有警示時，設定透過電子郵件警訊來傳送通知。郵件伺服器位於 172郵件位址為 [email protected]，第二個位址為 [email protected]。NetScreen 裝郵件傳送的事件記錄。

WebUI

Configuration > Report Settings > Email: 輸入下面的資訊，然後按一下 App

Enable E-Mail Notification for Alarms: ( 選擇 )

Include Traffic Log: ( 選擇 )

SMTP Server Name: 172.16.10.2541

E-Mail Address 1: [email protected]

E-Mail Address 2: [email protected]

CLI

set admin mail alertset admin mail mail-addr1 [email protected] admin mail mail-addr2 [email protected] admin mail server-name 172.16.10.254set admin mail traffic-logsave

1. 如果啟用了 DNS，也可以使用郵件伺服器的主機名稱，如 mail.netscreen.com。

第 2 章監看 NetScreen 裝置 Syslog

97

的嚴重性層級清單 ) 的系統事件它將這些訊息傳送到最多四個指下列各項：

，以及要使用哪個介面作為來源生的通訊流量」和第 119 頁上

後者分類並傳送所有與安全無關

了提高訊息傳送的可靠性，可以

指定主機的主控台上顯示訊息。

遠端資源 (syslog -r) 中擷取


SYSLOG

NetScreen 裝置可以為預先定義的嚴重性層級 ( 請參閱第 75 頁上的「事件記錄」中產生 syslog 訊息，並能可選地為政策允許跨越防火牆的通訊流量產生 syslog 訊息。定的 syslog 主機，這些主機執行 UNIX/Linux 系統。對於每個 syslog 主機，可以指定

• NetScreen 裝置是包括通訊流量記錄項目、事件記錄項目，還是同時包括兩者

• 是否透過 VPN 通道將通訊流量傳送到 syslog 伺服器 ( 如果透過 VPN 通道 )介面 ( 例如，請參閱第 109 頁上的「範例：透過以路由為基礎的通道的自行產的「範例：透過以政策為基礎的通道的自行產生的通訊流量」 )

• NetScreen 裝置將 syslog 訊息傳送到哪個連接埠上

• 安全性設備和常規設備；前者分類並傳送緊急和警訊級訊息至 syslog 主機；的事件的其他訊息

預設情況下，NetScreen 裝置透過 UDP ( 連接埠 514 ) 將訊息傳送到 syslog 主機。為將每個 syslog 主機的傳輸通訊協定改為 TCP。

您可以使用 syslog 訊息為系統管理員建立電子郵件警訊，或在使用 UNIX syslog 慣例的

注意 : 在 UNIX/Linux 平台上，修改檔案 /etc/rc.d/init.d/syslog，這樣 syslog 就能從資訊。


98

位址 / 連接埠號碼為下列內容的級都設定為 Local0。

ply :

傳送到指定的 syslog 伺服器。

服器。


範例：啟用多個 syslog 伺服器

在此例中，將 NetScreen 裝置設定為可以透過 TCP 將事件和通訊流量記錄傳送到 IP三個 syslog 伺服器：1.1.1.1/1514、2.2.2.1/2514 和 3.3.3.1/3514。將安全性和設備層

WebUI

Configuration > Report Settings > Syslog: 輸入下面的內容，然後按一下 Ap

Enable syslog messages: 選擇此選項以將記錄

No.: 選擇 1、2 和 3 表示要新增 3 個 syslog 伺

IP/Hostname: 1.1.1.1, 2.2.2.1, 3.3.3.1

Port: 1514, 2514, 3514

Security Facility: Local0, Local0, Local0

Facility: Local0, Local0, Local0

Event Log: ( 選擇 )

Traffic Log: ( 選擇 )

TCP: ( 選擇 )

CLIset syslog config 1.1.1.1 port 1514set syslog config 1.1.1.1 log allset syslog config 1.1.1.1 facilities local0 local0set syslog config 1.1.1.1 transport tcpset syslog config 2.2.2.1 port 2514set syslog config 2.2.2.1 log allset syslog config 2.2.2.1 facilities local0 local0set syslog config 2.2.2.1 transport tcpset syslog config 3.3.3.1 port 3514


99

產生的記錄建立自訂的報告。件與嚴重性層級的報告，或者著ds 產品文件。)

erface as Source IP for VPN

Apply:

/514

Apply :

必須設定靜態路由。請參閱


set syslog config 3.3.3.1 log allset syslog config 3.3.3.1 facilities local0 local0set syslog config 2.2.2.1 transport tcpset syslog enablesave

WebTrendsNetIQ 提供了稱為 WebTrends Firewall Suite 的產品，可讓您根據 NetScreen 裝置WebTrends 會分析記錄檔案，並以圖形格式顯示所需的資訊。您可以建立關於所有事重報告某個方面 ( 如防火牆攻擊 )。( 如需 WebTrends 的詳細資訊，請參閱 WebTren

也可透過 VPN 通道傳送 WebTrends 訊息。在 WebUI 中，使用 Use Trust Zone Int選項。在 CLI 中，使用 set webtrends vpn 指令。

範例：啟用通知事件的 WebTrends

在以下範例中，您會將通知訊息傳送到 WebTrends 主機 (172.10.16.25)。

WebUI

1. WebTrends 設定

Configuration > Report Settings > WebTrends: 輸入下面的內容，然後按一下

Enable WebTrends Messages: ( 選擇 )WebTrends Host Name/Port: 172.10.16.25

2. 安全性層級

Configuration > Report Settings > Log Settings: 輸入下面的內容，然後按一下

WebTrends Notification: ( 選擇 )

注意 : 啟用以 Transparent 模式在 NetScreen 裝置上執行的 WebTrends 時，第 6 -1 頁上的「路由設定表與靜態路由設定」。


100

trends


CLI

1. WebTrends 設定

set webtrends host-name 172.10.16.25set webtrends port 514set webtrends enable

2. 安全性層級set log module system level notification destination websave

第 2 章監看 NetScreen 裝置 SNMP

101

路及其上的裝置的統計資料，

定，以及在下列 RFC 中說明的

agement Protocol (SNMPv2)」

agement Protocol (SNMPv2)」

rmation Base II，MIB II) 群組、案，您可以將其載入 SNMP MIB

冷啟動回報。

creen 裝置，或者嘗試建立連接將會觸發驗證失敗回報。( 此選

定義三個 NetScreen 企業回報，資訊，請參閱第 4 -206 頁上的

量警示。( 如需設定政策的詳細


SNMPNetScreen 裝置的簡易網路管理通訊協定 (SNMP) 代理讓網路管理員可以檢視關於網並且可以接收所關注的系統事件的通知。

NetScreen 支援 SNMPv1 通訊協定 ( 在 RFC-1157 中說明 )、簡易網路管理通訊協SNMPv2c 通訊協定：

• RFC-1901，「Introduction to Community-based SNMPv2」

• RFC-1905，「Protocol Operations for Version 2 of the Simple Network Man

• RFC-1906，「Transport Mappings for Version 2 of the Simple Network Man

NetScreen 也支援 RFC-1213 中定義的所有相關的管理資訊庫 II (Management InfoTCP/IP 式網際網路管理的管理資訊庫：MIB-II」。NetScreen 也有私人企業的 MIB 檔瀏覽器。附錄中包含 NetScreen MIB 清單。( 請參閱附錄 A，「SNMP MIB 檔案」。)

出現指定的事件或條件時，NetScreen SNMP 代理會相應產生下列回報或通知：

• 冷啟動回報：開啟 NetScreen 裝置的電源使其進入操作狀態時，裝置會產生

• SNMP 驗證失敗回報：如果有人嘗試使用不正確的 SNMP 社群字串連接 NetS的主機的 IP 位址未在 SNMP 社群中定義，則 NetScreen 裝置中的 SNMP 代理項預設為啟用。)

• 系統警示回報： NetScreen 裝置的錯誤條件和防火牆條件會觸發系統警示。已涵蓋了與硬體、安全性和軟體相關的警示。( 如需防火牆設定和警示的詳細「ICMP 片段」和第 92 頁上的「通訊流量警示」。)

• 通訊流量警示回報：通訊流量超過政策中設定的警示臨界值時，會觸發通訊流資訊，請參閱第 2 -297 頁上的「政策」。)


102

置的 SNMP，必須先建立社群，

SNMPv2c，還是支援兩個 SNMPn 裝置支援 SNMPv1。) 如果一個

agerTM，以瀏覽 SNMP MIB II的 SNMP 管理員應用程式。


下表列出了可能的警示類型及其相關的回報編號：

NetScreen 裝置出貨時並未帶有 SNMP 管理器的預設組態。若要設定 NetScreen 裝定義其相關的主機並分配許可權 (讀 /寫或唯讀 )。

在建立 SNMP 社群時，可以按 SNMP 管理工作站的要求指定該社群是支援 SNMPv1、版本。( 為了迴溯相容只支援 SNMPv1 的 ScreenOS 的早期版本，預設情況下 NetScreeSNMP 社群支援兩個 SNMP 版本，則必須為每個社群成員指定一個回報版本。

回報企業 ID 說明

100 硬體問題

200 防火牆問題

300 軟體問題

400 通訊流量問題

500 VPN 問題

600 NSRP 問題

800 DRP 問題

900 介面故障後移轉問題

1000 防火牆攻擊

注意 : 網路管理員必須有 SNMP 管理員應用程式，如 HP OpenView® 或 SunNet Man資料並從受信任或不受信任的介面接收回報。也可從網際網路上取得數種共用及免費


103

變數：

要與其聯絡。這可以是者是這類資訊的某種組合。

市或建築物的名稱，到其在網路

完全合格的網域名稱 (FQDN)，

代理，每當有人嘗試用不正確的

發自 NetScreen 裝置的資料電

n 裝置本身的通訊流量除外。預術 )。


基於安全原因，具有讀 /寫權限的 SNMP 社群成員只能變更 NetScreen 裝置上的下列

• sysContact - NetScreen 裝置的管理員的聯絡資訊，以防該 SNMP 管理員需NetScreen 管理員的姓名、電子郵件位址、電話號碼、在辦公室中的位置，或

• sysLocation - NetScreen 裝置的實體位置。這可以是任何內容，從國家、城作業中心 (NOC) 的某個機櫃上的準確位置。

• sysName - SNMP 管理員用於 NetScreen 裝置的名稱。按照慣例，這是一個但它也可以是對 SNMP 管理員有意義的任何名稱。

• snmpEnableAuthenTraps - 這將啟用或停用 NetScreen 裝置中的 SNMP SNMP 社群名稱與 SNMP 代理聯絡時就會產生一個回報。

• ipDefaultTTL - 只要傳輸層通訊協定沒有提供 TTL 值，就會將預設值插入到始報的 IP 標頭內的活動時間 (TTL) 欄位中。

• ipForwarding - 這表示 NetScreen 裝置是否轉寄通訊流量 — 發給 NetScree設情況下，NetScreen 裝置表示其不轉寄通訊流量 ( 偽裝其真實本質的一個騙


104

，每個社群最多八個成員。

預設情況下，NetScreen 裝置將其定義為單一主機。

NetScreen 裝置以獲得 SNMP送至單一主機。

個版本的 SNMP，則必須為每個

急三種嚴重性層級分類的系統事

接收回報的主機。

，請參閱第 107 頁上的「自行


執行概觀下列幾點摘要說明 Juniper Networks 如何在其裝置中執行 SNMP：

• 在 SNMP 社群中將 SNMP 管理員分組。NetScreen 裝置可最多支援三個社群

• 依據定義成員時使用的網路遮罩，社群成員可以是單一主機或主機的子網路。將一個 32 位元的網路遮罩 (255.255.255.255) 指派給 SNMP 社群成員，此時

• 如果將 SNMP 社群成員定義為子網路，則該子網路上的任何裝置都可以輪詢MIB 資訊。但是，NetScreen 裝置無法將 SNMP 回報傳送到子網路，只能傳

• 每個社群都有對 MIB II 資料的唯讀或讀寫權限。

• 每個社群可支援 SNMPv1、SNMPv2c，或兩者都支援。如果某個社群支援兩社群成員指定一個回報版本。

• 您可以允許或拒絕每個社群接收回報。

• 您可以透過任何實體介面存取 MIB II 資料和回報。

• 對於被設定為接收回報的各社群的主機，每個系統警示 ( 帶有關鍵、警訊或緊件 ) 都產生單個 NetScreen 企業 SNMP 回報。

• NetScreen 裝置將冷啟動 / 向上連結 / 向下連結回報傳送到社群內所有設定為

• 如果為社群指定攔截，您也可以選擇允許通訊流量警示。

• 您可以透過以路由或政策為基礎的 VPN 通道傳送 SNMP 訊息。如需詳細資訊產生的通訊流量的 VPN 通道」。


105

員，以接收 MIB II 資料和回報。 SNMP 的 SNMP 管理員應用程

理員：[email protected]。第十五行的第二個位置。

連接，就會產生回報。驗證失敗

。這是 SNMP 管理員應用程式

ply :

，然後按一下 OK :


範例：定義讀 / 寫的 SNMP 社群

在此例中，建立一個 SNMP 社群，名稱為 MAge11。為其指派讀 / 寫權限並啟用其成它有下列兩個成員：1.1.1.5/32 和 1.1.1.6/32。其中每個成員都有一個執行不同版本式：SNMPv1 和 SNMPv2c。

您提供以下聯絡資訊 — 名稱，以防 SNMP 社群成員需要聯絡 NetScreen 裝置的本機管您還提供 NetScreen 裝置的位置，其位置為：3-15-2。這些數字表示該裝置位於第三層

您也啟用 SNMP 代理，使得只要某人非法嘗試建立與 NetScreen 裝置之間的 SNMP 回報是一個全域性的設定，其適用於所有 SNMP 社群，預設情況下將被停用。

最後，啟用 ethernet1 上的 SNMP 可管理性，它是先前已連結到 Trust 區域的一個介面用來與 NetScreen 裝置中的 SNMP 代理進行通訊的介面。

WebUI

Configuration > Report Settings > SNMP: 輸入下面的設定，然後按一下 Ap

System Contact: [email protected]

Location: 3-15-2

Enable Authentication Fail Trap: ( 選擇 )

Configuration > Report Settings > SNMP > New Community: 輸入下面的設定

Community Name: MAge11

Permissions:

Write: ( 選擇 )

Trap: ( 選擇 )

Including Traffic Alarms: ( 清除 )

注意 : 由於社群名稱可當作密碼使用，所以請小心保密。


106

:

OK:


Version: ANY ( 選擇 )Hosts IP Address/Netmask and Trap Version

1.1.1.5/32 v11.1.1.6/32 v2c

Network > Interfaces > Edit ( 對於 ethernet1 ): 輸入下面的設定，然後按一下

Service Options:

Management Services: SNMP

CLI

set snmp contact [email protected] snmp location 3-15-2set snmp auth-trap enableset snmp community MAge11 read-write trap-on version anyset snmp host Mage 1.1.1.5/32 trap v1set snmp host Mage 1.1.1.6/32 trap v2set interface ethernet1 manage snmpsave

第 2 章監看 NetScreen 裝置自行產生的通訊流量的 VPN 通道

107

端監看的安全性。利用 VPN 通裝置的通訊流量類型可包括：以及 SNMP MIB 回報。

通道介面，這些介面被連結到

量 ( 例如事件記錄項目、的路由。該路由必須指向連結。不需要任何政策。

，透過 VPN 通道引導通訊流量。

中包含來源和目的地位址。對於可使用儲存伺服器或 SNMP 社如果遠端 SNMP 社群成員使用使用在 NetScreen-Remote 上

始化 VPN 通道的結構，因為無 VPN 連接。在建立以政策或路於以路由為基礎的 VPN 而言，

是因為您手動輸入了該路由，或由。( 有關動態路由設定通訊協定的 VPN 監看，來確保在建立通第 5 -357 頁上的「VPN 監看」

預設介面，目的地位址必須


自行產生的通訊流量的 VPN 通道您可以使用虛擬私人網路 (VPN) 通道，確保從固定 IP 位址對 NetScreen 裝置進行遠道，可以保護發送至 NetScreen 裝置以及從中初始化的通訊流量。來自 NetScreenNetScreen-Global PRO 報告，傳送到 syslog 和 WebTrends 伺服器的事件記錄項目，

NetScreen 支援兩種類型的 VPN 通道組態：

• 以路由為基礎的 VPN：NetScreen 裝置使用路由設定表項目將通訊流量導向VPN 通道上。

若要透過一個以路由為基礎的 VPN 通道，傳送 NetScreen 裝置產生的通訊流NetScreen-Global PRO 報告或 SNMP 回報 )，您必須手動輸入正確的目的地到 VPN 通道 ( 您要 NetScreen 裝置透過該通道引導通訊流量 ) 的通道介面上

• 以政策為基礎的 VPN：NetScreen 裝置使用在政策中特別參考的 VPN 通道名稱

如要經由以政策為基礎的 VPN 通道傳送自行產生的通訊流量，則必須在政策來源位址，使用 NetScreen 裝置上的某個介面的 IP 位址。對於目的地位址，群成員的工作站的 IP 位址 ( 如果其位於某個遠端 NetScreen 裝置的後面 )。NetScreen-Remote VPN 用戶端建立與本機 NetScreen 裝置的 VPN 連接，則定義的一個內部 IP 位址作為目的地位址。

如果遠端閘道或端點實體擁有一個動態指派的 IP 位址，那麼 NetScreen 裝置將無法初法預先確定這些位址，所以您無法為其定義路由。在這些情況下，遠端主機必須初始化由為基礎的 VPN 通道後，通道的兩端都能初始化通訊流量 ( 如果政策允許 )。另外，對必須有一個通向端點實體的路由，透過連結到該 VPN 通道的一個通道介面 — 這或者者是因為本機 NetScreen 裝置在建立一個通道後透過交換動態路由訊息而接收到該路的資訊，請參閱第 6 卷，「路由」。) 也可以使用帶有重新建立金鑰選項或 IKE 活動訊號道後，不管 VPN 的活動性如何，其都將保持連通。( 有關這些選項的詳細資訊，請參閱和第 5 -438 頁上的「監看機制」。)

注意 : 在 ScreenOS 5.0.0 之前的版本中，來源位址必須是連結到 Trust 區域的位於 Untrust 區域中。在目前版本中，已去掉這項限制。


108

SA) 的三種元素：安全性參數索變更任何元素，必須在通道的兩

證，一個用於加密 — 其功能與是，使用相同的金鑰進行加密和

，PKI)，通道兩端的參與者使用是不對稱的；也就是，金鑰對中

en-Remote 的詳細資訊，


對於每個 VPN 通道組態類型，您可以使用下列 VPN 通道類型中的任一種：

• 手動金鑰：可以在通道兩端手動設定定義安全性聯盟 (Security Association，引 (Security Parameters Index，SPI)、加密金鑰和驗證金鑰。若要在 SA 中端將其手動輸入。

• 具有預先共享金鑰的自動金鑰 IKE：一個或兩個預先共享的秘密 — 一個用於驗種子值相同。使用它們，IKE 通訊協定在通道的兩端產生一組對稱金鑰；也就解密。經過預先確定的時間間隔後，這些金鑰會自動重新產生。

• 具有認證的自動金鑰 IKE：使用公開金鑰基礎結構 (Public Key Infrastructure一個數位認證 ( 用於驗證 ) 和一個 RSA 公開 / 私密金鑰對 ( 用於加密 )。加密的一個金鑰用於加密，而另一個金鑰則用於解密。

注意 : 如需 VPN 通道的完整說明，請參閱第 5 卷，「VPN」。如需 NetScre請參閱 NetScreen-Remote User’s Guide。


109

的自動金鑰 IKE VPN 通道，將某個 SNMP 社群成員。通道將預性層級用於階段 1 和階段 2 提和 NetScreen-B 的管理員定義

IP 位址為 1.1.1.250。所有區域

流量」進行比較。

-B.2.2/32

.1.1/32

Eth110.2.2.1/24

NAT

LAN10.2.2.0/24

Trust 區域

SNMP 管理器和 Syslog 伺服器

10.2.2.2

透過 vpn1，NetScreen-A 將 SNMP MIB 回報和事件記錄項目傳送至 10.2.2.2 處的 SNMP 管理器和 syslog 伺服器。


範例：透過以路由為基礎的通道的自行產生的通訊流量

在此例中，您設定一個本機 NetScreen 裝置 (NetScreen-A)，並透過以路由為基礎SNMPv1 MIB 回報和 syslog 報告傳送到遠端 NetScreen 裝置 (NetScreen-B) 後面的先共享金鑰 (Ci5y0a1aAG) 用於資料來源驗證，將預先定義為「Compatible」的安全議。作為 NetScreen-A 的本機管理員，您將建立 tunnel.1 介面並將其連結到 vpn1。您下列 proxy ID：

您將 ethernet1 連結到 Trust 區域，而將 ethernet3 連結到 Untrust 區域。預設的閘道都在 trust-vr 路由設定網域中。

注意 : 將此範例與第 119 頁上的「範例：透過以政策為基礎的通道的自行產生的通訊

NetScreen-A NetScreen

本機 IP 10.1.1.1/32 本機 IP 10.2

遠端 IP 10.2.2.2/32 遠端 IP 10.1

服務 Any 服務 Any

Eth3, 2.2.2.2/24

LAN10.1.1.0/24

網際網路

通道 : vpn1

tunnel.1, 未編號

閘道 , 2.2.2.250

Untrust 區域

Untrust 區域Trust 區域本機站台

遠端站台

NetScreen-A

NetScreen-B

Eth110.1.1.1/24

NAT Eth3, 1.1.1.1/24tunnel.1, 未編號

閘道 , 1.1.1.250


110

使預先共享金鑰、提議和 proxy

用該社群來接收回報。您將位於

Apply :

OK:

n 裝置上設定 VPN 通道時，使用

到的位址。


NetScreen-B 的遠端管理員使用類似的設定來定義自動金鑰 IKE VPN 通道的另一端，ID 相配對。

您也可以設定一個具有讀 / 寫權限、名稱為「remote_admin」的 SNMP 社群，並啟10.2.2.2/32 的主機定義為社群成員2。

WebUI (NetScreen-A)

1. 介面


Zone Name: Trust




Interface Mode: NAT ( 選擇 )4


Zone Name: Untrust



Service Options:


2. 本例假設遠端管理員已經安裝了 syslog 伺服器和支援 SNMPv1 的 SNMP 管理員應用程式。遠端管理員在其 NetScree1.1.1.1 和 10.1.1.1 分別作為遠端閘道和目的地位址。

3. 遠端管理員組態 SNMP 管理器時，必須在 Remote SNMP Agent 欄位中輸入 10.1.1.1。這是 SNMP 管理器將查詢傳送

4. 依預設，連結到 Trust 區域的任何介面都處於 NAT 模式。因此，對於連結到 Trust 區域的介面，已啟用此選項。


111

ply :



Network > Interfaces > New Tunnel IF: 輸入下面的內容，然後按一下 OK :

Tunnel Interface Name: tunnel.1

Zone (VR): Untrust (trust-vr)


Interface: ethernet1(trust-vr)

2. Syslog 和 SNMPConfiguration > Report Settings > Syslog: 輸入下面的內容，然後按一下 Ap

Enable Syslog Messages: ( 選擇 )

No.: 選擇 1 表示要新增 1 個 syslog 伺服器。

IP / Hostname: 10.2.2.2

Port: 514

Security Facility: auth/sec

Facility: Local0

Configuration > Report Settings > SNMP > New Community: 輸入下面的內容

Community Name: remote_admin

Permissions:

Write: ( 選擇 )

Trap: ( 選擇 )


Version: V1

Hosts IP Address/Netmask:

10.2.2.2/32 V1

Trap Version:

V1


112

( 選擇 )

下 Return 返回基本 AutoKey

), tunnel.1

2

/32

按一下 OK:


3. VPN

VPNs > AutoKey IKE > New: 輸入下面的內容，然後按一下 OK:

VPN Name: vpn1

Security Level: Compatible

Remote Gateway: Create a Simple Gateway:

Gateway Name: to_admin

Type: Static IP, Address/Hostname: 2.2.2.2

Preshared Key: Ci5y0a1aAG


Outgoing interface: ethernet3

> Advanced: 輸入下面的進階設定，然後按一IKE 組態頁面 :

Bind to: Tunnel Interface: ( 選擇

Proxy-ID: ( 選擇 )

Local IP/Netmask: 10.1.1.1/3

Remote IP/Netmask: 10.2.2.2

Service: ANY

4. 路由



Gateway: ( 選擇 )

Interface: tunnel.1



113

按一下 OK:

ace ethernet3 preshare

2.2.2/32 any

到的位址。




Gateway: ( 選擇 )


Gateway IP Address: ( 選擇 ) 1.1.1.250

CLI (NetScreen-A)

1. 介面

set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/245

set interface ethernet1 nat6

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 manage snmpset interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet1

2. VPNset ike gateway to_admin address 2.2.2.2 outgoing-interf

Ci5y0a1aAG sec-level compatibleset vpn vpn1 gateway to_admin sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.1.1.1/32 remote-ip 10.




114

on v1

1 gateway 1.1.1.250

Apply :

OK:


3. Syslog 和 SNMPset syslog config 10.2.2.2 auth/sec local0set syslog enableset snmp community remote_admin read-write trap-on versiset snmp host remote_admin 10.2.2.2/32

4. 路由

set vrouter trust-vr route 10.2.2.2/32 interface tunnel.set vrouter trust-vr route 0.0.0.0/0 interface ethernet3save

WebUI (NetScreen-B)

1. 介面


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




115

後按一下 OK:

ilable Members 欄移動到



Network > Interfaces > New Tunnel IF: 輸入下面的內容，然後按一下 OK:

Tunnel Interface Name: tunnel.1

Zone (VR): Untrust (trust-vr)


Interface: ethernet1(trust-vr)

2. 位址


Address Name: addr1

IP Address/Domain Name: IP/Netmask: 10.2.2.2/32

Zone: Trust


Address Name: ns-a


Zone: Untrust

3. 服務群組

Objects > Services > Groups > New: 輸入下面的群組名稱，移動下列服務，然

Group Name: s-grp1

選擇 Syslog，然後使用按鈕 << 將服務從 AvaGroup Members 欄中。

選擇 SNMP，然後使用按鈕 << 將服務從 AvaGroup Members 欄中。


116

( 選擇 )

Return 返回基本 AutoKey IKE

), tunnel.1

2

/32

按一下 OK:


4. VPN


VPN Name: vpn1








> Advanced: 輸入下面的進階設定，然後按一下組態頁面 :

Bind to: Tunnel Interface: ( 選擇

Proxy-ID: ( 選擇 )

Local IP/Netmask: 10.2.2.2/3

Remote IP/Netmask: 10.1.1.1

Service: Any

5. 路由



Gateway: ( 選擇 )

Interface: tunnel.1



117

按一下 OK:

:

:




Gateway: ( 選擇 )



6. 政策


Source Address:

Address Book Entry: ( 選擇 ), addr1


Address Book Entry: ( 選擇 ), ns-a

Service: s-grp1

Action: Permit


Policies > (From: Untrust, To: Trust) New: 輸入下面的內容，然後按一下 OK

Source Address:




Service: s-grp1

Action: Permit



118


1.1.1/32 any

1 gateway 2.2.2.250

ermitermit


CLI (NetScreen-B)

1. 介面

set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet1

2. 位址

set address trust addr1 10.2.2.2/32set address untrust ns-a 10.1.1.1/32

3. 服務群組

set group service s-grp1 set group service s-grp1 add syslogset group service s-grp1 add snmp


Ci5y0a1aAG sec-level compatibleset vpn vpn1 gateway to_admin sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.2.2.2/32 remote-ip 10.

5. 路由

set vrouter trust-vr route 10.1.1.1/32 interface tunnel.set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

6. 政策

set policy top from trust to untrust addr1 ns-a s-grp1 pset policy top from untrust to trust ns-a addr1 s-grp1 psave


119

動金鑰 IKE VPN 通道 (vpn1)，的某個 SNMP 社群成員。通道

安全性層級用於階段 1 和階段 2

和 NetScreen-B 上的 Untrust 區址是 2.2.2.250。所有區域都在

用該社群來接收回報。將位於

en 裝置上設定 VPN 通道時，使用

流量」進行比較。

LAN10.2.2.0/24

Trust 區域

SNMP 管理器和 Syslog 伺服器

10.2.2.2

透過 vpn1，NetScreen-A 將 SNMP MIB 回報和事件記錄項目傳送至 10.2.2.2 處的 SNMP 管理器和 syslog 伺服器。

Eth110.2.2.1/24

NAT


範例：透過以政策為基礎的通道的自行產生的通訊流量

在此例中，您設定一個本機 NetScreen 裝置 (NetScreen-A)，並透過以政策為基礎的自將 SNMPv2c MIB 回報和 syslog 報告7 傳送到遠端 NetScreen 裝置 (NetScreen-B) 後面將預先共享金鑰 (Ci5y0a1aAG) 用於資料來源驗證，將預先定義為「Compatible」的提議。

您和遠端管理員將 ethernet1 連結到 Trust 區域，將 ethernet3 連結到 NetScreen-A 域。NetScreen-A 的預設閘道 IP 位址是 1.1.1.250。NetScreen-B 的預設閘道 IP 位trust-vr 路由設定網域中。

您也可以設定一個具有讀 / 寫權限、名稱為「remote_admin」的 SNMP 社群，並啟10.2.2.2/32 的主機定義為一個社群成員。

7. 本例假設遠端管理員已經安裝了 syslog 伺服器和支援 SNMPv2c 的 SNMP 管理員應用程式。遠端管理員在其 NetScre1.1.1.1 和 10.1.1.1 分別作為遠端閘道和目的地位址。

注意 : 將此範例與第 109 頁上的「範例：透過以路由為基礎的通道的自行產生的通訊

Eth3, 2.2.2.2/24

LAN10.1.1.0/24

網際網路

通道 : vpn1閘道, 2.2.2.250

Untrust 區域

Untrust 區域Trust 區域本機站台

遠端站台

NetScreen-A

NetScreen-B

Eth110.1.1.1/24

NATEth3, 1.1.1.1/24

閘道 , 1.1.1.250


120

政策中使用的位址和服務如下：

列 Proxy ID：

OK:

到的位址。

-B.2.2/32

.1.1/32


NetScreen-A 上的向內和向外政策與 NetScreen-B 上的向外和向內政策配對。這些在

• 10.1.1.1/32，NetScreen-A 上 Trust 區域介面的位址

• 10.2.2.2/32，SNMP 社群成員的主機和 syslog 伺服器的位址

• 名為「s-grp1」的服務群組，其中包含 SNMP 和 syslog 服務

從您與 NetScreen-B 管理員建立的政策中，這兩個 NetScreen 裝置可獲得 vpn1 的下

WebUI (NetScreen-A)

1. 介面 – 安全區


Zone Name: Trust



Interface Mode: NAT ( 選擇 )9

注意 : NetScreen 在 Proxy ID 中將服務群組當作「any」。



NetScreen-A NetScreen

本機 IP 10.1.1.1/32 本機 IP 10.2

遠端 IP 10.2.2.2/32 遠端 IP 10.1

服務 Any 服務 Any


121

OK:

然後按一下 OK:





Zone Name: Untrust



Service Options:


2. 位址


Address Name: trust_int


Zone: Trust


Address Name: remote_admin

IP Address/Domain Name:IP/Netmask: 10.2.2.2/32

Zone: Untrust

3. 服務群組

Objects > Services > Groups > New: 輸入下面的群組名稱，移動下列服務，

Group Name: s-grp1




122

( 選擇 )

ply:



4. VPN


VPN Name: vpn1








5. Syslog 和 SNMPConfiguration > Report Settings > Syslog: 輸入下面的內容，然後按一下 Ap

Enable Syslog Messages: ( 選擇 )

Source Interface: ethernet1

No.: 選擇 1 表示要新增 1 個 syslog 伺服器。

IP/Hostname: 10.2.2.2

Port: 514

Security Facility: auth/sec

Facility: Local0

Configuration > Report Settings > SNMP > New Community: 輸入下面的內容

Community Name: remote_admin

Permissions:

Write: ( 選擇 )


123

ply:

按一下 OK:

:

n


Trap: ( 選擇 )


Version: V2C

Hosts IP Address/Netmask:

10.2.2.2/32 V2C

Trap Version:

V2C

Source Interface:

ethernet1 ( 選擇 )

Configuration > Report Settings > SNMP: 輸入下面的內容，然後按一下 Ap

Enable Authentication Fail Trap: ( 選擇 )

6. 路由



Gateway: ( 選擇 )



7. 政策


Source Address:

Address Book Entry: ( 選擇 ), trust_int


Address Book Entry: ( 選擇 ), remote_admi


124

)


Service: s-grp1

Action: Tunnel

Tunnel VPN: vpn1

Modify matching outgoing VPN policy: ( 選擇


CLI (NetScreen-A)


set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat10

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 manage snmp

2. 位址

set address trust trust_int 10.1.1.1/32set address untrust remote_admin 10.2.2.2/32

3. 服務群組




125


on v2cernet1

gateway 1.1.1.250

min s-grp1 tunnel vpn

int s-grp1 tunnel vpn



Ci5y0a1aAG sec-level compatibleset vpn vpn1 gateway to_admin sec-level compatible

5. Syslog 和 SNMPset syslog config 10.2.2.2 auth/sec local0set syslog src-interface ethernet1set syslog enableset snmp community remote_admin read-write trap-on versiset snmp host remote_admin 10.2.2.2/32 src-interface eth

6. 路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

7. 政策

set policy top from trust to untrust trust_int remote_advpn1

set policy top from untrust to trust remote_admin trust_vpn1

save


126

Apply:

OK:


WebUI (NetScreen-B)



Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. 位址


Address Name: addr1


IP/Netmask: 10.2.2.2/32

Zone: Trust


Address Name: ns-a


IP/Netmask: 10.1.1.1/32

Zone: Untrust


127

OK :



( 選擇 )

一下 OK:


3. 服務群組

Objects > Services > Group: 輸入下面的群組名稱，移動下列服務，然後按一下

Group Name: s-grp1



4. VPN


VPN Name: vpn1




Type: Static IP, IP Address: 1.1.1.1



Outgoing interface: ethernet3

5. 路由

Network > Routing > Routing Table > trust-vr New: 輸入下面的內容，然後按


Gateway: ( 選擇 )




128

:

)


6. 政策


Source Address:




Service: s-grp1

Action: Tunnel

Tunnel VPN: vpn1

Modify matching outgoing VPN policy: ( 選擇



129


gateway 2.2.2.250

unnel vpn vpn1unnel vpn vpn1


CLI (NetScreen-B)


set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24

2. 位址

set address trust addr1 10.2.2.2/32set address untrust ns-a 10.1.1.1/32

3. 服務群組



Ci5y0a1sec-level compatibleset vpn vpn1 gateway to_admin sec-level compatible

5. 路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

6. 政策

set policy top from trust to untrust addr1 ns-a s-grp1 tset policy top from untrust to trust ns-a addr1 s-grp1 tsave

第 2 章監看 NetScreen 裝置計數器

130

提供處理資訊，並幫助您驗證所

定政策影響的通訊流量計數。

數

封包數

包數

ICMP 框架數

P 位址數

IP 封包數


計數器NetScreen 提供螢幕、硬體和流量計數器來監看通訊流量。計數器為指定區域和介面需政策的組態。

NetScreen 提供下列螢幕計數器，這些計數器用於監看一般的防火牆活動及檢視受指

• Bad IP Option Protection – 由於 IP 選項殘缺或不完整而被丟棄的框架數

• Dst IP-based session limiting – 達到會話臨界值後被卸除的會話數

• FIN bit with no ACK bit – 被偵測到且因帶有非法旗標組合而被卸除的封包數

• Fragmented packet protection – 被封鎖的 IP 封包片段數

• HTTP Component Blocked – 被封鎖的含 HTTP 元件的封包數

• HTTP Component Blocking for ActiveX controls – 被封鎖的 ActiveX 元件

• HTTP Component Blocking for .exe files – 被封鎖的含 .exe 檔案的 HTTP

• HTTP Component Blocking for Java applets – 被封鎖的 Java 元件數

• HTTP Component Blocking for .zip files – 被封鎖的含 .zip 檔案的 HTTP 封

• ICMP Flood Protection – 被封鎖的作為 ICP 氾濫的一部分的 ICMP 封包數

• ICMP Fragment – 設定了「更多片段」旗標或在偏移欄位中指出了偏移量的

• IP Spoofing Attack Protection – 被封鎖的作為 IP 欺騙式攻擊的一部分的 I

• IP Sweep Protection – 被偵測到且被封鎖的 IP 掃描攻擊封包數

• Land Attack Protection – 被封鎖的作為疑似 land 攻擊的一部分的封包數

• Large ICMP Packet – 被偵測到的 IP 長度大於 1024 的 ICMP 框架數

• Limit Session – 因達到會話限制而無法傳遞的封包數

• Loose Src Route IP Option – 啟用了 Loose Source Route 選項後偵測到的

• Malicious URL Protection – 被封鎖的疑似惡意的 URL 數


131

數

包數

而遭封鎖的封包數

包數

包片段數

數

數

數

封包數

ent 模式時未啟用 VLAN 中繼，


• Ping-of-Death Protection – 被懷疑且被拒絕過的過大或不規則的 ICMP 封包

• Port Scan Protection – 被偵測到且被封鎖的連接埠掃描數

• Record Route IP Option – 啟用了 Record Route 選項後偵測到的框架數

• Security IP Option – 設定了 IP Security 選項後丟棄的框架數

• Src IP-based session limiting – 達到會話臨界值後被卸除的會話數

• Source Route IP Option Filter – IP 來源路由篩選的數目

• Stream IP Option – 設定了 IP 資料流識別字後被丟棄的封包數

• Strict Src Route IP Option – 啟用了 Strict Source Route 選項時偵測到的封

• SYN-ACK-ACK-Proxy DoS – 因 SYN-ACK-ACK-proxy DoS SCREEN 選項

• SYN and FIN bits set – 被偵測到的帶有非法旗標組合的封包數

• SYN Flood Protection – 被偵測到的作為可疑 SYN 氾濫的一部分的 SYN 封

• SYN Fragment Detection – 被卸除的作為疑似 SYN 片段攻擊的一部分的封

• Timestamp IP Option – 設定了 Internet Timestamp 選項時丟棄的 IP 封包數

• TCP Packet without Flag – 被卸除的帶有遺失或殘缺的旗標欄位的非法封包

• Teardrop Attack Protection – 被封鎖的作為 Teardrop 攻擊的一部分的封包

• UDP Flood Protection – 被卸除的作為疑似 UDP 氾濫的一部分的 UDP 封包

• Unknown Protocol Protection – 被封鎖的作為未知通訊協定一部分的封包數

• WinNuke Attack Protection – 被偵測到的作為疑似 WinNuke 攻擊一部分的

NetScreen 提供下列用於監看硬體效能及發生錯誤的封包的硬體計數器：

• drop vlan – 因遺失 VLAN 標籤、未定義子介面或者 NetScreen 在 Transpar而被卸除的封包

• early frame – 用於乙太網路驅動程式緩衝區描述器管理的計數器

• in align err – 位元資料流中發生對齊錯誤的向內封包數

• in bytes – 收到的位元組數


132

框架的向內封包數

tScreen 裝置轉寄封包時，它會地 MAC，NetScreen 裝置就會之前收到另一個含相同目的地

失訊號而被卸除的向外封包數11

802.3 標準。


• in coll err – 向內的衝突封包數

• in crc err – 帶有循環冗餘碼檢測 (CRC) 錯誤的向內封包數

• in dma err – 帶有 dma 錯誤的向內封包數

• in misc err – 帶有其他錯誤的向內封包數

• in no buffer – 因無緩衝區而無法接收的封包數

• in overrun – 已傳輸的超載封包數

• in packets – 收到的封包數

• in short frame – 含有一個少於 64 位元組 ( 包括框架總和檢查碼 ) 的乙太網路

• in underrun – 已傳輸的欠載封包數

• late frame – 用於乙太網路驅動程式緩衝區描述器管理的計數器

• out bs pak – 搜尋不明的 MAC 位址時，後備記憶體所保留的封包數。當 Ne先檢查目的地 MAC 位址是否在 ARP 表格中。如果在 ARP 表格中找不到目的將 ARP 要求傳送到網路。如果 NetScreen 裝置在接收第一個 ARP 要求的回覆MAC 位址的封包，則它會將 out bs pak 計數器加 1。

• out bytes – 傳送的位元組數

• out coll err – 向外衝突封包數

• out cs lost – 被卸除的因載波感應多重存取 /衝突偵測 (CSMA/CD) 通訊協定遺

• out defer – 延遲的向外封包數

• out discard – 被丟棄的向外封包數

• out heartbeat – 向外活動訊號的封包數

• out misc err – 帶有其他錯誤的向外封包數

• out no buffer – 因無緩衝區而無法傳送的封包數

11. 如需載波感應多重存取 / 衝突偵測 (CSMA/CD) 通訊協定的詳細資訊，請參閱 http: //standards.ieee.org 上提供的 IEEE


133

緩衝區的封包數


• out packets – 傳送的封包數

• re xmt limit – 某介面處理半工時超過重新傳輸限制，而被卸除的封包數

NetScreen 也提供下列流量計數器12，用於監看在流量層級檢查的封包數：

• address spoof – 收到的疑似位址欺騙式攻擊封包數

• auth deny – 使用者驗證被拒絕的次數。

• auth fail – 使用者驗證失敗的次數

• big bkstr – 等待 MAC-to-IP 位址解析時，因封包過大而無法放置於 ARP 後備

• connections – 自最近一次開機後建立的會話次數

• encrypt fail – 失敗的點對點通道通訊協定 (PPTP) 封包數

• *icmp broadcast – 收到的 ICMP 廣播數

• icmp flood – 逼近 ICMP 氾濫臨界值時計算的 ICMP 封包數

• illegal pak – 因不符合通訊協定標準而被卸除的封包數

• in arp req – 向內的 arp 要求封包數

• in arp resp – 向外的 arp 要求封包數

• in bytes – 收到的位元組數

• in icmp – 收到的網際網路控制訊息通訊協定 (ICMP) 封包數

• in other – 不同乙太網路類型的向內封包數

• in packets – 收到的封包數

• in self – 發送至 NetScreen 管理 IP 位址的封包數

• *in un auth – 未經授權的向內 TCP、UDP 和 ICMP 封包數

• *in unk prot – 使用未知乙太網路通訊協定的向內封包數

• in vlan – 向內的 vlan 封包數

12. 前面帶有星號的計數器在本指南撰寫時仍無法操作，會一直顯示 0 值。


134

傳會話的一個範例：位於 Trust一個也位於該 Trust 區域內的伺MIP 或 VIP 伺服器。

重新獲得與該 MAC 位址關聯的


• in vpn – 收到的 IPSec 封包數

• invalid zone – 目的地為無效安全區的封包數

• ip sweep – 超過指定的 IP 掃描臨界值的已接收和已丟棄封包數

• land attack – 收到的疑似 land 攻擊封包數

• loopback drop – 因為不能透過 NetScreen 裝置回傳而被卸除的封包數。回區域中的一個主機傳送通訊流量給一個 MIP 或 VIP 位址，而該位址被對應到服器。NetScreen 裝置建立一個回傳會話，將這類通訊流量從該主機引導到

• mac relearn – 因為 MAC 位址的位置發生變化，導致 MAC 位址獲取表必須介面的次數。

• mac tbl full – MAC 位址獲取表被完全填滿的次數。

• mal url – 目的地為惡意 URL 的封鎖封包數

• *misc prot – 使用通訊協定 ( 而非 TCP、UDP 和 ICMP ) 的封包數

• mp fail – 在主處理器模組和處理器模組之間傳送 PCI 訊息時出現問題的次數

• no conn – 因網路位址轉譯 (NAT) 連接不可用而被卸除的封包數

• no dip – 因動態 IP (DIP) 位址不可用而被卸除的封包數

• no frag netpak – 在緩衝區中有效空間減退至 70% 以下的次數

• *no frag sess – 片段會話大於 NAT 會話最大數一半的次數

• no g-parent – 因為無法找到父級連接而被卸除的封包數

• no gate – 因無閘道而被卸除的封包數

• no gate sess – 因防火牆中無閘道而被終止的會話數

• no map – 因沒有到信任端的對應而被卸除的封包數

• no nat vector – 因網路位址轉譯 (NAT) 連接不可用而被卸除的封包數

• *no nsp tunnel – 被傳送到未連結 VPN 通道的通道介面，而被卸除的封包數


135

數

除的封包數


• no route – 收到的不可路由的封包數

• no sa – 因未定義安全性關聯 (SA) 而被卸除的封包數

• no sa policy – 因沒有與 SA 關聯的政策而被卸除的封包數

• *no xmit vpnf – 因分段而被卸除的 VPN 封包數

• null zone – 錯誤地被傳送到和 Null 區域介面連結在一起的介面的已卸除封包

• nvec err – 因 NAT 向量錯誤而被卸除的封包數

• out bytes – 傳送的位元組數

• out packets – 傳送的封包數

• out vlan – 向外 vlan 封包數

• ping of death – 已接收到的疑似 Ping of Death 攻擊數

• policy deny – 被定義的政策拒絕的封包數

• port scan – 被計算為連接埠掃描嘗試的封包數

• proc sess – 某個處理器模組上的總會話數超過最大臨界值的次數

• sa inactive – 因非主動 SA 而被卸除的封包數

• sa policy deny – 被 SA 政策拒絕的封包數

• sessn thresh – 最大會話數的臨界值

• *slow mac – MAC 位址解析慢的框架數

• src route – 因篩選來源路由選項而被卸除的封包數

• syn frag – 因分段而被卸除的 SYN 封包數

• tcp out of seq – 接收到的其序號超出可接受範圍的 TCP 片段數

• tcp proxy – 因使用 TCP Proxy ( 如 SYN 氾濫保護選項或使用者驗證 ) 而被卸

• tear drop – 被封鎖的作為疑似 Tear Drop 攻擊一部分的封包數

• tiny frag – 收到的小片段封包數

• trmn drop – 被通訊流量管理卸除的封包數


136
• trmng queue – 在佇列中等待的封包數

• udp flood – 逼近 UDP 氾濫臨界值時計算的 UDP 封包數

• url block – 被封鎖的 HTTP 要求數

• winnuke – 收到的 WinNuke 攻擊數

• wrong intf – 從一個處理器模組傳送到主處理器模組的會話建立訊息數

• wrong slot – 不正確地傳送到錯誤的處理器模組的封包數

範例：檢視螢幕計數器

在本例中，將檢視 Trust 區域的 NetScreen 螢幕計數器。

WebUI

Reports > Counters > Zone Screen: 從 Zone 下拉清單中選擇 Trust。

CLI

get counter screen zone trust

A

A-I

™žø″ A

中 SNMP 代理之間的 SNMP 通。選擇一個 NetScreen 產品，然

相容。NetScreen MIB 檔案組織


SNMP MIB 檔案

Juniper Networks 提供 MIB 檔案，該檔案支援貴組織的應用程式和 NetScreen 裝置訊。若要取得最新的 MIB 檔案，請開啟 Web 瀏覽器並造訪 www.juniper.net/support後選擇適用於 NetScreen 裝置上載入的 ScreenOS 版本的 MIB 檔案。

適用於 ScreenOS 目前版本的 MIB 檔案與 ScreenOS 之前版本中的 SNMP 代理完全在多層的階層結構中，說明如下：

• 第 II 頁上的「主要層級 MIB 檔案資料夾」

• 第 IV 頁上的「次要層級 MIB 資料夾」

– 第 IV 頁上的「netscreenProducts」

– 第 V 頁上的「netScreenIds」

– 第 V 頁上的「netscreenVpn」

– 第 V 頁上的「netscreenQos」

– 第 VI 頁上的「netscreenSetting」

– 第 VI 頁上的「netscreenZone」

– 第 VI 頁上的「netscreenPolicy」

– 第 VII 頁上的「netscreenNAT」

– 第 VII 頁上的「netscreenAddr」

– 第 VII 頁上的「netscreenService」

– 第 VII 頁上的「netscreenSchedule」

– 第 VII 頁上的「netscreenVsys」

– 第 VIII 頁上的「netscreenResource」

– 第 VIII 頁上的「netscreenIp」

– 第 VIII 頁上的「netscreenVR」

http://www.netscreen.com/services/tac_online/index.jsp

http://www.juniper.net/support/

附錄 ASNMP MIB 檔案

A-II

列。


主要層級 MIB 檔案資料夾

MIB 檔案排列在階層式資料夾結構中。主要層級 MIB 資料夾如下：

每個資料夾包含一個類別的 MIB 檔案。

netscreenProducts 將「物件辨別字」 (OID) 指定給不同的 NetScreen 產品系

netscreenTrapInfo 定義 NetScreen 裝置傳送的企業回報。

netscreenIDS 定義 NetScreen 裝置侵入偵測服務 (IDS) 組態。

netscreenVpn 定義 NetScreen 裝置的 VPN 組態和執行時間資訊。

netscreenQos 定義 NetScreen 裝置的 Quality of Service 組態。


A-III

郵件、驗證和管理員。

服務 )。


netscreenNsrp 定義 NetScreen 裝置的 NSRP 組態。

netscreenSetting 定義 NetScreen 裝置的其他組態設定，例如 DHCP、電子

netscreenZone 定義 NetScreen 裝置中的區域資訊。

netscreenInterface 定義 NetScreen 裝置的介面組態，包括虛擬介面。

netscreenPolicy 定義 NetScreen 裝置的向外和向內政策組態。

netscreenNAT 定義 NAT 組態，包括 Map IP、Dynamic IP 和 Virtual IP。

netscreenAddr 代表 NetScreen 介面上的位址表。

netscreenService 說明會由 NetScreen 裝置辨別的服務 ( 包括使用者定義的

netscreenSchedule 定義使用者設定的 NetScreen 裝置的工作排程資訊。

netscreenVsys 定義 NetScreen 裝置的虛擬系統 (VSYS) 組態。

netscreenResource 存取 NetScreen 裝置的資源利用資訊。

netscreenIp 存取 NetScreen 裝置的私人 IP 相關資訊。

netScreen Chassis 清空用於將來 MIB 支援資料夾的佔位符號資料夾

netscreenVR 定義 NetScreen 裝置的虛擬路由器 (VR) 組態。


A-IV

級的資料夾或 MIB 檔案。


次要層級 MIB 資料夾

本節介紹 NetScreen 裝置的次要層級 MIB 資料夾。每個次要層級資料夾均包含下一層

netscreenProducts

netscreenGeneric NetScreen 產品的泛用物件辨別字 (OID)

netscreenNs5 NetScreen-5XP OID

netscreenNs10 NetScreen-10XP OID

netscreenNs100 NetScreen-100 OID








A-V

S 服務


netScreenIds

netscreenVpn

netscreenQos

nsldsProtect NetScreen 裝置上的 IDS 服務

nsldsProtectSetTable 在 NetScreen 裝置上啟用的 ID

nsldsProtectThreshTable IDS 服務臨界值組態

nsldsAttkMonTable 侵入嘗試的統計資訊

netscreenVpnMon 顯示 vpn 通道的 SA 資訊

nsVpnManualKey 手動金鑰組態

nsVpnIke IKE 組態

nsVpnGateway VPN 通道閘道組態

nsVpnPhaseOneCfg IPSec 階段 1 組態

nsVpnPhaseTwoCfg IPSec 階段 2 組態

nsVpnCert 認證組態

nsVpnL2TP L2TP 組態

nsVpnPool IP 集區組態

nsVpnUser VPN 使用者組態

nsQosPly 政策的 QoS 組態


A-VI
netscreenSetting

netscreenZone

netscreenPolicy

nsSetGeneral NS 裝置的一般組態

nsSetAuth 驗證方法組態

nsSetDNS DNS 伺服器設定

nsSetURLFilter URL 篩選設定

nsSetDHCP DHCP 伺服器設定

nsSetSysTime 系統時間設定

nsSetEmail 電子郵件設定

nsSetLog Syslog 設定

nsSetSNMP SNMP 代理組態

nsSetGlbMng 全域管理組態

nsSetAdminUser 管理使用者組態

nsSetWebUI Web UI 組態

nsZoneCfg 裝置的區域組態

NsPlyTable 政策組態

NsPlyMonTable 關於每個政策的統計資訊


A-VII
netscreenNAT

netscreenAddr

netscreenService

netscreenSchedule

netscreenVsys

nsNatMipTable 對應的 IP 組態

nsNatDipTable 動態 IP 組態

nsNatVip 虛擬 IP 組態

nsAddrTable NetScreen 介面上的位址表

nsServiceTable 服務資訊

nsServiceGroupTable 服務群組資訊

nsServiceGrpMemberTable 服務群組成員資訊

nschOnceTable 單次排程資訊

nschRecurTable 重複排程資訊

nsVsysCfg NetScreen 裝置的虛擬系統 (VSYS) 組態


A-VIII

Pv1 還是 SNMPv2c，都可以存取所有


netscreenResource

netscreenIp

netscreenVR1

nsresCPU CPU 利用

nsresMem 記憶體利用

nsresSession 會話利用

注意 : ScreenOS 不再支援 failedSession 計數器。

nslpArp ARP 表

nsOSPF 開放式最短路徑優先 (OSPF) 通訊協定資訊

nsBGP 邊界閘道通訊協定 (BGP) 通訊協定資訊

nsRIP 路由資訊通訊協定 (RIP) 通訊協定資訊

1. NetscreenVR MIB 以管理資訊結構版本 2 (SMIv2) 為基礎。所有其他 MIB 都是以 SMIv1 為基礎。不管執行的是 SNMMIB II 資料。

索引

IX-I

動回報 101警示回報 101，公開 105，私人 105104105流量警示回報 101選項 36報硬體問題 102防火牆問題 102軟體問題 102通訊流量問題 102VPN 問題 102

或拒絕 10421, 3620

金鑰 16 驗證 19金鑰 16登入 23器金鑰 16驗證 19僅使用 PKA 驗證 21程序 16金鑰 16公開金鑰，CLI 20公開金鑰，TFTP 20, 23公開金鑰，WebUI 20方法優先順序 21

選項 36通訊協定閱 SSLHP

497名稱 98, 99, 111, 122107性設備 98, 111, 122


索引CCLI 13, 37, 38

慣例 viCompactFlash 74

DDIP 134

HHTTP 5

會話 ID 5

IIdent-Reset 36IP 位址

NSM 伺服器 30管理 IP 41

MMGT 介面

管理選項 37MIB II 36, 101

NNAT 向量錯誤 135NetScreen-Security Manager

請參閱 NSMNSM

UI 27代理 27, 30初始連接設定 NSM

AgentNSM管理系統 28

定義 27啟用代理 29組態同步 33

組態時戳 35報告事件 31, 32管理系統 27, 30管理選項 36

PPCMCIA 74ping

管理選項 36PKI

金鑰 8

RRADIUS 51RFC

1157 1011213 36, 1011901，Introduction to Community-based

SNMPv2 1011905，Protocol Operations for Version 2 of the

Simple Network Management Protocol (SNMPv2) 101

1906，Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) 101

SSA 政策 135SCP 24

用戶端指令範例 24啟用 24

SMTP 伺服器 IP 96SNMP 36, 101

MIB 資料夾，主要層級；MIB 資料夾主要層級 II

MIB 檔案；MIB 檔案 I加密 104, 107回報 101回報類型 102

冷啟系統社群社群執行組態通訊管理

SNMP 回100，200，300，400，500，允許

SSH 15–PKAPKAPKA主機自動伺服密碼強制連接會話載入載入載入驗證

SSL 7管理

SSL 詢問請參

SSLHP 7syslog 7

主機主機加密安全

索引

IX-II

的欠載 132位址轉譯 (NAT) 134網路控制訊息通訊協定 (ICMP) 130, 133132點通道通訊協定 (PPTP) 133體 132面閱 CLI廠預設值 55

3535

91pactFlash (PCMCIA) 74P 74, 101g 74, 97Trends 74, 9974台 74記錄 87記錄 75修復記錄 91郵件 74

Trends 997575757575的 757575

閱 DIP

理員 5451

到 NSM 31


訊息 97設備 98, 111, 122連接埠 98, 111, 122

TTCP

proxy 135Telnet 13, 36Transparent 模式

管理選項 37

VVLAN1

管理選項 37VPN

手動金鑰 58, 108用於管理式通訊流量 107自動金鑰 IKE 58, 108

WWeb 使用者介面

請參閱 WebUIWeb 瀏覽器需求 3WebTrends 74, 99

加密 99, 107訊息 99

WebUI 3, 37, 38慣例 vii說明檔案 4

四畫介面

可管理的 41管理選項 36

內部快閃記憶體 74手動金鑰

VPN 58, 108父級連接 134

五畫主控台 74

六畫同步

組態 33組態雜湊擷取 34檢視狀態 33

名稱慣例 x

字元類型，ScreenOS 支援的 x安全 Shell

請參閱 SSH安全性關聯 (SA) 135安全副本

請參閱 SCP安全通訊端階層

請參閱 SSL自我記錄 87自動金鑰 IKE VPN 58, 108

七畫位元資料流 131作業系統 13序列纜線 25

八畫事件記錄 75使用者

多重管理使用者 44來源路由 135非主動 SA 135

九畫封包 135

IPSec 134land 攻擊 134不可路由 135片段 135向內 132收到的 131, 132, 133, 135位址欺騙式攻擊 133卸除的 134, 135拒絕的 135無法接收的 132

傳輸網路網際衝突點對

後備記憶指令行介

請參重設為出

十畫時戳組態時戳擷取記錄 74–

ComSNMsysloWeb內部主控自我事件資源電子

訊息Web除錯通知資訊緊急錯誤關鍵警告警訊

十一畫動態 IP

請參密碼

根管遺忘

統計資訊報告

組態設定

索引

IX-III

轉譯 (NAT) 1344

接埠 26

路由 135

道通訊協定 (PPTP) 133

求 3

流量 92–96到 NSM 31郵件警訊 92值 92

畫以上列 25


組態雜湊 34檢視組態狀態 33擷取時戳 35瀏覽器需求 3

通訊協定分發報告到 NSM 31

通訊流量警示 92–96

連接埠數據機 26

十二畫插圖

慣例 ix登入

Telnet 14根管理員 57

短缺錯誤 132虛擬私人網路

請參閱 VPN虛擬系統

唯讀管理員 45管理員 45

超文字傳輸通訊協定請參閱 HTTP

十三畫會話 ID 5資源修復記錄 91電子郵件警訊通知 96, 99

十四畫慣例

CLI viWebUI vii名稱 x插圖 ix

管理CLI ( 指令行介面 ) 13WebUI 3限制 56, 57

管理 IP 41管理方法

CLI 13SSL 7Telnet 13WebUI 3主控台 25

管理用戶端 IP 位址 56管理式通訊流量 37管理資訊庫 II

請參閱 MIB II管理選項 36

NSM 36ping 36SNMP 36SSH 36SSL 36Telnet 36Transparent 模式 37WebUI 36可管理的 41

網路位址說明檔案

十五畫數據機連

十六畫篩選來源

十七畫點對點通

十八畫瀏覽器需

二十畫警示

通訊報告電子臨界

二十五纜線，序

索引

IX-IV

netscreen 概念與範例：第 3 卷，管理 - cafe horizon · netscreen-remote vpn client,...

Documents