可管理性问题

当我们试图使用它来管理SRX 5800时，我们与网络和安全经理的困境开始。在Opus一个实验室中使用NSM的八年经验，我们期待着Junos和Screenos管理的统一。我们开始更改IP地址，这是一个常见的任务。对于ScreenOS系统，这需要三次单击：两次单击以查看摘要接口和IP地址，以及第三个开始编辑。

当我们试图使用它来管理SRX 5800时，我们与网络和安全经理的困境开始。在Opus一个实验室中使用NSM的八年经验，我们期待着Junos和Screenos管理的统一。我们开始更改IP地址，这是一个常见的任务。对于ScreenOS系统，这需要三次单击：两次单击以查看摘要接口和IP地址，以及第三个开始编辑。

SRX 5800并不那么简单。不可能将某些内容简单作为接口列表及其IP地址。您必须找到物理接口，然后单击一系列子菜单，以了解IP地址是什么 - 其中九。如果您知道IP地址，但不能记得它连接的哪个端口，您可能会放弃并使用命令行来弄清楚，因为NSM会让您单击八个级别的菜单，只需查看每个IP地址。

NSM在其中Excel处于安全策略定义的位置。我们被解除了解用于创建和编辑策略的正常NSM工具可以应用于SRX 5800 - 这是，直到我们尝试打开网络地址转换（NAT）。现在，您可以在安全策略中打开NAT，并使用NSM推送该策略，但它实际上并没有在防火墙上执行任何操作。没有错误消息，没有警告，也没有nat。当我们开始执行数据包转储时，我们只发现NAT无法工作，以调试不同的问题。

SRX 5800确实支持NAT，但您必须返回九级深度配置。这种经验与手动戳了SNMP管理的交换机，当然，随着容易出错，难以记录。我们最终使用了瞻博勒工程师提供的快捷方式，将NAT配置置于使用JUNOS命令行，然后将设备重新导入NSM。

然后，我们尝试创建一个入侵预防系统（IPS）策略，并遇到NSM中的另一个问题：不一致的数据库。我们选择了瞻博网络的“推荐”的安全策略，并试图将其推到SRX 5800.立即，NSM抛出错误 - SRX 5800具有比NSM思想不同的策略元素集。我们不得不通过手工通过策略来重新制作它，以便未选择SRX 5800中缺少的签名以获得干净的策略下载。

当我们想知道IPS工作的程度时，NSM的棺材中的最终指甲，至少是这个版本。在正常的屏幕部署中，有一个精美的工作流程，其向NSM控制台供给IP中的回馈信息。这使得安全管理器会看到IPS如何执行，然后立即轻松地进行策略更改。使用SRX 5800，此工作流程已破坏：无法将安全警报发送到NSM。

相反，Juniper告诉我们，我们应该向Syslog服务器发送安全警报（没有任何可怜的凡人可以在NSM中配置的东西）。我们发现答案是不可接受的：当警报发送到NSM以外的Syslog服务器时，工作流程进程被打破，并管理IPS策略并解释其结果成为一个不可能的任务。必须与NSM协调集中记录，尤其是在入侵防护领域。在过去，我们为NSM带来了IPS部署的价值，我们赞扬了瞻博。使用SRX 5800，瞻博网络在IPS管理中落后跳跃。

返回主考试