日常维护管理：

日常维护工作主要涉及设备及VPN状态监控、策略调整及日志查看与分析。设备监控通过device manager进行，能够集中查看各安全设备及NSRP运行状态。

需要提醒一点的是：每个设备或NSRP Cluster组在security manager中同时仅对应一个policy配置文件，但是security manager中一个设备或Cluster可能会存在多个policy配置文件，可以通过device manager来查看并调整每个设备唯一对应的policy配置文件，这样才能确保该policy配置文件与防火墙policy正确对应，如果两方共有的policy id不能匹配，易在update过程中造成防火墙policy的误删除。

策略调整是安全维护人员日常遇到最多的维护内容，可以通过policy manager界面直观地调整策略，策略修改后通过Update方式导入到安全设备中去，在设备导入前需检查安全设备与NSM是否保持状态同步，如果状态不同步，则需先Import安全设备的配置信息，然后再进行到安全设备配置信息的Update，在Update前可执行NSM与防火墙配置信息的校验，检查两者当前在配置信息上存在的区别，进而确认NSM所做的配置调整是否存在冲突。

如上图所示，在安全设备与NSM进行同步后，防火墙中的Policy ID将与NSM policy ID对应，而NSM traffic log中的rule ID将与NSM policy的NO ID对应，如果希望NSM的traffic log rule id与防火墙的policy id对应的话，则需调整NSM policy NO 与policy id保持一一对应。下图是traffic log信息:

  日常维护工作中部分维护人员可能因不熟悉NSM软件而对NSM的操作可靠性产生疑虑，他们往往直接在防火墙上做配置变更，而仅在NSM上进行状态监控和日志分析，这样通常会造成防火墙与NSM状态不同步，在NSM上看到不正确的信息，如设备运行异常及根据日志信息无法匹配防火墙的policy。NSM软件经过多版本的改进和大量用户具体环境的检验，软件已经非常成熟和稳定，极少存在严重的BUG，值得维护人员去学习和使用。

  另外，NSM提供了很好的配置管理功能，能够为防火墙的配置提供完整备注信息，当设备配置出现异常时能提供详细的变更记录，便于事件追踪和故障排查。

NSM还有很多非常优异的维护和监控功能，在此不做一一介绍，有兴趣的朋友可以到下面的网址去下载NSM的管理维护文档：http://www.juniper.net/techpubs/software/management/security-manager/

附：

NSM安全设备支持

操作系统支持

NSM（GUI and Device Server）:

Solaris 8、 Solaris 9、 Red Hat Enterprise Linux 3.0、Red Hat Enterprise Linux 4.0。

GUI Client：

Microsoft Windows 2000、Windows NT、Windows XP, Red Hat Enterprise Linux 3.0,Red Hat Enterprise Linux 4.0。

文章转载地址：http://www.hacker.cn/News/Support/2006-8/10/0681017030481106.shtml