JuniperSA基本配置手册.docx
《JuniperSA基本配置手册.docx》由会员分享,可在线阅读,更多相关《JuniperSA基本配置手册.docx(16页珍藏版)》请在冰豆网上搜索。
JuniperSA基本配置手册
JuniperSA基本配置手册
联强国际-李铭
2009年10月
第一章JuniperSA配置步骤、名词解释..............................................................................2
第二章初始化、基本配置.......................................................................................................4
2.1Console下进行初始化配置.........................................................................................4
2.2Web中管理员身份登录...............................................................................................6
2.3基本配置.......................................................................................................................7第三章认证服务器的配置(Auth.Server).............................................................................11第四章用户角色的配置(Role)..............................................................................................13第五章用户区域的配置(Realm)...........................................................................................16第六章资源访问策略的配置(resourcepolicy)..................................................................19第七章用户登陆的配置(signinpolicy)...........................................................................23第八章SAM的应用与配置....................................................................................................26
8.1功能SAM介绍:
........................................................................................................26
8.2WSAM-ClientApplications应用范例......................................................................26
8.3WSAMDestinations应用范例................................................................................31
8.4JSAM应用范例..........................................................................................................34
8.5SAM的选项................................................................................................................38
第九章NC的应用与配置.......................................................................................................40
9.1NC功能介绍.....................................................................................................................40
9.2NC功能应用范例.............................................................................................................40
................................................................................................................................................40
第十章端点安全(EndpointSecurity)配置(可选)...........................................................44
10.1端点安全的介绍.............................................................................................................44
10.2HostChecker的使用(ESAPPackage)的安装...........................................................45
第一章JuniperSA配置步骤、名词解释
RADIUS、LDAP、LocalAuthentication:
认证服务器的类型AuthServer:
认证服务器(具体员工)Realm:
用户区域=用户群(如:
人事部门、财务部门、公司老总)Role:
用户角色=资源组(如:
财务资源、销售资源)
上图中的对应关系可以清晰的看到从用户到资源的映射过程,在各个元素映射的过程中,可以是一对多的映射。
所以JuniperSA产品可以面对更为复杂的企业网络应用环境。
配置JuniperSA的步骤:
1、初始化、基本配置
z网络地址信息、时间、升级、License
2、认证服务器的配置(Auth.Server)
z配置用户要使用的认证服务器(本地的或者第三方的)
z可以多个认证服务器
3、用户角色的配置(Role)
z具有相同资源访问权限的同一组用户
z权限分配的基础,所有的访问控制策略都是基于ROLE
4、用户区域的配置(Realm)
z使用相同的认证服务器的同一组用户
z该组用户根据访问资源权限的不同,与不同的ROLE进行映射
5、资源访问策略的配置(resourcepolicy)
z对于目标资源的访问控制,如WEB服务器,文件服务器等
z针对于ROLE的访问权限控制(某个ROLE有何种访问权限)
6、用户登陆的配置(signinpolicy)
z定制用户登陆界面(提供缺省界面)
z默认用户登陆URL(缺省为*/)
z默认管理员登陆URL(缺省为*/admin)
7、用户的安全性检查(EndpointSecurity)(可选)
z定制HOSTCHECK策略
z定制CACHECLEANER策略
z定制SecureVirtualWorkspace策略
第二章初始化、基本配置
设备出厂时无IP地址、密码、License,需要连接Console进行初始配置。
2.1Console下进行初始化配置初始开机信息如下:
Welcometotheinitialconfigurationofyourserver!
NOTE:
Press'y'ifthisisastand-aloneserverorthefirstmachineinaclusteredconfiguration.
Ifthisisgoingtobeamemberofanalreadyrunningcluster
pressntoreboot.Whenyouseethe'HitTABforclusteringoptions'messagepressTABandfollowthedirections.
Wouldyouliketoproceed(y/n)?
:
y
NotethatcontinuingsignifiesthatyouacceptthetermsoftheJuniperlicenseagreement.Type"r"toreadthelicenseagreement(thetextisalsoavailableatanytimefromtheLicensetabintheAdministratorConsole).
Doyouagreetothetermsofthelicenseagreement(y/n/r)?
:
y
输入网络地址信息:
Pleaseprovideethernetconfigurationinformation
IPaddress:
10.104.2.10
Networkmask:
255.255.255.0
Defaultgateway:
10.104.2.254
PleaseprovideDNSnameserverinformation:
PrimaryDNSserver:
10.104.1.183
Secondary(optional):
10.104.1.182
DNSdomain(s):
PleaseprovideMicrosoftWINSserverinformation:
WINSserver(optional):
10.104.1.251
确认输入的网络地址信息:
Pleaseconfirmthefollowingsetup:
IPaddress:
10.104.2.10
Networkmask:
255.255.255.0
GatewayIP:
10.104.2.254
Linkspeed:
Auto
PrimaryDNSserver:
10.104.1.183
SecondaryDNS:
10.104.1.182
DNSdomain(s):
WINSserver:
10.104.1.251
Correct?
(y/n):
y
Initialnetworkconfigurationcomplete.
输入Admin管理员账号、密码:
InternalNIC:
.........................................................[Downcode=0x1]Pleasecreateanadministratorusernameandpassword.
Adminusername:
admin(可自定义)
Password:
(此处输入密码不会显示)
Confirmpassword:
Theadministratorwassuccessfullycreated.
输入域名、组织名信息:
Pleaseprovideinformationtocreateaself-signedWebserverdigitalcertificate.
Commonname(example:
):
Organizationname(example:
CompanyInc.):
synnex
输入任意字符生成自签名证书:
Pleaseentersomerandomcharacterstoaugmentthesystem's
randomkeygenerator.Werecommendthatyouenterapproximatelythirtycharacters.
Randomtext(hitenterwhendone):
jklfjwwl&^%^&*(09897655RTY&&TYGu8yuhu
Creatingself-signeddigitalcertificate...
Theself-signeddigitalcertificatewassuccessfullycreated.
初始配置完成:
Congratulations!
Youhavesuccessfullycompletedtheinitialsetupofyourserver.
Toadministerthesystem,pleasebrowsetoanappropriateURL:
https:
///admin(notethe's'inhttp
Example:
https:
//10.10.22.34/admin-----举例:
管理员登陆地址
IfaDNSnamealreadyexistsforthisIVE,youcanalsouse:
https:
///admin
Example:
-----------------------------------Systemisnowready.
PressEntertomodifysystemsettings.
Console菜单:
WelcometotheJuniperNetworksIVESerialConsole!
Currentversion:
5.1R2(build9029)-----设备初始版本(恢复出厂后的版本)
Resetversion:
5.1R2(build9029)
LicensingHardwareID:
0152MMY3N0MY5XXX
Pleasechoosefromamongthefollowingoptions:
1.NetworkSettingsandTools-----网络设定
2.Createadminusernameandpassword-----新建管理员帐户
3.Displaylog-----显示日志(用于Debug)
4.SystemOperations-----系统选项包含恢复出厂、删除配置、重启等操作
5.Togglepasswordprotectionfortheconsole(Off)-----为Console连接设置密码(不推荐)
6.CreateaSuperAdminsession.-----用于找回丢失的Admin密码
7.SystemSnaphot-----系统快照(用于Debug)
Choice:
1
2.2Web中管理员身份登录浏览器打开https:
//10.104.2.10/admin
hJMorJjper.
Welcometothe
SecureAccessSSLVPN
UsernamePleasesignintobeginyoursecuresession.
Password
ISignInI
Note:
Thisisthe
AdministratorSign-Inpage.
Ifyoudon'twanttosigninasanAdministratorreturntothegtandardSian-InPaae.
tps.11219.238.Z133inh!
l'lic.e.e:
"sψipt-
lr;a..
<1.
;0
....:
..c:
iveJsers
no
O/rrlto'lro
iELII=y:
;tcrrS:
.ttrcPlaon:
6.R(bu1:
HS7)itodwnlod(UIt
Q'Rh1n
Cdp?
nCe(U'?
Y?
v:
;tcrrD:
.tc.:
.rdTlm
200J-0:
-201:
C8:
lSM)!
4
?
d?
n
?
d?
n.ole
LserF.oles
s
'"'
J-
\unbcrq'cd'lnυcr:
-"g9Dis<:
0ft-l
I"...n:
:
:
rtn"..IIUVI
r'cht'"'('I=>rI...-υ"Inr.ololl'uJ'pe=>r
Junlptf
2.3
2.3.1
2.3.2升级版本
官方建议版本:
2.3.3添加License
无License则无法进行使用
:
;(
第三章认证服务器的配置(Auth.Server)
JuniperSA支持以下认证服务器类型:
下面的例子中我们会用到LocalAuthentication本地认证服务器
点击User添加帐户
第四章用户角色的配置(Role)
点选NewUserRole…新建Roles,名称为Demo-Role
名字可以为中文
在Demo-Role中,我们可以开启相应的资源功能。
General选择该角色可以使用哪些资源服务,勾选即可VLAN/SourceIP
VLAN信息Sessionoption超时选项,COOKIE的相关选项UIoption用户成功登陆后的界面设置Restriction
用户登陆,获得该角色的其他条件:
如果不符合,则不能获取该ROLE的权限
SourceIP用户发起连接时,限制用户的源IPBrowser限制用户的浏览器类型
Certificate限制用户浏览器中的证书(配合USBKEY)
HostChecker主机检查程序
CacheCleaner缓存清理程序
第五章用户区域的配置(Realm)
点选NewUserRealm…建立JuniperSA演示区域
1、名字可以是中文
2、在Authentication处点选认证服务器DemoUser
3、点选RoleMapping映射Role此步骤非常关键,即实现Role与Realm的对应。
新建映射
Rule:
Ifusername...:
分为is和isnot,填写*即为所有用户
...thenassigntheseroles:
选择映射的Role
Stopprocessingruleswhenthisrulematches:
匹配后立即停止(Realm可以映射多个Role,在新建的映射条目中,按照从上到下的匹配方式进行)
如图:
第六章资源访问策略的配置(resourcepolicy)
本例中我们将建立WEB资源。
SAM、NC等配置方法,会单独介绍。
Web资源的添加:
新建资源http:
//10.101.1.99
Autopolicy:
WebAccessControlWeb资源选项(必选)
Autopolicy:
SingleSign-on单点登录选项(可选)Autopolicy:
Caching缓存选项(可选)Autopolicy:
JavaAccessControlJava插件控制选项(可选)Autopolicy:
RewritingOptions重写选项(可选)Autopolicy:
WebCompressionWebGzip压缩选项(可选)
SaveandContinue!
点击进入‘联强国际内部系统’
对标签进行编辑
Save即可完成!
第七章用户登陆的配置(signinpolicy)
图中:
*/admin/为管理员默认登陆入口
*/为用户默认登录入口
*/liming为新建登陆入口
本例中我们将不同的Realms加入到*/这个登录入口点击*/进行编辑,将所需的Realms
Usertypestherealmname用户登陆时需要手动输入Realm的名称
Userpicksfromalistofauthenticationrealms采用下拉菜单方式显示Realm名称(建议)
至此,Web资源添加的配置完成。
用户登录,浏览器中打开https:
//10.104.2.10
下拉菜单中可以看到我们添加的Realm名称
JuniperSA演示
登陆后可以看到所添加的资源,其中“联强国际内部系统”为刚刚添加的web资源
第八章SAM的应用与配置
8.1功能SAM介绍:
SAM(SecureApplicationManager),主要支持C/S结构的应用。
从系统上分为WSAM(WindowsSAM)和JSAM(JavaSAM)。
其中,WSAM又分为ClientApplications和WSAMDestinations两种应用。
该功能会为用户分发相关插件,但不会为用户分配IP地址。
适合于IP网段重复(客户端与目标服务端网络相同)的用户所使用。
1、WSAM:
Windows操作系统支持的SAM应用,用户在使用JuniperSA时,会从页面手动(或自动)下载WSAM插件。
ClientApplications:
基于用户开启的应用程序,使该应用程序产生的流量通过VPN接入内网。
如:
允许用户开启的foxmail.exe接收内部服务器邮件、允许用户开启的ERP.exe接入内部ERP系统。
WSAMDestinations:
基于用户访问的目的地址,使该流量通过VPN接入内网。
如:
用户访问10.1时,流量通过VPN接入
升级会员 