Juniper_SA配置手冊(cè).doc

Juniper Netscreen SSL VPN 配置手冊(cè) 2005.5目 錄一、初始化設(shè)置21.1、通過Console連接SSL VPN21.2、填寫初始化信息31.3、使用瀏覽器連接SSL VPN5二、SSL VPN基本設(shè)置52.1、網(wǎng)絡(luò)接口設(shè)置52.2、設(shè)置SSL VPN的License62.3、添加用戶認(rèn)證服務(wù)器72.4、添加認(rèn)證用戶92.5、添加SSL VPN的認(rèn)證域11三、角色映射和功能模塊123.1、添加角色123.2、角色映射143.3、功能模塊16四、使用SSL VPN的各個(gè)功能模塊174.1、使用Core功能模塊184.2、使用SAM功能模塊194.3、使用Network Connect模塊23五、資源訪問控制255.1、Core和SAM的資源訪問控制265.2、SAM和NC的資源訪問控制27六、設(shè)備管理286.1、系統(tǒng)概覽286.2、日志系統(tǒng)286.3、系統(tǒng)升級(jí)306.4、設(shè)備排除31一、初始化設(shè)置1.1、通過Console連接SSL VPNSSL VPN的初始化是通過設(shè)備的Console端口完成的，Console的設(shè)置如下：9600,8,N,1。在管理員的計(jì)算機(jī)上使用任意終端軟件，包括HyperTerminal，Crt，SecureCrt等等都行。把設(shè)備的Console線連接至SSL VPN的Console端口，開啟電源開關(guān)，通過終端軟件就能觀察到設(shè)備啟動(dòng)自檢的過程。1.2、填寫初始化信息當(dāng)系統(tǒng)自檢到如下信息時(shí)：Welcome to the initial configuration of your server!NOTE: Press y if this is a stand-alone server or the first machine in a clustered configuration.If this is going to be a member of an already running clusterpress n to reboot. When you see the Hit TAB for clustering optionsmessage press TAB and follow the directions.Would you like to proceed (y/n)?: y（選擇Y）Note that continuing signifies that you accept the termsof the Neoteris license agreement. Type r to read thelicense agreement (the text is also available at any timefrom the License tab in the Administrator Console).Do you agree to the terms of the license agreement (y/n/r)?: y（選擇Y）初始化網(wǎng)絡(luò)信息：Please provide ethernet configuration information IP address: 90 Network mask: Default gateway: 54（填入用戶需要的IP地址，掩碼和網(wǎng)關(guān)等信息。注意：所有網(wǎng)絡(luò)信息都會(huì)設(shè)置到SSL VPN的 Internal Interface上）Link speed Auto: 0) Auto 1) 1000 Mb/s, Full Duplex 2) 1000 Mb/s, Half Duplex 3) 100 Mb/s, Full Duplex 4) 100 Mb/s, Half Duplex 5) 10 Mb/s, Full Duplex 6) 10 Mb/s, Half DuplexSelect 0-6: 0（選擇用戶需要的速率）Please provide DNS nameserver information: Primary DNS server: 0 Secondary (optional): （填入用戶需要的DNS地址，可以是內(nèi)部的DNS服務(wù)器的IP地址）DNS domain(s): （填入用戶需要的域名，無(wú)特別限制）Please provide Microsoft WINS server information: WINS server (optional): 確認(rèn)初始化信息：Please confirm the following setup: IP address: 90 Network mask: Gateway IP: 54 Link speed: Auto Primary DNS server: 0 Secondary DNS: DNS domain(s): WINS server: Correct? (y/n): y（確認(rèn)無(wú)誤后，選擇Y）初始化安全信息：Admin username: adminPassword: Confirm password: The administrator was successfully created.（填入用戶設(shè)定的管理員帳號(hào)和密碼）設(shè)置SSL VPN自簽證書：Please provide information to create a self-signed Web server digital certificate. Common name (example: ): Organization name (example: Company Inc.): juniper（這個(gè)部分輸入用戶的證書信息，無(wú)特殊限制）Please enter some random characters to augment the systems random key generator. We recommend that you enter approximatelythirty characters.Random text (hit enter when done): dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646（這個(gè)部分輸入30個(gè)左右的字符以產(chǎn)生證書）Creating self-signed digital certificate.The self-signed digital certificate was successfully created.Congratulations! You have successfully completed the initial set up of your server.（當(dāng)您看到這句話時(shí)證明你已經(jīng)成功的初始化SSL VPN了）https:/admin (note the s in https:/)Example: 4/admin（按照上述的提示，管理員可以通過URL 90/admin來管理設(shè)備啦）1.3、使用瀏覽器連接SSL VPN如下圖：在這個(gè)Web頁(yè)面中填入剛剛建好的管理員帳號(hào)和密碼就可以登陸到SSL VPN進(jìn)行管理啦，至此SSL VPN初始化過程完畢。二、SSL VPN基本設(shè)置2.1、網(wǎng)絡(luò)接口設(shè)置在初始化過程中我們?cè)O(shè)置了SSL VPN的Internal Interface，接下來我們?cè)O(shè)置External Interface。在瀏覽器上點(diǎn)擊“Network-External Port-Setting”得到下圖：在上圖中，填入相應(yīng)的External Port設(shè)置，即完成了SSL VPN的網(wǎng)絡(luò)初始設(shè)置。2.2、設(shè)置SSL VPN的LicenseSSL VPN要正常工作，必須要有合適的License，所以給SSL VPN添加License是必不可少的。在瀏覽器上點(diǎn)擊“Configuration-Licensing”得到下圖：如上圖所示，此設(shè)備擁有的是一個(gè)臨時(shí)License，包括了1000并發(fā)用戶數(shù)和4 周的試用期限等。在添加License過程中，只需要在Company Name和License Key兩個(gè)空欄中填入相關(guān)信息即可。2.3、添加用戶認(rèn)證服務(wù)器在配置完SSL VPN網(wǎng)絡(luò)信息和License之后，就可以正常的使用SSL VPN了。為了讓用戶能夠順利的登入企業(yè)網(wǎng)，必須給用戶進(jìn)行身份認(rèn)證。在身份認(rèn)證的過程中，管理員可以選擇使用SSL VPN內(nèi)部的自建帳號(hào)認(rèn)證用戶，也可以結(jié)合企業(yè)內(nèi)部的認(rèn)證服務(wù)器進(jìn)行認(rèn)證。對(duì)于選擇不同的認(rèn)證服務(wù)器的帳號(hào)，他們將會(huì)屬于不同的SSL VPN認(rèn)證域。例如，我們可以利用一個(gè)SSL VPN自建的認(rèn)證服務(wù)器，認(rèn)證合作伙伴和分支機(jī)構(gòu)的用戶；利用內(nèi)部的LDAP服務(wù)器認(rèn)證總部本地的員工。在瀏覽器上點(diǎn)擊“Signing-Authentication/Authorization”得到下圖在這個(gè)頁(yè)面中，管理員將看到兩個(gè)內(nèi)置的認(rèn)證服務(wù)器，Administrators和System Local。其中Administrator是添加SSL VPN管理員帳號(hào)的，而System Local是SSL VPN內(nèi)建的一個(gè)普通用戶的認(rèn)證服務(wù)器。這是如果我們想添加一個(gè)新認(rèn)證服務(wù)器及認(rèn)證域時(shí)，點(diǎn)擊頁(yè)面上的“New Server”，并在New的選欄中選擇“IVE Authentication”得到下圖：在該頁(yè)面上的Name中輸入認(rèn)證服務(wù)器的名字（本例中是：IveLocal）等用戶需要填入和勾選的其他選項(xiàng)，最后點(diǎn)擊Save Changes即完成新加一個(gè)認(rèn)證服務(wù)器的設(shè)置了。2.4、添加認(rèn)證用戶在2.3的圖中選擇Users，即可進(jìn)入到新建認(rèn)證服務(wù)器的用戶添加頁(yè)面，如下圖：點(diǎn)擊New，即可加入在新建的認(rèn)證服務(wù)器（本例的認(rèn)證服務(wù)器是IveLocal）中添加一個(gè)用戶,如下圖：添加用戶名和密碼后，認(rèn)證服務(wù)器Ivelocal就可以對(duì)這個(gè)新建用戶進(jìn)行身份的認(rèn)證了。2.5、添加SSL VPN的認(rèn)證域每一個(gè)不同的認(rèn)證服務(wù)器都可以有自己一套的用戶數(shù)據(jù)庫(kù)，無(wú)論使用的是SSL VPN內(nèi)置機(jī)制建立的用戶帳號(hào)數(shù)據(jù)庫(kù)，還是使用集成企業(yè)內(nèi)網(wǎng)的目錄數(shù)據(jù)庫(kù)，為了使認(rèn)證機(jī)制更加合理和條理化，避免出現(xiàn)帳號(hào)重復(fù)和認(rèn)證混亂的局面，Juniper SSL VPN引入了認(rèn)證域的功能，在SSL VPN上把不同的認(rèn)證服務(wù)器加入到不同的域，來認(rèn)證不同域上的用戶，同時(shí)也方便用戶了解自己登陸時(shí)應(yīng)該選擇哪一個(gè)認(rèn)證域和哪一個(gè)認(rèn)證帳號(hào)。點(diǎn)擊“Authentication”，得到下圖：點(diǎn)擊“new”，得到下圖：在“Name”中，填入用戶希望填入的認(rèn)證域名。在“Authentication”中，選擇使用認(rèn)證服務(wù)器Ivelocal來認(rèn)證用戶，最后點(diǎn)擊“Save Changes”即完成了認(rèn)證域的添加。至此，Juniper SSL VPN的基本配置，包括添加License和身份認(rèn)證等設(shè)置都已完畢。三、角色映射和功能模塊3.1、添加角色在用戶通過SSL VPN的身份認(rèn)驗(yàn)證之后，需要給用戶分配角色，這個(gè)角色是在SSL VPN中設(shè)置的，并且這個(gè)角色決定了用戶能夠在企業(yè)內(nèi)網(wǎng)中享有什么樣的權(quán)限和能訪問什么樣的資源。點(diǎn)擊，SSL VPN管理界面左欄的Roles，如下圖：得到下圖：點(diǎn)擊New Role添加一個(gè)角色：3.2、角色映射在添加完角色后，就需要進(jìn)行角色映射的工作，因?yàn)槿魏我粋€(gè)用戶在身份認(rèn)證之后，必須要把他映射成為SSL VPN中的一個(gè)角色，這樣他才能擁有這個(gè)角色所能使用SSL VPN的功能模塊和這個(gè)角色所能訪問企業(yè)內(nèi)網(wǎng)資源的權(quán)利。以O(shè)ffice-Realm中的用戶為例，點(diǎn)擊Authentication-Office-Realm-Role Mapping，得到下圖:選擇New Rule在“is”的下拉菜單右邊文本框中填入相應(yīng)的用戶名字，可以是某一具體的用戶名，也可以用通配符表示用戶名，例如：“*”表示人任何用戶。在“Available Roles：”下的文本框中，選擇相應(yīng)的角色，分配給這個(gè)用戶。例如如果我要把所有用戶都分配給Users這個(gè)角色，則需要在”IS”下拉菜單右邊的文本框中填入“*”，在“Available Roles”中選擇“Users”加入到“Selected Roles”中即可。 這樣一個(gè)用戶的角色映射就完成啦。3.3、功能模塊Juniper SSL VPN上有三個(gè)功能模塊，一個(gè)是基于Web功能和文件共享的Core模塊，一個(gè)是保證C/S結(jié)構(gòu)應(yīng)用（例如：Lotus,Exchange,ERP等）SAM模塊和最后一個(gè)全三層網(wǎng)絡(luò)連接的NC模塊。根據(jù)設(shè)備的License，每一臺(tái)設(shè)備所具有的功能模塊是不一樣的，對(duì)于SSL VPN 1000，3000和5000系列，其中的Core功能模塊是標(biāo)配的，其他功能模塊是單獨(dú)購(gòu)買的，而對(duì)于SSL VPN RA500系列它只具有NC的功能模塊，其他功能模塊需要單獨(dú)購(gòu)買。即便是一臺(tái)設(shè)備具有了上述全部的功能模塊，但是對(duì)于不同的角色，他能夠使用SSL VPN的功能模塊是不一樣的。如下圖，在我們建立一個(gè)角色時(shí)，可以選擇他能夠使用什么樣的功能模塊，比如說有的角色只能使用Web和Files共享，有的角色還可以使用Secure Application Manager的功能。在圖中一共有四個(gè)SSL VPN建立的角色，All Emplyees，Excutives，Office-roles，和Users，但是從圖中看出，每個(gè)角色所有擁有的SSL VPN功能模塊是不一樣的，比如Users角色只有Core和SAM的功能模塊，而Office-Roles卻有全部Core，SAM和NC的功能模塊。這樣大大的增強(qiáng)了角色的靈活性和安全性。四、使用SSL VPN的各個(gè)功能模塊所有SSL VPN用戶在訪問內(nèi)網(wǎng)資源時(shí)，例如：內(nèi)部Web服務(wù)器，內(nèi)部Web Mail，內(nèi)部的Loutes系統(tǒng)或是內(nèi)部的ERP系統(tǒng)及一些網(wǎng)管系統(tǒng)，都是通過SSL VPN的三個(gè)功能模塊來實(shí)現(xiàn)的。4.1、使用Core功能模塊點(diǎn)擊SSL VPN管理界面左部的RolesAll Employees-Web，得到下圖:點(diǎn)擊New BookMark，得到下圖：在”Name”中填入自己想要的名字，如果說是公司內(nèi)部網(wǎng)站，可以寫”Corp Web”登，在”Description”中填入相關(guān)的描述，在”URL”中填入公司網(wǎng)站的IP地址或是主機(jī)域名。點(diǎn)選”Auto-allow Bookmark”和”Everything under this Url”,點(diǎn)擊Save Changes這樣就添加了一個(gè)內(nèi)部資源的訪問條目。對(duì)于Core模塊的另一個(gè)Files共享功能的實(shí)現(xiàn)原理基本和添加Web BookMark一樣，請(qǐng)參考上述Web功能的設(shè)置步驟。4.2、使用SAM功能模塊對(duì)于擁有自己開發(fā)的基于C/S結(jié)構(gòu)的應(yīng)用如ERP系統(tǒng)或是Lotus的客戶來說，如果希望通過SSL VPN來訪問后端的C/S 應(yīng)用，則需要使用到SAM功能模塊。SAM模塊有2種，一種是適用于Windows版本的SAM模塊，一種是適用于Unix系統(tǒng)的SAM模塊。點(diǎn)擊“RolesAll Employees-SAM”，得到下圖，點(diǎn)擊Add Application，得到下圖，在Name中，填寫應(yīng)用程序的名字，如：Lotus等，如果需要有描述的話在Description中加入描述。如果客戶的應(yīng)用程序是自己開發(fā)的選擇Custom application ,在Filename中填入客戶端執(zhí)行程序的名字，如果有必要，在Path后加入路徑，點(diǎn)擊Save application,即完成了一個(gè)Sam條目的配置。如果客戶的應(yīng)用程序是標(biāo)準(zhǔn)的商業(yè)軟件，如Lotus等，請(qǐng)選擇Standard application，如下圖：在Application框中選擇，標(biāo)準(zhǔn)的程序后，點(diǎn)擊Save Application即可。如果公司內(nèi)網(wǎng)的某臺(tái)服務(wù)上有多個(gè)C/S應(yīng)用在運(yùn)行，為了方便管理員，SSL VPN允許添加一個(gè)Application Server，所有去往這個(gè)Server的請(qǐng)求都將被SSL VPN截獲并處理，而不用在SAM中建立太多的客戶端應(yīng)用程序的條目（Application）。點(diǎn)擊“RolesAll Employees-SAM”，得到下圖，點(diǎn)擊Add Server。，得到下圖，在Name中填入服務(wù)器的名字，在Server中填入IP地址或是域名。點(diǎn)擊Save Changes完成配置。4.3、使用Network Connect模塊對(duì)于一些專業(yè)的技術(shù)人員，如果要使用UDP的協(xié)議，如SNMP等或是需要用到Server Initialization Protocol的應(yīng)用時(shí)，這時(shí)候就需要SSL VPN的NC模塊了。點(diǎn)擊“RolesAll Employees-Network Connect”，得到下圖：當(dāng)希望客戶在通過SSL VPN的NC模塊登陸企業(yè)內(nèi)網(wǎng)后，還能夠讓用戶繼續(xù)訪問Internet，請(qǐng)選擇Enable Split Tunneling。點(diǎn)擊“Resources PoliceNetwork Connect-NC Connection Profile”,得到下圖：點(diǎn)擊New Profile.,得到下圖：在Name中填入，NC分配的地址池名稱，在IP Address Pool中填入NC使用的IP地址池，選擇是否給使用NC的用戶設(shè)置代理服務(wù)器，是否為這些用戶設(shè)置內(nèi)部DNS，以及調(diào)整這些用戶的DNS查詢次序，選擇這條Policy適用那個(gè)角色。點(diǎn)擊Save Changes，完成NC的設(shè)置注意：如果一個(gè)角色既有Core，SAM的功能模塊，又有NC的功能模塊，這幾個(gè)的功能模塊的執(zhí)行優(yōu)先次序是CoreSAMNC,也就是說如果有一個(gè)用戶登入SSL VPN后使用了NC模塊，但是他發(fā)現(xiàn)自己訪問內(nèi)網(wǎng)的Web服務(wù)器時(shí)，依舊使用的是Core模塊，這不用覺得奇怪。五、資源訪問控制SSL VPN和傳統(tǒng)的IPSec VPN最大的區(qū)別之一，就是SSL VPN擁有應(yīng)用層的資源訪問控制，也就是說當(dāng)一個(gè)用戶登入SSL VPN之后，他不能象IPSec VPN用戶那樣自由的訪問內(nèi)網(wǎng)的所有資源，而必須接受SSL VPN的限制，有限制的訪問內(nèi)網(wǎng)資源。這樣更提高了VPN網(wǎng)絡(luò)的安全性和穩(wěn)定性。5.1、Core和SAM的資源訪問控制點(diǎn)擊“Resources PoliceWeb-Access Control”，得到下圖：SSL VPN會(huì)在此添加一個(gè)缺省的Web Access策略，允許用戶訪問所有Web資源。點(diǎn)擊New Policy,得到下圖，來建立新的Web Access策略。在“Name”中填入Web資源的名稱，在“Resources”中加入需要控制的資源，可以根據(jù)Http，Https協(xié)議，URL，或是某段地址池來定義控制的資源，在“Roles”中，選擇這個(gè)資源是針對(duì)于哪個(gè)角色的，在“Action”中選擇定義的資源對(duì)于選定的角色是否運(yùn)行其訪問。這樣就建立了一條Web Access方面資源訪問控制。5.2、SAM和NC的資源訪問控制分別點(diǎn)擊“Resources Police SAM- Access Control”和“Resources Police Network Connect- Network ConnectAccess Control”，就可以SAM和NC兩個(gè)模塊的資源訪問控制界面。它們的配置方法基本和Web Access的控制是一樣的，只是在SAM中更側(cè)重在TCP端口和IP的資源控制，而在NC中則更側(cè)重在對(duì)不同協(xié)議如，IP，TCP，ICMP，UDP等方面的ACL控制。六、設(shè)備管理6.1、系統(tǒng)概覽Juniper的SSL VPN 自身的設(shè)備管理和監(jiān)控方式非常簡(jiǎn)便但也很全面，第一次進(jìn)入SSL VPN管理員界面時(shí)，SSL VPN會(huì)展示給管理員一個(gè)整個(gè)產(chǎn)品的概況圖，如下：在這副圖中，我們可以看到給設(shè)備目前的并發(fā)用戶數(shù)，每秒的點(diǎn)擊率，CPU及內(nèi)存的使用率，吞吐量以及系統(tǒng)軟件版本和運(yùn)行持續(xù)時(shí)間等信息，對(duì)于網(wǎng)管人員來講能夠非常方面的一目了然SSL VPN的狀態(tài)，這個(gè)功能是Juniper SSL VPN獨(dú)有的，許多同類廠商的產(chǎn)品不具備這樣的功能。6.2、日志系統(tǒng)Juniper SSL VPN的日志系統(tǒng)非常全面，主要分三個(gè)方面記錄日志，分別是用戶日志，管理員日志和系統(tǒng)日志，每部分日志都有非常詳盡的記錄，包括用戶的登陸時(shí)間，登陸結(jié)果和訪問資源的等許多信息，管理員可以自建Filt