Juniper SSL VPN 配置手册.docx
《Juniper SSL VPN 配置手册.docx》由会员分享,可在线阅读,更多相关《Juniper SSL VPN 配置手册.docx(34页珍藏版)》请在冰点文库上搜索。
JuniperSSLVPN配置手册
JuniperSSLVPN配置手册
目录
一、初始化设置2
1.1、通过Console连接SSLVPN2
1.2、填写初始化信息3
1.3、使用浏览器连接SSLVPN5
二、SSLVPN基本设置5
2.1、网络接口设置5
2.2、设置SSLVPN的License6
2.3、添加用户认证服务器7
2.4、添加认证用户9
2.5、添加SSLVPN的认证域11
三、角色映射和功能模块12
3.1、添加角色12
3.2、角色映射14
3.3、功能模块16
四、使用SSLVPN的各个功能模块17
4.1、使用Core功能模块18
4.2、使用SAM功能模块19
4.3、使用NetworkConnect模块23
五、资源访问控制25
5.1、Core和SAM的资源访问控制26
5.2、SAM和NC的资源访问控制27
六、设备管理28
6.1、系统概览28
6.2、日志系统28
6.3、系统升级30
6.4、设备排除31
一、初始化设置
1.1、通过Console连接SSLVPN
SSLVPN的初始化是通过设备的Console端口完成的,Console的设置如下:
9600,8,N,1。
在管理员的计算机上使用任意终端软件,包括HyperTerminal,Crt,SecureCrt等等都行。
把设备的Console线连接至SSLVPN的Console端口,开启电源开关,通过终端软件就能观察到设备启动自检的过程。
1.2、填写初始化信息
当系统自检到如下信息时:
Welcometotheinitialconfigurationofyourserver!
NOTE:
Press'y'ifthisisastand-aloneserverorthefirst
machineinaclusteredconfiguration.
Ifthisisgoingtobeamemberofanalreadyrunningcluster
pressntoreboot.Whenyouseethe'HitTABforclusteringoptions'
messagepressTABandfollowthedirections.
Wouldyouliketoproceed(y/n)?
:
y(选择Y)
Notethatcontinuingsignifiesthatyouaccepttheterms
oftheNeoterislicenseagreement.Type"r"toreadthe
licenseagreement(thetextisalsoavailableatanytime
fromtheLicensetabintheAdministratorConsole).
Doyouagreetothetermsofthelicenseagreement(y/n/r)?
:
y(选择Y)
初始化网络信息:
Pleaseprovideethernetconfigurationinformation
IPaddress:
192.168.0.190
Networkmask:
255.255.255.0
Defaultgateway:
192.168.0.254
(填入用户需要的IP地址,掩码和网关等信息。
注意:
所有网络信息都会设置到SSLVPN的InternalInterface上)
Linkspeed[Auto]:
0)Auto
1)1000Mb/s,FullDuplex
2)1000Mb/s,HalfDuplex
3)100Mb/s,FullDuplex
4)100Mb/s,HalfDuplex
5)10Mb/s,FullDuplex
6)10Mb/s,HalfDuplex
Select0-6:
0(选择用户需要的速率)
PleaseprovideDNSnameserverinformation:
PrimaryDNSserver:
202.106.0.20
Secondary(optional):
202.99.8.1(填入用户需要的DNS地址,可以是内部的DNS服务器的IP地址)
DNSdomain(s):
(填入用户需要的域名,无特别限制)
PleaseprovideMicrosoftWINSserverinformation:
WINSserver(optional):
确认初始化信息:
Pleaseconfirmthefollowingsetup:
IPaddress:
192.168.0.190
Networkmask:
255.255.255.0
GatewayIP:
192.168.0.254
Linkspeed:
Auto
PrimaryDNSserver:
202.106.0.20
SecondaryDNS:
202.99.8.1
DNSdomain(s):
WINSserver:
Correct?
(y/n):
y(确认无误后,选择Y)
初始化安全信息:
Adminusername:
admin
Password:
Confirmpassword:
Theadministratorwassuccessfullycreated.(填入用户设定的管理员帐号和密码)
设置SSLVPN自签证书:
Pleaseprovideinformationtocreateaself-signedWebserverdigitalcertificate.
Commonname(example:
):
Organizationname(example:
CompanyInc.):
juniper
(这个部分输入用户的证书信息,无特殊限制)
Pleaseentersomerandomcharacterstoaugmentthesystem'srandomkeygenerator.Werecommendthatyouenterapproximatelythirtycharacters.
Randomtext(hitenterwhendone):
dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646
(这个部分输入30个左右的字符以产生证书)
Creatingself-signeddigitalcertificate...
Theself-signeddigitalcertificatewassuccessfullycreated.
Congratulations!
Youhavesuccessfullycompletedtheinitialsetupofyourserver.
(当您看到这句话时证明你已经成功的初始化SSLVPN了)
https:
///admin(notethe's'inhttps:
//)
Example:
https:
//192.168.0.190/admin
(按照上述的提示,管理员可以通过URLhttps:
//192.168.0.190/admin来管理设备啦)
1.3、使用浏览器连接SSLVPN
如下图:
在这个Web页面中填入刚刚建好的管理员帐号和密码就可以登陆到SSLVPN进行管理啦,至此SSLVPN初始化过程完毕。
二、SSLVPN基本设置
2.1、网络接口设置
在初始化过程中我们设置了SSLVPN的InternalInterface,接下来我们设置ExternalInterface。
在浏览器上点击“Network--ExternalPort--Setting”得到下图:
在上图中,填入相应的ExternalPort设置,即完成了SSLVPN的网络初始设置。
2.2、设置SSLVPN的License
SSLVPN要正常工作,必须要有合适的License,所以给SSLVPN添加License是必不可少的。
在浏览器上点击“Configuration--Licensing”得到下图:
如上图所示,此设备拥有的是一个临时License,包括了1000并发用户数和4周的试用期限等。
在添加License过程中,只需要在CompanyName和LicenseKey两个空栏中填入相关信息即可。
2.3、添加用户认证服务器
在配置完SSLVPN网络信息和License之后,就可以正常的使用SSLVPN了。
为了让用户能够顺利的登入企业网,必须给用户进行身份认证。
在身份认证的过程中,管理员可以选择使用SSLVPN内部的自建帐号认证用户,也可以结合企业内部的认证服务器进行认证。
对于选择不同的认证服务器的帐号,他们将会属于不同的SSLVPN认证域。
例如,我们可以利用一个SSLVPN自建的认证服务器,认证合作伙伴和分支机构的用户;利用内部的LDAP服务器认证总部本地的员工。
在浏览器上点击“Signing--Authentication/Authorization”得到下图
在这个页面中,管理员将看到两个内置的认证服务器,Administrators和SystemLocal。
其中Administrator是添加SSLVPN管理员帐号的,而SystemLocal是SSLVPN内建的一个普通用户的认证服务器。
这是如果我们想添加一个新认证服务器及认证域时,点击页面上的“NewServer”,并在New的选栏中选择“IVEAuthentication”得到下图:
在该页面上的Name中输入认证服务器的名字(本例中是:
IveLocal)等用户需要填入和勾选的其他选项,最后点击SaveChanges即完成新加一个认证服务器的设置了。
2.4、添加认证用户
在2.3的图中选择Users,即可进入到新建认证服务器的用户添加页面,如下图:
点击New,即可加入在新建的认证服务器(本例的认证服务器是IveLocal)中添加一个用户,如下图:
添加用户名和密码后,认证服务器Ivelocal就可以对这个新建用户进行身份的认证了。
2.5、添加SSLVPN的认证域
每一个不同的认证服务器都可以有自己一套的用户数据库,无论使用的是SSLVPN内置机制建立的用户帐号数据库,还是使用集成企业内网的目录数据库,为了使认证机制更加合理和条理化,避免出现帐号重复和认证混乱的局面,JuniperSSLVPN引入了认证域的功能,在SSLVPN上把不同的认证服务器加入到不同的域,来认证不同域上的用户,同时也方便用户了解自己登陆时应该选择哪一个认证域和哪一个认证帐号。
点击“Authentication”,得到下图:
点击“new”,得到下图:
在“Name”中,填入用户希望填入的认证域名。
在“Authentication”中,选择使用认证服务器Ivelocal来认证用户,最后点击“SaveChanges”即完成了认证域的添加。
至此,JuniperSSLVPN的基本配置,包括添加License和身份认证等设置都已完毕。
三、角色映射和功能模块
3.1、添加角色
在用户通过SSLVPN的身份认验证之后,需要给用户分配角色,这个角色是在SSLVPN中设置的,并且这个角色决定了用户能够在企业内网中享有什么样的权限和能访问什么样的资源。
点击,SSLVPN管理界面左栏的Roles,如下图:
得到下图:
点击NewRole添加一个角色:
3.2、角色映射
在添加完角色后,就需要进行角色映射的工作,因为任何一个用户在身份认证之后,必须要把他映射成为SSLVPN中的一个角色,这样他才能拥有这个角色所能使用SSLVPN的功能模块和这个角色所能访问企业内网资源的权利。
以Office-Realm中的用户为例,点击Authentication-Office-Realm-RoleMapping,得到下图:
选择NewRule…
在“is”的下拉菜单右边文本框中填入相应的用户名字,可以是某一具体的用户名,也可以用通配符表示用户名,例如:
“*”表示人任何用户。
在“AvailableRoles:
”下的文本框中,选择相应的角色,分配给这个用户。
例如如果我要把所有用户都分配给Users这个角色,则需要在”IS”下拉菜单右边的文本框中填入“*”,在“AvailableRoles”中选择“Users”加入到“SelectedRoles”中即可。
这样一个用户的角色映射就完成啦。
3.3、功能模块
JuniperSSLVPN上有三个功能模块,一个是基于Web功能和文件共享的Core模块,一个是保证C/S结构应用(例如:
Lotus,Exchange,ERP等)SAM模块和最后一个全三层网络连接的NC模块。
根据设备的License,每一台设备所具有的功能模块是不一样的,对于SSLVPN1000,3000和5000系列,其中的Core功能模块是标配的,其他功能模块是单独购买的,而对于SSLVPNRA-500系列它只具有NC的功能模块,其他功能模块需要单独购买。
即便是一台设备具有了上述全部的功能模块,但是对于不同的角色,他能够使用SSLVPN的功能模块是不一样的。
如下图,在我们建立一个角色时,可以选择他能够使用什么样的功能模块,比如说有的角色只能使用Web和Files共享,有的角色还可以使用SecureApplicationManager的功能。
在图中一共有四个SSLVPN建立的角色,AllEmplyees,Executives,Office-roles,和Users,但是从图中看出,每个角色所有拥有的SSLVPN功能模块是不一样的,比如Users角色只有Core和SAM的功能模块,而Office-Roles却有全部Core,SAM和NC的功能模块。
这样大大的增强了角色的灵活性和安全性。
四、使用SSLVPN的各个功能模块
所有SSLVPN用户在访问内网资源时,例如:
内部Web服务器,内部WebMail,内部的Loutes系统或是内部的ERP系统及一些网管系统,都是通过SSLVPN的三个功能模块来实现的。
4.1、使用Core功能模块
点击SSLVPN管理界面左部的RolesAllEmployees-Web,得到下图:
点击NewBookMark,得到下图:
在”Name”中填入自己想要的名字,如果说是公司内部网站,可以写”CorpWeb”登,在”Description”中填入相关的描述,在”URL”中填入公司网站的IP地址或是主机域名。
点选”Auto-allowBookmark”和”EverythingunderthisUrl”,点击SaveChanges这样就添加了一个内部资源的访问条目。
对于Core模块的另一个Files共享功能的实现原理基本和添加WebBookMark一样,请参考上述Web功能的设置步骤。
4.2、使用SAM功能模块
对于拥有自己开发的基于C/S结构的应用如ERP系统或是Lotus的客户来说,如果希望通过SSLVPN来访问后端的C/S应用,则需要使用到SAM功能模块。
SAM模块有2种,一种是适用于Windows版本的SAM模块,一种是适用于Unix系统的SAM模块。
点击“RolesAllEmployees-SAM”,得到下图,
点击AddApplication,得到下图,
在Name中,填写应用程序的名字,如:
Lotus等,如果需要有描述的话在Description中加入描述。
如果客户的应用程序是自己开发的选择Customapplication,在Filename中填入客户端执行程序的名字,如果有必要,在Path后加入路径,点击Saveapplication,即完成了一个Sam条目的配置。
如果客户的应用程序是标准的商业软件,如Lotus等,请选择Standardapplication,如下图:
在Application框中选择,标准的程序后,点击SaveApplication即可。
如果公司内网的某台服务上有多个C/S应用在运行,为了方便管理员,SSLVPN允许添加一个ApplicationServer,所有去往这个Server的请求都将被SSLVPN截获并处理,而不用在SAM中建立太多的客户端应用程序的条目(Application)。
点击“RolesAllEmployees-SAM”,得到下图,
点击AddServer。
。
。
,得到下图,
在Name中填入服务器的名字,在Server中填入IP地址或是域名。
点击SaveChanges完成配置。
4.3、使用NetworkConnect模块
对于一些专业的技术人员,如果要使用UDP的协议,如SNMP等或是需要用到ServerInitializationProtocol的应用时,这时候就需要SSLVPN的NC模块了。
点击“RolesAllEmployees-NetworkConnect”,得到下图:
当希望客户在通过SSLVPN的NC模块登陆企业内网后,还能够让用户继续访问Internet,请选择EnableSplitTunneling。
点击“ResourcesPoliceNetworkConnect-NCConnectionProfile”,得到下图:
点击NewProfile….,得到下图:
在Name中填入,NC分配的地址池名称,在IPAddressPool中填入NC使用的IP地址池,选择是否给使用NC的用户设置代理服务器,是否为这些用户设置内部DNS,以及调整这些用户的DNS查询次序,选择这条Policy适用那个角色。
点击SaveChanges,完成NC的设置
注意:
如果一个角色既有Core,SAM的功能模块,又有NC的功能模块,这几个的功能模块的执行优先次序是Core>SAM>NC,也就是说如果有一个用户登入SSLVPN后使用了NC模块,但是他发现自己访问内网的Web服务器时,依旧使用的是Core模块,这不用觉得奇怪。
五、资源访问控制
SSLVPN和传统的IPSecVPN最大的区别之一,就是SSLVPN拥有应用层的资源访问控制,也就是说当一个用户登入SSLVPN之后,他不能象IPSecVPN用户那样自由的访问内网的所有资源,而必须接受SSLVPN的限制,有限制的访问内网资源。
这样更提高了VPN网络的安全性和稳定性。
5.1、Core和SAM的资源访问控制
点击“ResourcesPoliceWeb-AccessControl”,得到下图:
SSLVPN会在此添加一个缺省的WebAccess策略,允许用户访问所有Web资源。
点击NewPolicy…,得到下图,来建立新的WebAccess策略。
在“Name”中填入Web资源的名称,在“Resources”中加入需要控制的资源,可以根据Http,Https协议,URL,或是某段地址池来定义控制的资源,在“Roles”中,选择这个资源是针对于哪个角色的,在“Action”中选择定义的资源对于选定的角色是否允许其访问。
这样就建立了一条WebAccess方面资源访问控制。
5.2、SAM和NC的资源访问控制
分别点击“ResourcesPoliceSAM-AccessControl”和“ResourcesPoliceNetworkConnect-NetworkConnectAccessControl”,就可以SAM和NC两个模块的资源访问控制界面。
它们的配置方法基本和WebAccess的控制是一样的,只是在SAM中更侧重在TCP端口和IP的资源控制,而在NC中则更侧重在对不同协议如,IP,TCP,ICMP,UDP等方面的ACL控制。
六、设备管理
6.1、系统概览
Juniper的SSLVPN自身的设备管理和监控方式非常简便但也很全面,第一次进入SSLVPN管理员界面时,SSLVPN会展示给管理员一个整个产品的概况图,如下:
在这副图中,我们可以看到给设备目前的并发用户数,每秒的点击率,CPU及内存的使用率,吞吐量以及系统软件版本和运行持续时间等信息,对于网管人员来讲能够非常方面的一目了然SSLVPN的状态,这个功能是JuniperSSLVPN独有的,许多同类厂商的产品不具备这样的功能。
6.2、日志系统
JuniperSSLVPN的日志系统非常全面,主要分三个方面记录日志,分别是用户日志,管理员日志和系统日志,每部分日志都有非常详尽的记录,包括用户的登陆时间,登陆结果和访问资源的等许多信息,管理员可以自建Filter来查看自己感兴趣的日志信息。
点击“Log/Monitoring-UserAccessLog--log”,就可以得到用户访问日志。
如果想看系统日志和管理员日志,点击:
“Log/Monitoring-EventLog--log”和“Log/Monitoring-AdminAccessLog--log”即可。
如果管理员希望对这些日志能够做进一步的分析,例如利用第三方软件来处理这些日志信息的话,SSLVPN也提供日志上传的功能,如下:
点击“Archiving-FtpArchiving”,得到下图
在“ArchivesSetting”中,填入FTP服务器的相关信息,再点击“ArchiveUserAccessLog”,选择记录日志的格式和设置上传的时间,即可完成上传用户日志的设置。
6.3、系统升级
SSLVPN的系统升级,很简单。
只需要点击“System-Upgrade/Downgrade”后,在下图中选择:
点击浏览,在自己的电脑中找到SSLVPN升级的软件,然后点击InstallNow,即可完成设备的系统升级。
6.4、设备排除
SSLVPN内置了许多排除的工具,如TCPDUMP,SystemSnapshot,Ping和Traceroute等命令,帮助网管人员在发现问题时,能够有充分的工具和手段找出问题原因,解决问题故障并做好预防问题出现的措施。
点击“Troubleshooting--TcpDump”,得到下图:
在进行TcpDump时,选择在SSLVPN的内口或外口进行Sniffer,然好点击“StartSniffing”就可以开始收集数据包啦。
收集一段时间后,点击“StopSniffing”,即可以停止收集,SSLVPN会提示用户把收集后的
升级会员 