Juniper - SA - 基本配置手册 - 图文
更新时间:2024-06-05 03:36:01 阅读量: 综合文库 文档下载
- juniper推荐度:
- 相关推荐
Juniper SA 基本配置手册
联强国际-李铭
2009 年 10 月
第一章
Juniper SA 配置步骤、名词解释..............................................................................2
第二章 初始化、基本配置.......................................................................................................4
2.1 Console下进行初始化配置 .........................................................................................4 2.2 Web中管理员身份登录 ...............................................................................................6 2.3 基本配置.......................................................................................................................7 第三章 认证服务器的配置(Auth.Server) ............................................................................. 11 第四章 用户角色的配置(Role) ..............................................................................................13 第五章 用户区域的配置(Realm) ...........................................................................................16 第六章 资源访问策略的配置(resource policy)..................................................................19 第七章 用户登陆的配置 (sign in policy) ...........................................................................23 第八章 SAM的应用与配置....................................................................................................26
8.1 功能SAM介绍:........................................................................................................26 8.2 WSAM-Client Applications应用范例 ......................................................................26 8.3 WSAM Destinations 应用范例 ................................................................................31 8.4 JSAM应用范例 ..........................................................................................................34 8.5 SAM的选项................................................................................................................38 第九章 NC的应用与配置 .......................................................................................................40
9.1 NC功能介绍 .....................................................................................................................40 9.2 NC功能应用范例 .............................................................................................................40 ................................................................................................................................................40 第十章 端点安全(Endpoint Security)配置(可选) ...........................................................44
10.1 端点安全的介绍.............................................................................................................44 10.2 Host Checker的使用(ESAP Package)的安装 ...........................................................45
1
第一章 Juniper SA 配置步骤、名词解释
RADIUS、LDAP、Local Authentication:认证服务器的类型 Auth Server:认证服务器(具体员工)
Realm:用户区域=用户群(如:人事部门、财务部门、公司老总) Role:用户角色=资源组(如:财务资源、销售资源)
上图中的对应关系可以清晰的看到从用户到资源的映射过程,在各个元素映射的过程 中,可以是一对多的映射。所以 Juniper SA 产品可以面对更为复杂的企业网络应用环境。
配置 Juniper SA 的步骤:
1、 初始化、基本配置
z 网络地址信息、时间、升级、License
2、 认证服务器的配置(Auth.Server)
z 配置用户要使用的认证服务器(本地的或者第三方的) z 可以多个认证服务器
3、 用户角色的配置(Role)
z 具有相同资源访问权限的同一组用户
z 权限分配的基础,所有的访问控制策略都是基于 ROLE
4、 用户区域的配置(Realm)
z 使用相同的认证服务器的同一组用户 z 该组用户根据访问资源权限的不同,与不同的 ROLE 进行映射
5、 资源访问策略的配置(resource policy)
z 对于目标资源的访问控制,如 WEB 服务器,文件服务器等 z 针对于 ROLE 的访问权限控制(某个 ROLE 有何种访问权限)
2
6、 用户登陆的配置 (sign in policy)
z 定制用户登陆界面(提供缺省界面) z 默认用户登陆 URL(缺省为*/)
z 默认管理员登陆 URL(缺省为*/admin) 7、 用户的安全性检查(Endpoint Security)(可选)
z 定制 HOST CHECK 策略 z 定制 CACHE CLEANER 策略
z 定制 Secure Virtual Workspace 策略
3
第二章 初始化、基本配置
设备出厂时无 IP 地址、密码、License,需要连接 Console 进行初始配置。 2.1 Console 下进行初始化配置 初始开机信息如下:
Welcome to the initial configuration of your server! NOTE: Press 'y' if this is a stand-alone server or the first machine in a clustered configuration.
If this is going to be a member of an already running cluster
press n to reboot. When you see the 'Hit TAB for clustering options' message press TAB and follow the directions. Would you like to proceed (y/n)?: y
Note that continuing signifies that you accept the terms of the Juniper license agreement. Type \license agreement (the text is also available at any time from the License tab in the Administrator Console).
Do you agree to the terms of the license agreement (y/n/r)?: y
输入网络地址信息:
Please provide ethernet configuration information IP address: 10.104.2.10 Network mask: 255.255.255.0 Default gateway: 10.104.2.254
Please provide DNS nameserver information: Primary DNS server: 10.104.1.183 Secondary (optional): 10.104.1.182 DNS domain(s): dns.com
Please provide Microsoft WINS server information: WINS server (optional): 10.104.1.251 确认输入的网络地址信息:
Please confirm the following setup: IP address: 10.104.2.10 Network mask: 255.255.255.0 Gateway IP: 10.104.2.254 Link speed: Auto
Primary DNS server: 10.104.1.183 Secondary DNS: 10.104.1.182 DNS domain(s): dns.com WINS server: 10.104.1.251 Correct? (y/n): y
Initial network configuration complete.
4
输入 Admin 管理员账号、密码:
Internal NIC: .........................................................[Down code=0x1] Please create an administrator username and password. Admin username: admin (可自定义) Password:(此处输入密码不会显示) Confirm password:
The administrator was successfully created.
输入域名、组织名信息:
Please provide information to create a self-signed Web server digital certificate.
Common name (example: secure.company.com): www.synnex.com.cn Organization name (example: Company Inc.): synnex
输入任意字符生成自签名证书:
Please enter some random characters to augment the system's
random key generator. We recommend that you enter approximately thirty characters.
Random text (hit enter when done): jklfjwwl&^%^&*(09897655RTY&&TYGu8yuhu Creating self-signed digital certificate...
The self-signed digital certificate was successfully created.
初始配置完成:
Congratulations! You have successfully completed the initial set up of your server.
To administer the system, please browse to an appropriate URL: https://
Example: https://10.10.22.34/admin -----举例:管理员登陆地址If a DNS name already exists for this IVE, you can also use: https://
Example: https://ive.mycompany.com/admin ----------------------------------- System is now ready.
Press Enter to modify system settings.
Console 菜单:
Welcome to the Juniper Networks IVE Serial Console!
Current version: 5.1R2 (build 9029) -----设备初始版本(恢复出厂后的版本) Reset version: 5.1R2 (build 9029)
Licensing Hardware ID: 0152MMY3N0MY5XXX
Please choose from among the following options:
1. Network Settings and Tools
-----网络设定
5
2. Create admin username and password -----新建管理员帐户 3. Display log -----显示日志(用于 Debug) 4. System Operations -----系统选项包含恢复出厂、删除配置、重启等操作 5. Toggle password protection for the console (Off) -----为 Console 连接设置密码(不推荐) 6. Create a Super Admin session. -----用于找回丢失的 Admin 密码 7. System Snaphot -----系统快照(用于 Debug) Choice: 1
2.2 Web 中管理员身份登录 浏览器打开 https://10.104.2.10/admin
6
h JMojper.
rJWelcome to the
)
Secure Access SSL VPN
Username Password
Please sign in to begin your secure session.
I Sign In I
Note: This is the
Administrator Sign-In page. If you don't want to sign in as an Administrator return to the gtandard Sian-In Paae.
)t\\t tps.11219.238.Z 1331 in'h!l 'l ic.e.e :\ ipt- - :\;c{ l r;a.. .\ 10 <1. t ?O <.eQ
< Svslem Slatus
:..c:ive Jsers
n\;0 '11n
.. . . ..:Iu :er no
LcO/r rlto'lro
iELII
=y:;tcrr S:.tt\\ol.Jrc Pl Rh 111 1n \4 niu.IH Q' C dp ?n Ce(U'?Y ? v:;tcrr D:.tc .:.rd Tlm 200J-0:-201:C8:lS lM )! l::anlAU:;e ...ef$ 1 -4>< Ii. H.'H J - ? ?dro-?n . llm?d?n .ole l'l\4 S' \%u nbcr 0'\q'cd'lnυ cr : -\9 Dis<: :.! 0 'l6 ft-l < F:T;oI l'l\e Lser F.oles s - =\ I-.--c[C '\ Tfo...ble:h ' I\:or tn 111 :r1lf\\1γ \IIUVI r r\'cht .'II 11->IIIH '\'('I=>r I ...-υ \Inr. ololl'uJ I-t' 'pe=>r =-r! Junlptf 2.3 2.3.1 7 2.3.2 升级版本 官方建议版本: 8 2.3.3 添加 License 无 License 则无法进行使用 9 : Licensed to 0152MMY3NOMY50WI Copyght @ 2001-2009 JunipeNetworksInc. AII rights reser...ed ) u nI p e r ; (N . 10 第三章 认证服务器的配置(Auth.Server) Juniper SA 支持以下认证服务器类型: 下面的例子中我们会用到 Local Authentication 本地认证服务器 11 点击 User 添加帐户 12 第四章 用户角色的配置(Role) 点选 New User Role…新建 Roles,名称为 Demo-Role 13 名字可以为中文 在 Demo-Role 中,我们可以开启相应的资源功能。 General 选择该角色可以使用哪些资源服务,勾选即可 VLAN/Source IP VLAN 信息 Session option 超时选项,COOKIE 的相关选项 UI option 用户成功登陆后的界面设置 Restriction 用户登陆,获得该角色的其他条件: 如果不符合,则不能获取该 ROLE 的权限 Source IP 用户发起连接时,限制用户的源 IP Browser 限制用户的浏览器类型 Certificate 限制用户浏览器中的证书(配合 USB KEY) 14 Host Checker Cache Cleaner 主机检查程序 缓存清理程序 15 第五章 用户区域的配置(Realm) 点选 New User Realm… 建立 Juniper SA 演示 区域 16 1、 名字可以是中文 2、 在 Authentication 处点选认证服务器 Demo User 3、 点选 Role Mapping 映射 Role 此步骤非常关键,即实现 Role 与 Realm 的对应。 新建映射 17 Rule: If username...:分为 is 和 is not ,填写*即为所有用户 ...then assign these roles:选择映射的 Role Stop processing rules when this rule matches:匹配后立即停止(Realm 可以映射多个 Role,在 新建的映射条目中,按照从上到下的匹配方式进行) 如图: 18 第六章 资源访问策略的配置(resource policy) 本例中我们将建立 WEB 资源。 SAM、NC 等配置方法,会单独介绍。 Web 资源的添加: 新建资源 http://10.101.1.99 19 Autopolicy: Web Access Control Autopolicy: Single Sign-on Autopolicy: Caching Autopolicy: Java Access Control Autopolicy: Rewriting Options Autopolicy: Web Compression Web 资源选项(必选) 单点登录选项(可选) 缓存选项(可选) Java 插件控制选项(可选) 重写选项(可选) Web Gzip 压缩选项(可选) Save and Continue! 20 点击进入 ?联强国际内部系统? 对标签进行编辑 21 Save 即可完成! 22 第七章 用户登陆的配置 (sign in policy) 图中: */admin/ 为管理员默认登陆入口 */ 为用户默认登录入口 */liming 为新建登陆入口 本例中我们将不同的 Realms 加入到 */ 这个登录入口 点击*/进行编辑,将所需的 Realms 23 User types the realm name User picks from a list of authentication realms 至此,Web 资源添加的配置完成。 用户登录,浏览器中打开 https://10.104.2.10 用户登陆时需要手动输入 Realm 的名称 采用下拉菜单方式显示 Realm 名称(建议) 24 下拉菜单中可以看到我们添加的 Realm 名称 Juniper SA 演示 登陆后可以看到所添加的资源,其中“联强国际内部系统”为刚刚添加的 web 资源 25 第八章 SAM 的应用与配置 8.1 功能 SAM 介绍: SAM (Secure Application Manager),主要支持 C/S 结构的应用。从系统上分为 WSAM (Windows SAM)和 JSAM (Java SAM) 。其中,WSAM 又分为 Client Applications 和 WSAM Destinations 两种应用。该功能会为用户分发相关插件,但不会为用户分配 IP 地址。适合于 IP 网段重复(客户端与目标服务端网络相同)的用户所使用。 1、WSAM :Windows 操作系统支持的 SAM 应用,用户在使用 Juniper SA 时,会从页面手 动(或自动)下载 WSAM 插件。 Client Applications :基于用户开启的应用程序,使该应用程序产生的流量通过 VPN 接入内网。如:允许用户开启的 foxmail.exe 接收内部服务器邮件、允许用户开启的 ERP.exe 接入内部 ERP 系统。 WSAM Destinations :基于用户访问的目的地址,使该流量通过 VPN 接入内网。如: 用户访问 10.104.2.100 时,流量通过 VPN 接入内网,而访问 www.sohu.com 的流量通过 本地 Internet。 2、JSAM :JAVA 版本的 SAM 应用。该功能会自动调用系统中的 JAVA 虚拟机,所以需要 用户预先安装好 JAVA 虚拟机程序,同时也支持更多的操作系统,包括 Windows、Linux、 MAC 等。 8.2 WSAM-Client Applications 应用范例 本例中我们将允许 SecureCRT.exe 通过 telnet 方式连接企业内部的 10.104.2.28。 26 选择相应的 Role 并开启 WSAM 选项 添加资源 27 新建资源 28 Filename:程序名(带文件格式) Path:文件所在的路径 MD5:确保应用程序的准确性,可以用 MD5 计算机运算出 Hash。 SAM Access Control:允许访问的目标地址 选择 Role 29 Juniper SA 设置完毕。 用户登录界面: 启动 WSAM 后,状态栏图标如下 其中 SecureCRT.exe 可以访问内部 VPN 资源(10.104.2.28) 30 产生相应的流量,并显示客户端连接成功 8.3 WSAM Destinations 应用范例 本例中我们设置?如访问 10.104.2.28 地址,任何程序都可以通过 VPN 连接到该地址(包括 SecureCRT 和 Windows 系统自带的 Telnet.exe 工具)? 在 Role 中开启 WSMA 功能后,添加资源 31 新建资源: 选择 Role: 32 Juniper SA 设置完毕。 用户启动 WSAM 程序,可以访问的目标地址: 分别用 SecureCRT.exe 和 Telnet.exe 连接 10.104.2.28 33 8.4 JSAM 应用范例 本例中,通过 JSAM 访问 http://10.101.1.99、Ping 10.101.1.99 选择相应的 Role 并开启 JSAM 添加 JSAM 应用 34 新建应用 35 Server Name:服务器地址 Server Port:服务器开放端口 Client Loopback IP:本地映射地址 Client Port:本地映射端口 Allow Secure Application Manager to dynamically select an available port if the specified client port is taken:允许特殊应用产生的动态端口,建议选择。 Juniper SA 设置完毕。 用户登录后启用 JSAM 36 -'tlll Web . ? l: 219.238.224.139 www.synnex.com.cn I : . .!'IJ. ). : J IITJ (!!) A 127.0.0.1 23 10.104.2.2823 31 JSAM 显示流量 8.5 SAM 的选项 38 39 可以设定 WSAM 或 JSAM 的自动启动与自动卸载。 第九章 NC 的应用与配置 9.1 NC 功能介绍 NC(Network Connect)主要支持交互式的 C/S 应用。该功能会为用户分发相关插件, 用户会获得 IP 地址,使之可以与内部资源双向通讯。适合于语音等交互流量的应用。NC 对网络数据的控制细粒度较低,一般建议网络管理员使用。 NC Access:允许 NC 访问的目的网段 NC Connection Profiles:为用户分配的地址池(可以调用网络内部的 DHCP) Split-tunneling Networks:网络隧道分离,用于区分资源所在的目的网段 NC Bandwidth Management:控制 NC 的使用带宽 (可选) 9.2 NC 功能应用范例 在相关的 Role 中开启 NC 功能 添加资源策略 40
正在阅读:
Juniper - SA - 基本配置手册 - 图文06-05
词汇学试题11-09
西安路小学2008-2009学年工作计划05-19
最新闽教版小学英语六年级下全册教案04-26
《治理与善治》读书报告03-23
探析地铁土建工程项目的成本管理与控制05-15
XX公司风险排查自查报告04-25
大学生助学金感谢信(通用10篇)03-26
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 基本配置
- Juniper
- 手册
- 图文
- SA
- Metasploit魔鬼训练营笔记
- 2017春最新部编版小学语文一年级下册第15课文具的家公开课教案
- 新世纪综合英语2课后汉译英答案
- 炒股的最高境界
- 肃南裕固族自治县民族文化传承与发展浅析
- (改后)斗门站堆载预压段卸载后沉降观测方案
- 2017年中考语文真题试题(及答案)
- 黄陂区六指街六指中学推进义务教育均衡发展自查报告
- 贵州省中小学专题教育综合读本四年级全册教案
- 55000吨远洋散货船毕业设计学位论文
- les电影(有我自己的简评)
- 高中英语常用重点句型
- 2018版高考地理总复习(人教通用)习题:单元评估检测(三)(有
- 诊断技术行考作业3
- 历年来食品安全事件整理
- 重大危险源控制措施
- 链条炉+沸腾炉SNCR技术方案 - 图文
- 河北省石家庄市平山县第二中学七年级地理下册学案:东南亚
- 汽车构造教案上 - 图文
- S7200PLC自由口编程泣血心得