Juniper - SA - 基本配置手册 - 图文

Juniper SA 基本配置手册

联强国际-李铭

2009 年 10 月

第一章

Juniper SA 配置步骤、名词解释..............................................................................2

第二章 初始化、基本配置.......................................................................................................4

2.1 Console下进行初始化配置 .........................................................................................4 2.2 Web中管理员身份登录 ...............................................................................................6 2.3 基本配置.......................................................................................................................7 第三章 认证服务器的配置(Auth.Server) ............................................................................. 11 第四章 用户角色的配置(Role) ..............................................................................................13 第五章 用户区域的配置(Realm) ...........................................................................................16 第六章 资源访问策略的配置（resource policy)..................................................................19 第七章 用户登陆的配置 （sign in policy) ...........................................................................23 第八章 SAM的应用与配置....................................................................................................26

8.1 功能SAM介绍：........................................................................................................26 8.2 WSAM-Client Applications应用范例 ......................................................................26 8.3 WSAM Destinations 应用范例 ................................................................................31 8.4 JSAM应用范例 ..........................................................................................................34 8.5 SAM的选项................................................................................................................38 第九章 NC的应用与配置 .......................................................................................................40

9.1 NC功能介绍 .....................................................................................................................40 9.2 NC功能应用范例 .............................................................................................................40 ................................................................................................................................................40 第十章 端点安全(Endpoint Security)配置（可选） ...........................................................44

10.1 端点安全的介绍.............................................................................................................44 10.2 Host Checker的使用（ESAP Package）的安装 ...........................................................45

1

第一章 Juniper SA 配置步骤、名词解释

RADIUS、LDAP、Local Authentication：认证服务器的类型 Auth Server：认证服务器（具体员工）

Realm：用户区域=用户群（如：人事部门、财务部门、公司老总） Role：用户角色=资源组（如：财务资源、销售资源）

上图中的对应关系可以清晰的看到从用户到资源的映射过程，在各个元素映射的过程 中，可以是一对多的映射。所以 Juniper SA 产品可以面对更为复杂的企业网络应用环境。

配置 Juniper SA 的步骤：

1、 初始化、基本配置

z 网络地址信息、时间、升级、License

2、 认证服务器的配置(Auth.Server)

z 配置用户要使用的认证服务器（本地的或者第三方的） z 可以多个认证服务器

3、 用户角色的配置(Role)

z 具有相同资源访问权限的同一组用户

z 权限分配的基础，所有的访问控制策略都是基于 ROLE

4、 用户区域的配置(Realm)

z 使用相同的认证服务器的同一组用户 z 该组用户根据访问资源权限的不同，与不同的 ROLE 进行映射

5、 资源访问策略的配置（resource policy)

z 对于目标资源的访问控制，如 WEB 服务器，文件服务器等 z 针对于 ROLE 的访问权限控制（某个 ROLE 有何种访问权限）

2

6、 用户登陆的配置 （sign in policy)

z 定制用户登陆界面（提供缺省界面） z 默认用户登陆 URL(缺省为*/)

z 默认管理员登陆 URL(缺省为*/admin) 7、 用户的安全性检查（Endpoint Security）（可选）

z 定制 HOST CHECK 策略 z 定制 CACHE CLEANER 策略

z 定制 Secure Virtual Workspace 策略

3

第二章 初始化、基本配置

设备出厂时无 IP 地址、密码、License，需要连接 Console 进行初始配置。 2.1 Console 下进行初始化配置 初始开机信息如下：

Welcome to the initial configuration of your server! NOTE: Press 'y' if this is a stand-alone server or the first machine in a clustered configuration.

If this is going to be a member of an already running cluster

press n to reboot. When you see the 'Hit TAB for clustering options' message press TAB and follow the directions. Would you like to proceed (y/n)?: y

Note that continuing signifies that you accept the terms of the Juniper license agreement. Type \license agreement (the text is also available at any time from the License tab in the Administrator Console).

Do you agree to the terms of the license agreement (y/n/r)?: y

输入网络地址信息：

Please provide ethernet configuration information IP address: 10.104.2.10 Network mask: 255.255.255.0 Default gateway: 10.104.2.254

Please provide DNS nameserver information: Primary DNS server: 10.104.1.183 Secondary (optional): 10.104.1.182 DNS domain(s): dns.com

Please provide Microsoft WINS server information: WINS server (optional): 10.104.1.251 确认输入的网络地址信息：

Please confirm the following setup: IP address: 10.104.2.10 Network mask: 255.255.255.0 Gateway IP: 10.104.2.254 Link speed: Auto

Primary DNS server: 10.104.1.183 Secondary DNS: 10.104.1.182 DNS domain(s): dns.com WINS server: 10.104.1.251 Correct? (y/n): y

Initial network configuration complete.

4

输入 Admin 管理员账号、密码：

Internal NIC: .........................................................[Down code=0x1] Please create an administrator username and password. Admin username: admin （可自定义） Password:（此处输入密码不会显示） Confirm password:

The administrator was successfully created.

输入域名、组织名信息：

Please provide information to create a self-signed Web server digital certificate.

Common name (example: secure.company.com): www.synnex.com.cn Organization name (example: Company Inc.): synnex

输入任意字符生成自签名证书：

Please enter some random characters to augment the system's

random key generator. We recommend that you enter approximately thirty characters.

Random text (hit enter when done): jklfjwwl&^%^&*(09897655RTY&&TYGu8yuhu Creating self-signed digital certificate...

The self-signed digital certificate was successfully created.

初始配置完成：

Congratulations! You have successfully completed the initial set up of your server.

To administer the system, please browse to an appropriate URL: https:///admin (note the 's' in https://)

Example: https://10.10.22.34/admin -----举例：管理员登陆地址If a DNS name already exists for this IVE, you can also use: https:///admin

Example: https://ive.mycompany.com/admin ----------------------------------- System is now ready.

Press Enter to modify system settings.

Console 菜单：

Welcome to the Juniper Networks IVE Serial Console!

Current version: 5.1R2 (build 9029) -----设备初始版本（恢复出厂后的版本） Reset version: 5.1R2 (build 9029)

Licensing Hardware ID: 0152MMY3N0MY5XXX

Please choose from among the following options:

1. Network Settings and Tools

-----网络设定

5

2. Create admin username and password -----新建管理员帐户 3. Display log -----显示日志（用于 Debug） 4. System Operations -----系统选项包含恢复出厂、删除配置、重启等操作 5. Toggle password protection for the console (Off) -----为 Console 连接设置密码（不推荐） 6. Create a Super Admin session. -----用于找回丢失的 Admin 密码 7. System Snaphot -----系统快照（用于 Debug） Choice: 1

2.2 Web 中管理员身份登录 浏览器打开 https://10.104.2.10/admin

6

h JMojper.

rJWelcome to the

)

Secure Access SSL VPN

Username Password

Please sign in to begin your secure session.

I Sign In I

Note: This is the

Administrator Sign-In page. If you don't want to sign in as an Administrator return to the gtandard Sian-In Paae.

)t\\t tps.11219.238.Z 1331 in'h!l 'l ic.e.e :\ ipt- - :\;c{ l r;a.. .\ 10 <1. t ?O <.eQ

< Svslem Slatus

:..c:ive Jsers

n\;0 '11n

.. . . ..:Iu :er no

LcO/r rlto'lro

iELII

=y:;tcrr S:.tt\\ol.Jrc Pl

Rh 111 1n \4 niu.IH Q'

C dp ?n Ce(U'?Y ? v:;tcrr D:.tc .:.rd Tlm 200J-0:-201:C8:lS lM )!

l::anlAU:;e ...ef$

1 -4>< Ii. H.'H J - ?

?dro-?n . llm?d?n .ole

l'l\4

S'

\%u nbcr 0'\q'cd'lnυ cr :

-\9 Dis<:

:.!

0 'l6 ft-l

< F:T;oI l'l\e

Lser F.oles

s - =\

I-.--c[C

'\

Tfo...ble:h '

I\:or tn 111 :r1lf\\1γ \IIUVI

r r\'cht .'II 11->IIIH '\'('I=>r I ...-υ \Inr. ololl'uJ I-t' 'pe=>r =-r!

Junlptf

2.3 2.3.1

7

2.3.2 升级版本

官方建议版本：

8

2.3.3 添加 License

无 License 则无法进行使用

9

:

Licensed to 0152MMY3NOMY50WI

Copyght @ 2001-2009 JunipeNetworksInc. AII rights reser...ed

) u nI p e r

; (N .

10

第三章 认证服务器的配置(Auth.Server)

Juniper SA 支持以下认证服务器类型：

下面的例子中我们会用到 Local Authentication 本地认证服务器

11

点击 User 添加帐户

12

第四章 用户角色的配置(Role)

点选 New User Role…新建 Roles,名称为 Demo-Role

13

名字可以为中文

在 Demo-Role 中，我们可以开启相应的资源功能。 General 选择该角色可以使用哪些资源服务，勾选即可 VLAN/Source IP VLAN 信息

Session option 超时选项，COOKIE 的相关选项 UI option 用户成功登陆后的界面设置

Restriction 用户登陆，获得该角色的其他条件： 如果不符合，则不能获取该 ROLE 的权限

Source IP 用户发起连接时，限制用户的源 IP Browser 限制用户的浏览器类型 Certificate 限制用户浏览器中的证书（配合 USB KEY）

14

Host Checker Cache Cleaner 主机检查程序 缓存清理程序

15

第五章 用户区域的配置(Realm)

点选 New User Realm… 建立 Juniper SA 演示 区域

16

1、 名字可以是中文

2、 在 Authentication 处点选认证服务器 Demo User

3、 点选 Role Mapping 映射 Role 此步骤非常关键，即实现 Role 与 Realm 的对应。

新建映射

17

Rule: If username...：分为 is 和 is not ，填写*即为所有用户 ...then assign these roles：选择映射的 Role

Stop processing rules when this rule matches：匹配后立即停止（Realm 可以映射多个 Role，在 新建的映射条目中，按照从上到下的匹配方式进行） 如图：

18

第六章 资源访问策略的配置（resource policy)

本例中我们将建立 WEB 资源。

SAM、NC 等配置方法，会单独介绍。 Web 资源的添加：

新建资源 http://10.101.1.99

19

Autopolicy: Web Access Control Autopolicy: Single Sign-on Autopolicy: Caching

Autopolicy: Java Access Control Autopolicy: Rewriting Options Autopolicy: Web Compression

Web 资源选项（必选） 单点登录选项（可选） 缓存选项（可选）

Java 插件控制选项（可选） 重写选项（可选）

Web Gzip 压缩选项（可选）

Save and Continue！

20

点击进入 ?联强国际内部系统? 对标签进行编辑

21

Save 即可完成！

22

第七章 用户登陆的配置 （sign in policy)

图中：

*/admin/ 为管理员默认登陆入口 */ 为用户默认登录入口 */liming 为新建登陆入口

本例中我们将不同的 Realms 加入到 */ 这个登录入口 点击*/进行编辑，将所需的 Realms

23

User types the realm name

User picks from a list of authentication realms 至此，Web 资源添加的配置完成。 用户登录，浏览器中打开 https://10.104.2.10

用户登陆时需要手动输入 Realm 的名称 采用下拉菜单方式显示 Realm 名称（建议）

24

下拉菜单中可以看到我们添加的 Realm 名称 Juniper SA 演示

登陆后可以看到所添加的资源，其中“联强国际内部系统”为刚刚添加的 web 资源

25

第八章 SAM 的应用与配置

8.1 功能 SAM 介绍：

SAM (Secure Application Manager)，主要支持 C/S 结构的应用。从系统上分为 WSAM (Windows SAM)和 JSAM (Java SAM) 。其中，WSAM 又分为 Client Applications 和 WSAM Destinations 两种应用。该功能会为用户分发相关插件，但不会为用户分配 IP 地址。适合于 IP 网段重复（客户端与目标服务端网络相同）的用户所使用。

1、WSAM ：Windows 操作系统支持的 SAM 应用，用户在使用 Juniper SA 时，会从页面手 动（或自动）下载 WSAM 插件。

Client Applications ：基于用户开启的应用程序，使该应用程序产生的流量通过 VPN 接入内网。如：允许用户开启的 foxmail.exe 接收内部服务器邮件、允许用户开启的 ERP.exe 接入内部 ERP 系统。

WSAM Destinations ：基于用户访问的目的地址，使该流量通过 VPN 接入内网。如： 用户访问 10.104.2.100 时，流量通过 VPN 接入内网，而访问 www.sohu.com 的流量通过 本地 Internet。

2、JSAM ：JAVA 版本的 SAM 应用。该功能会自动调用系统中的 JAVA 虚拟机，所以需要 用户预先安装好 JAVA 虚拟机程序，同时也支持更多的操作系统，包括 Windows、Linux、 MAC 等。

8.2 WSAM-Client Applications 应用范例

本例中我们将允许 SecureCRT.exe 通过 telnet 方式连接企业内部的 10.104.2.28。

26

选择相应的 Role 并开启 WSAM 选项

添加资源

27

新建资源

28

Filename：程序名（带文件格式） Path：文件所在的路径

MD5：确保应用程序的准确性，可以用 MD5 计算机运算出 Hash。 SAM Access Control：允许访问的目标地址 选择 Role

29

Juniper SA 设置完毕。 用户登录界面：

启动 WSAM 后，状态栏图标如下

其中 SecureCRT.exe 可以访问内部 VPN 资源(10.104.2.28)

30

产生相应的流量，并显示客户端连接成功

8.3 WSAM Destinations 应用范例

本例中我们设置?如访问 10.104.2.28 地址，任何程序都可以通过 VPN 连接到该地址（包括 SecureCRT 和 Windows 系统自带的 Telnet.exe 工具）? 在 Role 中开启 WSMA 功能后，添加资源

31

新建资源：

选择 Role：

32

Juniper SA 设置完毕。

用户启动 WSAM 程序，可以访问的目标地址：

分别用 SecureCRT.exe 和 Telnet.exe 连接 10.104.2.28

33

8.4 JSAM 应用范例

本例中，通过 JSAM 访问 http://10.101.1.99、Ping 10.101.1.99

选择相应的 Role 并开启 JSAM

添加 JSAM 应用

34

新建应用

35

Server Name：服务器地址 Server Port：服务器开放端口

Client Loopback IP：本地映射地址 Client Port：本地映射端口

Allow Secure Application Manager to dynamically select an available port if the specified client port is taken：允许特殊应用产生的动态端口，建议选择。

Juniper SA 设置完毕。 用户登录后启用 JSAM

36

-'tlll

Web . ?

l: 219.238.224.139

www.synnex.com.cn

I : .

.!'IJ. ). :

J

IITJ

(!!)

A

127.0.0.1 23 10.104.2.2823

31

JSAM 显示流量

8.5 SAM 的选项

38

39

可以设定 WSAM 或 JSAM 的自动启动与自动卸载。

第九章 NC 的应用与配置

9.1 NC 功能介绍

NC（Network Connect）主要支持交互式的 C/S 应用。该功能会为用户分发相关插件， 用户会获得 IP 地址，使之可以与内部资源双向通讯。适合于语音等交互流量的应用。NC 对网络数据的控制细粒度较低，一般建议网络管理员使用。

NC Access：允许 NC 访问的目的网段

NC Connection Profiles：为用户分配的地址池（可以调用网络内部的 DHCP） Split-tunneling Networks：网络隧道分离，用于区分资源所在的目的网段 NC Bandwidth Management：控制 NC 的使用带宽 （可选） 9.2 NC 功能应用范例

在相关的 Role 中开启 NC 功能

添加资源策略

40

本文来源：https://www.bwwdw.com/article/96j6.html