JuniperSA基本配置手册.docx
- 文档编号:9339985
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:16
- 大小:29.13KB
JuniperSA基本配置手册.docx
《JuniperSA基本配置手册.docx》由会员分享,可在线阅读,更多相关《JuniperSA基本配置手册.docx(16页珍藏版)》请在冰豆网上搜索。
JuniperSA基本配置手册
JuniperSA基本配置手册
联强国际-李铭
2009年10月
第一章JuniperSA配置步骤、名词解释..............................................................................2
第二章初始化、基本配置.......................................................................................................4
2.1Console下进行初始化配置.........................................................................................4
2.2Web中管理员身份登录...............................................................................................6
2.3基本配置.......................................................................................................................7第三章认证服务器的配置(Auth.Server).............................................................................11第四章用户角色的配置(Role)..............................................................................................13第五章用户区域的配置(Realm)...........................................................................................16第六章资源访问策略的配置(resourcepolicy)..................................................................19第七章用户登陆的配置(signinpolicy)...........................................................................23第八章SAM的应用与配置....................................................................................................26
8.1功能SAM介绍:
........................................................................................................26
8.2WSAM-ClientApplications应用范例......................................................................26
8.3WSAMDestinations应用范例................................................................................31
8.4JSAM应用范例..........................................................................................................34
8.5SAM的选项................................................................................................................38
第九章NC的应用与配置.......................................................................................................40
9.1NC功能介绍.....................................................................................................................40
9.2NC功能应用范例.............................................................................................................40
................................................................................................................................................40
第十章端点安全(EndpointSecurity)配置(可选)...........................................................44
10.1端点安全的介绍.............................................................................................................44
10.2HostChecker的使用(ESAPPackage)的安装...........................................................45
第一章JuniperSA配置步骤、名词解释
RADIUS、LDAP、LocalAuthentication:
认证服务器的类型AuthServer:
认证服务器(具体员工)Realm:
用户区域=用户群(如:
人事部门、财务部门、公司老总)Role:
用户角色=资源组(如:
财务资源、销售资源)
上图中的对应关系可以清晰的看到从用户到资源的映射过程,在各个元素映射的过程中,可以是一对多的映射。
所以JuniperSA产品可以面对更为复杂的企业网络应用环境。
配置JuniperSA的步骤:
1、初始化、基本配置
z网络地址信息、时间、升级、License
2、认证服务器的配置(Auth.Server)
z配置用户要使用的认证服务器(本地的或者第三方的)
z可以多个认证服务器
3、用户角色的配置(Role)
z具有相同资源访问权限的同一组用户
z权限分配的基础,所有的访问控制策略都是基于ROLE
4、用户区域的配置(Realm)
z使用相同的认证服务器的同一组用户
z该组用户根据访问资源权限的不同,与不同的ROLE进行映射
5、资源访问策略的配置(resourcepolicy)
z对于目标资源的访问控制,如WEB服务器,文件服务器等
z针对于ROLE的访问权限控制(某个ROLE有何种访问权限)
6、用户登陆的配置(signinpolicy)
z定制用户登陆界面(提供缺省界面)
z默认用户登陆URL(缺省为*/)
z默认管理员登陆URL(缺省为*/admin)
7、用户的安全性检查(EndpointSecurity)(可选)
z定制HOSTCHECK策略
z定制CACHECLEANER策略
z定制SecureVirtualWorkspace策略
第二章初始化、基本配置
设备出厂时无IP地址、密码、License,需要连接Console进行初始配置。
2.1Console下进行初始化配置初始开机信息如下:
Welcometotheinitialconfigurationofyourserver!
NOTE:
Press'y'ifthisisastand-aloneserverorthefirstmachineinaclusteredconfiguration.
Ifthisisgoingtobeamemberofanalreadyrunningcluster
pressntoreboot.Whenyouseethe'HitTABforclusteringoptions'messagepressTABandfollowthedirections.
Wouldyouliketoproceed(y/n)?
:
y
NotethatcontinuingsignifiesthatyouacceptthetermsoftheJuniperlicenseagreement.Type"r"toreadthelicenseagreement(thetextisalsoavailableatanytimefromtheLicensetabintheAdministratorConsole).
Doyouagreetothetermsofthelicenseagreement(y/n/r)?
:
y
输入网络地址信息:
Pleaseprovideethernetconfigurationinformation
IPaddress:
10.104.2.10
Networkmask:
255.255.255.0
Defaultgateway:
10.104.2.254
PleaseprovideDNSnameserverinformation:
PrimaryDNSserver:
10.104.1.183
Secondary(optional):
10.104.1.182
DNSdomain(s):
PleaseprovideMicrosoftWINSserverinformation:
WINSserver(optional):
10.104.1.251
确认输入的网络地址信息:
Pleaseconfirmthefollowingsetup:
IPaddress:
10.104.2.10
Networkmask:
255.255.255.0
GatewayIP:
10.104.2.254
Linkspeed:
Auto
PrimaryDNSserver:
10.104.1.183
SecondaryDNS:
10.104.1.182
DNSdomain(s):
WINSserver:
10.104.1.251
Correct?
(y/n):
y
Initialnetworkconfigurationcomplete.
输入Admin管理员账号、密码:
InternalNIC:
.........................................................[Downcode=0x1]Pleasecreateanadministratorusernameandpassword.
Adminusername:
admin(可自定义)
Password:
(此处输入密码不会显示)
Confirmpassword:
Theadministratorwassuccessfullycreated.
输入域名、组织名信息:
Pleaseprovideinformationtocreateaself-signedWebserverdigitalcertificate.
Commonname(example:
):
Organizationname(example:
CompanyInc.):
synnex
输入任意字符生成自签名证书:
Pleaseentersomerandomcharacterstoaugmentthesystem's
randomkeygenerator.Werecommendthatyouenterapproximatelythirtycharacters.
Randomtext(hitenterwhendone):
jklfjwwl&^%^&*(09897655RTY&&TYGu8yuhu
Creatingself-signeddigitalcertificate...
Theself-signeddigitalcertificatewassuccessfullycreated.
初始配置完成:
Congratulations!
Youhavesuccessfullycompletedtheinitialsetupofyourserver.
Toadministerthesystem,pleasebrowsetoanappropriateURL:
https:
//
Example:
https:
//10.10.22.34/admin-----举例:
管理员登陆地址
IfaDNSnamealreadyexistsforthisIVE,youcanalsouse:
https:
//
Example:
-----------------------------------Systemisnowready.
PressEntertomodifysystemsettings.
Console菜单:
WelcometotheJuniperNetworksIVESerialConsole!
Currentversion:
5.1R2(build9029)-----设备初始版本(恢复出厂后的版本)
Resetversion:
5.1R2(build9029)
LicensingHardwareID:
0152MMY3N0MY5XXX
Pleasechoosefromamongthefollowingoptions:
1.NetworkSettingsandTools-----网络设定
2.Createadminusernameandpassword-----新建管理员帐户
3.Displaylog-----显示日志(用于Debug)
4.SystemOperations-----系统选项包含恢复出厂、删除配置、重启等操作
5.Togglepasswordprotectionfortheconsole(Off)-----为Console连接设置密码(不推荐)
6.CreateaSuperAdminsession.-----用于找回丢失的Admin密码
7.SystemSnaphot-----系统快照(用于Debug)
Choice:
1
2.2Web中管理员身份登录浏览器打开https:
//10.104.2.10/admin
hJMorJjper.
Welcometothe
SecureAccessSSLVPN
UsernamePleasesignintobeginyoursecuresession.
Password
ISignInI
Note:
Thisisthe
AdministratorSign-Inpage.
Ifyoudon'twanttosigninasanAdministratorreturntothegtandardSian-InPaae.
tps.11219.238.Z133inh!
l'lic.e.e:
"sψipt-
lr;a..
<1.
;0 ....: ..c: iveJsers no O/rrlto'lro iELII=y: ;tcrrS: .ttrcPl aon: 6.R(bu1: HS7)itodwnlod(UIt Q'Rh1n Cdp? nCe(U'? Y? v: ;tcrrD: .tc.: .rdTlm 200J-0: -201: C8: lSM)! 4 ? d? n ? d? n.ole LserF.oles s '"' J- \unbcrq'cd'lnυcr: -"g9Dis<: 0ft-l I"...n: : : rtn"..IIUVI r'cht'"'('I=>rI...-υ"Inr.ololl'uJ'pe=>r Junlptf 2.3 2.3.1 2.3.2升级版本 官方建议版本: 2.3.3添加License 无License则无法进行使用 : ;( 第三章认证服务器的配置(Auth.Server) JuniperSA支持以下认证服务器类型: 下面的例子中我们会用到LocalAuthentication本地认证服务器 点击User添加帐户 第四章用户角色的配置(Role) 点选NewUserRole…新建Roles,名称为Demo-Role 名字可以为中文 在Demo-Role中,我们可以开启相应的资源功能。 General选择该角色可以使用哪些资源服务,勾选即可VLAN/SourceIP VLAN信息Sessionoption超时选项,COOKIE的相关选项UIoption用户成功登陆后的界面设置Restriction 用户登陆,获得该角色的其他条件: 如果不符合,则不能获取该ROLE的权限 SourceIP用户发起连接时,限制用户的源IPBrowser限制用户的浏览器类型 Certificate限制用户浏览器中的证书(配合USBKEY) HostChecker主机检查程序 CacheCleaner缓存清理程序 第五章用户区域的配置(Realm) 点选NewUserRealm…建立JuniperSA演示区域 1、名字可以是中文 2、在Authentication处点选认证服务器DemoUser 3、点选RoleMapping映射Role此步骤非常关键,即实现Role与Realm的对应。 新建映射 Rule: Ifusername...: 分为is和isnot,填写*即为所有用户 ...thenassigntheseroles: 选择映射的Role Stopprocessingruleswhenthisrulematches: 匹配后立即停止(Realm可以映射多个Role,在新建的映射条目中,按照从上到下的匹配方式进行) 如图: 第六章资源访问策略的配置(resourcepolicy) 本例中我们将建立WEB资源。 SAM、NC等配置方法,会单独介绍。 Web资源的添加: 新建资源http: //10.101.1.99 Autopolicy: WebAccessControlWeb资源选项(必选) Autopolicy: SingleSign-on单点登录选项(可选)Autopolicy: Caching缓存选项(可选)Autopolicy: JavaAccessControlJava插件控制选项(可选)Autopolicy: RewritingOptions重写选项(可选)Autopolicy: WebCompressionWebGzip压缩选项(可选) SaveandContinue! 点击进入‘联强国际内部系统’ 对标签进行编辑 Save即可完成! 第七章用户登陆的配置(signinpolicy) 图中: */admin/为管理员默认登陆入口 */为用户默认登录入口 */liming为新建登陆入口 本例中我们将不同的Realms加入到*/这个登录入口点击*/进行编辑,将所需的Realms Usertypestherealmname用户登陆时需要手动输入Realm的名称 Userpicksfromalistofauthenticationrealms采用下拉菜单方式显示Realm名称(建议) 至此,Web资源添加的配置完成。 用户登录,浏览器中打开https: //10.104.2.10 下拉菜单中可以看到我们添加的Realm名称 JuniperSA演示 登陆后可以看到所添加的资源,其中“联强国际内部系统”为刚刚添加的web资源 第八章SAM的应用与配置 8.1功能SAM介绍: SAM(SecureApplicationManager),主要支持C/S结构的应用。 从系统上分为WSAM(WindowsSAM)和JSAM(JavaSAM)。 其中,WSAM又分为ClientApplications和WSAMDestinations两种应用。 该功能会为用户分发相关插件,但不会为用户分配IP地址。 适合于IP网段重复(客户端与目标服务端网络相同)的用户所使用。 1、WSAM: Windows操作系统支持的SAM应用,用户在使用JuniperSA时,会从页面手动(或自动)下载WSAM插件。 ClientApplications: 基于用户开启的应用程序,使该应用程序产生的流量通过VPN接入内网。 如: 允许用户开启的foxmail.exe接收内部服务器邮件、允许用户开启的ERP.exe接入内部ERP系统。 WSAMDestinations: 基于用户访问的目的地址,使该流量通过VPN接入内网。 如: 用户访问10.1时,流量通过VPN接入
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JuniperSA 基本 配置 手册