Juniper-SA-基本配置手册.doc

Juniper SA 基本配置手册联强国际-李铭2009 年 10 月第一章Juniper SA 配置步骤、名词解释.2第二章初始化、基本配置.42.1Console下进行初始化配置 .42.2Web中管理员身份登录 .62.3 基本配置.7 第三章 认证服务器的配置(Auth.Server) . 11 第四章 用户角色的配置(Role) .13 第五章 用户区域的配置(Realm) .16 第六章 资源访问策略的配置（resource policy).19 第七章 用户登陆的配置 （sign in policy) .23 第八章 SAM的应用与配置.268.1功能SAM介绍：.268.2WSAM-Client Applications应用范例 .268.3WSAM Destinations 应用范例 .318.4JSAM应用范例 .348.5SAM的选项.38第九章NC的应用与配置 .409.1 NC功能介绍 .409.2 NC功能应用范例 .40.40第十章端点安全(Endpoint Security)配置（可选） .4410.1 端点安全的介绍.4410.2 Host Checker的使用（ESAP Package）的安装 .45第一章 Juniper SA 配置步骤、名词解释RADIUS、LDAP、Local Authentication：认证服务器的类型 Auth Server：认证服务器（具体员工） Realm：用户区域=用户群（如：人事部门、财务部门、公司老总） Role：用户角色=资源组（如：财务资源、销售资源）上图中的对应关系可以清晰的看到从用户到资源的映射过程，在各个元素映射的过程 中，可以是一对多的映射。所以 Juniper SA 产品可以面对更为复杂的企业网络应用环境。配置 Juniper SA 的步骤：1、 初始化、基本配置z网络地址信息、时间、升级、License2、 认证服务器的配置(Auth.Server)z配置用户要使用的认证服务器（本地的或者第三方的）z可以多个认证服务器3、 用户角色的配置(Role)z具有相同资源访问权限的同一组用户z权限分配的基础，所有的访问控制策略都是基于 ROLE4、 用户区域的配置(Realm)z使用相同的认证服务器的同一组用户z该组用户根据访问资源权限的不同，与不同的 ROLE 进行映射5、 资源访问策略的配置（resource policy)z对于目标资源的访问控制，如 WEB 服务器，文件服务器等z针对于 ROLE 的访问权限控制（某个 ROLE 有何种访问权限）6、 用户登陆的配置 （sign in policy)z定制用户登陆界面（提供缺省界面）z默认用户登陆 URL(缺省为*/)z默认管理员登陆 URL(缺省为*/admin)7、 用户的安全性检查（Endpoint Security）（可选）z定制 HOST CHECK 策略z定制 CACHE CLEANER 策略z定制 Secure Virtual Workspace 策略第二章 初始化、基本配置设备出厂时无 IP 地址、密码、License，需要连接 Console 进行初始配置。2.1 Console 下进行初始化配置 初始开机信息如下：Welcome to the initial configuration of your server! NOTE: Press y if this is a stand-alone server or the first machine in a clustered configuration.If this is going to be a member of an already running clusterpress n to reboot. When you see the Hit TAB for clustering options message press TAB and follow the directions.Would you like to proceed (y/n)?: yNote that continuing signifies that you accept the terms of the Juniper license agreement. Type r to read the license agreement (the text is also available at any time from the License tab in the Administrator Console).Do you agree to the terms of the license agreement (y/n/r)?: y输入网络地址信息：Please provide ethernet configuration informationIP address:0Network mask:Default gateway: 54Please provide DNS nameserver information: Primary DNS server:83Secondary (optional): 82DNS domain(s):Please provide Microsoft WINS server information: WINS server (optional): 51确认输入的网络地址信息：Please confirm the following setup: IP address:0Network mask:Gateway IP:54Link speed:AutoPrimary DNS server: 83Secondary DNS:82DNS domain(s):WINS server:51Correct? (y/n): yInitial network configuration complete.输入 Admin 管理员账号、密码：Internal NIC: .Down code=0x1 Please create an administrator username and password.Admin username: admin （可自定义）Password:（此处输入密码不会显示）Confirm password:The administrator was successfully created.输入域名、组织名信息：Please provide information to create a self-signed Web server digital certificate.Common name (example: ): Organization name (example: Company Inc.): synnex输入任意字符生成自签名证书：Please enter some random characters to augment the systemsrandom key generator.We recommend that you enter approximately thirty characters.Random text (hit enter when done): jklfjwwl&%&*(09897655RTY&TYGu8yuhuCreating self-signed digital certificate.The self-signed digital certificate was successfully created.初始配置完成：Congratulations!You have successfully completed the initial set up of your server.To administer the system, please browse to an appropriate URL:https:/admin (note the s in https:/)Example: 4/admin-举例：管理员登陆地址If a DNS name already exists for this IVE, you can also use:https:/adminExample: /admin- System is now ready.Press Enter to modify system settings.Console 菜单：Welcome to the Juniper Networks IVE Serial Console!Current version: 5.1R2 (build 9029)-设备初始版本（恢复出厂后的版本）Reset version: 5.1R2 (build 9029)Licensing Hardware ID: 0152MMY3N0MY5XXXPlease choose from among the following options:1. Network Settings and Tools-网络设定2. Create admin username and password-新建管理员帐户3. Display log-显示日志（用于 Debug）4. System Operations-系统选项包含恢复出厂、删除配置、重启等操作5. Toggle password protection for the console (Off)-为 Console 连接设置密码（不推荐）6. Create a Super Admin session.-用于找回丢失的 Admin 密码7. System Snaphot-系统快照（用于 Debug）Choice: 12.2 Web 中管理员身份登录 浏览器打开 0/admin)hJMorJjper.Welcome to theSecure Access SSL VPNUsernamePlease sign in to begin your secure session.PasswordI Sign In INote: This is theAdministrator Sign-In page.If you dont want to sign in as an Administrator return to the gtandard Sian-In Paae.)tttps.11219.238.Z 1331inh!l lic.e.e :sipt- - :;cl r;a.101. Svslem Slatusn ;0 11n. . .:.c:ive Jsers.:Iu :er noLcO/r rltolroiELII=y:;tcrr S:.ttol.Jrc Plg Vcr :aon: 6. R(bu1:H S7) i .to d wnlod (UIt O .Ql:anlQRh 1111n W 4 niu.IHC dp n Ce(UY v:;tcrr D:.tc .:.rd Tlm200J-0:-201:C8:lS lM )!AU:;e .ef$4dro-n . llmSdlln .ole Ii. H.H J-?u nbcr 0 qcdln cr :.!-g 9 DisIIIH (I=r I .- Inr. ololluJ I-t pe=r =-r!Junlptf2.3.2升级版本官方建议版本：2.3.3添加 License无 License 则无法进行使用:Licensed to 0152MMY3NOMY50WICopyght 2001-2009 JunipeNetworksInc. AII rights reser.ed) u nI p e r ; (N .第三章 认证服务器的配置(Auth.Server)Juniper SA 支持以下认证服务器类型：下面的例子中我们会用到 Local Authentication 本地认证服务器点击 User 添加帐户第四章 用户角色的配置(Role)点选 New User Role新建 Roles,名称为 Demo-Role名字可以为中文在 Demo-Role 中，我们可以开启相应的资源功能。 General 选择该角色可以使用哪些资源服务，勾选即可 VLAN/Source IPVLAN 信息 Session option 超时选项，COOKIE 的相关选项 UI option 用户成功登陆后的界面设置 Restriction用户登陆，获得该角色的其他条件： 如果不符合，则不能获取该 ROLE 的权限Source IP用户发起连接时，限制用户的源 IP Browser限制用户的浏览器类型Certificate限制用户浏览器中的证书（配合 USB KEY）Host Checker主机检查程序Cache Cleaner缓存清理程序第五章 用户区域的配置(Realm)点选 New User Realm 建立 Juniper SA 演示 区域1、 名字可以是中文2、 在 Authentication 处点选认证服务器 Demo User3、 点选 Role Mapping 映射 Role 此步骤非常关键，即实现 Role 与 Realm 的对应。新建映射Rule: If username.：分为 is 和 is not ，填写*即为所有用户.then assign these roles：选择映射的 RoleStop processing rules when this rule matches：匹配后立即停止（Realm 可以映射多个 Role，在 新建的映射条目中，按照从上到下的匹配方式进行）如图：第六章 资源访问策略的配置（resource policy)本例中我们将建立 WEB 资源。SAM、NC 等配置方法，会单独介绍。Web 资源的添加：新建资源 9Autopolicy: Web Access ControlWeb 资源选项（必选）Autopolicy: Single Sign-on单点登录选项（可选） Autopolicy: Caching缓存选项（可选） Autopolicy: Java Access ControlJava 插件控制选项（可选） Autopolicy: Rewriting Options重写选项（可选） Autopolicy: Web CompressionWeb Gzip 压缩选项（可选）Save and Continue！点击进入 联强国际内部系统对标签进行编辑Save 即可完成！第七章 用户登陆的配置 （sign in policy)图中：*/admin/ 为管理员默认登陆入口*/为用户默认登录入口*/liming 为新建登陆入口本例中我们将不同的 Realms 加入到 */ 这个登录入口 点击*/进行编辑，将所需的 RealmsUser types the realm name用户登陆时需要手动输入 Realm 的名称User picks from a list of authentication realms采用下拉菜单方式显示 Realm 名称（建议）至此，Web 资源添加的配置完成。 用户登录，浏览器中打开 0下拉菜单中可以看到我们添加的 Realm 名称Juniper SA 演示登陆后可以看到所添加的资源，其中“联强国际内部系统”为刚刚添加的 web 资源第八章 SAM 的应用与配置8.1 功能 SAM 介绍：SAM (Secure Application Manager)，主要支持 C/S 结构的应用。从系统上分为 WSAM (Windows SAM)和 JSAM (Java SAM) 。其中，WSAM 又分为 Client Applications 和 WSAM Destinations 两种应用。该功能会为用户分发相关插件，但不会为用户分配 IP 地址。适合于 IP 网段重复（客户端与目标服务端网络相同）的用户所使用。1、WSAM ：Windows 操作系统支持的 SAM 应用，用户在使用 Juniper SA 时，会从页面手 动（或自动）下载 WSAM 插件。Client Applications ：基于用户开启的应用程序，使该应用程序产生的流量通过 VPN 接入内网。如：允许用户开启的 foxmail.exe 接收内部服务器邮件、允许用户开启的 ERP.exe 接入内部 ERP 系统。WSAM Destinations ：基于用户访问的目的地址，使该流量通过 VPN 接入内网。如： 用户访问 00 时，流量通过 VPN 接入内网，而访问 的流量通过 本地 Internet。2、JSAM ：JAVA 版本的 SAM 应用。该功能会自动调用系统中的 JAVA 虚拟机，所以需要 用户预先安装好 JAVA 虚拟机程序，同时也支持更多的操作系统，包括 Windows、Linux、 MAC 等。8.2 WSAM-Client Applications 应用范例本例中我们将允许 SecureCRT.exe 通过 telnet 方式连接企业内部的 8。选择相应的 Role 并开启 WSAM 选项添加资源新建资源Filename：程序名（带文件格式）Path：文件所在的路径MD5：确保应用程序的准确性，可以用 MD5 计算机运算出 Hash。SAM Access Control：允许访问的目标地址选择 RoleJuniper SA 设置完毕。用户登录界面：启动 WSAM 后，状态栏图标如下其中 SecureCRT.exe 可以访问内部 VPN 资源(8)产生相应的流量，并显示客户端连接成功8.3WSAM Destinations 应用范例本例中我们设置如访问 8 地址，任何程序都可以通过 VPN 连接到该地址（包括SecureCRT 和 Windows 系统自带的 Telnet.exe 工具）在 Role 中开启 WSMA 功能后，添加资源新建资源：选择 Role：Juniper SA 设置完毕。用户启动 WSAM 程序，可以访问的目标地址：分别用 SecureCRT.exe 和 Telnet.exe 连接 88.4JSAM 应用范例本例中，通过 JSAM 访问 9、Ping 9选择相应的 Role 并开启 JSAM添加 JSAM 应用新建应用Server Name：服务器地址Server Port：服务器开放端口Client Loopback IP：本地映射地址Client Port：本地映射端口Allow Secure Application Manager to dynamically select an available port if the specified client port is taken：允许特殊应用产生的动态端口，建议选择。Juniper SA 设置完毕。 用户登录后启用 JSAM-tlllWeb.?l: 39I:.!IJ.). :JIITJ(!)A 23 82331JSAM 显示流量8.5SAM 的选项可以设定 WSAM 或 JSAM 的自动启动与自动卸载。第九章 NC 的应用与配置9.1 NC 功能介绍NC（Network Connect）主要支持交互式的 C/S 应用。该功能会为用户分发相关插件， 用户会获得 IP 地址，使之可以与内部资源双向通讯。适合于语音等交互流量的应用。NC 对网络数据的控制细粒度较低，一般建议网络管理员使用。NC Access：允许 NC 访问的目的网段NC Connection Profiles：为用户分配的地址池（可以调用网络内部的 DHCP）Split-tunneling Networks：网络隧道分离，用于区分资源所在的目的网段NC Bandwidth Management：控制 NC 的使用带宽 （可选）9.2 NC 功能应用范例在相关的 Role 中开启 NC 功能添加资源策略添加 NC Access （自带 Access 包含所有资源）添加 NC Connection Profiles添加 Split-tunneling Networks 网段信息NC 选项Disable Split Tunneling：关闭通道分离，即所有流量（包括访问 Internet、访问本地局域网流量）均通过 VPN 隧道。Allow access to local subnet：除本地局域网流量外，其余所有流量（包括访问 Internet）通过VPN 隧道。Enable Split Tunneling：除分离列表中(0/24)，其余所有流量通过 VPN。（建议）NC 的自动启动与自动卸载Juniper SA 配置完毕！用户端运行 NC 插件：状态栏显示图标为获得内网地址，并且有流量显示第十章 端点安全(Endpoint Security)配置（可选）10.1 端点安全的介绍Juniper SA 的端点安全防护分为三种：Host Checker、Secure Virtual Workspace、CacheCleaner。其主要目的是保护客户端的安全性，并控制存在威胁客户的接入。Host Checker：主机检查（插件）。针对多种系统的安全应用状态进行监控，并采取灵活的 准入控制。如：杀毒软件、网络防火墙软件、系统开放服务、注册表、进程等。可以根据检 查结果进行不同的授权。ESAP Package（Endpoint Security Assessment Plug-In）：端点安全评估插件。该插件 记录了各安全厂商的版本信息，包含网络防火墙软件、防病毒软件、防间谍软件。插件 需要下载最新的更新包。一般为 15MB 左右。Secure Virtual Workspace：安全虚拟桌面(需 Java 支持)。提高受保护资源的安全性。用户 在使用此功能时，必须运行虚拟桌面系统，在访问内部资源期间可以保证虚拟系统无法进行 USB 存储、其他盘符存储、网络传输等复制资料行为，适合于对资料保密的企业使用。 Cache Cleaner：缓存清理（插件）。可以清理 IE 缓存，包括 cookis、密码，甚至可以清理 Windows 下的 Temp 文件夹。既保护了使用者的安全，又可以帮助使用者清理缓存，提高使 用者系统的使用速度。10.2 Host Checker 的使用（ESAP Package）的安装系统初始状态下会有原始版本的 ESAP 包，Upload 新版本 ESAP 并设置为 Activet。点击安装、激活后的补丁包（1.5.4）可以看到该版本支持的安全软件列表。Host Checker 的全局配置Auto-upgrade Host Checker：设置后，ESAP 的特征码会自动升级（并非版本）。Create Host Checker Connection Control Policy：防止用户所在远程网段的其他病毒主机的 访问该主机。只允许该用户 PC 的所有出站的流量，拒绝所有入站流量，