JuniperSSLVPN配置手册资料

JuniperNetscreenSSLVPN

配置手册

2023.5

目录

一、初始化设立..................................................

1』、通过Console连接SSLVPN..............................................................

1.2.填写初始化信，息..........................................

1.3、使用浏览器连接SSLVPN.................................................................

二、SSLVPN基本设立...........................................

2.1、网络接口设立...........................................

2.2、设立SSLVPN的License...................................................................

2.3、添加用户认证服务器.....................................

2.4、添加认证用户...........................................

2.5、添加SSLVPN的认证域..................................

三、角色映射和功能模块..........................................

3.1、添加角色...............................................

3.2、角色映射................................................

3.3、功能模块...............................................

四、使用SSLVPN的各个功能模块................................

4.1.使用Core功能模块......................................

4.2、使用SAM功能模块.....................................

4.3、使用NetworkConnect模块...............................

五、资源访问控制................................................

5.1、Core和SAM的费源访问控制............................

5.2、SAM和NC的资源访问控制..............................

六、设备管理

6.1s系统概览

6.2、日记系统

6.3、系统升级

6.4、设备排除

Doyouagreetothetermsofthelicenseagreement(y/n/r)?:y(选择Y)

初始化网络信息：

Pleaseprovideethernetconfigurationinformation

IPaddress:192,168.0.190

Nntwnrkmask:

Defaultgateway:54

(填入用户需要的IP地址,掩码和网关等信息。

注意:所有网络信息都会设立到SSLVPN的InternalInterface±)

Linkspeed[Auto]:

0)Auto

1)1000Mb/s,FullDuplex

2)1000Mb/s,HalfDuplex

3)100Mb/s,FullDuplex

4)100Mb/s,HalfDuplex

5)10Mb/s,FullDuplex

6)10Mb/s,HalfDuplex

Select0-6:0(选择用户需要的速率)

PleaseprovideDNSnameserverinformation:

PrimaryDNSserver:0

Secondary(optional):(填入用户需要的DNS地址,可以是内部的DNS服务

器的IP地址)

DNSdomain(s):(填入用户需要的域名,无特别限制)

PleaseprovideMicrosoftWINSserverinformation:

WINSserver(optional):

确认初始化信息:

Pleaseconfirmthefollowingsetup:

IPaddress:90

Networkmask:255255.255.0

GatewayIP:54

Linkspeed:Auto

PrimaryDNSserver:0

SecondaryDNS:

DNSdomain(s):

WINSserver:

Correct?(y/n):y(确认无误后,选择Y)

初始化安全信息：

Adminusername:admin

Password:

Confirmpassword:

Theadministratorwassuccessfullycreated.(填入用户设定的管理员帐号和密码)

设立SSLVPN自签证书：

Pleaseprovideinformationtccreateaself-signedWebserverdigitalcertificate.

Commonname(example:):

Organizationname(example:CompanyInc.):juniper

（这个部分输入用户的证书信息,无特殊限制）

Pleaseentersomerandomcharacterstoaugmentthesystem'srandomkeygenerator.

Werecommendthatyouenterapproximatelythirtycharacters.

Randomtext(hitenterwhendone):dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646

（这个部分输入30个左右的字符以产生证书）

Creatingself-signeddigitalcertificate...

Theself-signeddigitalcertificatewassuccessfullycreated.

Congratulations!Youhavesuccessfullycompletedtheinitialsetupofyourserver.

（当您看到这句话时证明你已经成功的初始化SSLVPNT）

https://<IVE-IP-Address>/admin(notethe's'inhttps://)

Example:

（按照上述的提醒,管理员可以通过URL）

1.3、使用浏览器连接SSLVPN

如下图:

■lrterne<

在这个Web页面中填入刚刚建好的管理员帐号和密码就可以登陆到SSL

VPN进行管理啦，至此SSLVPN初始化过程完毕。

二、SSLVPN基本设立

2.1、网络接口设立

在初始化过程中我们设立了SSLVPN的InternalInterface,接下来我们设

立ExternalInterfaceo

在浏览器上点击“Network“今ExternalPortSetting”得到下图:

在上图中，填入相应的ExternalPort设立，即完毕j'SSLVPN的网络初始

设立。

2.2、设立SSLVPN的License

SSLVPN要正常工作，必须要有合适的License,所以给SSLVPN添加

License是必不可少的。

在浏览器上点击“Configuration>Licensing得到下图:

如上图所示，此设备拥有的是一个临时License,涉及了1000并发用户数

和4周的试用期限等。

在添加ILicense过程中，只需要在CompanyName和LicenseKey两个空

栏中填入相关信息即可。

2.3、添加用户认证服务器

在配置完SSLVPN网络信息和License之后，就可以正常的使用SSLVPN

了。为了让用户可以顺利的登入公司网，必须给用户进行身份认证。在身份认证

的过程中，管理员可以选择使用SSLVPN内部的自建帐号认证用户，也可以结

合公司内部的认证服务器进行认证。对于选择不同的认证服务器的帐号，他们将

会属于不同的SSLVPN认证域。例如，我们可以运用一个SSLVPN自建的认

证服务器，认证合作伙伴和分支机构的用户；运用内部的LDAP服务器认证总

部木地的员工。

在浏览器上点击“Signing・・->Authentication/Authorization”得到下图

s.Internet

W利M»OGmG19Q■|咫axJ囿Centr…年咏血.」电M•…」电加*.||⑥⑦？〃18S7

在这个页面中，管理员将看到两个内置的认证服务器，Administrators和

SystemLocal,其中Administrator是添加SSLVPN管理员帐号的，而System

Local是SSLVPN内建的•个普通用户的认证服务器。

这是假如我们想添加一个新认证服务器及认证域时，点击页面上的“New

Server"，并在New的选栏中选择“IVEAuthentication”得到下图:

在该页面上的Name中输入认证服务器的名字（本例中是：IveLocal）等用

户需要填入和勾选的其他选项，最后点击SaveChanges即完毕新加一个认证

服务器的设立了。

2.4、添加认证用户

在2.3的图中选择Users,即可进入到新建认证服务器的用户添加页面，如

下图:

点击New,即可加入在新建的认证服务器（本例的认证服务器是IveLocal）

中添加一个用户，如下图:

添加用户名和密码后，认证服务器Ivelocal就可以对这个新建用户进行身份

的认证了。

2.5、添加1SSLVPN的认证域

每一个不同的认证服务器都可以有自己一套的用户数据库，无论使用的是

SSLVPN内置机制建立的用户帐号数据库，还是使用集成公司内网的目录数据

库，为了使认证机制更加合理和条理化，避免出现帐号反复和认证混乱的局面，

JuniperSSLVPN引入了认证域的功能，在SSLVPN上把不同的认证服务器加

入到不同的域，来认证不同域上的用户，同时也方便用户了解自己登陆时应当选

择哪一个认证域和哪一个认证帐号。

点击"Authentication”，得到下图：

点击“new”，得到下图:

■lrterne<

在“Name”中，填入用户希望填入的认证域名。

在“Authentication”中，选择使用认证服务器Weloc中来认证用户,最后

点击"SaveChanges”即完毕了认证域的添加。

至此，JuniperSSLVPN的基本配置，涉及添加License和身份认证等设立

都已完毕。

三、角色映射和功能模块

3.1V添加角色

在用户通过SSLVPN的身份认验证之后，需要给用户分派角色，这个角色

是在SSLVPN中设立的，并且这个角色决定了用户可以在公司内网中享有什么

样的权限和能访问什么样的资源。

点击，SSLVPN管理界面左栏的Roles,如下图:

得到下图:

3CentralManoQer-Rok*-f.osoftInternetExpioref

文ME)HWb：C^X(A)IM(D，助时

。修•。一回d.)口6-

博出Q)|曲忡尔"1检l66Q.1%f&Dadrrx»*s/dMWzJQ的到

SlJuniper*

(・“g|z・

-

沁皿Roles

CemflQuvabon

MtWortt[IB,Ra©Dupbcale..DeleteDefajtQuerns.

Clustering

Lo^Montonng

Enabtedsettngs

S'clng[c

-Adm4nHtrator4

QRolo

AutS«nt>cMlon

o«*e，b8

SSH

Auth*ntKMlonF「IIrmployae

laxecutfves

1fix

r0fMeWes

rysfiis

XX4»<u*ncr*M・dUf^rcrol«.

T<ln«t/58H

TerminalServices

NrtvorfcConnect

fmeilCl»«nt

»

!mp«<Vtxpott•

PufhCor/ig

Archiving•

Troublethootv^g•

二I

⑥完33-Irttrnet

点击NewRole添加一个角色:

3.2、角色映射

在添加完角色后，就需要进行角色映射的工作，由于任何一个用户在身份认

证之后，必须要把他映射成为SSLVPN中的一个角色，这样他才干拥有这个角

色所能使用SSLVPN的功能模块和这个角色所能访问公司内网资源的权利。

以Office-Realm中的用户为例，点击Authentication-->Office-Realm->Role

Mapping,得到卜,图:

选择NewRule...

■lrterne<

在“is”的下拉菜单右边文本框中填入相应的用户名字，可以是某一具体的用

户名，也可以用通配符表达用户名，例如：“*”表达人任何用户。在“Available

Roles：”下的文本框中，选择相应的角色，分派给这个用户。

例如假如我要把所有用户都分派给Users这个角色，则需要在“IS”下拉菜单

右边的文本框中填入“*"，在“AvailableRoles”中选择“Users”加入到

wSelectedRolesw中即可。

这样一个用户的角色映射就完毕啦。

3.3、功能模块

JuniperSSLVPN上有三个功能模块，一个是基于Web功能和文献共享的

Core模块,一个是保证C/S结构应用（例如:Lotus,Exchange,ERP等）SAM

模块和最后一个全三层网络连接的NC模块。

根据设备的License,每一台设备所具有的功能模块是不同样的，对于SSL

VPN1000,3000和5000系列,其中的Core功能模决是标配的，其他功能模

块是单独购买的，而对于SSLVPNRA-500系列它只具有NC的功能模块，其

他功能模块需要单独购买。

即便是一台设备具有了上述所有的功能模块，但是对于不同的角色，他可以

使用SSLVPN的功能模块是不同样的。

如下图，在我们建立一个角色时，可以选择他可以使用什么样的功能模块，

比如说有的角色只能使用Web和Files共享，有的角色还可以使用Secure

ApplicationManager的功能。

3CentralManoQer-Role*-fersoftInternetExplorer

文懵DM>：D叠■学收粼毡ZM(D•帆!)

。/选二◎•止二；/丝口E0

|►ttpj：//1%16$.0.1Wdfln®-«drrxVo*M/ro*MC»

5«tu>KOIeS

Conflgs，gn

Nttvo*|NewRole..|DupUcate]Oelet®|DehuR81吧

Clustering

Lo9^MorMtort1%9

"nlng[n

)QRolo

Auth«ntcMlonl

0HC28e

wXV

Auth«nt)C4<lon厂M“mQlQv-

L-xecutfves

N«wUser1fix

•UlWMMXWPOIKMI*

「。曲ceroles

w«b

Files

rL!£fi£S

SAMcr-dUf♦rfrol«.

T«ln«t/S8H

TerminalSarvicai

r«»TvorK3nxe

“,505

tmailClient

ImpofVIxport

Pu小Cor/ifl

Arch«viH0

Trouble*hoobng•

UcantadtoN«tScr««nlvalu«t»on4.07804W««ktxt.

Copyn9MC2001-2004A«nlp«*N«tvo4cf,(ncAJI3人”,・4EM.

电；53

在图中一共有四个SSLVPN建立的角色，AllEmplyees,Excutives,

Office-roles,和Users,但是从图中看出,每个角色所有拥有的SSLVPN功能

模块是不同样的，比如Users角色只有Core和SAM的功能模块，而Office-Roles

却有所有Core,SAM和NC的功能模块。这样大大的噌强了角色的灵活性和安

全性。

四、使用SSLVPN的各个功能模块

所有SSLVPN用户在访问内网资源时，例如：内部Web服务器，内部Web

Mail,内部的Loutes系统或是内部的ERP系统及一些网管系统，都是通过SSL

VPN的三个功能模块来实现的。

4.1、使用Core功能模块

点击SSLVPN管理界面左部的Roles^AIIEmployees-^Web,得到下图:

点击NewBookMark,得到下图:

■lrterne<

在”Name''中填入自己想要的名字，假如说是公司内部网站，可以写”Corp

Web”登，在“Description”中填入相关的描述，在“URL”中填入公司网站的IP

地址或是主机域名。

点选"Auto-allowBookmark”和"EverythingunderthisUH”,点击Save

Changes这样就添加了一个内部资源的访问条目。

对于Core模块的另一个Files共享功能的实现原理基本和添加Web

BookMark同样，请参考上述Web功能的设立环节。

4.2、使用SAM功能模块

对于拥有自己开发的基于C/S结构的应用如ERP系统或是Lotus的客户来

说，假如希望通过SSLVPN来访问后端的C/S应用，则需要使用到SAM功能

模块。SAM模块有2种，一种是合用于Windows版本的SAM模块，一种是合

用于Unix系统的SAM模块。

点击“Roles)AHEmployees・9SAM”，得到下图,

点击AddApplication,得到下图,

■lrterne<

在Name中，填写应用程序的名字，如：Lotus等，假如需要有描述的话在

Description中加入描述。假如客户的应用程序是自己开发的选择Custom

application，在Filename中填入客户端执行程序的名字，假如有必要，在Path

后加入途径，点击Saveapplication,即完毕了一个Sam条目的配置。

假如客户的应用程序是标准的商业软件，如Lotus等，请选择Standard

application,如下图:

OIMed

在Application框中选择，标准的程序后，点击SaveApplication即可。

假如公司内网的某台服务上有多个C/S应用在运营，为了方便管理员，SSL

VPN允许添加一个ApplicationServer,所有去往这个Server的请求都将被SSL

VPN截获并解决，而不用在SAM中建立太多的客户端应用程序的条目

(Application)(>

点击“RolesfAllEmployeesTSAM”，得到下图,

点击AddServer…,得到下图,

在Name中填入服务器的名字，在Server中填入IP地址或是域名。点击

SaveChanges完毕配置。

4.3、使用NetworkConnect模块

对于一些专业的技术人员，假如要使用UDP的协议，如SNMP等或是需要

用到ServerInitializationProtocol的应用时，这时候就需要SSLVPN的NC模

块了。

点击“Roles今AllEmployees-今NetworkConnect”,得到下图:

当希望客户在通过SSLVPN的NC模块登陆公司内网后，还可以让用户继

续访问Internet,请选择EnableSplitTunneling<>

点击“ResourcesPolice今NetworkConnect->NCConnectionProfile”,

得到bffl：

点击NewProfile.…，得到下图:

^CentralManoQcr-**ewNetworkConnectCo«mectionPrcfle-r>«cro«o(tInternetEMpiorer凶

文忤（D聋■切加。毡XXD・姗I）

Sp«ctfy«proxyserverforu>«inO»i«cortn«cb«*>p*oH«.ifappropriate.

8.fUm•

Imp^Vtxport•(•Noproxy^nn/nr

Pu«hCor/tg

「Automatic(PACfieonafx>therserver)

ArcNvkng•

Troublesho•Serveraddress：

「Manualconfiguration

S«rvor:IPort:p

ZJ

3"IMer*

在Name中填入，NC分派的地址池名称，在IPAddressPool中填入NC使用

的IP地址池，选择是否给使用NC的用户设立代理服务器，是否为这些用户设

立内部DNS,以及调整这些用户的DNS查询顺序，选择这条Policy合用那个

角色。

点击SaveChanges,完毕NC的设立

注意:假如一个角色既有Core,SAM的功能模块，又有NC的功能模块，这几个的功能

模块的执行优先顺序是Core>SAM>NC,也就是说假如有一个用户登入SSLVPN后使用了

NC模块，但是他发现自己访问内网的Web服务器时，依旧使用的是Core模块，这不用

觉得奇怪。

五、资源访问控制

SSLVPN和传统的IPSecVPN最大的区别之一，就是SSLVPN拥有应用

层的资源访问控制，也就是说当一个用户登入SSLVPXI之后，他不能象IPSec

VPN用户那样自由的访问内网的所有资源，而必须接受SSLVPN的限制，有限

制的访问内网资源。这样更提高了VPN网络的安全性和稳定性。

5.1、Core和SAM的资源访问控制

点击“ResourcesPolicefWebAccessControl”，得至U卜图:

^CentralManoQer-WebAccessPolKles-MicrosoftInterie(ExpAoref

文忤（D聋■切加。毡XXD・姗1）

|^)Htpi：//1W.1«.0.1WdflT3cgi,lpcky_biw***fb-«ccw5z]B»»

a克中3"IMer*

SSLVPN会在此添加一个缺省的WebAccess策略,允许用户访问所有Web

资源。

点击NewPolicy…，得至U下图，来建立新的WebAccess策略。

CentralMonoQcr•WebAccessPoicy-Mkroscftln:emetEMplorer

在“Name”中填入Web资源的名称，在“Resources”中加入需要控制

的资源，可以根据Http,Https协议，URL,或是某段地址池来定义控制的资源,

在“Roles”中，选择这个资源是针对于哪个角色的，在“Action”中选择定义

的费源对于选定的角色是否运营其访问。

这样就建立了一条WebAccess方面资源访问控制。

5.2、SAM和NC的资源访问控制

分别点击“ResourcesPolicefSAM-fAccessControl”和uResources

PolicefNetworkConnect—NetworkConnectAccessControl"，就可以

SAM和NC两个模块的资源访问控制界面。

它们的配置方法基本和WebAccess的控制是同样的，只是在SAM中更侧

重在TCP端口和IP的资源控制，而在NC中则更侧重在对不同协议如，IP,TCP,

ICMP,UDP等方面的ACL控制。

六、设备管理

6.1、系统概览

Junipe「的SSLVPN自身的设备管理和监控方式非常简便但也很全面，第

--次进入SSLVPN管理员界面时，SSLVPN会展示给管理员一个整个产品的

概况图，如下：

当OMrMNMi^ger-StMusMicrosoftIwtemetFxplorrr

Xft®OffitD聋*D««&)工JU。««XD-

。扁退•M回图。|A”☆的妇9•、K'

auth,nW*g

RoltJSystemCap»cktyUtMlzattonOraphtduplavU>t1hour

N«vUS"

里P«Q«Swt*in<3>

W«b>

SystemVersion

Fil”>4.2R2.2(build80")

6AMDavnlo.dP.d..»■

TtlntVSSH•LAStReboot

T«rmin«lServices•22hour*z

814s«condt

NttwofkConnect»

M“gg$SystemDate0TimeEfllJ

2005-05-12

EmVClient

12:22:14PM

lookingDHki0%FJH

System

Impon/Export，HaxlicencedU«ersi1000

PushConfig

Ardtivlng*Signed-Inl>s«r»i1

TroublesKoo«rvD►

Signed-InUs«r*i0

-rvbHits

CPUandVirtual($w«p)MemoryUdhotkm(前I零CP*CI“<D

0t

I0

12：00

CM■

TYirouqhput(LdilI▼

20kT—

3”Wetnet

在这副图中，我们可以看到给设备目前的并发用户数，每秒的点击率，CPU

及内存的使用率，吞吐量以及系统软件版本和运营连续时间等信息，对于网管人

员来讲可以非常方面的一目了然SSLVPN的状态，这个功能是JuniperSSL

VPN独有的，许多同类厂商的产品不具有这样的功能。

6.2、日记系统

JuniperSSLVPN的日记系统非常全面，重要分三个方面记录日记，分别是

用户日记，管理员日记和系统日记，每部分日记都有非常详尽的记录，涉及用户

的登陆时间，登陆结果和访问资源的等许多信息，管理员可.以自建Filter未查看

自己感爱好的日记信息。

点击“Log/Monitoring->UserAccessLog->log”,就可以得到用户访问

日记。

CentralMdnagef-UserAccess-MkrotoftInternetEMpbrer

文懵D的旗劭XJVD・咖D

G后遗•。•W图。P*»皿天c

1汕岫.cgRpftF刁£3.划

AutS*ntacMlon

女必9S>»eLogAs|C3earLog|

N««

R«»ourc«PolktMIrftwr:St«ndard(d«f*uh)

w«b•D«<aiOldesttoNevaK

Ahs•O»*nr«

SAMFxportroerwat:Standard

T«in«^$$M•SeverityIDMessage

T«rmin«lServices»info20039，r?Xl；8；16•Ive•[192.149.Q.189)ch«vn(U(«*(X)'Vo9r*f，iWd51n9>«XhSycSmLocal(JVIAuth«neK*tlonX

N«tvorkConnect•C，“

200S-05-1X19:59:36-iv«•[1^2.168.(X188]t*at(offic«*r«almXofFK«-rol«a],StationtimedoutforteaVoffic«*r«almdveto

m»ctiv<y.IcUtataionid«r^tfi«dd5ngro«Xin«lyttemcorv

EmailCl<nt

?005-05-1119I41I39-iv«•【19218。188〕"rt(。他-S.”2n”•s”tst8Kort192.1^8.0198h*f

Maintefwx.b・・cUrrfwaUd.

2003-09-1118:41:39•iv«■[192.1^0.0.189)t«at(office-r*almXo^»c«'ro4«i],Syitamproc«atd«t•戊・d•MottChadcartomeout

onbort192X48.0.190foruf«r*U，t*(hitupdateM10301292005/03/11X

ImX*tfExpo代•

2005-05-1118i30t2d-iva•1*%168.ai=]WUoMc-hnXMdas】•Ho