1、Juniper Netscreen SSL VPN配置手册 2023.5目 录一、初始化设立31.1、通过Console连接SSL VPN31.2、填写初始化信息31.3、使用浏览器连接SSL VPN5二、SSL VPN基本设立52.1、网络接口设立52.2、设立SSL VPN的License62.3、添加用户认证服务器72.4、添加认证用户92.5、添加SSL VPN的认证域11三、角色映射和功能模块123.1、添加角色123.2、角色映射143.3、功能模块16四、使用SSL VPN的各个功能模块174.1、使用Core功能模块184.2、使用SAM功能模块194.3、使用Network
2、Connect模块23五、资源访问控制255.1、Core和SAM的资源访问控制265.2、SAM和NC的资源访问控制27六、设备管理286.1、系统概览286.2、日记系统296.3、系统升级306.4、设备排除31一、初始化设立1.1、通过Console连接SSL VPNSSL VPN的初始化是通过设备的Console端口完毕的,Console的设立如下:9600,8,N,1。在管理员的计算机上使用任意终端软件,涉及HyperTerminal,Crt,SecureCrt等等都行。把设备的Console线连接至SSL VPN的Console端口,启动电源开关,通过终端软件就能观测到设备启动自
3、检的过程。1.2、填写初始化信息当系统自检到如下信息时:Welcome to the initial configuration of your server!NOTE: Press y if this is a stand-alone server or the first machine in a clustered configuration.If this is going to be a member of an already running clusterpress n to reboot. When you see the Hit TAB for clustering opti
4、onsmessage press TAB and follow the directions.Would you like to proceed (y/n)?: y(选择Y)Note that continuing signifies that you accept the termsof the Neoteris license agreement. Type r to read thelicense agreement (the text is also available at any timefrom the License tab in the Administrator Conso
5、le).Do you agree to the terms of the license agreement (y/n/r)?: y(选择Y)初始化网络信息:Please provide ethernet configuration information IP address: 192.168.0.190 Network mask: 255.255.255.0 Default gateway: 192.168.0.254(填入用户需要的IP地址,掩码和网关等信息。注意:所有网络信息都会设立到SSL VPN的 Internal Interface上)Link speed Auto: 0) Au
6、to 1) 1000 Mb/s, Full Duplex 2) 1000 Mb/s, Half Duplex 3) 100 Mb/s, Full Duplex 4) 100 Mb/s, Half Duplex 5) 10 Mb/s, Full Duplex 6) 10 Mb/s, Half DuplexSelect 0-6: 0(选择用户需要的速率)Please provide DNS nameserver information: Primary DNS server: 202.106.0.20 Secondary (optional): 202.99.8.1(填入用户需要的DNS地址,可以
7、是内部的DNS服务器的IP地址)DNS domain(s): (填入用户需要的域名,无特别限制)Please provide Microsoft WINS server information: WINS server (optional): 确认初始化信息:Please confirm the following setup: IP address: 192.168.0.190 Network mask: 255.255.255.0 Gateway IP: 192.168.0.254 Link speed: Auto Primary DNS server: 202.106.0.20 Seco
8、ndary DNS: 202.99.8.1 DNS domain(s): WINS server: Correct? (y/n): y(确认无误后,选择Y)初始化安全信息:Admin username: adminPassword: Confirm password: The administrator was successfully created.(填入用户设定的管理员帐号和密码)设立SSL VPN自签证书:Please provide information to create a self-signed Web server digital certificate. Common n
9、ame (example: ): Organization name (example: Company Inc.): juniper(这个部分输入用户的证书信息,无特殊限制)Please enter some random characters to augment the systems random key generator. We recommend that you enter approximatelythirty characters.Random text (hit enter when done): dkfjlkkjffieejjkdnfkkfjiiiffoperjooot
10、pqe454646(这个部分输入30个左右的字符以产生证书)Creating self-signed digital certificate.The self-signed digital certificate was successfully created.Congratulations! You have successfully completed the initial set up of your server.(当您看到这句话时证明你已经成功的初始化SSL VPN了)https:/admin (note the s in https:/)Example: (按照上述的提醒,管理
11、员可以通过URL )1.3、使用浏览器连接SSL VPN如下图:在这个Web页面中填入刚刚建好的管理员帐号和密码就可以登陆到SSL VPN进行管理啦,至此SSL VPN初始化过程完毕。二、SSL VPN基本设立2.1、网络接口设立在初始化过程中我们设立了SSL VPN的Internal Interface,接下来我们设立External Interface。在浏览器上点击“Network-External Port-Setting”得到下图:在上图中,填入相应的External Port设立,即完毕了SSL VPN的网络初始设立。2.2、设立SSL VPN的LicenseSSL VPN要正常工
12、作,必须要有合适的License,所以给SSL VPN添加License是必不可少的。在浏览器上点击“Configuration-Licensing”得到下图:如上图所示,此设备拥有的是一个临时License,涉及了1000并发用户数和4 周的试用期限等。在添加License过程中,只需要在Company Name和License Key两个空栏中填入相关信息即可。2.3、添加用户认证服务器在配置完SSL VPN网络信息和License之后,就可以正常的使用SSL VPN了。为了让用户可以顺利的登入公司网,必须给用户进行身份认证。在身份认证的过程中,管理员可以选择使用SSL VPN内部的自建帐
13、号认证用户,也可以结合公司内部的认证服务器进行认证。对于选择不同的认证服务器的帐号,他们将会属于不同的SSL VPN认证域。例如,我们可以运用一个SSL VPN自建的认证服务器,认证合作伙伴和分支机构的用户;运用内部的LDAP服务器认证总部本地的员工。在浏览器上点击“Signing-Authentication/Authorization”得到下图在这个页面中,管理员将看到两个内置的认证服务器,Administrators和System Local。其中Administrator是添加SSL VPN管理员帐号的,而System Local是SSL VPN内建的一个普通用户的认证服务器。这是假如
14、我们想添加一个新认证服务器及认证域时,点击页面上的“New Server”,并在New的选栏中选择“IVE Authentication”得到下图:在该页面上的Name中输入认证服务器的名字(本例中是:IveLocal)等用户需要填入和勾选的其他选项,最后点击Save Changes即完毕新加一个认证服务器的设立了。2.4、添加认证用户在2.3的图中选择Users,即可进入到新建认证服务器的用户添加页面,如下图:点击New,即可加入在新建的认证服务器(本例的认证服务器是IveLocal)中添加一个用户,如下图:添加用户名和密码后,认证服务器Ivelocal就可以对这个新建用户进行身份的认证了。
15、2.5、添加SSL VPN的认证域每一个不同的认证服务器都可以有自己一套的用户数据库,无论使用的是SSL VPN内置机制建立的用户帐号数据库,还是使用集成公司内网的目录数据库,为了使认证机制更加合理和条理化,避免出现帐号反复和认证混乱的局面,Juniper SSL VPN引入了认证域的功能,在SSL VPN上把不同的认证服务器加入到不同的域,来认证不同域上的用户,同时也方便用户了解自己登陆时应当选择哪一个认证域和哪一个认证帐号。点击“Authentication”,得到下图:点击“new”,得到下图:在“Name”中,填入用户希望填入的认证域名。在“Authentication”中,选择使用认
16、证服务器Ivelocal来认证用户,最后点击“Save Changes”即完毕了认证域的添加。至此,Juniper SSL VPN的基本配置,涉及添加License和身份认证等设立都已完毕。三、角色映射和功能模块3.1、添加角色在用户通过SSL VPN的身份认验证之后,需要给用户分派角色,这个角色是在SSL VPN中设立的,并且这个角色决定了用户可以在公司内网中享有什么样的权限和能访问什么样的资源。点击,SSL VPN管理界面左栏的Roles,如下图:得到下图:点击New Role添加一个角色:3.2、角色映射在添加完角色后,就需要进行角色映射的工作,由于任何一个用户在身份认证之后,必须要把他
17、映射成为SSL VPN中的一个角色,这样他才干拥有这个角色所能使用SSL VPN的功能模块和这个角色所能访问公司内网资源的权利。以Office-Realm中的用户为例,点击Authentication-Office-Realm-Role Mapping,得到下图:选择New Rule在“is”的下拉菜单右边文本框中填入相应的用户名字,可以是某一具体的用户名,也可以用通配符表达用户名,例如:“*”表达人任何用户。在“Available Roles:”下的文本框中,选择相应的角色,分派给这个用户。例如假如我要把所有用户都分派给Users这个角色,则需要在”IS”下拉菜单右边的文本框中填入“*”,在
18、“Available Roles”中选择“Users”加入到“Selected Roles”中即可。 这样一个用户的角色映射就完毕啦。3.3、功能模块Juniper SSL VPN上有三个功能模块,一个是基于Web功能和文献共享的Core模块,一个是保证C/S结构应用(例如:Lotus,Exchange,ERP等)SAM模块和最后一个全三层网络连接的NC模块。根据设备的License,每一台设备所具有的功能模块是不同样的,对于SSL VPN 1000,3000和5000系列,其中的Core功能模块是标配的,其他功能模块是单独购买的,而对于SSL VPN RA500系列它只具有NC的功能模块,其
19、他功能模块需要单独购买。即便是一台设备具有了上述所有的功能模块,但是对于不同的角色,他可以使用SSL VPN的功能模块是不同样的。如下图,在我们建立一个角色时,可以选择他可以使用什么样的功能模块,比如说有的角色只能使用Web和Files共享,有的角色还可以使用Secure Application Manager的功能。在图中一共有四个SSL VPN建立的角色,All Emplyees,Excutives,Office-roles,和Users,但是从图中看出,每个角色所有拥有的SSL VPN功能模块是不同样的,比如Users角色只有Core和SAM的功能模块,而Office-Roles却有所有
20、Core,SAM和NC的功能模块。这样大大的增强了角色的灵活性和安全性。四、使用SSL VPN的各个功能模块所有SSL VPN用户在访问内网资源时,例如:内部Web服务器,内部Web Mail,内部的Loutes系统或是内部的ERP系统及一些网管系统,都是通过SSL VPN的三个功能模块来实现的。4.1、使用Core功能模块点击SSL VPN管理界面左部的RolesAll Employees-Web,得到下图:点击New BookMark,得到下图:在”Name”中填入自己想要的名字,假如说是公司内部网站,可以写”Corp Web”登,在”Description”中填入相关的描述,在”URL”
21、中填入公司网站的IP地址或是主机域名。点选”Auto-allow Bookmark”和”Everything under this Url”,点击Save Changes这样就添加了一个内部资源的访问条目。对于Core模块的另一个Files共享功能的实现原理基本和添加Web BookMark同样,请参考上述Web功能的设立环节。4.2、使用SAM功能模块对于拥有自己开发的基于C/S结构的应用如ERP系统或是Lotus的客户来说,假如希望通过SSL VPN来访问后端的C/S 应用,则需要使用到SAM功能模块。SAM模块有2种,一种是合用于Windows版本的SAM模块,一种是合用于Unix系统的
22、SAM模块。点击“RolesAll Employees-SAM”,得到下图,点击Add Application,得到下图,在Name中,填写应用程序的名字,如:Lotus等,假如需要有描述的话在Description中加入描述。假如客户的应用程序是自己开发的选择Custom application ,在Filename中填入客户端执行程序的名字,假如有必要,在Path后加入途径,点击Save application,即完毕了一个Sam条目的配置。假如客户的应用程序是标准的商业软件,如Lotus等,请选择Standard application,如下图:在Application框中选择,标准的程
23、序后,点击Save Application即可。假如公司内网的某台服务上有多个C/S应用在运营,为了方便管理员,SSL VPN允许添加一个Application Server,所有去往这个Server的请求都将被SSL VPN截获并解决,而不用在SAM中建立太多的客户端应用程序的条目(Application)。点击“RolesAll Employees-SAM”,得到下图,点击Add Server。,得到下图,在Name中填入服务器的名字,在Server中填入IP地址或是域名。点击Save Changes完毕配置。4.3、使用Network Connect模块对于一些专业的技术人员,假如要使用
24、UDP的协议,如SNMP等或是需要用到Server Initialization Protocol的应用时,这时候就需要SSL VPN的NC模块了。点击“RolesAll Employees-Network Connect”,得到下图:当希望客户在通过SSL VPN的NC模块登陆公司内网后,还可以让用户继续访问Internet,请选择Enable Split Tunneling。点击“Resources PoliceNetwork Connect-NC Connection Profile”,得到下图:点击New Profile.,得到下图:在Name中填入,NC分派的地址池名称,在IP Ad
25、dress Pool中填入NC使用的IP地址池,选择是否给使用NC的用户设立代理服务器,是否为这些用户设立内部DNS,以及调整这些用户的DNS查询顺序,选择这条Policy合用那个角色。点击Save Changes,完毕NC的设立注意:假如一个角色既有Core,SAM的功能模块,又有NC的功能模块,这几个的功能模块的执行优先顺序是CoreSAMNC,也就是说假如有一个用户登入SSL VPN后使用了NC模块,但是他发现自己访问内网的Web服务器时,依旧使用的是Core模块,这不用觉得奇怪。五、资源访问控制SSL VPN和传统的IPSec VPN最大的区别之一,就是SSL VPN拥有应用层的资源访
26、问控制,也就是说当一个用户登入SSL VPN之后,他不能象IPSec VPN用户那样自由的访问内网的所有资源,而必须接受SSL VPN的限制,有限制的访问内网资源。这样更提高了VPN网络的安全性和稳定性。5.1、Core和SAM的资源访问控制点击“Resources PoliceWeb-Access Control”,得到下图:SSL VPN会在此添加一个缺省的Web Access策略,允许用户访问所有Web资源。点击New Policy,得到下图,来建立新的Web Access策略。在“Name”中填入Web资源的名称,在“Resources”中加入需要控制的资源,可以根据Http,Http
27、s协议,URL,或是某段地址池来定义控制的资源,在“Roles”中,选择这个资源是针对于哪个角色的,在“Action”中选择定义的资源对于选定的角色是否运营其访问。这样就建立了一条Web Access方面资源访问控制。5.2、SAM和NC的资源访问控制分别点击“Resources Police SAM- Access Control”和“Resources Police Network Connect- Network ConnectAccess Control”,就可以SAM和NC两个模块的资源访问控制界面。它们的配置方法基本和Web Access的控制是同样的,只是在SAM中更侧重在TCP
28、端口和IP的资源控制,而在NC中则更侧重在对不同协议如,IP,TCP,ICMP,UDP等方面的ACL控制。六、设备管理6.1、系统概览Juniper的SSL VPN 自身的设备管理和监控方式非常简便但也很全面,第一次进入SSL VPN管理员界面时,SSL VPN会展示给管理员一个整个产品的概况图,如下:在这副图中,我们可以看到给设备目前的并发用户数,每秒的点击率,CPU及内存的使用率,吞吐量以及系统软件版本和运营连续时间等信息,对于网管人员来讲可以非常方面的一目了然SSL VPN的状态,这个功能是Juniper SSL VPN独有的,许多同类厂商的产品不具有这样的功能。6.2、日记系统Juni
29、per SSL VPN的日记系统非常全面,重要分三个方面记录日记,分别是用户日记,管理员日记和系统日记,每部分日记都有非常详尽的记录,涉及用户的登陆时间,登陆结果和访问资源的等许多信息,管理员可以自建Filter来查看自己感爱好的日记信息。点击“Log/Monitoring-User Access Log-log”,就可以得到用户访问日记。假如想看系统日记和管理员日记,点击:“Log/Monitoring-Event Log-log”和“Log/Monitoring-Admin Access Log -log”即可。假如管理员希望对这些日记可以做进一步的分析,例如运用第三方软件来解决这些日记信
30、息的话,SSL VPN也提供日记上传的功能,如下:点击“Archiving-Ftp Archiving”,得到下图在“Archives Setting”中,填入FTP服务器的相关信息,再点击“Archive User Access Log” ,选择记录日记的格式和设立上传的时间,即可完毕上传用户日记的设立。6.3、系统升级SSL VPN的系统升级,很简朴。只需要点击“System-Upgrade/Downgrade”后,在下图中选择:点击浏览,在自己的电脑中找到SSL VPN升级的软件,然后点击Install Now,即可完毕设备的系统升级。6.4、设备排除SSL VPN内置了许多排除的工具,
31、如TCP DUMP,System Snapshot,Ping和Traceroute等命令,帮助网管人员在发现问题时,可以有充足的工具和手段找出问题因素,解决问题故障并做好防止问题出现的措施。点击“Troubleshooting-Tcp Dump”,得到下图:在进行Tcp Dump时,选择在SSL VPN的内口或外口进行Sniffer,然好点击“Start Sniffing” 就可以开始收集数据包啦。收集一段时间后,点击“Stop Sniffing”,即可以停止收集,SSL VPN会提醒用户把收集后的数据文献存储在管理者的计算机上。这个文献可以用Ethereal软件打开。点击“Troubleshooting-Commands”,得到下图:SSL VPN支持运用Ping,Traceroute,Nslookup和ARP这四个命令进行网络层次的排除。在“Command”中,选择相应的命令,在“Target Server”中填入目的IP地址或是域名,点击OK,开始执行命令。在“Output”中可以看到这个命令执行的结果。
浙ICP备2021020529号-1 | 浙B2-20240490 
