juniper SSL VPN-售后培训-配置

环境拓扑X=StudentNumber(01–16)Linux,172.27.10.80Telnet,SSH,FTP,NFS,HTTP,HTTP-PROXYWin2K,AD,CAserver172.27.10.10172.27.10.0/24SerialConnectionSA172.27.10.4clientWin2K,172.27.10.20SA172.27.10.3clientWin2K,172.27.10.10X初始配置出厂恢复•为什么要学习出厂恢复–真正初始化一台设备–LICENSE到期后，需要初始化，可以使用原有的LICENSE(5.0以下的版本）•初始化设备的步骤–FactoryRestore设备，设备重新启动–初始化配置（网络配置，证书配置，管理员配置）–WEB登陆，升级系统软件–添加LICENSE通过串口进行初始化配置通过串口进行网络配置通过串口进行管理员配置自签名证书配置LAB1:通过串口进行初始化配置管理员登陆软件升级TaskGuide缺省系统设定•重新安装后，许多的IVE功能组件都有相关的初始配置–用户可以用‘*/’作为初始登陆界面，并且试验Users’authenticationrealm–建有初始的“users”realm•利用‘SystemLocal’认证服务器•有一条rolemappingrule：mapsalluserstothe‘Users’role–建有本地授权服务器‘SystemLocal’–建有‘Users’role可以进行WebandWindowsFiles的访问–为‘Users’role开放了相关的WebandWindowsFiles的访问资源对象AdminUI系统配置配置SA的步骤•配置SA的步骤–网络配置•IP地址，DNS，路由，host等。–认证服务器的配置•配置用户要使用的认证服务器（本地的或者第三方的）•可以多个认证服务器–用户角色的配置（ROLE)•具有相同权限的同一组用户•权限分配的基础，所有的访问控制策略都是基于ROLE–用户区域的配置（REALM)•使用相同的认证服务器的同一组用户•该组用户根据访问权限的不同，映射成不同的ROLE配置SA的步骤(续）•配置SA的步骤–资源访问策略的配置（resourcepolicy)•对于目标资源的访问控制，如WEB服务器，文件服务器等•针对于ROLE的访问权限控制（某个ROLE有何种访问权限）–用户登陆的配置（signinpolicy)•定制用户登陆界面（提供缺省界面）•定制用户登陆URL(缺省为*/)–用户的安全性检查（可选）•定制HOSTCHECK策略•定制CACHECLEANER策略配置实例•用户需求–无认身份证服务器–内部有WEB，SSH服务器–两个用户–用户分别有不同的访问权限配置步骤•1.添加本地认证服务器mylocalserver，•2.添加用户:user1:123456user2:123456•3.定义两个ROLE,•role1WEB服务•role2,WEB服务和ssh•4.定义一个REALM:myrealm,采用认证服务器mylocalserver，定义ROELmapping策略•ifusername=user1maptorole1•ifusername=user2maptorole2•5.资源访问策略的定制，可以通过角色中的自动允许完成•6。定义SIGN-INPOLCIY,•sign-inURL:*/•sign-inpage:defaultpage•Realm:myrealm•7.用户通过登陆，输入身份信息，OK配置的导入导出•二进制配置的导入导出–配置的导入导出configfile–用户的导入导出useraccount–导入的信息包含LICENSE的信息•XML形式导入导出–可以按照不同的配置类型导出–导出的配置为明文，可认的，可以修改–必须在同一版本间导入导出–对下列情形有用•增加大量的用户•修改大量的配置，如认证服务器，用户或其他•建立一个配置模板配置认证服务器配置身份认证服务器•我们将练习–本地认证服务器–AD服务器–证书服务器–anonymous认证服务器配置本地认证服务器•添加本地认证服务器–Signing-inservers–通过选择IVEauthentication，建立Newserver–输入认证服务器名localserver，对密码的相关要求–可以添加多个本地认证服务器•增加用户–进入localserveruser，添加用户•添加REALM，使用添加的本地认证服务器–User》Authentication建立新的Realms：localrealm•通过ROLEMAPPING实现授权–进入localrealmrolemapping，建立新的规则配置AD认证服务器•添加AD认证服务器–Signing-inservers–通过选择ActiveDirectory/WindowsNT，建立Newserver–输入AD的相关信息，名称，IP,Domain,管理员–可以添加多个AD认证服务器•添加REALM，使用添加的AD认证服务器•通过ROLEMAPPING实现授权•可以基于AD的相关属性，如组等，进行授权配置证书认证服务器•添加证书认证服务器–通过选择CertificateServer,建立Newserver–输入证书服务器的名称–加入IVE的证书，在ConfigurationCertificateTrustClientCA中加入–配置证书的其他属性，如CRL等•添加REALM，使用添加的证书认证服务器•通过ROLEMAPPING实现授权•实现USBKEY方式的身份认证，KEY中包含了用户的CA配置anonymous认证服务器•添加anonymous认证服务器–通过选择Anonymousserver,建立Newserver•添加REALM，使用添加的anonymous认证服务器•通过ROLEMAPPING实现授权•安全性不高，用户都可以使用•也存在最大并发用户的限制•一般在自动化测试中使用配置用户角色rolerole•General–选择该角色可以使用哪些服务，打勾•Sourceip–配置SA对内发起连接时，采用的源IP地址•Sessionoption–超时，COOKIE的相关选项•UIoption–用户成功登陆后的界面设置•Restriction–用户登陆，获得该角色的其他条件–如果不符合，则不能获取该ROLE的权限•添加BOOKMARK,当用户登陆成功后，呈现给用户一个包含所有BOOKMARK的界面GeneralOverviewWebBookmarksFilesWindowsBookmarksJ-SAM•JavaApplet–修改本地的host文件–在loopback地址进行连接的侦听–将数据包封装成SSL格式，转发给IVE•适合于基于静态的TCP端口的应用•支持如下服务:–MicrosoftMAPI–LotusNotes–CitrixNFuse–NetBIOSFileBrowsingJ-SAMAddApplicationJ-SAMOptionsW-SAM•ActiveXControl•Windows-32agent•透明的重定向系统请求–基于单个的应用(客户端进程)–基于单个主机或网络(hostname/iprange)•截获相关的应用数据–Socket连接调用–DNS查询W-SAMAddApplicationW-SAMAddServerW-SAMOptionsNetworkConnect•基于SSL的网络层的远程访问–类似IPSEC，用的是https或者UDP–可以穿越防火墙或者代理设备•跨平台的支持–在主机上安装一个虚拟的PPPadapter–需要管理员权限•支持隧道分割和不分割的模式NetworkConnectTelnet/SSHClientTelnet/SSHSessions(Bookmarks)TerminalServicesTerminalServicesSessions配置ResourcepolicyResourcepolicy•对目标访问资源的访问控制–针对多种访问方式，有不同的控制策略–access,访问控制，各种访问方式都有access–在ROLE中添加的自动允许访问的策略，在这里会有体现•名称•目标的资源•控制的方式，允许或拒绝，或者detail•应用到的ROLE特殊的Resourcepolicy•Webcache–缺省对所有的WEB内容，修改HTTP头的CACHE选项，在客户端不保留CACHE–对于某些文件无法正常下载，不修改CACHE–对于无法在WEB页面点击“回退”，不修改CACHE–对于有的WEB页面中的图片无法正常显示，需要增大CACHEOPTION中的值特殊的Resourcepolicy•WebJava–JAVA的连接不同于基本的WEB–设置JAVA连接的IP地址和端口号–Codesigning:缺省IVE用自己的证书对经IVE转发的javaapplet进行签名，由于其不是客户端可信的证书，会在客户端产生警告信息，–要消除警告信息，可以上载服务器的证书到IVE上，利用这个证书对javaapplet进行签名。–上传一个APPLET到IVE上，可以做成BOOKMARK,以后点击这个BOOKMARK,就可以运行这个APPLET特殊的Resourcepolicy•WebRemoteSSOSAML–单点登陆–Remote–Header/cookie–saml特殊的Resourcepolicy•WebLauchJSAM–用户在登陆某个页面的时候，自动启动JSAM•点击IVE上的某个BOOKMARK•在IVE的主页上输入某个URL•在用户的IE的URL栏中输入，无效！！！–在管理员不希望用户在平时使用JSAM的情形特殊的Resourcepolicy•Webrewriting–SelectiveRewriting•系统缺省对所有的内容进行改写•需要不进行改写的情况•如果希望通过SAM/NC进行WEB的访问，实现了利用BOOKMARK，进行SAM/NC访问•如果希望访问外部的服务器时不进行重写–Passthroughproxy•对WEB页面进行最小的改写•IP地址或者端口映射•需要修改防火墙的安全策略特殊的Resourcepolicy•Webproxy–SA通过另外的代理服务器实现对其他WEB服务器的访问–定义代理服务器（IP地址和端口）–定义哪些WEB服务器需要通过代理服务器访问–对于内部用户通过代理上网的客户，可能用到。特殊的Resourcepolicy•NCNetworkConnectConnectionProfiles–定义NC模式下，客户端的地址池•静态地址池•DHCP–定义NC的传输模式•TCP443•UDP–定义NC的加密算法–定义NC的压缩–定义NC的DNS设置（如果需要内部的DNS）–定义NC的代理设置特殊的Resourcepolicy•NCSplitTunnelingPolicies–在role中指定是否进行隧道分割–隧道分割•对于指定的地址，通过NC进行通讯•对于其他地址，直接连接几个问题1.如何限制系统管理员只能从指定的地址登陆？回答:1•对管理员的登陆进行限制–Administratorauthenticationadminuserauthenticationpolicysourceip–输入允许访问的地址或者网段•是否可以对管理员做其他的限制–密码属性？–数字证书？–客户端软件？–主机安全状况？2.如何允许普通用户更改密码，怎样更改密码？回答:2•对于本地认证服务器–Baseline–需要在两个地方设置，允许密码管理–认证服务器：sign-inserverlocalserver（你定义的认证服务器）settingpaswordmanagement–Realm:localrealmauthenticationpolicypassword