juniper-SSL-VPN-售后培訓(xùn)-配置

環(huán)境拓?fù)鋁=StudentNumber(01–16)Telnet,SSH,FTP,NFS,HTTP,HTTP-PROXYWin2K,AD,CAserverSerialConnectionSAclientSAclient初始配置出廠恢復(fù)為什么要學(xué)習(xí)出廠恢復(fù)真正初始化一臺設(shè)備LICENSE到期后，需要初始化，可以使用原有的LICENSE(5.0以下的版本〕初始化設(shè)備的步驟FactoryRestore設(shè)備，設(shè)備重新啟動初始化配置〔網(wǎng)絡(luò)配置，證書配置，管理員配置〕WEB登陸，升級系統(tǒng)軟件添加LICENSE通過串口進(jìn)行初始化配置通過串口進(jìn)行網(wǎng)絡(luò)配置通過串口進(jìn)行管理員配置自簽名證書配置LAB1:通過串口進(jìn)行初始化配置管理員登陸軟件升級TaskGuide缺省系統(tǒng)設(shè)定重新安裝后，許多的IVE功能組件都有相關(guān)的初始配置用戶可以用‘*/’作為初始登陸界面，并且試驗(yàn)Users’authenticationrealm建有初始的“users”realm利用‘SystemLocal’認(rèn)證效勞器有一條rolemappingrule：mapsalluserstothe‘Users’role建有本地授權(quán)效勞器‘SystemLocal’建有‘Users’role可以進(jìn)行WebandWindowsFiles的訪問為‘Users’role開放了相關(guān)的WebandWindowsFiles的訪問資源對象AdminUI系統(tǒng)配置配置SA的步驟配置SA的步驟網(wǎng)絡(luò)配置IP地址，DNS，路由，host等。認(rèn)證效勞器的配置配置用戶要使用的認(rèn)證效勞器〔本地的或者第三方的〕可以多個認(rèn)證效勞器用戶角色的配置〔ROLE)具有相同權(quán)限的同一組用戶權(quán)限分配的根底，所有的訪問控制策略都是基于ROLE用戶區(qū)域的配置〔REALM)使用相同的認(rèn)證效勞器的同一組用戶該組用戶根據(jù)訪問權(quán)限的不同，映射成不同的ROLE配置SA的步驟(續(xù)〕配置SA的步驟資源訪問策略的配置〔resourcepolicy)對于目標(biāo)資源的訪問控制，如WEB效勞器，文件效勞器等針對于ROLE的訪問權(quán)限控制〔某個ROLE有何種訪問權(quán)限〕用戶登陸的配置〔signinpolicy)定制用戶登陸界面〔提供缺省界面〕定制用戶登陸URL(缺省為*/)用戶的平安性檢查〔可選〕定制HOSTCHECK策略定制CACHECLEANER策略配置實(shí)例用戶需求無認(rèn)身份證效勞器內(nèi)部有WEB，SSH效勞器兩個用戶用戶分別有不同的訪問權(quán)限配置步驟1.添加本地認(rèn)證效勞器mylocalserver，2.添加用戶:user1:123456user2:1234563.定義兩個ROLE, role1WEB效勞 role2,WEB效勞和ssh4.定義一個REALM:myrealm,采用認(rèn)證效勞器mylocalserver，定義ROELmapping策略ifusername="user1"maptorole1ifusername="user2"maptorole25.資源訪問策略的定制，可以通過角色中的自動允許完成6。定義SIGN-INPOLCIY,sign-inURL:*/sign-inpage:defaultpageRealm:myrealm7.用戶通過登陸，輸入身份信息，OK配置的導(dǎo)入導(dǎo)出二進(jìn)制配置的導(dǎo)入導(dǎo)出配置的導(dǎo)入導(dǎo)出configfile用戶的導(dǎo)入導(dǎo)出useraccount導(dǎo)入的信息包含LICENSE的信息XML形式導(dǎo)入導(dǎo)出可以按照不同的配置類型導(dǎo)出導(dǎo)出的配置為明文，可認(rèn)的，可以修改必須在同一版本間導(dǎo)入導(dǎo)出 對以下情形有用增加大量的用戶修改大量的配置，如認(rèn)證效勞器，用戶或其他建立一個配置模板配置認(rèn)證效勞器配置身份認(rèn)證效勞器我們將練習(xí)本地認(rèn)證效勞器AD效勞器證書效勞器anonymous認(rèn)證效勞器配置本地認(rèn)證效勞器添加本地認(rèn)證效勞器Signing-in>servers通過選擇IVEauthentication，建立Newserver輸入認(rèn)證效勞器名localserver，對密碼的相關(guān)要求可以添加多個本地認(rèn)證效勞器增加用戶進(jìn)入localserver>user，添加用戶添加REALM，使用添加的本地認(rèn)證效勞器User》Authentication建立新的Realms：localrealm通過ROLEMAPPING實(shí)現(xiàn)授權(quán)進(jìn)入localrealm>rolemapping，建立新的規(guī)那么配置AD認(rèn)證效勞器添加AD認(rèn)證效勞器Signing-in>servers通過選擇ActiveDirectory/WindowsNT，建立Newserver輸入AD的相關(guān)信息，名稱，IP,Domain,管理員可以添加多個AD認(rèn)證效勞器添加REALM，使用添加的AD認(rèn)證效勞器通過ROLEMAPPING實(shí)現(xiàn)授權(quán)可以基于AD的相關(guān)屬性，如組等，進(jìn)行授權(quán)配置證書認(rèn)證效勞器添加證書認(rèn)證效勞器通過選擇CertificateServer,建立Newserver輸入證書效勞器的名稱參加IVE的證書，在Configuration>Certificate>TrustClientCA中參加配置證書的其他屬性，如CRL等添加REALM，使用添加的證書認(rèn)證效勞器通過ROLEMAPPING實(shí)現(xiàn)授權(quán)實(shí)現(xiàn)USBKEY方式的身份認(rèn)證，KEY中包含了用戶的CA配置anonymous認(rèn)證效勞器添加anonymous認(rèn)證效勞器通過選擇Anonymousserver,建立Newserver添加REALM，使用添加的anonymous認(rèn)證效勞器通過ROLEMAPPING實(shí)現(xiàn)授權(quán)平安性不高，用戶都可以使用也存在最大并發(fā)用戶的限制一般在自動化測試中使用配置用戶角色roleroleGeneral選擇該角色可以使用哪些效勞，打勾Sourceip配置SA對內(nèi)發(fā)起連接時，采用的源IP地址Sessionoption超時，COOKIE的相關(guān)選項UIoption用戶成功登陸后的界面設(shè)置Restriction用戶登陸，獲得該角色的其他條件如果不符合，那么不能獲取該ROLE的權(quán)限添加BOOKMARK,當(dāng)用戶登陸成功后，呈現(xiàn)給用戶一個包含所有BOOKMARK的界面General>OverviewWeb>BookmarksFiles>WindowsBookmarksJ-SAMJavaApplet修改本地的host文件在loopback地址進(jìn)行連接的偵聽將數(shù)據(jù)包封裝成SSL格式，轉(zhuǎn)發(fā)給IVE適合于基于靜態(tài)的TCP端口的應(yīng)用支持如下效勞:MicrosoftMAPILotusNotesCitrixNFuseNetBIOSFileBrowsingJ-SAM>AddApplicationJ-SAM>OptionsW-SAMActiveXControlWindows-32agent透明的重定向系統(tǒng)請求基于單個的應(yīng)用(客戶端進(jìn)程)基于單個主機(jī)或網(wǎng)絡(luò)(hostname/iprange)截獲相關(guān)的應(yīng)用數(shù)據(jù)Socket連接調(diào)用DNS查詢W-SAM>AddApplicationW-SAM>AddServerW-SAM>OptionsNetworkConnect基于SSL的網(wǎng)絡(luò)層的遠(yuǎn)程訪問類似IPSEC，用的是s或者UDP可以穿越防火墻或者代理設(shè)備跨平臺的支持在主機(jī)上安裝一個虛擬的PPPadapter需要管理員權(quán)限支持隧道分割和不分割的模式NetworkConnectTelnet/SSHClientTelnet/SSH>Sessions(Bookmarks)TerminalServicesTerminalServices>Sessions配置ResourcepolicyResourcepolicy對目標(biāo)訪問資源的訪問控制針對多種訪問方式，有不同的控制策略access,訪問控制，各種訪問方式都有access在ROLE中添加的自動允許訪問的策略，在這里會有表達(dá)名稱目標(biāo)的資源控制的方式，允許或拒絕，或者detail應(yīng)用到的ROLE特殊的ResourcepolicyWeb>cache缺省對所有的WEB內(nèi)容，修改HTTP頭的CACHE選項，在客戶端不保存CACHE對于某些文件無法正常下載，不修改CACHE對于無法在WEB頁面點(diǎn)擊“回退”，不修改CACHE對于有的WEB頁面中的圖片無法正常顯示，需要增大CACHEOPTION中的值特殊的ResourcepolicyWeb>JavaJAVA的連接不同于根本的WEB設(shè)置JAVA連接的IP地址和端口號Codesigning:缺省IVE用自己的證書對經(jīng)IVE轉(zhuǎn)發(fā)的javaapplet進(jìn)行簽名，由于其不是客戶端可信的證書，會在客戶端產(chǎn)生警告信息，要消除警告信息，可以上載效勞器的證書到IVE上，利用這個證書對javaapplet進(jìn)行簽名。上傳一個APPLET到IVE上，可以做成BOOKMARK,以后點(diǎn)擊這個BOOKMARK,就可以運(yùn)行這個APPLET特殊的ResourcepolicyWeb>RemoteSSOSAML單點(diǎn)登陸RemoteHeader/cookiesaml特殊的ResourcepolicyWeb>LauchJSAM用戶在登陸某個頁面的時候，自動啟動JSAM點(diǎn)擊IVE上的某個BOOKMARK在IVE的主頁上輸入某個URL在用戶的IE的URL欄中輸入，無效?。。≡诠芾韱T不希望用戶在平時使用JSAM的情形特殊的ResourcepolicyWeb>rewritingSelectiveRewriting系統(tǒng)缺省對所有的內(nèi)容進(jìn)行改寫需要不進(jìn)行改寫的情況如果希望通過SAM/NC進(jìn)行WEB的訪問，實(shí)現(xiàn)了利用BOOKMARK，進(jìn)行SAM/NC訪問如果希望訪問外部的效勞器時不進(jìn)行重寫Passthroughproxy對WEB頁面進(jìn)行最小的改寫IP地址或者端口映射需要修改防火墻的平安策略特殊的ResourcepolicyWeb>proxySA通過另外的代理效勞器實(shí)現(xiàn)對其他WEB效勞器的訪問定義代理效勞器〔IP地址和端口〕定義哪些WEB效勞器需要通過代理效勞器訪問對于內(nèi)部用戶通過代理上網(wǎng)的客戶，可能用到。特殊的ResourcepolicyNC>NetworkConnectConnectionProfiles定義NC模式下，客戶端的地址池靜態(tài)地址池DHCP定義NC的傳輸模式TCP443UDP定義NC的加密算法定義NC的壓縮定義NC的DNS設(shè)置〔如果需要內(nèi)部的DNS〕定義NC的代理設(shè)置特殊的ResourcepolicyNC>SplitTunnelingPolicies在role中指定是否進(jìn)行隧道分割隧道分割對于指定的地址，通過NC進(jìn)行通訊對于其他地址，直接連接幾個問題1.如何限制系統(tǒng)管理員只能從指定的地址登陸？答復(fù):1對管理員的登陸進(jìn)行限制Administrator>authentication>adminuser>authenticationpolicy>sourceip輸入允許訪問的地址或者網(wǎng)段是否可以對管理員做其他的限制密碼屬性？數(shù)字證書？客戶端軟件？主機(jī)平安狀況？2.如何允許普通用戶更改密碼，怎樣更改密碼？答復(fù):2對于本地認(rèn)證效勞器Baseline需要在兩個地方設(shè)置，允許密碼管理認(rèn)證效勞器：sign-in>server>localserver〔你定義的認(rèn)證效勞器〕>setting>paswordmanagementRealm:localrealm>authenticationpolicy>password>passwordmanagement對于第三方的認(rèn)證效勞器需要advance的license只需要在Realm中設(shè)定效勞器配置時，一定要輸入正確的管理員信息用戶如何修改密碼首選項》常規(guī)

3.如果進(jìn)行配置的時候，管理員用戶長時間不用，總是自動退出，應(yīng)該怎么處理？答復(fù):3需要修改管理員的超時總的超時時間IDLE超時時間Administrator>delegation>.administrator>general>Sessionoption對普通用戶的登陸，也可以做超時限制在相應(yīng)的role中配置

4.用戶在關(guān)閉瀏覽器后，SSLVPN的連接不中斷，應(yīng)該怎么配置？

答復(fù):4客戶端保存了永久的COOKIE瀏覽器關(guān)閉后，應(yīng)該刪除COOKIE修改相應(yīng)的role中的Sessionoption將persistentcookie改為disable

5.如何自定制用戶認(rèn)證前和認(rèn)證后的界面？

答復(fù):5用戶認(rèn)證前的界面sign-inpageSign-in>sign-inpage修改或者定制界面用sign-inpolicy配置讓用戶使用這個界面用戶認(rèn)證后的界面，role中的UIoptionRole>general>UIoption

6.如何配置HA

配置cluster兩臺相同型號的SA相同的軟件版本相同的license通過CM來統(tǒng)一管理配置cluster的步驟配置好兩臺單獨(dú)的設(shè)備的網(wǎng)絡(luò)配置在一臺設(shè)置中建立cluster:Clustering>createclusterClusternamePassword本機(jī)name配置clusterproperitiesHA的方式：主備/多主如果是主備方式，配置VIP添加成員addmembers成員名，IP地址在第二臺設(shè)備上，joinclusterClustering>joinclusterTroubleshootingTrouble-shooting的工具系統(tǒng)日志Policytracingandsimulation其他troubleshooting工具Logging主要的troubleshooting工具遇到困難的時候,查看日志所有設(shè)備發(fā)生的事件(包括客戶端)都進(jìn)行了記錄可以通過FILTER實(shí)現(xiàn)日志的查詢CM提供更好的日志查詢支持日志分類EventLogUserAccessLogAdminAccessLogEventLogUserAccessLogAdminAccessLogLogSettingsPolicyTracing通過記錄一個真實(shí)用戶的登陸記錄，來進(jìn)行trouble-shooting輸入用戶名和realm可以記錄三個方面的內(nèi)容該用戶的認(rèn)證狀況authentication該用戶的授權(quán)狀況Role-mapping該用戶的資源訪問狀況ResourcepolicyPolicyTracingPolicySimulationPolic