2022年优秀-juniper-SSL-VPN售后培训配置

环境拓扑X=StudentNumber(01–16)Telnet,SSH,FTP,NFS,HTTP,HTTP-PROXYWin2K,AD,CAserverSerialConnectionSAclientSAclient初始配置胜人者有力，自胜者强。NetBIOSFileBrowsing管理员组拥有最大的权限AdminAccessLog客户端保留了永久的COOKIE特殊的ResourcepolicyWeb>LauchJSAMClustering>joincluster内部有WEB，SSH，文件服务器针对于ROLE的访问权限控制（某个ROLE有何种访问权限）J-SAM>AddApplication1:23:04下午1:23下午13:23:0410月-22Header/cookie用户的安全性检查（可选）对目标访问资源的访问控制Fusceidurnablandit,eleifendnullaac,fringillapurus.出厂恢复为什么要学习出厂恢复真正初始化一台设备LICENSE到期后，需要初始化，可以使用原有的LICENSE(5.0以下的版本）初始化设备的步骤FactoryRestore设备，设备重新启动初始化配置（网络配置，证书配置，管理员配置）WEB登陆，升级系统软件添加LICENSE通过串口进行初始化配置通过串口进行网络配置通过串口进行管理员配置自签名证书配置LAB1:通过串口进行初始化配置管理员登陆软件升级TaskGuide缺省系统设定重新安装后，许多的IVE功能组件都有相关的初始配置用户可以用‘*/’作为初始登陆界面，并且试验Users’authenticationrealm

建有初始的“users”realm利用‘SystemLocal’认证服务器有一条rolemappingrule：mapsalluserstothe‘Users’role建有本地授权服务器‘SystemLocal’建有‘Users’role可以进行WebandWindowsFiles的访问为‘Users’role开放了相关的WebandWindowsFiles的访问资源对象AdminUI系统配置配置SA的步骤配置SA的步骤网络配置IP地址，DNS，路由，host等。认证服务器的配置配置用户要使用的认证服务器（本地的或者第三方的）可以多个认证服务器用户角色的配置（ROLE)具有相同权限的同一组用户权限分配的基础，所有的访问控制策略都是基于ROLE用户区域的配置（REALM)使用相同的认证服务器的同一组用户该组用户根据访问权限的不同，映射成不同的ROLE配置SA的步骤(续）配置SA的步骤资源访问策略的配置（resourcepolicy)对于目标资源的访问控制，如WEB服务器，文件服务器等针对于ROLE的访问权限控制（某个ROLE有何种访问权限）用户登陆的配置（signinpolicy)定制用户登陆界面（提供缺省界面）定制用户登陆URL(缺省为*/)用户的安全性检查（可选）定制HOSTCHECK策略定制CACHECLEANER策略配置实例用户需求无认身份证服务器内部有WEB，SSH服务器两个用户用户分别有不同的访问权限配置步骤1.添加本地认证服务器mylocalserver，2.添加用户:user1:123456user2:1234563.定义两个ROLE, role1WEB服务

role2,WEB服务和ssh4.定义一个REALM:myrealm,采用认证服务器mylocalserver，定义ROELmapping策略

ifusername="user1"maptorole1ifusername="user2"maptorole25.资源访问策略的定制，可以通过角色中的自动允许完成6。定义SIGN-INPOLCIY,sign-inURL:*/sign-inpage:defaultpageRealm:myrealm7.用户通过登陆，输入身份信息，OK配置的导入导出二进制配置的导入导出配置的导入导出configfile用户的导入导出useraccount导入的信息包含LICENSE的信息XML形式导入导出可以按照不同的配置类型导出导出的配置为明文，可认的，可以修改必须在同一版本间导入导出 对下列情形有用增加大量的用户修改大量的配置，如认证服务器，用户或其他建立一个配置模板配置认证服务器配置身份认证服务器我们将练习本地认证服务器AD服务器证书服务器anonymous认证服务器配置本地认证服务器添加本地认证服务器Signing-in>servers通过选择IVEauthentication，建立Newserver输入认证服务器名localserver，对密码的相关要求可以添加多个本地认证服务器增加用户进入localserver>user，添加用户添加REALM，使用添加的本地认证服务器User》Authentication建立新的Realms：localrealm通过ROLEMAPPING实现授权进入localrealm>rolemapping，建立新的规则配置AD认证服务器添加AD认证服务器Signing-in>servers通过选择ActiveDirectory/WindowsNT，建立Newserver输入AD的相关信息，名称，IP,Domain,管理员可以添加多个AD认证服务器添加REALM，使用添加的AD认证服务器通过ROLEMAPPING实现授权可以基于AD的相关属性，如组等，进行授权配置证书认证服务器添加证书认证服务器通过选择CertificateServer,建立Newserver输入证书服务器的名称加入IVE的证书，在Configuration>Certificate>TrustClientCA中加入配置证书的其他属性，如CRL等添加REALM，使用添加的证书认证服务器通过ROLEMAPPING实现授权实现USBKEY方式的身份认证，KEY中包含了用户的CA配置anonymous认证服务器添加anonymous认证服务器通过选择Anonymousserver,建立Newserver添加REALM，使用添加的anonymous认证服务器通过ROLEMAPPING实现授权安全性不高，用户都可以使用也存在最大并发用户的限制一般在自动化测试中使用配置用户角色roleroleGeneral选择该角色可以使用哪些服务，打勾Sourceip配置SA对内发起连接时，采用的源IP地址Sessionoption超时，COOKIE的相关选项UIoption用户成功登陆后的界面设置Restriction用户登陆，获得该角色的其他条件如果不符合，则不能获取该ROLE的权限添加BOOKMARK,当用户登陆成功后，呈现给用户一个包含所有BOOKMARK的界面General>OverviewWeb>BookmarksFiles>WindowsBookmarksJ-SAMJavaApplet修改本地的host文件在loopback地址进行连接的侦听将数据包封装成SSL格式，转发给IVE适合于基于静态的TCP端口的应用支持如下服务:MicrosoftMAPILotusNotesCitrixNFuseNetBIOSFileBrowsingJ-SAM>AddApplicationJ-SAM>OptionsW-SAMActiveXControlWindows-32agent透明的重定向系统请求基于单个的应用(客户端进程)基于单个主机或网络(hostname/iprange)截获相关的应用数据Socket连接调用DNS查询W-SAM>AddApplicationW-SAM>AddServerW-SAM>OptionsNetworkConnect基于SSL的网络层的远程访问类似IPSEC，用的是https或者UDP可以穿越防火墙或者代理设备跨平台的支持在主机上安装一个虚拟的PPPadapter需要管理员权限支持隧道分割和不分割的模式NetworkConnectTelnet/SSHClientTelnet/SSH>Sessions(Bookmarks)TerminalServicesTerminalServices>Sessions配置ResourcepolicyResourcepolicy对目标访问资源的访问控制针对多种访问方式，有不同的控制策略

access,访问控制，各种访问方式都有access在ROLE中添加的自动允许访问的策略，在这里会有体现名称目标的资源控制的方式，允许或拒绝，或者detail应用到的ROLE特殊的ResourcepolicyWeb>cache缺省对所有的WEB内容，修改HTTP头的CACHE选项，在客户端不保留CACHE对于某些文件无法正常下载，不修改CACHE对于无法在WEB页面点击“回退”，不修改CACHE对于有的WEB页面中的图片无法正常显示，需要增大CACHEOPTION中的值特殊的ResourcepolicyWeb>JavaJAVA的连接不同于基本的WEB设置JAVA连接的IP地址和端口号Codesigning:缺省IVE用自己的证书对经IVE转发的javaapplet进行签名，由于其不是客户端可信的证书，会在客户端产生警告信息，要消除警告信息，可以上载服务器的证书到IVE上，利用这个证书对javaapplet进行签名。上传一个APPLET到IVE上，可以做成BOOKMARK,以后点击这个BOOKMARK,就可以运行这个APPLET特殊的ResourcepolicyWeb>RemoteSSOSAML单点登陆RemoteHeader/cookiesaml特殊的ResourcepolicyWeb>LauchJSAM用户在登陆某个页面的时候，自动启动JSAM点击IVE上的某个BOOKMARK在IVE的主页上输入某个URL在用户的IE的URL栏中输入，无效！！！在管理员不希望用户在平时使用JSAM的情形特殊的ResourcepolicyWeb>rewritingSelectiveRewriting系统缺省对所有的内容进行改写需要不进行改写的情况如果希望通过SAM/NC进行WEB的访问，实现了利用BOOKMARK，进行SAM/NC访问如果希望访问外部的服务器时不进行重写Passthroughproxy对WEB页面进行最小的改写IP地址或者端口映射需要修改防火墙的安全策略特殊的ResourcepolicyWeb>proxySA通过另外的代理服务器实现对其他WEB服务器的访问定义代理服务器（IP地址和端口）定义哪些WEB服务器需要通过代理服务器访问对于内部用户通过代理上网的客户，可能用到。特殊的ResourcepolicyNC>NetworkConnectConnectionProfiles定义NC模式下，客户端的地址池静态地址池DHCP定义NC的传输模式TCP443UDP定义NC的加密算法定义NC的压缩定义NC的DNS设置（如果需要内部的DNS）定义NC的代理设置特殊的ResourcepolicyNC>SplitTunnelingPolicies在role中指定是否进行隧道分割隧道分割对于指定的地址，通过NC进行通讯对于其他地址，直接连接几个问题1.如何限制系统管理员只能从指定的地址登陆？回答:1对管理员的登陆进行限制Administrator>authentication>adminuser>authenticationpolicy>sourceip输入允许访问的地址或者网段是否可以对管理员做其他的限制密码属性？数字证书？客户端软件？主机安全状况？2.如何允许普通用户更改密码，怎样更改密码？回答:2对于本地认证服务器Baseline需要在两个地方设置，允许密码管理认证服务器：sign-in>server>localserver（你定义的认证服务器）>setting>paswordmanagementRealm:localrealm>authenticationpolicy>password>passwordmanagement对于第三方的认证服务器需要advance的license只需要在Realm中设定服务器配置时，一定要输入正确的管理员信息用户如何修改密码首选项》常规

3.如果进行配置的时候，管理员用户长时间不用，总是自动退出，应该怎么处理？回答:3需要修改管理员的超时总的超时时间IDLE超时时间Administrator>delegation>.administrator>general>Sessionoption对普通用户的登陆，也可以做超时限制在相应的role中配置

4.用户在关闭浏览器后，SSLVPN的连接不中断，应该怎么配置？

回答:4客户端保留了永久的COOKIE浏览器关闭后，应该删除COOKIE修改相应的role中的Sessionoption将persistentcookie改为disable

5.如何自定制用户认证前和认证后的界面？

回答:5用户认证前的界面sign-inpageSign-in>sign-inpage修改或者定制界面用sign-inpolicy配置让用户使用这个界面用户认证后的界面，role中的UIoptionRole>general>UIoption

6.如何配置HA

配置cluster两台相同型号的SA相同的软件版本相同的license通过CM来统一管理配置cluster的步骤配置好两台单独的设备的网络配置在一台设置中建立cluster:Clustering>createclusterClusternamePassword本机name配置clusterproperitiesHA的方式：主备/多主如果是主备方式，配置VIP添加成员addmembers成员名，IP地址在第二台设备上，joinclusterClustering>joinclusterTroubleshootingTrouble-shooting的工具系统日志Policytracingandsimulation其他troubleshooting工具Logging主要的troubleshooting工具遇到困难的时候,查看日志所有设备发生的事件(包括客户端)都进行了记录可以通过FILTER实现日志的查询CM提供更好的日志查询支持日志分类EventLogUserAccessLogAdminAccessLogEventLogUserAccessLogAdminAccessLogLogSettingsPolicyTracing通过记录一个真实用户的登陆记录，来进行trouble-shooting输入用户名和realm可以记录三个方面的内容该用户的认证状况authentication该用户的授权状况Role-mapping该用户的资源访问状况ResourcepolicyPolicyTracingPolicySimulationPolicySimulation建立虚拟的用户连接，不需要用户的真正登陆可以在设备真正部署之前，验证认证和授权的正确性可以记录三个方面的内容Pre-authenticationRole-mappingResourcepolicy其他的自助工具PingTracerouteNSlookupArpTcpdumpLAB:配置实例用户需求已有AD认证服务器内部有WEB，SSH，文件服务器希望对部分用户开启NC全网络访问用户基于AD认证服务器上的组进行，进行授权管理员组拥有最大的权限普通用户组只能访问WEB用户可以在SSLVPN的界面中，修改密码配置步骤查看设备状态Advancelicense(修改密码用）NClicense(NC使用）配置基本的网络参数添加AD认证服务器：myad建立两个roleAdmin:可以访问WEB,SSH,FILE,NCemployee:可以访问WEB建立相应的BOOKMARK建立realm:company,使用myad作为认证和授权服务器配置rolemappingIfgroup=“admin”,mappedtoadminIfgroup=“users”,mappedtoemployee设置passwordmanagementWEB登陆，升级系统软件特殊的Resourcepolicy用户通过登陆，输入身份信息，OK对于目标资源的访问控制，如WEB服务器，文件服务器等SA通过另外的代理服务器实现对其他WEB服务器的访问修改本地的host文件Realm:localrealm>authenticationpolicy>password>passwordmanagementanonymous认证服务器对普通用户的登陆，也可以做超时限制12:51:46下午12:51下午12:51:4610月-2212:51:46下午12:51下午12:51:4610月-22添加本地认证服务器mylocalserver，要消除警告信息，可以上载服务器的证书到IVE上，利用这个证书对javaapplet进行签名。重新安装后，许多的IVE功能组件都有相关的初始配置加入IVE的证书，在Configuration>Certificate>TrustClientCA中加入配置步骤(续）配置resourcepolicyWEBACCESSFILEACCESSSSHACCESSNCACCESS,PROFILE,TUNNELSPLIT配置sign-inpolicyRealmcompany使用*/登陆，defaultpage9、静夜四无邻，荒居旧业贫。。11月-2211月-22Tuesday,November22,202210、雨中黄叶树，灯下白头人。。15:40:5815:40:5815:4011/22/20223:40:58PM11、以我独沈久，愧君相见频。。11月-2215:40:5815:40Nov-2222-Nov-2212、故人江海别，几度隔山川。。15:40:5815:40:5815:40Tuesday,November22,202213、乍见翻疑梦，相悲各问年。。11月-2211月-2215:40:5815:40:58November22,202214、他乡生白发，旧国见青山。。22十一月20223:40:58下午15:40:5811月-2215、比不了得就不比，得不到的就不要。。。十一月223:40下午11月-2215:40November22,202216、行动出成果，工作出财富。。2022/11/2215:40:5815:40:5822November202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。。3:40:58下午3:40下午15:40:5811月-229、没有失败，只有暂时停止成功！。11月-2211月-22Tuesday,November22,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。。15:40:5815:40:5815:4011/22/20223:40:58PM11、成功就是日复一日那一点点小小努力的积累。。11月-2215:40:5815:40Nov-2222-Nov-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。。15:40:5815:40:5815:40Tuesday,November22,202213、不知香积寺，数里入云峰。。11月-2211月-2215:40:5815:40:58November22