juniper netscreen ssl vpn配置手冊(cè)

1、<p>　　Juniper Netscreen SSL VPN </p><p><b>　　配置手冊(cè)</b></p><p><b>　　神州數(shù)碼</b></p><p><b>　　2006.8</b></p><p><b>　　目 錄<

2、/b></p><p><b>　　一、初始化設(shè)置3</b></p><p>　　1.1、通過Console連接SSL VPN3</p><p>　　1.2、填寫初始化信息3</p><p>　　1.3、使用瀏覽器連接SSL VPN5</p><p>　　二、SSL VPN基本設(shè)置

3、5</p><p>　　2.1、網(wǎng)絡(luò)接口設(shè)置5</p><p>　　2.2、設(shè)置SSL VPN的License6</p><p>　　2.3、添加用戶認(rèn)證服務(wù)器7</p><p>　　2.4、添加認(rèn)證用戶11</p><p>　　2.5、添加SSL VPN的認(rèn)證域13</p><p>

4、　　三、角色映射和功能模塊14</p><p>　　3.1、添加角色14</p><p>　　3.2、角色映射16</p><p>　　3.3、功能模塊18</p><p>　　四、使用SSL VPN的三個(gè)功能模塊19</p><p>　　4.1、使用Core功能模塊20</p><p&

5、gt;　　4.2、使用SAM功能模塊25</p><p>　　4.3、使用Network Connect模塊26</p><p>　　五、資源訪問控制29</p><p>　　5.1、Core和SAM的資源訪問控制30</p><p>　　5.2、SAM和NC的資源訪問控制31</p><p><b&g

6、t;　　六、設(shè)備管理32</b></p><p>　　6.1、系統(tǒng)概覽32</p><p>　　6.2、日志系統(tǒng)32</p><p>　　6.3、系統(tǒng)升級(jí)34</p><p>　　6.4、設(shè)備排除35</p><p><b>　　一、初始化設(shè)置</b></p>

7、<p>　　1.1、通過Console連接SSL VPN</p><p>　　SSL VPN的初始化是通過設(shè)備的Console端口完成的，Console的設(shè)置如下：9600,8,N,1。</p><p>　　在管理員的計(jì)算機(jī)上使用任意終端軟件，包括HyperTerminal，Crt，SecureCrt等等都行。把設(shè)備的Console線連接至SSL VPN的Console端口，開啟

8、電源開關(guān)，通過終端軟件就能觀察到設(shè)備啟動(dòng)自檢的過程。</p><p>　　1.2、填寫初始化信息</p><p>　　當(dāng)系統(tǒng)自檢到如下信息時(shí)：</p><p>　　Welcome to the initial configuration of your server!</p><p>　　NOTE: Press 'y' if

9、this is a stand-alone server or the first </p><p>　　machine in a clustered configuration.</p><p>　　If this is going to be a member of an already running cluster</p><p>　　press n to

10、reboot. When you see the 'Hit TAB for clustering options'</p><p>　　message press TAB and follow the directions.</p><p>　　Would you like to proceed (y/n)?: y（選擇Y）</p><p>　　No

11、te that continuing signifies that you accept the terms</p><p>　　of the Neoteris license agreement. Type "r" to read the</p><p>　　license agreement (the text is also available at any ti

12、me</p><p>　　from the License tab in the Administrator Console).</p><p>　　Do you agree to the terms of the license agreement (y/n/r)?: y（選擇Y）</p><p><b>　　初始化網(wǎng)絡(luò)信息：</b><

13、/p><p>　　Please provide ethernet configuration information</p><p>　　IP address: 192.168.0.190</p><p>　　Network mask: 255.255.255.0</p><p>　　Default gateway: 192.168.

14、0.254</p><p>　?。ㄌ钊胗脩粜枰腎P地址，掩碼和網(wǎng)關(guān)等信息。</p><p>　　注意：所有網(wǎng)絡(luò)信息都會(huì)設(shè)置到SSL VPN的 Internal Interface上）</p><p>　　Link speed [Auto]:</p><p><b>　　0) Auto</b></p>&l

15、t;p>　　1) 1000 Mb/s, Full Duplex</p><p>　　2) 1000 Mb/s, Half Duplex</p><p>　　3) 100 Mb/s, Full Duplex</p><p>　　4) 100 Mb/s, Half Duplex</p><p>　　5) 10 Mb/s, Full

16、Duplex</p><p>　　6) 10 Mb/s, Half Duplex</p><p>　　Select 0-6: 0（選擇用戶需要的速率）</p><p>　　Please provide DNS nameserver information:</p><p>　　Primary DNS server: 202.106.0

17、.20</p><p>　　Secondary (optional): 202.99.8.1（填入用戶需要的DNS地址，可以是內(nèi)部的DNS服務(wù)器的IP地址）</p><p>　　DNS domain(s): juniper.net（填入用戶需要的域名，無特別限制）</p><p>　　Please provide Microsoft WINS server i

18、nformation:</p><p>　　WINS server (optional): </p><p><b>　　確認(rèn)初始化信息：</b></p><p>　　Please confirm the following setup:</p><p>　　IP address: 192.168.0.1

19、90</p><p>　　Network mask: 255.255.255.0</p><p>　　Gateway IP: 192.168.0.254</p><p>　　Link speed: Auto</p><p>　　Primary DNS server: 202.106.0.20<

20、/p><p>　　Secondary DNS: 202.99.8.1</p><p>　　DNS domain(s): juniper.net</p><p>　　WINS server: </p><p>　　Correct? (y/n): y（確認(rèn)無誤后，選擇Y）</p><p>&l

21、t;b>　　初始化安全信息：</b></p><p>　　Admin username: admin</p><p>　　Password: </p><p>　　Confirm password: </p><p>　　The administrator was successfully created.（填入用戶設(shè)定的管

22、理員帳號(hào)和密碼）</p><p>　　設(shè)置SSL VPN自簽證書：</p><p>　　Please provide information to create a self-signed Web server digital certificate.</p><p>　　Common name (example: secure.company.com): time

23、rwell.juniper.net</p><p>　　Organization name (example: Company Inc.): juniper</p><p>　?。ㄟ@個(gè)部分輸入用戶的證書信息，無特殊限制）</p><p>　　Please enter some random characters to augment the system's

24、 random key generator. We recommend that you enter approximatelythirty characters.</p><p>　　Random text (hit enter when done): dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646</p><p>　?。ㄟ@個(gè)部分輸入30個(gè)

25、左右的字符以產(chǎn)生證書）</p><p>　　Creating self-signed digital certificate...</p><p>　　The self-signed digital certificate was successfully created.</p><p>　　Congratulations! You have successfu

26、lly completed the initial set up of your server.</p><p>　?。ó?dāng)您看到這句話時(shí)證明你已經(jīng)成功的初始化SSL VPN了）</p><p>　　https://<IVE-IP-Address>/admin (note the 's' in https://)</p><p>　　Exa

27、mple: https://10.10.22.34/admin</p><p>　?。ò凑丈鲜龅奶崾荆芾韱T可以通過URL https://192.168.0.190/admin來管理設(shè)備啦）</p><p>　　1.3、使用瀏覽器連接SSL VPN</p><p><b>　　如下圖：</b></p><p>　　在這

28、個(gè)Web頁面中填入剛剛建好的管理員帳號(hào)和密碼就可以登陸到SSL VPN進(jìn)行管理啦，至此SSL VPN初始化過程完畢。</p><p>　　二、SSL VPN基本設(shè)置</p><p>　　2.1、網(wǎng)絡(luò)接口設(shè)置</p><p>　　在初始化過程中我們?cè)O(shè)置了SSL VPN的Internal Interface，接下來我們?cè)O(shè)置External Interface。</

29、p><p>　　在瀏覽器上點(diǎn)擊“Network--External Port--Setting”得到下圖：</p><p>　　在上圖中，填入相應(yīng)的External Port設(shè)置，即完成了SSL VPN的網(wǎng)絡(luò)初始設(shè)置。</p><p>　　2.2、設(shè)置SSL VPN的License</p><p>　　SSL VPN要正常工作，必須要有合適的Li

30、cense，所以給SSL VPN添加License是必不可少的。</p><p>　　在瀏覽器上點(diǎn)擊“Configuration--Licensing”得到下圖：</p><p>　　如上圖所示，此設(shè)備擁有的是一個(gè)臨時(shí)License，包括了1000并發(fā)用戶數(shù)和4 周的試用期限等。</p><p>　　在添加License過程中，只需要在Company Name和Li

31、cense Key兩個(gè)空欄中填入相關(guān)信息即可。</p><p>　　2.3、添加用戶認(rèn)證服務(wù)器</p><p>　　在配置完SSL VPN網(wǎng)絡(luò)信息和License之后，就可以正常的使用SSL VPN了。為了讓用戶能夠順利的登入企業(yè)網(wǎng)，必須給用戶進(jìn)行身份認(rèn)證。在身份認(rèn)證的過程中，管理員可以選擇使用SSL VPN內(nèi)部的自建帳號(hào)認(rèn)證用戶，也可以結(jié)合企業(yè)內(nèi)部的認(rèn)證服務(wù)器進(jìn)行認(rèn)證。對(duì)于選擇不同的認(rèn)證

32、服務(wù)器的帳號(hào)，他們將會(huì)屬于不同的SSL VPN認(rèn)證域。例如，我們可以利用一個(gè)SSL VPN自建的認(rèn)證服務(wù)器，認(rèn)證合作伙伴和分支機(jī)構(gòu)的用戶；利用內(nèi)部的LDAP服務(wù)器認(rèn)證總部本地的員工。</p><p>　　在瀏覽器上點(diǎn)擊“AuthenticationAuth. servers”得到下圖</p><p>　　在這個(gè)頁面中，管理員將看到兩個(gè)以上的認(rèn)證服務(wù)器，其中默認(rèn)的是Administrator

33、s和System Local。其中Administrator是添加SSL VPN管理員帳號(hào)的，而System Local是SSL VPN內(nèi)建的一個(gè)普通用戶的認(rèn)證服務(wù)器。</p><p>　　這是如果我們想添加一個(gè)新認(rèn)證服務(wù)器及認(rèn)證域時(shí)，點(diǎn)擊頁面上的“New Server”，并在New的選欄中選擇對(duì)應(yīng)的認(rèn)證服務(wù)器類型：</p><p><b>　　1、本地認(rèn)證</b>&

34、lt;/p><p>　　在該頁面上的Name中輸入認(rèn)證服務(wù)器的名字（本例中是：System Local），Password Option是指所設(shè)置的密碼選項(xiàng)，如密碼的最小長(zhǎng)度，密碼必須和用戶名不一樣等。</p><p>　　Password Management是指用戶管理自己密碼的權(quán)限和密碼過期等。</p><p>　　點(diǎn)擊Save Changes即完成新加一個(gè)認(rèn)證服

35、務(wù)器的設(shè)置。</p><p>　　2、LDAP認(rèn)證服務(wù)器</p><p>　　如認(rèn)證服務(wù)器是外部的LDAP服務(wù)器則新建一個(gè)LDAP類型的服務(wù)器，如下所示：</p><p><b>　　Name輸入名字</b></p><p>　　LDAP Server則輸入LDAP服務(wù)器的IP地址或名字</p><p

36、>　　LDAP Port則輸入認(rèn)證服務(wù)器的端口號(hào)</p><p>　　在Authentication Required中輸入相關(guān)的參數(shù)</p><p>　　如Admin DN，Base DN，</p><p>　　點(diǎn)擊Save Changes保存配置</p><p>　　3、Radius認(rèn)證服務(wù)器</p><p>

37、;　　如果認(rèn)證服務(wù)器是Radius則如下所示</p><p>　　Name是輸入認(rèn)證服務(wù)器的名字</p><p>　　Radius則輸入服務(wù)器的名字或者IP地址</p><p>　　Authentication Port則是Radius的端口號(hào)</p><p>　　Shared Secret則是輸入Radius服務(wù)器的密鑰</p>

38、<p>　　Accounting Port中輸入Radius的計(jì)費(fèi)端口，可以不填寫</p><p>　　NAS-IP-Address則是輸入Radius服務(wù)器的NAS IP地址</p><p>　　2.4、添加認(rèn)證用戶</p><p>　　如果認(rèn)證服務(wù)器是本地認(rèn)證方式，在2.3的圖中選擇TAB頁面的Users，即可進(jìn)入到新建認(rèn)證服務(wù)器的用戶添加頁面，如

39、下圖：</p><p>　　點(diǎn)擊New，新建的認(rèn)證服務(wù)器中添加一個(gè)用戶,如下圖：</p><p>　　Username是用戶名，F(xiàn)ull Name是描述（可不輸入）</p><p>　　Password輸入密碼，并在confirm password再次輸入密碼</p><p>　　是否提示用戶下次登錄的時(shí)候修改密碼</p>&l

40、t;p>　　并點(diǎn)擊Save Changes</p><p>　　查看當(dāng)前已經(jīng)登錄的用戶，在systemstatusactive users，如下，會(huì)提示登錄的用戶名，描述，時(shí)間，IP地址和瀏覽器的信息；</p><p>　　系統(tǒng)管理員Administrator的增加和密碼修改方式和一般用戶一樣。在Authentication?Auth. Servers中的Administrator中

41、進(jìn)行修改。</p><p>　　2.5、添加SSL VPN的認(rèn)證域</p><p>　　每一個(gè)不同的認(rèn)證服務(wù)器都可以有自己一套的用戶數(shù)據(jù)庫，無論使用的是SSL VPN內(nèi)置機(jī)制建立的用戶帳號(hào)數(shù)據(jù)庫，還是使用集成企業(yè)內(nèi)網(wǎng)的目錄數(shù)據(jù)庫，為了使認(rèn)證機(jī)制更加合理和條理化，避免出現(xiàn)帳號(hào)重復(fù)和認(rèn)證混亂的局面，Juniper SSL VPN引入了認(rèn)證域的功能，在SSL VPN上把不同的認(rèn)證服務(wù)器加入到不同

42、的域，來認(rèn)證不同域上的用戶，同時(shí)也方便用戶了解自己登陸時(shí)應(yīng)該選擇哪一個(gè)認(rèn)證域和哪一個(gè)認(rèn)證帳號(hào)。</p><p>　　點(diǎn)擊“Authentication”，得到下圖：</p><p>　　點(diǎn)擊“new”，得到下圖：</p><p>　　在“Name”中，填入認(rèn)證域名。</p><p>　　在Servers的Authentication中，選擇前

43、面已經(jīng)定義的認(rèn)證服務(wù)器</p><p>　　而additional authentication server則是用于修改登錄頁面的提示信息</p><p>　　最后點(diǎn)擊“Save Changes”即完成了認(rèn)證域的添加。</p><p>　　至此，Juniper SSL VPN的基本配置，包括添加License和身份認(rèn)證等設(shè)置都已完畢。</p><

44、;p>　　三、角色映射和功能模塊</p><p><b>　　3.1、添加角色</b></p><p>　　在用戶通過SSL VPN的身份認(rèn)驗(yàn)證之后，需要給用戶分配角色，這個(gè)角色是在SSL VPN中設(shè)置的，并且這個(gè)角色決定了用戶能夠在企業(yè)內(nèi)網(wǎng)中享有什么樣的權(quán)限和能訪問什么樣的資源。</p><p>　　點(diǎn)擊，SSL VPN管理界面左欄的R

45、oles，如下圖：</p><p><b>　　如下圖所示：</b></p><p>　　點(diǎn)擊New Role添加一個(gè)角色：</p><p><b>　　Name輸入名字</b></p><p>　　Access Features中則是選擇本角色可以使用訪問方式，包括頁面，文件，SAM等訪問方式。若

46、不選擇則登錄以后沒有該bookmark。</p><p><b>　　3.2、角色映射</b></p><p>　　在添加完角色后，就需要進(jìn)行角色和認(rèn)證域之間映射，用戶在身份認(rèn)證之后，必須要把他映射成為SSL VPN中的一個(gè)角色，這樣他才能擁有這個(gè)角色所能使用SSL VPN的功能模塊和這個(gè)角色所能訪問企業(yè)內(nèi)網(wǎng)資源的權(quán)利。</p><p>　　以

47、Office-Realm中的用戶為例，點(diǎn)擊Authentication-Office-Realm-Role Mapping，得到下圖:</p><p>　　選擇New Rule…</p><p>　　在“is”的下拉菜單右邊文本框中填入相應(yīng)的用戶名字，可以是某一具體的用戶名，也可以用通配符表示用戶名，例如：“*”表示人任何用戶。在“Available Roles：”下的文本框中，選擇相應(yīng)的

48、角色，分配給這個(gè)用戶。</p><p>　　例如如果我要把所有用戶都分配給Users這個(gè)角色，則需要在”IS”下拉菜單右邊的文本框中填入“*”，在“Available Roles”中選擇“Users”加入到“Selected Roles”中即可。 </p><p>　　這樣一個(gè)用戶的角色映射就完成啦。</p><p><b>　　3.3、功能模塊</

49、b></p><p>　　Juniper SSL VPN上有三個(gè)功能模塊，</p><p>　　Core Access支持B/S架構(gòu)的應(yīng)用程序，如Web，F(xiàn)ile，Telnet，Terminal Services，Email Client；</p><p>　　SAM模塊支持C/S架構(gòu)的程序，分為Java version和Windows version。通常要

50、看客戶的程序是通過JAVA開發(fā)還是ActiveX開發(fā)而定；</p><p>　　NC模塊是IP Sec的連接方式，支持全方位的網(wǎng)絡(luò)接入。</p><p>　　根據(jù)設(shè)備的License，每一臺(tái)設(shè)備所具有的功能模塊是不一樣的，對(duì)于SSL VPN 2000，4000和6000系列，其中的Core功能模塊是標(biāo)配的，其他功能模塊是單獨(dú)購買的，而對(duì)于SSL VPN SA－700系列它只具有NC的功能模

51、塊，其他功能模塊需要單獨(dú)購買。（6.0以后的版本已經(jīng)自帶該功能，不需要另外購買license）</p><p>　　即便是一臺(tái)設(shè)備具有了上述全部的功能模塊，但是對(duì)于不同的角色，他能夠使用SSL VPN的功能模塊是不一樣的。</p><p>　　四、使用SSL VPN的三個(gè)功能模塊</p><p>　　所有SSL VPN用戶在訪問內(nèi)網(wǎng)資源時(shí)，例如：內(nèi)部Web服務(wù)器，內(nèi)

52、部Web Mail，內(nèi)部的Loutes系統(tǒng)或是內(nèi)部的ERP系統(tǒng)及一些網(wǎng)管系統(tǒng)，都是通過SSL VPN的三個(gè)功能模塊來實(shí)現(xiàn)的。</p><p>　　4.1、使用Core功能模塊</p><p>　　4.1.1 Web設(shè)置</p><p>　　1、設(shè)置訪問Web的resource policy。</p><p>　　初始化的時(shí)候resource

53、policy是允許訪問任何地址的網(wǎng)頁，根據(jù)實(shí)際情況設(shè)置被允許訪問的范圍</p><p>　　2、設(shè)置用戶的role所需要訪問的web和bookmark。Users?User roles?users里面的Web的bookmark，添加一個(gè)bookmark，名字可以自己定義，resource里面填寫具體要被訪問的網(wǎng)頁的URL和端口號(hào)；</p><p>　　Options里面則是選擇是否顯示UR

54、L地址欄，用戶自己增加bookmark和是否隱藏主機(jī)IP地址和主機(jī)名；</p><p>　　4.1.1 FILE設(shè)置</p><p>　　1、設(shè)置FILES的訪問resource。默認(rèn)的訪問資源是全部開放，如下所示</p><p>　　文件的access分為windows和Unix/NFS兩種，分別對(duì)應(yīng)windows和Unix的</p><p&g

55、t;　　2、添加一個(gè)角色的file的bookmark，選擇對(duì)應(yīng)的操作系統(tǒng)，如window或者Unix的，</p><p>　　點(diǎn)擊new bookmark，選擇Brower…。瀏覽網(wǎng)絡(luò)里面服務(wù)器的文件共享</p><p>　　4.1.2 Telnet及SSH設(shè)置</p><p>　　1、設(shè)置Telnet及SSH的訪問resource policy。</p>

56、;<p>　　可根據(jù)實(shí)際情況進(jìn)行填寫被訪問的服務(wù)器和端口號(hào)和應(yīng)用到指定的角色。</p><p>　　2、在角色中添加bookmark和該角色需要訪問的telnet資源</p><p>　　4.1.2 email client設(shè)置</p><p>　　1、在resource policy中定義和啟用email client</p><

57、p>　　Email client support指是否啟用email client，選擇enable或者disable；</p><p>　　Web-based email session指是否是Webmail的方式登錄和訪問。</p><p>　　Allow email password caching是指是否允許客戶緩存密碼，若不選擇，用戶則每次都必須輸入密碼；</p>

58、;<p>　　Default Server Information中設(shè)置服務(wù)器的IP地址和端口等信息</p><p>　　4.2、使用SAM功能模塊</p><p>　　SAM是security application manager的簡(jiǎn)寫，為C/S架構(gòu)的應(yīng)用程序提供應(yīng)用層的遠(yuǎn)程訪問連接。SAM分為兩種，一種是基于window的應(yīng)用的WSAM；另外一種是基于JAVA的，支持靜

59、態(tài)端口的JSAM，支持MAPI，Lotus等。</p><p>　　WSAM主要支持的C/S架構(gòu)的程序主要是Lotus Notes，Citrix，Netbios文件瀏覽和PDA；</p><p>　　4.2.1添加SAM的訪問資源</p><p>　　點(diǎn)擊resource policiesSecure Application Manager Policies，點(diǎn)擊n

60、ew設(shè)置一個(gè)SAM訪問的范圍，包括，IP地址，協(xié)議，端口號(hào)等。</p><p>　　?回到rolesSAMapplication中，點(diǎn)擊“new”</p><p>　　選擇類型type選擇predifine或者custom，predifine中可以選擇已經(jīng)預(yù)定義好的應(yīng)用，如lotus Note等常用的C/S架構(gòu)程序。Custom是自定義的C/S架構(gòu)應(yīng)用程序。輸入名字。</p>

61、<p>　　輸入對(duì)應(yīng)的服務(wù)器的IP，服務(wù)器端口號(hào)，客戶端的回環(huán)地址，客戶端端口號(hào)，點(diǎn)擊add可以增加一個(gè)。</p><p><b>　　。</b></p><p>　　4.3、使用Network Connect模塊</p><p>　　對(duì)于一些專業(yè)的技術(shù)人員，如果要使用UDP的協(xié)議，如SNMP等或是需要用到Server Initi

62、alization Protocol的應(yīng)用時(shí)，這時(shí)候就需要SSL VPN的NC模塊了。</p><p>　　點(diǎn)擊“RolesAll Employees-Network Connect”，得到下圖：</p><p>　　當(dāng)希望客戶在通過SSL VPN的NC模塊登陸企業(yè)內(nèi)網(wǎng)后，還能夠讓用戶繼續(xù)訪問Internet，請(qǐng)選擇Enable Split Tunneling。</p>&l

63、t;p>　　點(diǎn)擊“Resources PoliceNetwork Connect-NC Connection Profile”,得到下圖：</p><p>　　點(diǎn)擊New Profile….,得到下圖：</p><p>　　在Name中填入，NC分配的地址池名稱，在IP Address Pool中填入NC使用的IP地址池，選擇是否給使用NC的用戶設(shè)置代理服務(wù)器，是否為這些用戶設(shè)置內(nèi)部

64、DNS，以及調(diào)整這些用戶的DNS查詢次序，選擇這條Policy適用那個(gè)角色。</p><p>　　點(diǎn)擊Save Changes，完成NC的設(shè)置</p><p>　　注意：如果一個(gè)角色既有Core，SAM的功能模塊，又有NC的功能模塊，這幾個(gè)的功能模塊的執(zhí)行優(yōu)先次序是Core>SAM>NC,也就是說如果有一個(gè)用戶登入SSL VPN后使用了NC模塊，但是他發(fā)現(xiàn)自己訪問內(nèi)網(wǎng)的Web服

65、務(wù)器時(shí)，依舊使用的是Core模塊，這不用覺得奇怪。</p><p><b>　　五、資源訪問控制</b></p><p>　　SSL VPN和傳統(tǒng)的IPSec VPN最大的區(qū)別之一，就是SSL VPN擁有應(yīng)用層的資源訪問控制，也就是說當(dāng)一個(gè)用戶登入SSL VPN之后，他不能象IPSec VPN用戶那樣自由的訪問內(nèi)網(wǎng)的所有資源，而必須接受SSL VPN的限制，有限制的訪

66、問內(nèi)網(wǎng)資源。這樣更提高了VPN網(wǎng)絡(luò)的安全性和穩(wěn)定性。</p><p>　　5.1、Core和SAM的資源訪問控制</p><p>　　點(diǎn)擊“Resources PoliceWeb-Access Control”，得到下圖：</p><p>　　SSL VPN會(huì)在此添加一個(gè)缺省的Web Access策略，允許用戶訪問所有Web資源。</p><p&

67、gt;　　點(diǎn)擊New Policy…,得到下圖，來建立新的Web Access策略。</p><p>　　在“Name”中填入Web資源的名稱，在“Resources”中加入需要控制的資源，可以根據(jù)Http，Https協(xié)議，URL，或是某段地址池來定義控制的資源，在“Roles”中，選擇這個(gè)資源是針對(duì)于哪個(gè)角色的，在“Action”中選擇定義的資源對(duì)于選定的角色是否運(yùn)行其訪問。</p><p&

68、gt;　　這樣就建立了一條Web Access方面資源訪問控制。</p><p>　　5.2、SAM和NC的資源訪問控制</p><p>　　分別點(diǎn)擊“Resources Police SAM- Access Control”和“Resources Police Network Connect- Network ConnectAccess Control”，就可以SAM和NC兩個(gè)模塊的資源

69、訪問控制界面。</p><p>　　它們的配置方法基本和Web Access的控制是一樣的，只是在SAM中更側(cè)重在TCP端口和IP的資源控制，而在NC中則更側(cè)重在對(duì)不同協(xié)議如，IP，TCP，ICMP，UDP等方面的ACL控制。</p><p><b>　　六、設(shè)備管理</b></p><p><b>　　6.1、系統(tǒng)概覽</b&

70、gt;</p><p>　　Juniper的SSL VPN 自身的設(shè)備管理和監(jiān)控方式非常簡(jiǎn)便但也很全面，第一次進(jìn)入SSL VPN管理員界面時(shí)，SSL VPN會(huì)展示給管理員一個(gè)整個(gè)產(chǎn)品的概況圖，如下：</p><p>　　在這副圖中，我們可以看到給設(shè)備目前的并發(fā)用戶數(shù)，每秒的點(diǎn)擊率，CPU及內(nèi)存的使用率，吞吐量以及系統(tǒng)軟件版本和運(yùn)行持續(xù)時(shí)間等信息，對(duì)于網(wǎng)管人員來講能夠非常方面的一目了然SSL

71、 VPN的狀態(tài)，這個(gè)功能是Juniper SSL VPN獨(dú)有的，許多同類廠商的產(chǎn)品不具備這樣的功能。</p><p><b>　　6.2、日志系統(tǒng)</b></p><p>　　Juniper SSL VPN的日志系統(tǒng)非常全面，主要分三個(gè)方面記錄日志，分別是用戶日志，管理員日志和系統(tǒng)日志，每部分日志都有非常詳盡的記錄，包括用戶的登陸時(shí)間，登陸結(jié)果和訪問資源的等許多信息，

72、管理員可以自建Filter來查看自己感興趣的日志信息。</p><p>　　點(diǎn)擊“Log/Monitoring-User Access Log--log”，就可以得到用戶訪問日志。</p><p>　　如果想看系統(tǒng)日志和管理員日志，點(diǎn)擊：</p><p>　　“Log/Monitoring-Event Log--log”和“Log/Monitoring-Admin

73、Access Log --log”即可。</p><p>　　如果管理員希望對(duì)這些日志能夠做進(jìn)一步的分析，例如利用第三方軟件來處理這些日志信息的話，SSL VPN也提供日志上傳的功能，如下：</p><p>　　點(diǎn)擊“Archiving-Ftp Archiving”,得到下圖</p><p>　　在“Archives Setting”中，填入FTP服務(wù)器的相關(guān)信息,

74、再點(diǎn)擊“Archive User Access Log” ，選擇記錄日志的格式和設(shè)置上傳的時(shí)間，即可完成上傳用戶日志的設(shè)置。</p><p><b>　　6.3、系統(tǒng)升級(jí)</b></p><p>　　SSL VPN的系統(tǒng)升級(jí)，很簡(jiǎn)單。</p><p>　　只需要點(diǎn)擊“System-Upgrade/Downgrade”后，在下圖中選擇:</

75、p><p>　　點(diǎn)擊瀏覽，在自己的電腦中找到SSL VPN升級(jí)的軟件，然后點(diǎn)擊Install Now，即可完成設(shè)備的系統(tǒng)升級(jí)。</p><p><b>　　6.4、設(shè)備排除</b></p><p>　　SSL VPN內(nèi)置了許多排除的工具，如TCP DUMP，System Snapshot，Ping和Traceroute等命令，幫助網(wǎng)管人員在發(fā)現(xiàn)問題

76、時(shí)，能夠有充分的工具和手段找出問題原因，解決問題故障并做好預(yù)防問題出現(xiàn)的措施。</p><p>　　點(diǎn)擊“Troubleshooting--Tcp Dump”，得到下圖：</p><p>　　在進(jìn)行Tcp Dump時(shí)，選擇在SSL VPN的內(nèi)口或外口進(jìn)行Sniffer，然好點(diǎn)擊“Start Sniffing” 就可以開始收集數(shù)據(jù)包啦。</p><p>　　收集一段時(shí)

77、間后，點(diǎn)擊“Stop Sniffing”，即可以停止收集，SSL VPN會(huì)提示用戶把收集后的數(shù)據(jù)文件存儲(chǔ)在管理者的計(jì)算機(jī)上。這個(gè)文件可以用Ethereal軟件打開。</p><p>　　點(diǎn)擊“Troubleshooting--Commands”，得到下圖：</p><p>　　SSL VPN支持利用Ping，Traceroute，Nslookup和ARP這四個(gè)命令進(jìn)行網(wǎng)絡(luò)層次的排除。<