juniper ssl vpn安装手册【2】
点击New Role添加一个角色
3.2、角色映射
在添加完角色后,就需要进行角色映射的工作,因为任何一个用户在身份认证之后,必须要把他映射成为SSL VPN中的一个角色,这样他才能拥有这个角色所能使用SSL VPN的功能模块和这个角色所能访问企业内网资源的权利。
以Office-Realm中的用户为例,点击Authentication-àOffice-Realm-àRole Mapping,得到下图:
选择New Rule…
在“is”的下拉菜单右边文本框中填入相应的用户名字,可以是某一具体的用户名,也可以用通配符表示用户名,例如:“*”表示人任何用户。在“Available Roles:”下的文本框中,选择相应的角色,分配给这个用户。
例如如果我要把所有用户都分配给Users这个角色,则需要在”IS”下拉菜单右边的文本框中填入“*”,在“Available Roles”中选择“Users”加入到“Selected Roles”中即可。
这样一个用户的角色映射就完成啦。
3.3、功能模块
Juniper SSL VPN上有三个功能模块,一个是基于Web功能和文件共享的Core模块,一个是保证C/S结构应用(例如:Lotus,Exchange,ERP等)SAM模块和最后一个全三层网络连接的NC模块。
根据设备的License,每一台设备所具有的功能模块是不一样的,对于SSL VPN 1000,3000和5000系列,其中的Core功能模块是标配的,其他功能模块是单独购买的,而对于SSL VPN RA-500系列它只具有NC的功能模块,其他功能模块需要单独购买。
即便是一台设备具有了上述全部的功能模块,但是对于不同的角色,他能够使用SSL VPN的功能模块是不一样的。
如下图,在我们建立一个角色时,可以选择他能够使用什么样的功能模块,比如说有的角色只能使用Web和Files共享,有的角色还可以使用Secure Application Manager的功能。
在图中一共有四个SSL VPN建立的角色,All Emplyees,Executives,Office-roles,和Users,但是从图中看出,每个角色所有拥有的SSL VPN功能模块是不一样的,比如Users角色只有Core和SAM的功能模块,而Office-Roles却有全部Core,SAM和NC的功能模块。这样大大的增强了角色的灵活性和安全性。
四、使用SSL VPN的各个功能模块
所有SSL VPN用户在访问内网资源时,例如:内部Web服务器,内部Web Mail,内部的Loutes系统或是内部的ERP系统及一些网管系统,都是通过SSL VPN的三个功能模块来实现的。
4.1、使用Core功能模块
点击SSL VPN管理界面左部的RolesàAll Employees-àWeb,得到下图:
点击New BookMark,得到下图:
在”Name”中填入自己想要的名字,如果说是公司内部网站,可以写”Corp Web”登,在”Description”中填入相关的描述,在”URL”中填入公司网站的IP地址或是主机域名。
点选”Auto-allow Bookmark”和”Everything under this Url”,点击Save Changes这样就添加了一个内部资源的访问条目。
对于Core模块的另一个Files共享功能的实现原理基本和添加Web BookMark一样,请参考上述Web功能的设置步骤。
4.2、使用SAM功能模块
对于拥有自己开发的基于C/S结构的应用如ERP系统或是Lotus的客户来说,如果希望通过SSL VPN来访问后端的C/S 应用,则需要使用到SAM功能模块。SAM模块有2种,一种是适用于Windows版本的SAM模块,一种是适用于Unix系统的SAM模块。
点击“RolesàAll Employees-àSAM”,得到下图,
点击Add Application,得到下图
在Name中,填写应用程序的名字,如:Lotus等,如果需要有描述的话在Description中加入描述。如果客户的应用程序是自己开发的选择Custom application ,在Filename中填入客户端执行程序的名字,如果有必要,在Path后加入路径,点击Save application,即完成了一个Sam条目的配置。
如果客户的应用程序是标准的商业软件,如Lotus等,请选择Standard application,如下图:
在Application框中选择,标准的程序后,点击Save Application即可。
如果公司内网的某台服务上有多个C/S应用在运行,为了方便管理员,SSL VPN允许添加一个Application Server,所有去往这个Server的请求都将被SSL VPN截获并处理,而不用在SAM中建立太多的客户端应用程序的条目(Application)。
点击“RolesàAll Employees-àSAM”,得到下图,
点击Add Server。。。,得到下图,
在Name中填入服务器的名字,在Server中填入IP地址或是域名。点击Save Changes完成配置。
4.3、使用Network Connect模块
对于一些专业的技术人员,如果要使用UDP的协议,如SNMP等或是需要用到Server Initialization Protocol的应用时,这时候就需要SSL VPN的NC模块了。
点击“RolesàAll Employees-àNetwork Connect”,得到下图:
当希望客户在通过SSL VPN的NC模块登陆企业内网后,还能够让用户继续访问Internet,请选择Enable Split Tunneling。
点击“Resources PoliceàNetwork Connect-àNC Connection Profile”,得到下图:
附件: 您所在的用户组无法下载或查看附件
2001-2007 Comsenz Inc.
