juniper 配 置实例精品管理文档.doc

点击New Role添加一个角色： 3.2、角色映射 在添加完角色后，就需要进行角色映射的工作，因为任何一个用户在身份认证之后，必须要把他映射成为SSL VPN中的一个角色，这样他才能拥有这个角色所能使用SSL VPN的功能模块和这个角色所能访问企业内网资源的权利。 以Office-Realm中的用户为例，点击Authentication-?Office-Realm-?Role Mapping，得到下图: 选择New Rule… 在“is”的下拉菜单右边文本框中填入相应的用户名字，可以是某一具体的用户名，也可以用通配符表示用户名，例如：“*”表示人任何用户。在“Available Roles：”下的文本框中，选择相应的角色，分配给这个用户。 例如如果我要把所有用户都分配给Users这个角色，则需要在”IS”下拉菜单右边的文本框中填入“*”，在“Available Roles”中选择“Users”加入到“Selected Roles”中即可。 这样一个用户的角色映射就完成啦。 3.3、功能模块 Juniper SSL VPN上有三个功能模块，一个是基于Web功能和文件共享的Core模块，一个是保证C/S结构应用（例如：Lotus,Exchange,ERP等）SAM模块和最后一个全三层网络连接的NC模块。 根据设备的License，每一台设备所具有的功能模块是不一样的，对于SSL VPN 1000，3000和5000系列，其中的Core功能模块是标配的，其他功能模块是单独购买的，而对于SSL VPN RA－500系列它只具有NC的功能模块，其他功能模块需要单独购买。 即便是一台设备具有了上述全部的功能模块，但是对于不同的角色，他能够使用SSL VPN的功能模块是不一样的。 如下图，在我们建立一个角色时，可以选择他能够使用什么样的功能模块，比如说有的角色只能使用Web和Files共享，有的角色还可以使用Secure Application Manager的功能。 在图中一共有四个SSL VPN建立的角色，All Emplyees，Executives，Office-roles，和Users，但是从图中看出，每个角色所有拥有的SSL VPN功能模块是不一样的，比如Users角色只有Core和SAM的功能模块，而Office-Roles却有全部Core，SAM和NC的功能模块。这样大大的增强了角色的灵活性和安全性。 四、使用SSL VPN的各个功能模块 所有SSL VPN用户在访问内网资源时，例如：内部Web服务器，内部Web Mail，内部的Loutes系统或是内部的ERP系统及一些网管系统，都是通过SSL VPN的三个功能模块来实现的。 4.1、使用Core功能模块 点击SSL VPN管理界面左部的Roles?All Employees-?Web，得到下图: 点击New BookMark，得到下图： 在”Name”中填入自己想要的名字，如果说是公司内部网站，可以写”Corp Web”登，在”Description”中填入相关的描述，在”URL”中填入公司网站的IP地址或是主机域名。 点选”Auto-allow Bookmark”和”Everything under this Url”,点击Save Changes这样就添加了一个内部资源的访问条目。 对于Core模块的另一个Files共享功能的实现原理基本和添加Web BookMark一样，请参考上述Web功能的设置步骤。 4.2、使用SAM功能模块 对于拥有自己开发的基于C/S结构的应用如ERP系统或是Lotus的客户来说，如果希望通过SSL VPN来访问后端的C/S 应用，则需要使用到SAM功能模块。SAM模块有2种，一种是适用于Windows版本的SAM模块，一种是适用于Unix系统的SAM模块。 点击“Roles?All Employees-?SAM”，得到下图， 点击Add Application，得到下图， 在Name中，填写应用程序的名字，如：Lotus等，如果需要有描述的话在Description中加入描述。如果客户的应用程序是自己开发的选择Custom application ,在Filename中填入客户端执行程序的名字，如果有必要，在Path后加入路径，点击Save application,即完成了一个Sam条目的配置。 如果客户的应用程序是标准的商业软件，如Lotus等，请选择Standard application，如下图： 在Application框中选择，标准的程序后，点击Save Application即可。 如果公司内网的某台服务上有多个C/S应用在运行，为了方便管理员，SSL VPN允许添加一个Applica