Juniper+IC+设备操作手册

1 / 32 Juniper infranet Controller （IC）操作 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 广州智帮通讯技术有限公司 2010 年 3 月 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 2 / 32 文档修订记录 文档编号： 文 件 名 称 Juniper Infranet Controller（IC）操作手册 文 档 描 述 IC 操作手册 当 前 版 本 1.0 创 建 日 期 2010-03-15 文 档 作 者 李 伟 文档所属部门 技术部 修改记录 日期 修改人 审阅人 摘要 V1.0 2010-03-15 李 伟 新建文档 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 3 / 32 目录 一、系统登陆 .................................................................................................................................... 4 1.1、管理员登陆 ................................................................................................................................. 4 二、系统设置 .................................................................................................................................... 4 2.1、网络配置 ..................................................................................................................................... 4 2.1.2、接口管理 .............................................................................................................................. 5 2.1.3、路由设置 .............................................................................................................................. 5 2.2、认证服务器 ................................................................................................................................. 6 2.3、角色设置 ..................................................................................................................................... 8 2.3.1、Session Options .................................................................................................................... 9 2.3.2、UI 设置 ............................................................................................................................... 10 2.4、域设置 ....................................................................................................................................... 10 2.5、资源权限控制 ........................................................................................................................... 12 2.5.1、防火墙配置 ........................................................................................................................ 12 2.5.2、IC 配置 ............................................................................................................................... 14 2.5.3、权限设置 ............................................................................................................................ 16 2.6、用户登录 ................................................................................................................................... 17 2.6.1、登录路径 ............................................................................................................................ 17 2.6.2、登录界面 ............................................................................................................................ 18 2.6.3、认证方式 ............................................................................................................................ 19 2.7、客户端安全检测 ....................................................................................................................... 20 2.7.1、病毒软件检查 .................................................................................................................... 21 2.7.2、防火墙软件 ........................................................................................................................ 21 2.7.3、Spy Ware 软件 ................................................................................................................... 22 2.7.4、MalWare 软件.................................................................................................................... 22 2.7.5、系统版本检查 .................................................................................................................... 23 2.7.6、端口检查 ............................................................................................................................ 23 2.7.7、文件检查 ............................................................................................................................ 24 2.7.8、进程检查 ............................................................................................................................ 24 2.7.9、注册表检查 ........................................................................................................................ 25 三、其他设置 .................................................................................................................................. 25 3.1、设备平台管理 ........................................................................................................................... 25 3.2、设备 OS 升级 ............................................................................................................................ 26 3.3、配置文件的导入和导出 ........................................................................................................... 26 3.4、备份系统日志等配置 ............................................................................................................... 28 3.5、系统排错 ................................................................................................................................... 28 3.6、系统日志和状态 ....................................................................................................................... 29 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 4 / 32 一、系统登陆 1.1、管理员登陆 默认的情况下，管理员通过 https://10.10.107.231/admin 登录管理界面。当然，为 了增加 IC 的安全性，可以设置不同的后缀作为管理员登录的地址，如管理员登 录后缀设置为“airchinasecurity”,如下图： 详细的界面设置请看后面的登录界面设置的章节。 二、系统设置 系统设置主要设置 IC 的基础设置以及一般的流程。一般而言，设备的配置顺序 按照如下流程： 网络配置认证服务器配置角色配置域设置资源访问权限用户登录 客户端安全检查（可选） 下面对整个配置的流程做详细的介绍： 2.1、网络配置 网络设置是设备最基础的配置，主要设置设备的接口 IP 地址、路由、DNS 等信 息，其中接口 IP 地址可能涉及到两个接口，IC 可以采用串连或旁挂的方式部署， 部署的功用大体都相同。设备采用旁挂的方式部署。 2.1.1、DNS 设置 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 5 / 32 网络的 DNS 以及域名等。 2.1.2、接口管理 设置接口的 IP 地址和网关，接口速率等信息。 2.1.3、路由设置 设置设备的路由信息， Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 6 / 32 2.2、认证服务器 认证服务器设置用户的认证方式，可以指定登录的用户采用何种认证方式登录， 包括本地用户认证和外部服务器认证，IC 支持的外部用户的认证包括 LDAP、 NIS、ACE、Radius、AD/NT、Anonymous、SiteMinder、CertificateServer、 SAMLServer。（Authenticates 菜单），这里以 SBR 的 Radius 认证服务器为例。进 入 AuthenticationAuth Servers ，选择 Radius Server，并单击 New Server 。 进入到 Radius Server 的设置页面，如下图： Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 7 / 32 Name：设置服务器的命名。 Radius Server：设置 Radius 服务器的 IP 地址。 Authentication Port：使用 Radius 的服务器端口，默认是 1812. Share Secret：设置 IC 设备和 Radius Server 的共享密钥。 其他的参数都采用默认的设置。 另外，系统内置了本地的用户数据库，如果需要使用本地的用户数据库作为认证， 设置的参数如下： 进入 AuthenticationAuth ServersSystem Local 在 Settings 菜单，设置的是用户密码规则，包括用是否使用大小写，密码的长度， 以及多长时间必须修改密码等。 User 菜单设置的是用户，包括新建用户以及删除用户等。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 8 / 32 Admin user 菜单设置的是用户的管理员，用户的管理员有删除用户、新增用户以 及修改密码的权限，只需要将普通用户移入右边的方框即可。 2.3、角色设置 角色是某一类权限的一个组，也可以抽象地认为角色就是一类具有相同权限的用 户的组，只不过在角色的设置上没有用户的概念，角色确定的是用户的权限，它 是用户权限分配的基础。角色可以设置多个，并可以分配不同的用户到不同的角 色，从而实现不同的用户具有不同的访问权限， 角色的设置如下： 进入 UsersUser Roles，新建或编辑角色。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 9 / 32 2.3.1、Session Options Session Options 主要是设置用户 Session 的选项，包括 Session 超时或空闲超时的 设置，其中的超时设置有： Max.Session Length：最长的会话时间设置。 Heartbeat Interval：设置 IC 和客户端的心跳信息监测时间间隔 Heartbeat Timeout：设置 IC 和客户端的心跳超时时间，超过这个时间，会话结束。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 10 / 32 2.3.2、UI 设置 UI 是设置客户端登陆 IC 以后的界面设置，主要是设置 Logo 和提示语。 2.4、域设置 设置用户的认证域，可以设置用户采用本地认证或外部认证（这里引用了上面服 务器的设置），如下图设置 PC 用户采用本地认证方式，并且可以设置二次认证 的方式，即采用两次认证方式，用户必须两次认证都通过才可以登陆系统（下图 中的 Additional Authentication Server）。同时用户可设置策略的动态更新时间（下 图的 DynamicPoicyEvaluation）。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 11 / 32 设置用户登陆的源地址， 设置用户的主机检测，可以选择采用哪种类型得主机检测。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 12 / 32 2.5、资源权限控制 资源权限的控制是设置用户能够访问的资源，由于 IC 需要和防火墙进行联动来 实现最严格的权限控制，因此在设置策略之前，需要和防火墙联动，并设置一些 必要的配置。实现的资源权限的菜单为 UACInfranet Enforcer 2.5.1、防火墙配置 IC 需要和防火墙进行联动，在这个过程中需要在防火墙添加一个具有可写权限 的用户，专门给 IC 下发策略或设备间的交流使用，并且需要一个证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf ，来建立 IC 和防火墙之间的连接。设置如下： 2.5.1.1、导入证书 申请或制作证书，将根证书导入防火墙，进入 ObjectsCertificates 并点击浏览， 选择需要导入的根证书。即生成的 openSSL\demoCA目录下的 cacert.pem文件。 查看证书，在 Show 的下拉框中选择 CA。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 13 / 32 2.5.1.2、新建用户 在 防 火 墙 上 新 建 一 个 具 有 可 写 权 限 的 管 理 员 用 户 ， 进 入 ConfigurationAdminadministrators，并新建用户，设置如下： 2.5.1.3、新建 Controller 这里的 Controller 指的就是 IC 设备，防火墙需要配置部分参数和 IC 进行联动。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 14 / 32 如上图，Password 设置的是防火墙和 IC 设备间的共享密钥，在 Select CA 中选择刚刚导入 的证书。设置完成。 2.5.2、IC 配置 IC 需要和防火墙进行联动，这里把防火墙设备加到 IC 中，在这个过程中需要在 防火墙添加一个具有可写权限的用户，这个用户专门给 IC 下发策略或设备间的 交流使用。并且需要知道防火墙的序列号信息，操作步骤如下： 2.5.2.1、导入证书 导入证书需要设置 CSR ，并根据这个信息申请或制作证书，进入 SystemConfiguration Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 15 / 32 根据这个填写的内容申请证书。 导入证书 2.5.2.2、新建 Infranet Enforcer 这里的 Enforcer 指的就是防火墙，进入 UACInfranet EnforcerConnect， 如上图，NACN Password是 IC和防火墙之间设置的共享密钥，在Admin Username 和 Admin password 输入防火墙新建的用户。并在 Serial Number 书写防火墙的序 列号（如果防火墙是 Cluster 的模式，在这个框内输入两台防火墙的序列号）。 填写完后，IC 会主动和防火墙建立连接。并且在首页的 Enforcer Status 上面会显 示绿灯。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 16 / 32 2.5.3、权限设置（如果与防火墙联动，此配置必做！！！） 设置了 IC和防火墙联动后，在角色中可以定义用户可以访问的资源，进入 Infranet EnforcerResource Access，新建一条策略。在 Resources 中填写用户能够访问的 权限，可以细化到 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 、IP 地址以及端口。并在 Roles 选择这个策略分配到哪个 角色里面。 如果不应用 IC 代理的话，请点击 user Roles->agentless，激活 Agentless Access 如下图所示： Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 17 / 32 2.6、用户登录 用户的登录设置的是用户在登录中使用的地址、路径、登录的界面设置以及对应 采用的认证方式。具体的设置如下： 进入 AuthenticationSign in 菜单。 2.6.1、登录路径 在 Sign In Policy 中可以设置用户或管理员通过什么地址和路径登录 IC。 如上图，修改了管理员的登录路径，这里设置*/airchinasecurity 作为本地认证的 管理员登录地址，而*/adminlogin 作为 SBR 管理员用户的登录地址，详细的配置 如下图： Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 18 / 32 Sign-in URL：设置登录的子路径。 Sign-in Page：选择界面的设置，下面的章节有介绍。 Authentication Realm：设置此路径下的用户采用何种方式验证，需要和前面的域 结合，选择特定的域，那么用户则按照域的定义参数做用户端验证。 2.6.2、登录界面 登录界面设置的是用户或管理员登录界面的内容，主要设置的是显示界面的内容 以及 Logo，设置如下： 新建界面。不采用默认的页面设置，自己定义新的界面，如下图，新建了几个界 面， 以 SBR 为例，设置文字， Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 19 / 32 设置 Logo， 2.6.3、认证方式 设置登录路径的用户使用何种认证方式，这个设置与域相关连，只需要在 Authentication Realm 中设置，如果需要用户自己输入域的名称请选择 User Types the realm name，如果需要指定或者用户选择的话请选择 User Picks from a list of authentication realms，并选择相应的域。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 20 / 32 2.7、客户端安全检测 对登陆的用户的 PC 进行检测，包括查看用户是否安装病毒软件、防火墙软件、 防恶意软件、以及用户使用的系统等，需要在域中选择相应的策略使其生效。设 置的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 如下：  新建一个 Policies （AuthenticationEndpoint Security Host Checker），如下图，设置一个命名为 HostCheck 的策略。HostCheck 的内部设置病毒软件、防火墙软件等设置。  在 Realm 中启用 Host Check 的策略 如下图，如果有多个检测的策略，可以多选，其中“Evaluate Policies”是指对客 户进行一个评估，不会强制匹配检查的结果，而“Require and Enforce”是强制 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 21 / 32 用户执行 HostCheck，而且用户的检查结果必须是符合策略，否则无法登陆系统。 2.7.1、病毒软件检查 检查用户是否安装了列表中的病毒软件。将用户当前已安装获会使用到的病毒软 件加载到右边的列表。 2.7.2、防火墙软件 检查用户是否安装了列表中的防火墙软件。将用户当前已安装获会使用到的防火 墙软件加载到右边的列表。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 22 / 32 2.7.3、Spy Ware 软件 检查用户是否安装了列表中的防间谍软件。将用户当前已安装获会使用到的防间 谍软件加载到右边的列表。 2.7.4、MalWare 软件 检查用户是否安装了列表中的防恶意软件。将用户当前已安装获会使用到的防恶 意软件加载到右边的列表。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 23 / 32 2.7.5、系统版本检查 检查用户的系统版本。可以限制特点操作系统版本的用户登陆，如允许 Windows XP SP2 的用户登陆，或 Windows 2000 profession SP4 的用户登陆等。 2.7.6、端口检查 查看用户是否开启了某个端口，在 Port List 中设置一个端口，并选择开启了这个 端口的客户端是被拒绝登陆（选择 Deny）还是必须开启了这个端口的用户才可 以登陆（选择 Required）。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 24 / 32 2.7.7、文件检查 检查客户的硬盘目录是否包含某个文件，在 Files Name 中选择硬盘路径下的某个 文件。并选择存在这个文件的客户端是被拒绝登陆（选择 Deny）还是必须存在 这个文件的用户才可以登陆（选择 Required）。 2.7.8、进程检查 检查客户端是否开启了某个进程。并选择开启了这个进程的客户端是被拒绝登陆 （选择 Deny）还是必须开启了这个进程的用户才可以登陆（选择 Required）。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 25 / 32 2.7.9、注册表检查 检查用户的注册表是否包含某个选项。 三、其他设置 3.1、设备平台管理 包括设备的平台信息、重启和 RollBack 的选项。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 26 / 32 其中，Reboot 重启设备， Restart Services 是重启应用的服务，不重启设备本身。 3.2、设备 OS 升级 直接点击浏览选择硬盘本地的 OS 文件，选择 Install Now 开始升级，升级系统不 会修改系统的配置。 3.3、配置文件的导入和导出 系统配置文件的备份和导入，包括以下几种： 不可查看的配置，保存为专门的 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 ，无法查看或修改。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 27 / 32 用户备份，备份用户的数据库。 可修改和查看的配置，选择 Select All 或选择需要保存的配置，点击 Export。 当然也可以在设备上保存当前的日志，如果需要回退直接选择旧的配置文件选择 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 28 / 32 ReStore 就可以了。（保存当前的证书、IP 地址和网络设置） 3.4、备份系统日志等配置 可以设置定期将系统的日志等信息发送到 FTP 或 SCP 服务器上。可以制定详细 的时间。Archive Server 设置的是接受日志的服务器 IP，Destination Directory 设 置的是服务器的目录，Username 和 Password 设置的是登陆服务器的用户名和 密码，如下图： 3.5、系统排错 主要的排错的工具是 Command，包括 Ping、Traceroute、NSLookup 以及 ARP 检 查。如下图： Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 29 / 32 3.6、系统日志和状态  状态检查，包括系统当前的用户数图表、CPU 利用率图表、流量图表等。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 30 / 32  查看当前激活用户列表，查看当前登陆的用户列表。  SNMP 设置，将系统的状态信息发送到 SNMP 网管服务器。  用户登录的统计信息。 包括一段时间内系统登陆的用户数等统计信息。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 31 / 32  系统管理员登陆日志。 记录管理员登陆的日志。通过点击日志的某个项可以进行筛选。  用户登录的日志。 记录用户登陆系统的日志。通过点击日志的某个项可以进行筛选。 Juniper IC 管理员操作手册 广州智帮通讯技术有限公司 32 / 32  系统的事件日志 记录系统的日常事件日志，通过点击日志的某个项可以进行筛选。