在Name中填入,NC分配的地址池名称,在IP Address Pool中填入NC使用的IP地址池,选择是否给使用NC的用户设置代理服务器,是否为这些用户设置内部DNS,以及调整这些用户的DNS查询次序,选择这条Policy适用那个角色。
点击Save Changes,完成NC的设置
注意:如果一个角色既有Core,SAM的功能模块,又有NC的功能模块,这几个的功能模块的执行优先次序是Core>SAM>NC,也就是说如果有一个用户登入SSL VPN后使用了NC模块,但是他发现自己访问内网的Web服务器时,依旧使用的是Core模块,这不用觉得奇怪。
五、资源访问控制
SSL VPN和传统的IPSec VPN最大的区别之一,就是SSL VPN拥有应用
层的资源访问控制,也就是说当一个用户登入SSL VPN之后,他不能象IPSec VPN用户那样自由的访问内网的所有资源,而必须接受SSL VPN的限制,有限
制的访问内网资源。这样更提高了VPN网络的安全性和稳定性。 5.1、Core和SAM的资源访问控制
点击“Resources Police?Web-?Access Control”,得到下图:
SSL VPN会在此添加一个缺省的Web Access策略,允许用户访问所有Web资源。
点击New Policy…,得到下图,来建立新的Web Access策略。
在“Name”中填入Web资源的名称,在“Resources”中加入需要控制
的资源,可以根据Http,Https协议,URL,或是某段地址池来定义控制的资源,在“Roles”中,选择这个资源是针对于哪个角色的,在“Action”中选择定义的资源对于选定的角色是否运行其访问。
这样就建立了一条Web Access方面资源访问控制。
5.2、SAM和NC的资源访问控制
分别点击“Resources Police? SAM-? Access Control”和“Resources
Police? Network Connect-? Network ConnectAccess Control”,就可以SAM和NC两个模块的资源访问控制界面。
它们的配置方法基本和Web Access的控制是一样的,只是在SAM中更侧
重在TCP端口和IP的资源控制,而在NC中则更侧重在对不同协议如,IP,TCP,ICMP,UDP等方面的ACL控制。
六、设备管理
6.1、系统概览
Juniper的SSL VPN 自身的设备管理和监控方式非常简便但也很全面,第一次进入SSL VPN管理员界面时,SSL VPN会展示给管理员一个整个产品的概况图,如下:
在这副图中,我们可以看到给设备目前的并发用户数,每秒的点击率,CPU
及内存的使用率,吞吐量以及系统软件版本和运行持续时间等信息,对于网管人员来讲能够非常方面的一目了然SSL VPN的状态,这个功能是Juniper SSL VPN独有的,许多同类厂商的产品不具备这样的功能。
6.2、日志系统
Juniper SSL VPN的日志系统非常全面,主要分三个方面记录日志,分别是
