Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

客户托管设备(本地)部署

注意:

对于同时使用本地和安全边缘部署的客户而言,“配置瞻博网络安全边缘部署”和“添加目录服务”是强制性的。

JIMS 服务器

默认情况下,JIMS 服务器配置为 localhost 连接。配置后,您只能编辑服务器的 JIMS 服务器端口最大数据传输速率

还可以配置新的 JIMS 服务器。要添加新的 JIMS 服务器,请按照以下步骤作:

  1. 单击“添加”以添加新的 JIMS 服务器。
  2. 输入服务器的 IP 地址或完全限定域名 (FQDN)。
  3. 给出描述。
  4. 输入用户名密码进行身份验证。
  5. 从下拉菜单中选择 JIMS 服务器类型
  6. 仅当执行故障排除时,才取消选择 TLS。
  7. JIMS 服务器端口最大数据传输速率标识由 JIMS 自动配置。您可以更改为由组织签名的证书,也可以使用 JIMS 提供的默认证书。

目录服务

必须为 JIMS 收集器配置至少一个目录服务器才能收集用户、设备和组成员身份。目前,仅支持 Active Directory。

如果您计划使用具有相同凭据的多个 Directory Server,则可以创建一个模板来减少每个 Directory Server 的输入。

要添加新的 Directory Server,请执行以下作:

  1. 单击“添加”以添加新的 Directory Server。
  2. (可选)使用已创建的模板来预配置凭据。
  3. 默认情况下,源处于选中状态。
  4. 提供描述
  5. 输入服务器的服务器主机名或 IP 地址
  6. 输入登录 ID)密码进行身份验证。
  7. 如果要加密 JIMS 和 Directory Server 之间的通信,请选择 TLS 连接

身份制作者

您可以配置身份创建者来收集用户和设备状态事件。JIMS 使用此信息来提供 IP 地址到用户名的映射。JIMS 还提供设备名称和实施点的域名(SRX 系列防火墙)。

标识生产者有 3 个选项卡/选项。根据 Identity Producers 部分中提供的信息,为部署选择适当的选项。

添加事件源

要添加新的事件源,请执行以下作:

  1. 单击“添加”以添加新的事件源。
  2. 使用现有模板预配置凭据。
  3. 从下拉菜单中选择源类型:

    • 域控制器

    • Exchange 服务器

    • Windows 事件收集器 (WEC)

  4. 如果选择“Windows 事件收集器 (WEC)”,请输入应从中收集日志的通道路径
  5. 提供可选说明。
  6. 输入服务器的服务器主机名 IP 地址
  7. 输入登录 ID密码。使用以有限权限创建的专用服务帐户。
  8. 输入启动事件历史追赶时间,以确保 JIMS 在系统开始主动监控之前收集历史事件日志。

添加 PC 探针

要添加新的 PC 探针,请执行以下作:

  1. 单击“添加”以添加新的 PC 探针。
  2. 输入登录 ID密码。这是新创建的服务帐户,权限有限。
  3. 提供可选说明。
  4. 提供详细信息后,您可以按希望执行的顺序移动用户名的顺序。

添加系统日志源

要添加新的 syslog 源,请执行以下作:

  1. 单击“添加”以添加新的 Syslog 源。
  2. (可选)选择预先存在的基本配置以继承预定义设置。
  3. 输入 Syslog 客户端(发送日志的服务器)的 IP 地址或完全限定域名 (FQDN)。
  4. 提供可选说明。
  5. 单击“添加”以定义匹配的正则表达式。
  6. 导航到 Regular Expression Sequences 部分。在右侧,您将看到“添加”、“编辑”和“删除”按钮。
  7. 单击“添加”(Add) 以定义新的正则表达式序列。将出现一个名为“添加正则表达式生成器”的弹出窗口。
  8. 在弹出窗口中,填写以下详细信息:
    1. 描述:序列的简要说明。
    2. ID:自动生成,默认从 1 开始。
    3. 类型:从下拉菜单中选择序列类型:

      • 开始会话

      • 结束会议

    4. 常规属性类别:指定与模式相关的适用属性类别。
    5. 触发匹配表达式:定义应触发匹配的正则表达式模式。
    6. Return Count(可选):设置此表达式应返回匹配项的次数。
    7. 开始时间(以分钟为单位)(可选):指定开始评估比赛的时间窗口。
    8. 匹配源 IP:根据是否要匹配表达式中的源 IP 启用或禁用复选框。
  9. 填写完字段后,单击“添加”以保存序列。
  10. 单击“确定”(OK),使用新定义的序列填充“正则表达式序列”(Regular Expression Sequences) 表。配置后,正则表达式序列将与选定的系统日志源相关联,并用于相应地匹配传入日志消息。

过滤 器

JIMS 服务器允许您按以下条件进行筛选:

  • IP 过滤器 — 允许您在报告中 包含或排除 来自指定 IP 范围的流量。在向 SRX 发送更新时,“包括 IP 过滤器”将仅包括这些 IP 范围,同样,“排除 IP 过滤器”将从其到 SRX 的更新中排除 IP 范围。需要 输入 IP 范围开始IP 范围结束

  • 用户/设备筛选器 - 旨在从报告中 排除特定用户或设备 。您可以指定用户名或设备标识符来过滤掉不需要的数据。通过省略不相关或已知的来源来帮助完善事件的可见性。

  • 组过滤器 — 充当 包含过滤器,应用于网络中的所有 SRX 系列防火墙 。为了改进匹配,还可以在组规范旁边添加

  • DN 过滤器 - 用于 排除 基于 可分辨名称 (DN) 的条目。非常适合从目录中过滤出特定的单位部门或用户路径。

    注意:支持使用正则表达式,以便更准确、更灵活地匹配用户/设备过滤器、组过滤器和 DN 过滤器。

设置

“设置”菜单由两个选项卡组成:

伐木

“日志记录 ”部分中,输入以下详细信息:

  1. 输入文件名前缀。
  2. 单击“选择”以选择所需的目录
  3. 输入文件大小
    注意:

    可接受的文件大小范围为 1 到 2000 MB。
  4. 输入文件生存期
    注意:

    可接受的文件生存期范围为 1 到 30 天。

常规

“常规 ”部分中,输入以下详细信息:

  1. “管理接口配置”下,输入 TLS (https) 端口
  2. “用户会话配置”下,输入注销时间
    注意:

    可接受的注销时间范围应在 1 到 1440 分钟之间。
  3. “全局配置”部分(需要重新启动 JIMS)下,输入 Syslog 初始时间跨度(分钟)。根据要求选择适当的选项:“传递 UPN”、“允许复合用户名”和“信任其他域”。

实施点

在 JIMS UI 中添加实施点

您必须配置实施点(SRX/NFX 设备),否则,它无法提取用户、设备和组信息来实施身份感知策略(用户防火墙)。

如果您有多个具有相同客户端 ID 和客户端密码的实施点,则可以创建一个模板来减少每个实施点的输入。

要添加新的实施点,请执行以下作:

  1. 单击“添加”
  2. (可选)使用已创建的模板来预配置凭据。
  3. 输入 SRX IP 地址
  4. 如果子网中有多个实施点,则可以输入覆盖所有实施点的匹配子网
  5. 提供可选说明。
  6. 将 IPv6 报告启用为 IPv6,因为它在组织中使用。这会在实施点的身份验证表中添加重复记录。
  7. 输入用于此设备的客户端 ID客户端密钥
  8. 强制执行令牌生存期。此生存期可以更改/调整。

在 Junos 中配置 JIMS

使用 SRX 系列防火墙进行 JIMS 配置

使用以下步骤配置 SRX 系列防火墙的 JIMS:

  1. 配置主/辅助 JIMS 服务器的 FQDN/IP 地址。

  2. 配置 SRX 系列设备作为其身份验证的一部分提供给 JIMS 主/辅助服务器的客户端 ID 和客户端密钥。

  3. (可选)配置应用于访问 JIMS 服务器的源 IP 或路由实例。

    注意:

    您还可以配置实施点来验证 JIMS 服务器的证书,为此,请参阅高级部分。

  4. 配置设备在一次批处理中接受的最大用户身份项数,以响应查询。

  5. 配置设备对新生成的用户身份发出查询请求的时间间隔(以秒为单位)。

  6. 配置 SRX 系列防火墙感兴趣的 Active Directory 域。您最多可以为过滤器指定 20 个域名。

  7. 配置通讯簿名称以包括 IP 过滤器。

  8. 若要配置所有模块的引用地址集、跟踪选项文件名、跟踪文件大小、调试输出级别以及跟踪标识管理,请适当使用以下命令:

设备身份认证源(最终用户配置文件)的配置

指定设备身份认证源和安全策略。设备从认证源获取经过认证的设备的设备身份信息。当用户设备发出的流量到达设备时,设备会在设备身份认证表中搜索设备匹配项。如果找到匹配项,设备将搜索匹配的安全策略。如果找到匹配的安全策略,则会将安全策略的作应用于流量。

使用以下步骤配置设备身份认证源:

  1. 指定设备身份认证源。

  2. 配置设备所属的设备标识配置文件和域名。

  3. 配置配置文件名称属性、设备标识字符串。

配置防火墙策略以匹配源身份。

使用以下步骤配置一个或多个基于身份控制访问的防火墙策略。

  1. 为安全策略创建源地址或目标地址,并配置应用程序/服务以与策略匹配。

  2. 定义 JIMS 发送到设备的用户名或角色(组)名。 例如:“ jims-dom1.local\user1”。

  3. 如果策略匹配,则允许数据包。

  4. 要配置会话启动时间和会话关闭时间,请使用以下命令:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: