Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

瞻博网络安全连接与 JIMS 集成

阅读本主题,了解 SRX 系列防火墙如何使用推送至身份管理 (PTIM) 解决方案将 VPN 连接状态事件发送到瞻博网络身份管理服务 (JIMS)。

瞻博网络®身份管理服务 (JIMS) 是一款在 Microsoft Windows 上运行的软件应用。JIMS 从不同来源收集用户、设备和组信息,并为 SRX 系列防火墙维护这些信息。防火墙将远程访问 VPN 连接状态事件发送到 JIMS。JIMS 从这些日志消息中提取瞻博网络安全连接的远程访问 VPN 用户名、映射 IP 地址和域名,以便进行跟踪和故障排除。

防火墙可以通过两种方式将日志消息发送到 JIMS:

  • 系统日志解决方案:JIMS 从 SRX 系列防火墙接收与每个用户的 VPN 连接状态事件相关的系统日志(系统日志),不包括密钥更新状态。JIMS 使用您定义的自定义正则表达式分析日志,并将信息存储在其数据库中。SRX 系列防火墙仅支持系统日志解决方案,直到 Junos OS 24.2R1 版本。有关更多详细信息,请参阅 JIMS 标识生产者系统日志源

  • 推送到身份管理 (PTIM) 解决方案:防火墙推送 VPN 连接状态事件,包括密钥更新状态,以及每个用户的 IP 地址和域名详细信息。防火墙使用 PTIM 解决方案将详细信息直接发送到 JIMS,无需与系统日志进行任何交互。从 Junos OS 24.4R1 版开始,将支持 PTIM 解决方案。建议您使用 PTIM 解决方案,而非 syslog 解决方案。

进一步阅读以了解 PTIM 解决方案。

推送到身份管理解决方案概述

SRX 系列防火墙通过 HTTP 或 HTTPS 连接与 JIMS 通信。 图 1 显示了瞻博网络安全连接与 JIMS 之间的设置。

图 1:瞻博网络安全连接与 JIMS Juniper Secure Connect Integration with JIMS 集成

阅读以下信息以了解 PTIM 解决方案的工作原理:

  • 要使用 PTIM 解决方案,必须运行使用 iked 进程的 IPsec VPN 服务,并在防火墙上配置身份管理服务。
  • PTIM 解决方案直接向 JIMS 报告隧道连接 ()、IKE_VPN_UP_ALARM_USER隧道断开 (IKE_VPN_DOWN_ALARM_USER) 和隧道密钥更新 (IKE_VPN_UP_ALARM_USER) 等 VPN 连接状态。
  • 该解决方案不会阻止 iked 进程将 VPN 连接状态事件发送到系统日志。iked 进程将这些连接状态事件发送到 JIMS 服务器和防火墙的系统日志。

  • 当防火墙运行使用 kmd 进程的 IPsec VPN 服务时,无法配置 PTIM。

要启用 PTIM,请参阅 启用推送到身份管理

优势

  • 可靠性 — 与系统日志解决方案不同,PTIM 解决方案支持 IPsec VPN 密钥更新事件。

  • 易于集成 — 无需额外基础架构,可轻松集成瞻博网络安全连接和 JIMS。

  • 综合解决方案 — 共享有关基于上下文的策略的信息,例如用于验证访问合法性的预登录合规性策略。

限制

  • 防火墙会向 JIMS 发送每个用户的用户名、IP 地址和域名,但不会发送设备 ID、设备操作系统和主机名。

  • 在两个不同的远程访问配置文件中附加相同的 IPsec VPN 对象时,必须在远程访问配置文件中使用相同的域别名。避免为使用相同 IPsec VPN 对象的不同远程访问配置文件配置不同的域别名。有关使用域名的更多信息,请参见 启用推送至身份管理

也可以看看

启用推送至身份管理

确保满足 SRX 系列防火墙的以下先决条件,以便使用 PTIM 解决方案将 VPN 连接状态事件发送到 JIMS:

  • 采用 Junos OS 24.4R1 或更高版本的 SRX 系列防火墙。

  • SRX 系列防火墙 已 junos-ike 安装用于 IPsec VPN 服务的软件包。请参阅 新软件包支持的 IPsec VPN 功能

要配置 PTIM 并验证配置,请执行以下操作:
  1. 配置身份管理功能。
    identity-management在层次结构级别配置 [edit services user-identification]该语句,以使防火墙能够收集身份信息。请注意,如果在防火墙上配置身份管理,则默认情况下会启用 PTIM。请参阅 身份管理
  2. (可选)如果瞻博网络安全连接应用仅发送用户名,请在防火墙中配置域别名。
    在层次结构级别上 [edit security remote-access profile realm-name options]为每个远程访问配置文件单独配置该 user-domain user-domain语句。
    在两个不同的远程访问配置文件中关联 IPsec VPN 对象时,必须在这些远程访问配置文件中使用相同的域别名。避免为使用同一 IPsec VPN 对象的远程访问配置文件配置不同的域别名。例如,将 hr 和 engineering 配置文件与同一 IPsec VPN 对象 vpn1 进行映射时,请为这两个配置文件使用相同的域名别名 example.com。
    如果瞻博网络安全连接用户未披露域别名,则 iked 进程会 missing-domain-secureconnect将消息作为域名的一部分发送到 JIMS,以获取该用户的所有隧道状态。请参阅 个人资料(瞻博网络安全连接)。
  3. 使用 PTIM 解决方案验证 IPsec VPN 隧道事件统计信息,了解发送到 JIMS 的 VPN 连接状态事件计数。
    使用此命令 show security ipsec tunnel-events statistics 查看身份管理统计信息。请参阅 显示安全 IPsec 隧道事件统计信息
  4. 验证 IPsec VPN 安全关联 (SA),了解 VPN 网关生成并发送到 JIMS 的事件的计数和顺序。
    使用此命令 show security ipsec security-associations detail 查看防火墙向 JIMS 发送隧道事件的次数。例如,防火墙可以向 JIMS 发送隧道创建、隧道删除或隧道密钥更新事件。请参阅 show security ipsec security-associations
要在 SRX 系列防火墙上禁用 PTIM:

  • 在层次结构级别使用[edit security ike gateway gateway-name aaa]no-push-to-identity-management语句来禁用使用 PTIM 解决方案与 JIMS 的 iked 进程通信。请参阅身份管理

也可以看看

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
24.4R1
我们已使用 Junos OS 24.4R1 版中的推送至身份管理 (PTIM) 解决方案,支持瞻博网络安全连接与 JIMS 集成。