步驟1:在Jamf Security Cloud中建立自訂的IPSec閘道

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW

使用此程序與您的Juniper路由器建立安全連線。

Requirements

Jamf Security Cloud 超級管理員存取權

  1. Jamf Security Cloud 導覽至 Integrations (整合) > Access gateways (存取閘道)
  2. 專屬IPSec閘道區段的專屬閘道標籤頁上,按一下建立閘道
  3. 自訂IPSec下,按一下建立閘道
  4. General(一般)面板中,配置下列設定:
    1. 輸入閘道的IPSec name(IPSec名稱)

      選取它作為存取原則中的路由目的地時,將使用此名稱。

    2. IPSec network vendor(IPSec網路供應商)功能表中選取路由器供應商的名稱。
    3. 輸入您的VPN技術聯絡人的名稱和電子郵件地址。
    4. 按一下 Next (下一步)
  5. Provisioning(佈建)面板中,配置下列設定:
    1. 使用Egress region(出口地區)功能表來選取應佈建此閘道的全球Jamf資料中心。
      Note:

      所選地區通常應在地理上儘可能靠近您的目的地網路設備。

    2. Jamf Security Cloud IPSec source IP addresses (Jamf Security Cloud IPSec 來源 IP 位址) 下,選取 Dynamic addressing (動態定址)
    3. 按一下 Next (下一步)
  6. Connectivity and Authentication(連線能力和認證)面板中,配置下列設定:
    1. Your IPSec gateway IP address(您的IPSec閘道IP位址)欄位中,輸入您的路由器的IP位址。
    2. 預設會將Jamf Security Cloud IKE domain ID(Jamf Security Cloud IKE網域ID)設為wpa.wandera.com。如果您的路由器或防火牆不支援將完整網域名稱作為IPSec網域ID,則必須將預設值取代為佈建步驟中的Jamf Security Cloud雲端IPSec來源出埠IP位址之一。
    3. 輸入Your IKE Domain ID(您的IKE網域ID)

      這是用於識別和建立此 IPSec 通道的唯一識別碼。這必須是完整網域名稱,其值類似於jamf.mycompany.com。配置路由器時,您將需要使用此精確值。

    4. 按一下Generate secret(產生密碼),然後按一下Copy secret(複製密碼)
    5. 將密碼貼到安全位置,例如密碼管理器中的備註。
    6. 選取 I have saved the Authentication Secret password (我已儲存認證密碼) 核取方塊。
      Note:

      您可以在未來變更共用密碼,但基於安全性目的無法檢視密碼。

    7. 按一下 Next (下一步)
  7. 提案和密碼面板中,配置以下設定:
    1. 確定將Key exchange protocol(金鑰交換通訊協定)設為"IKEv2"
    2. Phase 1: Encryption(階段1:加密)Phase 2: Encryption(階段2:加密)設為"AES-256"
    3. Phase 1: Integrity(階段1:完整性)Phase 2: Integrity(階段2:完整性)設為"SHA-256"
    4. Phase 1: Diffie-Hellman Groups(階段1:Diffie-Hellman群組)Phase 2: Diffie-Hellman Groups(階段2:Diffie-Hellman群組)設為"Group 19 (ecp256)(群組19(ecp256))"
    5. Security Association (SA) Lifetime(安全關聯(SA)使用期限)Child Security Association (SA) Lifetime(子安全關聯(SA)使用期限)設為28800 seconds
      Note:

      如果您的組織有特定的加密和密碼需求,請相應地修改上述設定。此外,在設定通道端時,相應地修改您的路由器設定。

    6. 按一下 Next (下一步)
  8. Encryption domain(加密網域)面板中,配置下列設定:
    1. 使用IP位址選擇器選取Jamf Security Cloud Subnet(Jamf Security Cloud子網路)

      選擇器將可用 IP 限制為 RFC1918 定義範圍內的 IP。

      Jamf建議192.168.233.0/24範圍,前提是尚未在您網路中其他地方對它進行界定。

    2. 記下所產生的Last IP from range (Pingable ICMP Test Address)(來自範圍的最後一個IP(可Ping ICMP測試位址)

      您可以使用此IP位址來驗證是否可從您的路由器連線通道的Jamf端。

    3. Customer Subnets(客戶子網路)欄位中,以CIDR格式輸入您的網路子網路,然後按一下Add(新增)

      這些是網路子網路(通常是您的應用程式伺服器),遠端Jamf Trust使用者將可以透過此閘道來連線這些子網路,前提是所有Zero Trust政策都允許他們的裝置。如果您希望所有IP都可以透過此閘道連線,請將此欄位設為0.0.0.0/0

      Note:

      加密網域是通道任一端的 IP 位址 (網路子網),應加密並能夠彼此路由。它們可以是單一主機或多個網路。

  9. 按一下 Next (下一步)
  10. 確認所有設定都正確,然後按一下Save and create(儲存並建立)
現在已在閘道的Jamf端上建立VPN路由。如果您想檢閱詳細資訊,請按一下Dedicated gateways(專用閘道)索引標籤中新建立的閘道名稱。