- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-SSL VPN
本章节下载: 18-SSL VPN (1.35 MB)
Web页面提供的SSL VPN网关配置功能如下:
· 查看用户信息
· 手工配置本地用户
· 批量导入本地用户
· 配置用户组
· 配置界面定制
· 界面文件定制
· 配置Web代理服务器资源
· 配置TCP应用资源
· 配置IP网络资源
· 配置资源组
· 配置SSL VPN域基本策略
· 配置SSL VPN域认证策略
· 配置SSL VPN域安全策略
· 配置SSL VPN服务
完成上述配置后,远程接入用户即可与SSL VPN网关建立HTTPS连接,并通过SSL VPN网关提供的用户服务界面访问相应的资源。
SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。
SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
SSL VPN的典型组网架构如下图所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。
图1-1 SSL VPN典型组网应用
SSL VPN的工作机制为:
(1) 管理员登录SSL VPN网关的Web界面,在SSL VPN网关上创建与服务器对应的资源。
(2) 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
(3) HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式,SSL VPN网关验证用户的信息是否正确。
(4) 用户成功登录后,在Web界面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
(5) SSL VPN网关解析请求,与服务器交互后将应答发送给用户。
SSL VPN利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点:
(1) 支持各种应用协议
任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。SSL VPN将应用协议提供的服务资源划分为三类:
· Web接入方式下的访问资源:是指用户使用浏览器以HTTPS方式通过SSL VPN网关对服务器提供的Web代理服务器资源进行访问。
· TCP接入方式下的访问资源:用于实现用户应用程序对服务器开放端口的安全访问,包括远程访问服务、桌面共享服务、电子邮件服务、Notes服务和通用TCP服务资源。
· IP接入方式下的访问资源:用于实现用户终端与服务器网络层之间的安全通信,进而实现所有基于IP的应用与服务器的互通。
(2) 部署简单
目前SSL协议已被集成到大部分的浏览器(如Internet Explorer浏览器)中,这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。通过这些浏览器访问Web接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问TCP接入方式下和IP接入方式下的资源,则在用户登录SSL VPN时,会自动运行SSL VPN客户端专用软件,也不需要用户进行额外的操作。
(3) 支持多种用户认证方式
除了可以利用SSL协议本身提供的证书认证机制,对SSL客户端进行身份确认外,SSL VPN还支持以下四种认证方式,以及基于这些认证方式的组合认证:
· 本地认证
· RADIUS认证
· LDAP认证
· AD认证
(4) 实现了对网络资源的细粒度的控制访问
管理员可以配置多个资源和用户,将资源加入到不同的资源组中,将用户加入到不同的用户组,然后为每个用户组指定可以访问的资源组。用户登录后,SSL VPN网关根据用户所在的用户组找到其可以访问的资源组,进而找到可以访问的资源列表,从而实现对资源访问权限的细粒度的控制。
表2-1 SSL VPN网关配置任务简介
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 查看在线用户信息和历史用户信息,将在线用户强制下线 |
|
|
2 |
必选 配置以本地认证方式登录的SSL VPN用户信息 缺省情况下,存在名为guest(没有密码)的本地用户,其状态为禁用 |
|
|
3 |
必选 将本地用户加入到不同的用户组,并指定用户组可以访问的资源组 缺省情况下,存在名为Guests的用户组,该组未配置任何成员,且未与任何资源组关联
也可以在配置本地用户时直接将用户加入已经存在的用户组中 |
|
|
4 |
可选 为SSL VPN用户定制个性化的服务界面 |
|
|
5 |
三者至少选其一 缺省情况下,不存在任何资源 |
|
|
6 |
必选 缺省情况下,存在名为autohome和autostart的资源组 |
|
|
7 |
可选 配置域策略、缓存策略和公告管理 |
|
|
8 |
可选 启用SSL VPN域的各种认证方式,并配置具体的认证参数
本地认证固定是启用的,其余认证方式需要通过配置启用后才能使用 |
|
|
9 |
可选 安全策略定义了对用户主机进行安全检查的方法,明确了需要检查的项目。再通过为安全策略配置保护资源,保证了只有满足安全策略的用户主机才能访问相应的资源
要实现对用户主机的安全性检查,还必须在域策略中启用安全策略 |
|
|
10 |
必选 启用SSL VPN,配置SSL VPN服务的端口号和使用的PKI域 |
在导航栏中选择“SSL VPN > 用户信息显示”,进入“在线用户”页签的页面,如下图所示。页面显示当前在线的用户信息,详细说明如表2-2所示。
|
标题项 |
说明 |
|
登录时间 |
该用户登录到SSL VPN的时间 |
|
用户名 |
该用户的用户名,完全用户名格式 |
|
IP地址 |
该用户的主机IP地址 |
(1) 在导航栏中选择“SSL VPN > 用户信息显示”,进入“在线用户”页签的页面,如图2-1所示。
(2) 选中用户信息前的复选框。
(3) 单击<强制下线>按钮,弹出是否确认要删除选中项的提示框。
(4) 单击提示框中的<确定>按钮,将选中的用户强制下线。
也可以单击某用户对应的
图标,将其强制下线。
(1) 在导航栏中选择“SSL VPN > 用户信息显示”。
(2) 单击“历史信息”页签,进入如下图所示的页面,可以查看历史最大并发用户数和历史最大并发连接数的信息。
图2-3 历史信息
手工逐个进行配置。使用此方法可以同时为用户指定用户名、密码,以及证书绑定、公告账号、用户状态、MAC地址绑定、所属用户组等高级参数。
(1) 在导航栏中选择“SSL VPN > 用户添加”,进入如下图所示的页面。
图2-4 本地用户
(2) 单击<新建>按钮,进入新建本地用户的页面,如下图所示。
图2-5 新建本地用户
(3) 配置本地用户的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-3 本地用户的详细配置
|
配置项 |
说明 |
|
|
用户名 |
设置本地用户的名称 |
|
|
用户描述 |
设置用户的描述信息 |
|
|
用户密码 |
设置用户的密码 输入的密码确认必须与用户密码一致 |
|
|
密码确认 |
||
|
证书序号 |
设置与用户名绑定的证书序列号,用于用户的身份验证 |
|
|
启用公共账号 |
设置是否将该用户账号作为公共账号 当启用公共账号时,允许多个用户同时使用该账号登录SSL VPN;否则,同一时刻只允许一个用户使用该账号登录SSL VPN |
|
|
公共账号允许登录的最大用户数 |
当启用公共账号时,设置允许同时使用该账号登录的最大用户数 |
|
|
用户状态 |
设置该用户的使能状态,包括:允许、有效期限内允许、禁止 |
|
|
有效期限 |
当用户状态为“有效期限内允许”时,设置允许该用户登录的有效期限 |
|
|
MAC地址 |
设置与用户名绑定的MAC地址,用于用户的身份验证 |
|
|
启用MAC地址自学习 |
设置是否自动学习用户的MAC地址 启用MAC地址自学习功能后,当用户使用此账号登录时,SSL VPN系统会自动学习该用户主机的MAC地址,并记录于“MAC地址”配置项中,同一个账号最多可以学习并记录3个不同的MAC地址。记录的MAC地址在禁用此功能后仍然有效 |
|
|
所属用户组 |
设置用户所属的用户组 |
|
先将用户信息编写成文本文件,然后进行批量导入。使用此方法导入的用户信息只包含用户名和密码参数(用户状态为“允许”),可以在完成批量导入后通过手工修改用户信息来为其指定高级参数。
(1) 在导航栏中选择“SSL VPN > 用户导入”,进入如下图所示的页面。
(2) 通过单击<浏览…>按钮正确设置用户信息文件保存在本地主机的路径及文件名。
(3) 设置如果设备上存在同名的文件,是否直接覆盖。
(4) 单击<确定>按钮将文件中的用户信息批量导入到设置。
图2-6 本地用户
(1) 在导航栏中选择“SSL VPN > 用户组配置”,进入如下图所示的页面。
图2-7 用户组
(2) 单击<新建>按钮,进入新建用户组的页面,如下图所示。
图2-8 新建用户组
(3) 配置用户组的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-4 用户组的详细配置
|
配置项 |
说明 |
|
用户组名 |
设置用户组的名称 |
|
资源组 |
设置与该用户组相关联的资源组,用户组中的用户就可以访问资源组中的资源 |
|
本地用户 |
设置用户组中的本地用户成员 |
使用系统提供的页面文件,但可以根据需要定制页面上的部分信息,包括:登录页面标题、登录页面欢迎信息、服务页面标识区信息、登录页面Logo、服务页面Logo和服务页面背景。这些可定制信息在页面上的位置如图2-8和图2-9所示。
(1) 在导航栏中选择“SSL VPN > 界面定制”,进入“页面信息”页签的页面,如下图所示。
(2) 配置SSL VPN的服务页面标识区信息、登录页面欢迎信息和登录页面标题。
(3) 单击<确定>按钮完成操作。
图2-11 页面信息
(1) 在导航栏中选择“SSL VPN > 界面定制”。
(2) 单击“登录页面Logo”页签,进入如下图所示的页面。
(3) 通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。
(4) 设置如果设备上存在同名的文件,是否直接覆盖。
(5) 单击<确定>按钮,将指定的图片文件上传到设备,并将其作为登录页面的Logo图片。
图2-12 登录页面Logo
(1) 在导航栏中选择“SSL VPN > 界面定制”。
(2) 单击“服务页面Logo”页签,进入如下图所示的页面。
(3) 通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。
(4) 设置如果设备上存在同名的文件,是否直接覆盖。
(5) 单击<确定>按钮,将指定的图片文件上传到设备,并将其作为服务页面的Logo图片。
图2-13 服务页面Logo
(1) 在导航栏中选择“SSL VPN > 界面定制”。
(2) 单击“服务页面背景”页签,进入如下图所示的页面。
(3) 通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。
(4) 设置如果设备上存在同名的文件,是否直接覆盖。
(5) 单击<确定>按钮,将指定的图片文件上传到设备,并将其作为服务页面标识区的背景图片。
图2-14 服务页面背景
使用自行编写的页面文件,可以定制完全个性化的用户访问界面。
进行下面的配置之前,管理员需要将预先编写好的自定义页面文件通过FTP或TFTP方式上传到设备上。
(1) 在导航栏中选择“SSL VPN > 界面文件定制 ”,进入如下图所示的页面。
图2-15 完全定制
(2) 配置完全定制的信息,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表2-5 完全定制的详细配置
|
配置项 |
说明 |
|
启用完全定制 |
设置是否启用自定义页面 |
|
页面目录 |
设置自定义页面文件在设备上的存放路径 |
|
页面文件名 |
设置自定义的登录页面文件的文件名 |
Web服务器的服务一般是以网页的形式提供的,用户可以通过点击网页中的超链接,在不同的网页之间跳转,以浏览网页获取信息。在Internet上,这种服务器与用户的交互是通过明文方式传输的,任何人都可以通过截取HTTP数据的方式非法获取信息。SSL VPN为用户访问Web服务器的过程提供了安全的访问链接,并且可以阻止非法用户访问受保护的Web服务器。
(1) 在导航栏中选择“SSL VPN > Web代理配置”,进入Web代理服务器资源的显示页面,如下图所示。
(2) 单击<新建>按钮,进入新建Web代理服务器资源的页面,如下图所示。
图2-17 新建Web代理服务器资源
(3) 配置Web代理服务器资源的信息,详细配置如下表所示。
表2-6 Web代理服务器资源的详细配置
|
配置项 |
说明 |
|
资源名称 |
设置Web代理服务器资源的名称 资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性 |
|
站点地址 |
设置提供Web服务的站点地址,必须以“http://”开头,以“/”结尾,例如:http://www.domain.com/web1/ 站点地址可以设置为IP地址或域名,当设置为域名时,需要在“网络 > DNS ”中配置域名解析 |
|
缺省页面 |
设置用户登录Web站点后的首页面,例如:index.htm |
|
站点匹配模式 |
设置用户通过该站点可以访问哪些网页 站点匹配模式可以使用通配符“*”进行模糊匹配,多个匹配模式之间以“|”隔开 例如,要使用户能够访问站点中提供的到www.domain1.com的链接,以及到www.domain2.com、www.domain2.org、www.domain2.edu等的链接,可以将站点匹配模式设置为www.domain1.com|www.domain2.* |
|
启用页面保护 |
设置启用页面保护功能 启用页面保护功能时,用户登录Web站点后,不能对该站点的页面进行截屏、页面保存、页面打印的操作 |
(4) 配置是否启用单点登录。若要启用单点登录,则选中“单点登录”前的复选框,展开单点登录参数的配置内容并进行配置。单点登录参数的配置内容如下图所示,详细配置如表2-7所示。配置了单点登录功能后,当用户通过SSL VPN服务界面点击访问该资源时,如果用户访问站点的用户名、密码与用户登录SSL VPN的用户名、密码相同,则用户可以自动登录相应的站点,简化了用户访问资源的操作过程。
(5) 单击<确定>按钮完成操作。
图2-18 单点登录参数
|
配置项 |
说明 |
|
使用IP网络方式 |
设置系统是否使用IP网络方式自动登录站点,不使用此方式时使用Web代理方式自动登录站点
当使用IP网络方式登录时,系统采用IP接入来访问资源,此时需要配置相应的IP网络资源,并将该资源与相关的用户进行关联 |
|
登录请求路径 |
· 当使用IP网络方式时,设置单点登录时系统自动提交的路径。此时如果不设置登录请求路径,则直接使用Web代理方式登录前面指定的站点地址 · 当不使用IP网络方式时,设置Web代理方式登录该站点的相对路径。此时如果不设置登录请求路径,则直接使用前面指定的缺省页面 |
|
用户名参数 |
设置系统自动登录时提交的用户名参数名 |
|
密码参数 |
设置系统自动登录时提交的密码参数名 |
|
其他参数 |
设置系统自动登录时提交的其他参数 单击<新建>按钮,在弹出的对话框中设置参数名和参数值,单击<确定>按钮,即可添加一个参数 |
除了在配置Web代理服务器资源时配置单点登录功能,还可以在如图2-15所示的Web代理服务器资源显示页面单击某资源对应的
图标进行配置。单击此图标后,在弹出的页面中输入任意的用户名和密码(二者不能相同),单击<确定>按钮,弹出此资源中站点的登录页面。在登录页面再次输入之前指定的用户名和密码并登录,当看到单点登录配置成功的提示后,即完成单点登录功能的配置,系统会从这个过程中自动提取用户名参数名和密码参数名。需要注意的是,当站点登录页面还需要设置除用户名和密码外的其他参数时,可能无法通过这种方式配置。
TCP应用资源包括以下几种:
· 远程访问服务资源
· 桌面共享资源
· 电子邮件资源
· Notes邮件服务资源
· 通用TCP服务资源
远程访问服务是一类服务的总称,包括Telnet、SSH等常见的远程字符终端服务,还包括IBM3270等一些传统的终端服务。这些服务一般是用于方便用户管理远程主机的,通过软件模拟一个服务器终端窗口,使得在本地主机上的操作就像是在远程主机上操作一样。SSL VPN使用SSL加密技术,将这些原本在Internet上以明文方式传输的服务通过SSL来进行加密,保证了数据传输的安全性。
(1) 在导航栏中选择“SSL VPN > TCP应用配置”,默认进入“远程访问服务”页签的页面,如下图所示。
图2-19 远程访问服务
(2) 单击<新建>按钮,进入新建远程访问服务的页面,如下图所示。
图2-20 新建远程访问服务
(3) 配置远程访问服务资源的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-8 远程访问服务资源的详细配置
|
配置项 |
说明 |
|
资源名称 |
设置远程访问服务资源的名称 资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性
当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息 |
|
远程主机 |
设置提供远程访问服务的远程主机的主机名或IP地址 |
|
服务端口 |
设置远程主机的服务端口号 |
|
本地地址 |
设置环回地址或以任意字符串形式代表的环回地址 |
|
本地端口 |
设置本地主机的端口号,建议设置为大于1024的非常用端口号 |
|
命令行 |
设置该资源的Windows命令行 正确配置命令行后,用户可以在SSL VPN服务界面上通过点击该资源名称的链接,直接启动相应的应用程序,访问远程服务器 例如:Telnet远程访问服务的命令行可以设置为“telnet 本地地址 本地端口”,如“telnet 127.0.0.1 2300”。需要注意的是,如果本地端口使用的是远程访问服务缺省的端口号,则在命令行中可以省略本地端口信息 |
使用桌面共享(又称为“远程桌面”)服务,用户可以从本地计算机上访问运行在远程计算机上的会话。这意味着用户可以从家里连接到办公室里的工作计算机,并访问所有应用程序、文件和网络资源,就好像坐在工作计算机前面一样。常用的桌面共享服务有Windows远程桌面、VNC(Virtual Network Computing,虚拟网络计算机)桌面共享、Citrix桌面共享等。某些桌面共享应用使用明文压缩方式发送数据,在网络上传输容易被攻击者截获并还原。通过SSL VPN加密后,可以提高数据传输的安全性。
(1) 在导航栏中选择“SSL VPN > TCP应用配置”。
(2) 单击“桌面共享”页签,进入如下图所示的页面。
图2-21 桌面共享
(3) 单击<新建>按钮,进入新建桌面共享服务的页面,如下图所示。
图2-22 新建桌面共享服务
(4) 配置桌面共享服务资源的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-9 桌面共享服务资源的详细配置
|
配置项 |
说明 |
|
资源名称 |
设置桌面共享服务资源的名称 资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性
当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息 |
|
远程主机 |
设置提供桌面共享服务的远程主机的主机名或IP地址 |
|
服务端口 |
设置远程主机的服务端口号 |
|
本地地址 |
设置环回地址或以任意字符串形式代表的环回地址 |
|
本地端口 |
设置本地主机的端口号,建议设置为大于1024的非常用端口号 |
|
命令行 |
设置该资源的Windows命令行 例如:Windows桌面共享服务的命令行可以设置为“mstsc /v 本地地址:本地端口”,如“mstsc /v 127.0.0.2:20000”。需要注意的是,如果本地端口使用的是桌面共享服务缺省的端口号,则在命令行中可以省略本地端口信息 |
电子邮件服务是日常生活、工作中的一种常用服务,用于在网络上使用电子信件的方式在邮件服务用户之间交换各种文字、图形形式的信息。一般情况下,这些信息交换都是以明文方式在网络上传输的,存在一定的安全隐患。用户可以通过实现将邮件加密的方式提高内容安全性,但是无法保证传输过程的安全。使用SSL VPN,可以提高邮件传输过程的安全性。
电子邮件服务必须至少配置两个资源才能正常使用,一个接收服务器、一个发送服务器。
(1) 在导航栏中选择“SSL VPN > TCP应用配置”。
(2) 单击“电子邮件”页签,进入如下图所示的页面。
图2-23 电子邮件
(3) 单击<新建>按钮,进入新建电子邮件服务的页面,如下图所示。
图2-24 新建电子邮件服务
(4) 配置电子邮件服务资源的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-10 电子邮件服务资源的详细配置
|
配置项 |
说明 |
|
资源名称 |
设置电子邮件服务资源的名称 资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性
当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息 |
|
服务类型 |
设置电子邮件服务的类型,包括POP3、IMAP和SMTP |
|
远程主机 |
设置电子邮件服务器的主机名或IP地址 |
|
服务端口 |
设置电子邮件服务器的服务端口号 |
|
本地地址 |
设置环回地址或以任意字符串形式代表的环回地址 |
|
本地端口 |
设置本地主机的端口号,必须设置为各类电子邮件服务的缺省端口号 |
|
命令行 |
设置该资源的Windows命令行 用户必须手动启动电子邮件服务应用程序,故此项不需要配置 |
Notes是实现和运行办公自动化的平台,能够提供基于C/S结构的电子邮件服务。使用SSL VPN,可以提高Notes服务的安全性。
(1) 在导航栏中选择“ SSL VPN > TCP应用配置”。
(2) 单击“Notes服务”页签,进入如下图所示的页面。
图2-25 Notes服务
(3) 单击<新建>按钮,进入新建Notes服务的页面,如下图所示。
图2-26 新建Notes服务
(4) 配置Notes邮件服务资源的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-11 Notes邮件服务资源的详细配置
|
配置项 |
说明 |
|
资源名称 |
设置Notes邮件服务资源的名称 资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性
当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息 |
|
远程主机 |
设置Notes邮件服务器的主机名或IP地址 |
|
服务端口 |
设置Notes邮件服务器的服务端口号 |
|
本地主机 |
设置环回地址或以任意字符串形式代表的环回地址
本地主机字符串必须和Notes程序中的邮件服务器名称符串相同才能正常使用该资源 |
|
本地端口 |
本地主机的端口号,必须设置为Notes邮件服务的缺省端口号 |
|
命令行 |
设置该资源的命令行 用户必须手动启动Notes邮件服务应用程序,故此项不需要配置 |
通用TCP服务是SSL VPN为了满足多种多样的C/S(客户端/服务器)程序而设计的,具有良好的普遍适用性。一般情况下,管理员在通用TCP服务中配置应用程序服务可能使用的所有网络端口,用户只要将应用程序的访问地址、端口号配置为通用TCP服务列表中列出的地址和端口号,即可正确运行应用程序。
(1) 在导航栏中选择“ SSL VPN > TCP应用配置”。
(2) 单击“TCP服务”页签,进入如下图所示的页面。
图2-27 TCP服务
(3) 单击<新建>按钮,进入新建TCP服务的页面,如下图所示。
图2-28 新建TCP服务
(4) 配置通用TCP服务资源的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-12 通用TCP服务资源的详细配置
|
配置项 |
说明 |
|
资源名称 |
设置通用TCP服务资源的名称 资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性
当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息 |
|
服务类型 |
设置通用TCP服务的类型 |
|
远程主机 |
设置提供通用TCP服务的远程主机的主机名或IP地址 |
|
服务端口 |
设置远程主机的服务端口号 |
|
本地主机 |
设置环回地址或以任意字符串形式代表的环回地址 |
|
本地端口 |
设置本地主机的端口号 |
|
命令行 |
设置该资源的Windows命令行 |
SSL VPN网络服务访问提供了IP层以上的所有应用支持,可以保证用户与服务器的通讯安全。用户不需要关心应用的种类和配置,仅通过登录SSL VPN服务界面,即可自动下载并启动ActiveX SSL VPN客户端程序,从而完全地访问特定主机的管理员所授权的服务。
表2-13 配置IP网络资源
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 配置地址池、网关地址、超时时间、WINS/DNS服务器地址等IP网络资源访问的全局参数 |
|
|
2 |
必选 配置用户通过IP网络接入方式可以访问的主机资源 |
|
|
3 |
可选 配置将用户名与固定IP地址进行绑定。配置了固定IP后,当该用户访问IP网络资源时,系统不会再从全局地址池中为客户端分配虚拟网卡IP地址,而是直接将绑定的固定IP分配给客户端 |
|
|
4 |
可选 配置了预置域名后,网关将预先指定的域名与IP地址的映射下发给客户端。当客户端要访问该域名时,直接使用相应的IP地址,不需要再进行域名解析 |
(1) 在导航栏中选择“SSL VPN > IP网络配置”,进入“全局配置”页签的页面,如下图所示。
图2-29 全局配置
(2) 配置IP网络资源访问的全局参数,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表2-14 全局参数的详细配置
|
配置项 |
说明 |
|
起始IP |
设置为客户端虚拟网卡分配IP地址的地址池 |
|
终止IP |
|
|
子网掩码 |
设置为客户端虚拟网卡分配的子网掩码 |
|
网关地址 |
设置为客户端虚拟网卡分配的默认网关IP地址 |
|
超时时间 |
设置客户端连接的空闲超时时间。如果网关在超时时间内没有收到客户端发来的任何报文,则断开与该客户端的连接 |
|
WINS服务器地址 |
设置为客户端虚拟网卡分配的WINS服务器IP地址 |
|
DNS服务器地址 |
设置为客户端虚拟网卡分配的DNS服务器IP地址 |
|
允许客户端互通 |
设置是否允许不同的在线用户之间通过IP接入相互通信 |
|
只允许访问VPN |
设置用户上线之后是否能够同时访问Internet 如果设置为只允许访问VPN,则用户上线之后不能同时访问Internet |
|
用户网络服务显示方式 |
设置用户上线后看到的网络服务的显示方式,包括: · 显示描述信息:显示主机资源中允许访问的网络服务的描述信息 · 显示IP地址:显示主机资源中允许访问的网络服务的目的地址、子网掩码和协议类型 |
(1) 在导航栏中选择“SSL VPN > IP网络配置”。
(2) 单击“主机配置”页签,进入如下图所示的页面。
图2-30 主机配置
(3) 单击<新建>按钮,进入新建主机资源的页面,如下图所示。
图2-31 新建主机资源
(4) 配置主机资源的资源名。
(5) 单击允许访问的网络服务列表下的<新建>按钮,弹出如下图所示的窗口。
图2-32 新建允许访问的网络服务
(6) 配置允许访问的网络访问的信息,详细配置如下表所示。
表2-15 允许访问的网络服务的详细配置
|
配置项 |
说明 |
|
目的地址 |
设置网络服务的目的地址 |
|
子网掩码 |
设置网络服务的子网掩码 |
|
协议类型 |
设置网络服务的协议类型,包括IP、TCP和UDP |
|
描述信息 |
设置网络服务的描述信息
当在全局配置中设置了用户网络服务显示方式为“显示描述信息”时,建议描述信息中要包含允许访问的网段信息,以便用户登录到SSL VPN后能够查看到所需的信息 |
(7) 单击<确定>按钮向列表中添加一个允许访问的网络服务。
(8) 重复步骤(5)~(7)添加多个允许访问的网络服务。
(9) 单击快捷方式列表下的<新建>按钮,弹出如下图所示的窗口。
图2-33 新建快捷方式
(10) 输入快捷方式的名称和Windows命令行。
(11) 单击<确定>按钮向列表中添加一个快捷方式。
(12) 重复步骤(9)~(11)添加多个快捷方式。
(13) 在新建主机资源的页面单击<确定>按钮完成操作。
(1) 在导航栏中选择“SSL VPN > IP网络配置”。
(2) 单击“固定IP”页签,进入如下图所示的页面。
图2-34 固定IP
(3) 单击<新建>按钮,进入新建固定IP的页面,如下图所示。
图2-35 新建固定IP
(4) 配置固定IP的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-16 固定IP的详细配置
|
配置项 |
说明 |
|
用户名 |
设置要与IP地址绑定的用户名,必须为完全用户名格式,例如:aaa@local |
|
绑定IP地址 |
设置绑定的IP地址,必须与全局配置中的地址池在同一网段,但不能包含在地址池中,且不能与网关地址相同 |
(1) 在导航栏中选择“SSL VPN > IP网络配置”。
(2) 单击“预置域名”页签,进入如下图所示的页面。
图2-36 预置域名
(3) 单击<新建>按钮,进入新建预置域名的页面,如下图所示。
图2-37 新建预置域名
(4) 配置预置域名的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-17 预置域名的详细配置
|
配置项 |
说明 |
|
域名 |
设置下发给客户端的域名 |
|
获取IP方式 |
设置域名对应IP地址的获取方式,包括: · 动态:选择此项时,需要在“网络 > DNS”中配置域名解析,网关会先进行域名解析,再将解析的结果下发给客户端 · 静态:选择此项时,需要设置配置项“IP”,网关会直接将域名与IP的映射关系下发给客户端 |
|
IP |
设置域名对应的IP地址 当获取IP方式为“动态”时,此设置无效 |
(1) 在导航栏中选择“SSL VPN > 资源组配置”,进入如下图所示的页面。
图2-38 资源组
(2) 单击<新建>按钮,进入新建资源组的页面,如下图所示。
图2-39 新建资源组
(3) 配置资源组的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
资源组名 |
设置资源组的名称 |
|
资源 |
设置该资源组中包含的资源 |
配置域策略、缓存策略和公告管理:
· 域策略:是针对SSL VPN域的一些通用参数或功能的设置,包括是否启用安全策略、是否启用校验码验证、是否启用单独客户端策略、是否启用MAC地址绑定、是否启用自动登录、用户超时时间、默认认证方式等。
· 缓存策略:是针对用户退出SSL VPN时,需要清除的缓存内容的设置。
· 公告管理:通过公告管理实现在企业中为不同的用户发布不同的消息、通知的功能。
(1) 在导航栏中选择“SSL VPN > 基本策略配置”,进入“域策略”页签的页面,如下图所示。
图2-40 域策略
(2) 配置域策略的信息,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表2-19 域策略的详细配置
|
配置项 |
说明 |
|
启用安全策略 |
设置是否启用安全策略 启用安全策略时,SSL VPN系统会在用户登录时对用户主机的安全状况进行检查,根据检查结果来决定用户能够使用哪些资源
|
|
启用校验码验证 |
设置是否启用校验码验证 启用校验码验证时,用户需要在SSL VPN登录页面输入正确的校验码,才能登录 |
|
启用单独客户端策略 |
设置是否启用单独客户端策略 启用单独客户端策略时,当用户登录SSL VPN系统,SSL VPN客户端自动运行后,SSL VPN系统的网页会自动关闭,但客户端仍然正常运行 |
|
启用MAC地址绑定 |
设置是否启用MAC地址绑定 启用MAC地址绑定时,系统会在用户登录时获取用户主机的MAC地址,用于验证用户身份或者学习用户MAC地址 |
|
启用自动登录 |
设置是否启用自动登录 启用自动登录时,系统会在用户访问SSL VPN登录页面时,根据默认认证方式中认证模式的不同,自动以guest账号或证书的账号进行登录 · 当认证模式为密码认证时,系统自动以guest账号登录 · 当认证模式为证书认证时,系统自动以客户端证书中携带的用户名登录 · 当认证模式为密码+证书认证时,系统自动以guest账号登录,并且要求用户必须有颁发给guest用户的客户端证书 |
|
用户超时时间 |
设置用户的空闲超时时间 用户登录SSL VPN时,如果长时间没有进行任何操作,则系统会将该用户强制下线 |
|
默认认证方式 |
设置SSL VPN登录页面缺省情况下选择的认证方式
|
|
证书用户名字段 |
设置当认证模式为证书认证时,采用证书中的哪个字段作为认证用户名。可以选择Common-Name或Email-Address字段 |
|
校验码超时时间 |
设置SSL VPN登录页面上显示的校验码图片的有效时间。超过指定的时间,校验码将失效,可以通过刷新页面获得新的校验码 |
(1) 在导航栏中选择“SSL VPN > 基本策略配置”。
(2) 单击“缓存策略”页签,进入如下图所示的页面。
(3) 选择当用户退出SSL VPN时,要在用户主机上清除的内容,包括:
· 网页缓存
· Cookie
· 下载程序:指用户登录SSL VPN时,自动下载并运行的SSL VPN客户端程序。
· 配置文件:指用户修改SSL VPN客户端程序的设置时,自动保存的配置文件。
(4) 单击<确定>按钮完成操作。
图2-41 缓存策略
(1) 在导航栏中选择“SSL VPN > 基本策略配置”。
(2) 单击“公告管理”页签,进入如下图所示的页面。
图2-42 公告管理
(3) 单击<新建>按钮,进入新建公告的页面,如下图所示。
图2-43 新建公告
(4) 配置公告的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-20 公告的详细配置
|
配置项 |
说明 |
|
公告标题 |
设置公告的标题 |
|
公告内容 |
设置公共的内容 |
|
用户组 |
设置可以查看到该公告的用户组 |
SSL VPN支持本地认证、RADIUS认证、LDAP认证和AD认证4种认证方式。每种认证方式支持3种认证模式(RADIUS认证只支持密码认证和密码+证书认证2种):
· 密码认证:只认证用户密码。
· 密码+证书认证:同时认证用户密码和客户端证书。
· 证书认证:只认证客户端证书。
同时,SSL VPN还支持由上述4种认证方式中的任意2种组合进行组合认证。
本地认证主要是针对用户信息存储在SSL VPN设备上的认证方式。这种认证由于用户信息是存储在本地的,所以不需要同外部服务器进行交互,认证过程较快。但是由于设备本身容量有限,本地用户的数目也是有限制的。
(1) 在导航栏中选择“SSL VPN > 认证策略配置”,进入“本地认证”页签的页面,如下图所示。
(2) 配置本地认证的认证模式,包括:密码认证、密码+证书认证、证书认证。
(3) 单击<确定>按钮完成操作。
图2-44 本地认证
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。SSL VPN系统通过配置RADIUS认证,能够实现与企业原有RADIUS认证服务器的无缝集成,平滑实现对企业原RADIUS用户进行认证,避免企业为用户重复创建账号的问题。
· 要启用RADIUS认证,必须先在“认证 > RADIUS”中配置名为“system”的RADIUS方案,详细配置请参见“认证”。
· 要成功进行RADIUS认证,还需要在RADIUS认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。
(1) 在导航栏中选择“SSL VPN > 认证策略配置”。
(2) 单击“RADIUS认证”页签,进入如下图所示的页面。
图2-45 RADIUS认证
(3) 配置RADIUS认证的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-21 RADIUS认证的详细配置
|
配置项 |
说明 |
|
启用RADIUS认证 |
设置是否启用RADIUS认证功能 |
|
认证模式 |
设置RADIUS认证的认证模式,包括:密码认证、密码+证书认证 |
|
启动RADIUS计费 |
设置是否启用RADIUS计费功能 |
|
上传虚地址 |
设置RADIUS计费成功后,是否向RADIUS服务器上传客户端虚拟网卡的IP地址 |
LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种基于TCP/IP的目录访问协议,用于提供跨平台的、基于标准的目录服务。它是在继承了X.500协议优点的基础上发展起来的,并对X.500在读取、浏览和查询操作方面进行了改进,适合于存储那些不经常改变的数据。
LDAP协议的典型应用是用来保存系统的用户信息,如Microsoft的Windows操作系统就使用了Active Directory Server来保存操作系统的用户、用户组等信息。SSL VPN系统通过配置LDAP认证,可以实现对存储在LDAP服务器上的用户进行身份认证,并得到其资源访问权限。
要成功进行LDAP认证,还需要在LDAP认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。
(1) 在导航栏中选择“SSL VPN > 认证策略配置”。
(2) 单击“LDAP认证”页签,进入如下图所示的页面。
图2-46 LDAP认证
(3) 配置LDAP认证的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-22 LDAP认证的详细配置
|
配置项 |
说明 |
|
启用LDAP认证 |
设置是否启用LDAP认证功能 |
|
LDAP服务器IP地址 |
设置LDAP服务器的IP地址 |
|
服务器端口 |
设置LDAP认证服务器所使用的TCP端口号 |
|
版本 |
设置LDAP认证中所支持的LDAP协议的版本号 |
|
认证模式 |
设置LDAP认证的认证模式,包括:密码认证、密码+证书认证、证书认证 |
|
用户组LDAP属性 |
设置在服务器上定义的用户所在组的属性名 |
|
使用查询检查用户DN |
设置是否使用查询检查用户DN |
|
管理员DN |
当使用查询检查用户DN时,设置具有管理员权限(可以查询登录用户信息)的用户DN |
|
密码 |
当使用查询检查用户DN时,设置具有管理员权限的用户密码 输入的确认密码必须和密码一致 |
|
确认密码 |
|
|
搜索库DN |
当使用查询检查用户DN时,设置搜索库DN |
|
搜索查询模板 |
当使用查询检查用户DN时,设置查询模板 |
|
使用模板查询用户DN |
设置是否使用模板查询用户DN |
|
用户DN模板 |
当使用模板查询用户DN时,设置用户DN模板 |
AD(Active Directory,活动目录)是Windows 2000 Server及以上版本的目录服务,用于存储网络上各种对象的有关信息,便于管理员和用户查找和使用。AD目录服务使用结构化的数据存储,是目录信息的逻辑层次结构的基础。SSL VPN通过配置AD认证,可以实现与企业原有AD域认证的无缝集成。
要成功进行AD认证,还需要在AD认证服务器上配置用户信息。同时,由于AD服务器本身具有组的概念,管理员只要创建用户组,然后把用户加入到组中即可。但必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。
(1) 在导航栏中选择“SSL VPN > 认证策略配置”。
(2) 单击“AD认证”页签,进入如下图所示的页面。
图2-47 AD认证
(3) 配置AD认证的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-23 AD认证的详细配置
|
配置项 |
说明 |
|
启用AD认证 |
设置是否启用AD认证功能 |
|
AD域名 |
设置AD域的名称 |
|
AD服务器IP地址 |
设置AD服务器的IP地址 最多可以配置4个AD服务器。当一台服务器发生故障时,可以切换到其他服务器上进行认证。4个服务器按照顺序优先使用配置在前的服务器 |
|
认证模式 |
设置AD认证的认证模式,包括:密码认证、密码+证书认证、证书认证 |
|
服务器故障恢复时间 |
设置AD服务器出现故障时,系统重新检测AD服务器是否恢复正常的间隔时间 |
|
管理员账号 |
设置管理员账号,必须为AD域中User目录下具有查询目录权限的用户账号 |
|
密码 |
设置管理员密码 输入的确认密码必须与密码一致 |
|
确认密码 |
|
|
用户名格式 |
设置登录AD服务器的用户名的格式,包括:用户登录名不带AD域名、用户登录名带AD域名、用户姓名 |
组合认证是系统其他四种认证方式的任意组合而形成的一种二次认证策略。管理员可以任意指定用户的第一次及第二次分别采用何种认证方式,并且可以指定两次认证之间是否需要重新输入密码。
对于组合认证,用户可访问的资源以及在线用户名均由第一次认证采用的用户名决定;用户在访问单点登录资源时,采用第一次认证的密码作为登录密码。
(1) 在导航栏中选择“SSL VPN > 认证策略配置”。
(2) 单击“组合认证”页签,进入如下图所示的页面。
图2-48 组合认证
(3) 配置组合认证的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-24 组合认证的详细配置
|
配置项 |
说明 |
|
启用组合认证 |
设置是否启用组合认证功能 |
|
第一次认证方式 |
设置第一次认证采用的认证方式 |
|
第二次认证方式 |
设置第二次认证采用的认证方式 |
|
第二次认证时重新输入密码 |
设置用户第一次认证成功后,系统是否重新输出登录页面让用户输入二次认证的密码 如果不设置重新输入密码,则系统自动采用第一次认证的密码作为第二次认证的密码
此功能只在启用完全定制界面,并且定制的界面具有二次输出登录页面功能时有效 |
不安全用户主机的接入有可能对内部网络造成安全隐患。通过安全策略功能可以在用户登录SSL VPN时,对用户主机的操作系统、浏览器、杀毒软件、防火墙、文件和进程的部署情况进行检查,根据检查的结果来判断该用户主机能够访问哪些资源。
每条安全策略可以包含多个检查类,这些检查类之间是逻辑与的关系,即所有检查类都满足时,才认为符合该安全策略;每个检查类中又包含多个检查规则,检查规则之间是逻辑或的关系,即只要满足其中一个检查规则,就认为符合该检查类。
(1) 在导航栏中选择“SSL VPN > 安全策略配置”,进入如下图所示的页面。
图2-49 安全策略
(2) 单击<新建>按钮,进入新建安全策略的页面,如下图所示。
图2-50 新建安全策略
(3) 配置安全策略的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-25 安全策略的详细配置
|
配置项 |
说明 |
|
名称 |
设置安全策略的名称 |
|
级别 |
设置安全策略的级别,数字越大,级别越高 对用户主机进行安全检查时,如果同时定义了多条安全策略,则从级别最高的安全策略开始检查,如果没有通过则检查级别次高的安全策略,直到通过某一条安全策略为止。用户可以使用的是其所能通过的级别最高的安全策略所对应的资源,所以配置安全策略时,应该为级别较高的安全策略配置较多资源 |
|
描述 |
设置安全策略的描述信息 |
|
策略配置 |
设置安全策略的检查规则 检查规则分为7类:操作系统、浏览器、防病毒软件、防火墙、证书、文件和进程 同一个检查类中配置的所有规则,只要满足其中一个,就认为符合该检查类;安全策略中配置的所有检查类都满足时,才认为符合该安全策略 单击某检查类前的扩展按钮,可以查看该类检查规则的信息。单击相应的<新建>按钮,弹出新建该类检查规则的窗口。检查规则的详细配置如表2-26所示 |
|
资源配置 |
设置符合该安全策略的用户主机可以访问的资源 可以直接选择所有Web网站、所有TCP应用、所有IP网络;也可以单击展开“Web网站”、“TCP应用”、“IP网络”前的扩展按钮,在相应资源的列表中进行选择 |
|
配置项 |
说明 |
|
|
操作系统 |
规则名称 |
设置操作系统检查规则的名称 |
|
类型 |
设置操作系统的类型,用户主机的操作系统必须符合指定类型才能通过检查 |
|
|
版本 |
设置操作系统的版本,用户主机的操作系统必须符合指定版本才能通过检查 |
|
|
补丁 |
设置操作系统的补丁,用户主机的操作系统必须安装了指定补丁才能通过检查 |
|
|
浏览器 |
规则名称 |
设置浏览器检查规则的名称 |
|
类型 |
设置浏览器的类型,用户主机的浏览器必须符合指定类型才能通过检查 |
|
|
条件 |
设置浏览器版本检查的条件 · >=:用户主机的浏览器必须大于或等于指定版本才能通过检查 · >:用户主机的浏览器必须大于指定版本才能通过检查 · =:用户主机的浏览器必须等于指定版本才能通过检查 · <=:用户主机的浏览器必须小于或等于指定版本才能通过检查 · <:用户主机的浏览器必须小于指定版本才能通过检查 |
|
|
版本 |
设置浏览器的版本
对于IE浏览器的版本,必须为合法的浮点数,并且小数点后面最多只能有两位数字 |
|
|
补丁 |
设置浏览器的补丁,用户主机的浏览器必须安装了指定补丁才能通过检查 |
|
|
防病毒软件 |
规则名称 |
设置防病毒软件检查规则的名称 |
|
类型 |
设置防病毒软件的类型,用户主机的防病毒软件必须符合指定类型才能通过检查 |
|
|
条件 |
设置防病毒软件版本检查和病毒库版本检查的条件 · >=:用户主机的防病毒软件及其病毒库必须大于或等于指定版本才能通过检查 · >:用户主机的防病毒软件及其病毒库必须大于指定版本才能通过检查 · =:用户主机的防病毒软件及其病毒库必须等于指定版本才能通过检查 · <=:用户主机的防病毒软件及其病毒库必须小于或等于指定版本才能通过检查 · <:用户主机的防病毒软件及其病毒库必须小于指定版本才能通过检查 |
|
|
版本 |
设置防病毒软件的版本 |
|
|
病毒库版本 |
设置防病毒软件的病毒库版本 |
|
|
防火墙 |
规则名称 |
设置防火墙检查规则的名称 |
|
类型 |
设置防火墙的类型,用户主机的防火墙必须符合指定类型才能通过检查 |
|
|
条件 |
设置防火墙版本检查的条件 · >=:用户主机的防火墙必须大于或等于指定版本才能通过检查 · >:用户主机的防火墙必须大于指定版本才能通过检查 · =:用户主机的防火墙必须等于指定版本才能通过检查 · <=:用户主机的防火墙必须小于或等于指定版本才能通过检查 · <:用户主机的防火墙必须小于指定版本才能通过检查 |
|
|
版本 |
设置防火墙的版本 |
|
|
证书 |
规则名称 |
设置证书检查规则的名称 |
|
颁发者 |
设置证书的颁发者,用户主机上用户证书的颁发者必须符合指定条件才能通过检查 |
|
|
文件 |
规则名称 |
设置文件检查规则的名称 |
|
文件名 |
设置文件的名称,用户主机上必须有指定文件才能通过检查 |
|
|
进程 |
规则名称 |
设置进程检查规则的名称 |
|
进程名 |
设置进程的名称,用户主机上必须有指定进程才能通过检查 |
|
配置SSL VPN服务前,需要先在“证书管理”中配置PKI域,并获取证书。SSL VPN网关的证书用于对其进行身份认证,以免管理员或用户登录到非法的SSL VPN网关。详细配置请参见“认证”。
(1) 在导航栏中选择“SSL VPN > 服务使能”,进入如下图所示的页面。
图1-1 服务管理
(2) 配置SSL VPN服务的信息,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表2-27 SSL VPN服务的详细配置
|
配置项 |
说明 |
|
启用SSL VPN |
设置启用SSL VPN服务 |
|
端口 |
设置SSL VPN服务使用的端口号,缺省值为443 |
|
PKI域 |
设置SSL VPN服务使用PKI域 |
本节是基于系统提供的SSL VPN服务界面进行介绍的,不适用于完全自行定制的服务界面。
管理员完成SSL VPN网关的配置后,远程接入用户即可与SSL VPN网关建立HTTPS连接,并通过SSL VPN网关提供的用户服务界面访问相应的资源。
(1) 完成SSL VPN网关的配置后,用户在其主机上启动浏览器。
(2) 在浏览器的地址栏中输入“https://192.168.1.1:44300/svpn/”后回车(其中的“192.168.1.1”和“44300”分别为SSL VPN网关的主机地址和服务端口号。需要注意的是,当服务端口号为缺省值443时,可以只输入地址),即可进入SSL VPN的登录页面,如下图所示。
图3-1 SSL VPN登录页面
(3) 在登录页面上输入用户名和密码,选择认证方式的类别。
(4) 单击<登录>按钮即可登录到SSL VPN服务界面,如图3-2所示。同时,如果管理员为该用户指定了可以访问的TCP应用或IP网络资源,则会自动运行SSL VPN客户端专用软件,如图3-3所示。
当管理员在域策略中启用了校验码验证时,登录页面上还会显示验证码,用户必须输入正确的验证码才能登录。
图3-2 SSL VPN服务界面
图3-3 SSL VPN客户端专用软件
用户登录到SSL VPN服务界面后,可以看到管理员授权其能够访问的各种资源的信息。
· 对于Web站点资源,用户直接点击资源的名称,即可弹出相应站点的访问窗口。
· 对于TCP应用资源,如果管理员配置了正确的命令行,则用户直接点击资源的名称,即可执行相应的命令,实现对该资源的访问;如果管理员未配置命令行,用户可以根据资源名称提供的信息进行设置,例如用户可以根据电子邮件服务资源名称提供的信息设置Outlook的接收邮件服务器和发送邮件服务器,并使用当前用户的用户名和密码登录,即可使用该电子邮件服务资源正常处理邮件。
· 对于IP网络资源,用户可以根据页面上显示的允许访问的网段信息,访问属于该网段的任何主机;可以直接点击快捷方式的名称,即可执行相应的快捷方式命令。
用户在SSL VPN服务界面上单击右上方的<帮助>按钮,弹出如下图所示的页面,可以查看关于SSL VPN系统的帮助信息。
(1) 用户在SSL VPN服务界面上单击右上方的<配置>按钮,进入如下图所示的页面。
(2) 输入新的密码,并再次输入确认密码。
(3) 单击<应用>按钮,即可修改当前用户的登录密码。此用户再次登录时,需使用修改后的密码。
在SSL VPN中,为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要为SSL VPN网关申请证书,并启用SSL VPN服务。
在本配置举例中:
· SSL VPN网关的地址为10.1.1.1/24,为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。
· 对SSL VPN用户进行RADIUS认证,由一台iMC服务器(IP地址为10.153.10.131/24)担当RADIUS认证服务器。SSL VPN用户通过认证后,可以访问公司内部提供技术网站(IP地址为10.153.1.223);可以访问10.153.2.0/24网段中的所有主机,并可以通过FTP协议快捷访问Security Server(IP地址为10.153.2.25)。
· 提供一个公共账号usera,对其进行本地认证(不进行RADIUS认证),且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后,可以访问公司内部主机10.153.70.120的共享桌面。
· SSL VPN域的默认认证方式为RADIUS认证,并且启用校验码验证。
图4-1 SSL VPN配置组网图
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。
· 进行下面的配置之前,需要确保已完成RADIUS服务器的配置,保证用户的认证功能正常运行。本例中,RADIUS服务器上需要配置共享密钥为expert;还需要配置用户帐户信息及用户所属的用户组属性,将用户划分到用户组“user_gr2”中。
(1) 配置PKI实体en。
步骤1:在导航栏中选择“证书管理 > PKI实体”
步骤2:单击<新建>按钮。
步骤3:如下图所示,输入PKI实体名称为“en”,输入通用名为“http-server”。
步骤4:单击<确定>按钮完成操作。
图4-2 配置PKI实体en
(2) 配置PKI域sslvpn。
步骤1:在导航栏中选择“证书管理 > PKI域”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI域名称为“sslvpn”。
· 输入CA标识符为“CA server”。
· 选择本端实体为“en”。
· 选择注册机构为“RA”。
· 输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。
· 选择证书申请方式为“Manual”。
步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”
步骤5:单击对话框中的<确定>按钮完成操作。
图4-3 配置PKI域sslvpn
(3) 生成RSA密钥对。
步骤1:在导航栏中选择“证书管理 > 证书”。
步骤2:单击<创建密钥>按钮。
步骤3:如下图所示,输入密钥长度为“1024”。
步骤4:单击<确定>按钮开始生成RSA密钥对。
图4-4 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,在证书列表页面单击<获取证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“sslvpn”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图4-5 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,在证书列表页面单击<申请证书>按钮。
步骤2:如下图所示,选择PKI域名称为“sslvpn”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的的<确定>按钮完成操作。
步骤5:完成上述配置后,在证书列表页面可以看到获取到的CA证书和本地证书,如下图所示。
图4-7 获取到的CA证书和本地证书
(6) 启用SSL VPN,并配置SSL VPN服务的端口号和使用的PKI域。
步骤1:在导航栏中选择“SSL VPN > 服务使能”。
步骤2:进行如下配置,如下图所示。
· 选中“启用SSL VPN”前的复选框。
· 输入端口为“443”。
· 选择PKI域为“sslvpn”。
步骤3:单击<确定>按钮完成操作。
图4-8 配置SSL VPN服务
(1) 配置访问公司内部技术网站的Web代理服务器资源tech。
步骤1:在导航栏中选择“SSL VPN > Web代理配置”。
步骤2:单击<新建>按钮。
步骤3:进入如下配置,如下图所示。
· 输入资源名称为“tech”。
· 输入站点地址为“http://10.153.1.223/”。
步骤4:单击<确定>按钮完成操作。
图4-9 配置Web代理服务器资源
(2) 配置主机10.153.70.120的桌面共享服务资源desktop。
步骤1:在导航栏中选择“SSL VPN > TCP应用配置”。
步骤2:单击“桌面共享”页签。
步骤3:单击<新建>按钮。
步骤4:进入如下配置,如下图所示。
· 输入资源名称为“desktop”。
· 输入远程主机为“10.153.70.120”。
· 输入服务端口为“3389”。
· 输入本地主机为“127.0.0.2”。
· 输入本地端口为“20000”。
· 输入命令行为“mstsc /v 127.0.0.2:20000”。
步骤5:单击<确定>按钮完成操作。
图4-10 配置桌面共享服务资源
(3) 配置IP网络资源的全局参数。
步骤1:在导航栏中选择“SSL VPN > IP网络配置”,进入“全局配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入起始IP为“192.168.0.1”。
· 输入终止IP为“192.168.0.100”。
· 输入子网掩码为“24”。
· 输入网关地址为“192.168.0.101”。
步骤3:单击<确定>按钮完成操作。
图4-11 配置IP网络资源的全局参数
(4) 配置用户通过IP网络接入方式可以访问的主机资源sec_srv。
步骤1:单击“主机配置”页签。
步骤2:单击<新建>按钮。
步骤3:输入资源名为“sec_srv”。
步骤4:在“允许访问的网络服务”中单击<新建>按钮。
步骤5:在弹出的窗口中进行如下配置,如下图所示。
· 输入目的地址为“10.153.2.0”。
· 输入子网掩码为“24”。
· 选择协议类型为“IP”。
· 输入描述信息为“10.153.2.0/24”。
步骤6:单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。
图4-12 配置允许访问的网络访问
步骤7:在“快捷方式”中单击<新建>按钮。
步骤8:在弹出的窗口中进行如下配置,如下图所示。
· 输入快捷方式名称为“ftp_security-server”。
· 输入快捷方式命令为“ftp 10.153.2.25”。
步骤9:单击<确定>按钮向该主机资源中添加一个快捷方式。
图4-13 配置允许访问的网络访问
步骤10:完成上述配置后的新建主机资源页面如下图所示,单击<确定>按钮完成操作。
(5) 配置资源组res_gr1,包含资源desktop。
步骤1:在导航栏中选择“SSL VPN > 资源组配置”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 在可用资源中选中“desktop”,单击“<<”按钮。
步骤4:单击<确定>按钮完成操作。
图4-15 配置资源组res_gr1
(6) 配置资源组res_gr2,包含资源tech和sec_srv。
步骤1:在资源组列表页面单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 在可用资源中选中“sec_srv”和“tech”,单击“<<”按钮。
步骤3:单击<确定>按钮完成操作。
图4-16 配置资源组res_gr2
(1) 配置本地用户usera。
步骤1:在导航栏中选择“SSL VPN > 用户添加”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入用户名为“usera”。
· 输入用户密码为“passworda”。
· 输入密码确认为“passworda”。
· 选中“启用公共账号”前的复选框。
· 输入公共账号允许登录的最大用户数为“1”。
· 选择用户状态为“允许”。
步骤4:单击<确定>按钮完成操作。
图4-17 配置本地用户usera
(2) 配置用户组user_gr1,包含资源组res_gr1和本地用户usera。
步骤1:在导航栏中选择“SSL VPN > 用户组配置”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 在可用资源组中选中“res_gr1”,单击“<<”按钮。
· 在可用本地用户中选中“usera”,单击“<<”按钮。
步骤4:单击<确定>按钮完成操作。
图4-18 配置用户组user_gr1
(3) 配置用户组user_gr2,包含资源组res_gr2。
步骤1:在用户组列表页面单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 在可用资源组中选中“res_gr2”,单击“<<”按钮。
步骤3:单击<确定>按钮完成操作。
图4-19 配置用户组user_gr2
(1) 配置SSL VPN域的默认认证方式为RADIUS认证,并启用校验码验证。
步骤1:在导航栏中选择“SSL VPN > 基本策略配置”。
步骤2:进行如下配置,如下图所示。
· 选择默认认证方式为“RADIUS认证”。
步骤3:单击<确定>按钮完成操作。
图4-20 配置域策略
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“用户管理 > RADIUS”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在RADIUS服务器配置中单击<添加>按钮。
步骤5:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.153.10.131”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮向RADIUS方案中添加一个主认证服务器。
图4-21 配置主认证服务器
步骤7:完成上述配置后的新建RADIUS方案页面如下图所示,单击<确定>按钮完成操作。
图4-22 配置RADIUS方案system
步骤1:在导航栏中选择“SSL VPN > 认证策略配置”。
步骤2:单击“RADIUS认证”页签。
步骤3:如下图所示,选中“启用RADIUS认证”前的复选框。
步骤4:单击<确定>按钮完成操作。
图4-23 启用RADIUS认证
完成上述配置后,SSL VPN用户在其主机上启动浏览器,在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车,进入SSL VPN的登录页面,如下图所示,可以看到默认的认证方式(即类别)为RADIUS,并且需要输入验证码。
图4-24 SSL VPN登录页面
用户使用公共账号usera登录SSL VPN,登录时类别参数设置为“Local”。usera登录SSL VPN后,可以看到其可访问的资源desktop,如图4-25所示。单击此资源名称,即可弹出如图4-26所示的窗口,访问指定主机的共享桌面。
图4-25 公共账号usera可访问的资源
假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”,用户使用该账号登录SSL VPN,登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后,可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机,以及通过FTP访问Security Server,如图4-27所示。单击tech资源名称,即可弹出技术网站的访问窗口;单击快捷方式ftp_security-server,即可弹出如图4-28所示的窗口,通过FTP协议访问Security Server。
图4-28 访问IP网络资源
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
