17-SSL VPN
本章节下载: 17-SSL VPN (578.35 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 资源访问控制
○ 禁用IP接入接口可能会导致IP接入业务中断,请谨慎执行本操作。
○ 高可靠性支持SSL VPN安全引擎地址池使用限制与注意事项
· 配置指南
○ 基本配置
○ 认证配置
○ URI ACL
○ 业务选择
○ 快捷方式
○ 资源组
· 常见问题解答
SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。
SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务,并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络,访问内部网络的共享资源。
1. 管理员登录SSL VPN网关,在SSL VPN网关上创建与企业网内服务器对应的资源。
2. 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
3. 远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
4. 用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
5. SSL VPN网关将资源访问请求转发给企业网内的服务器。
6. SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
SSL VPN的典型组网方式主要有两种:网关模式和单臂模式。
· 在网关模式中,SSL VPN网关直接作为网关设备连接用户和内网服务器,所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护,但是由于SSL VPN网关处在内网与外网通信的关键路径上,其性能对内外网之间的数据传输有很大的影响。
· 在单臂模式中,SSL VPN网关不作为网关设备。用户访问内网服务器时,流量将先由网关设备转发到SSL VPN网关,经SSL VPN网关处理后再转发到网关设备,由网关设备转发到内网服务器。在单臂模式中,SSL VPN网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。
Web接入方式是指用户使用浏览器,通过HTTPS协议访问SSL VPN网关提供的Web资源。用户登录后,Web页面上会显示用户可访问的资源列表,用户选择需要访问的资源直接访问。Web接入方式中,所有数据的显示和操作均通过Web页面进行。
目前,通过Web接入方式可以访问的资源只有Web服务器。
TCP接入方式是指用户对企业内部服务器开放端口的安全访问。通过TCP接入方式,用户可以访问任意基于TCP的服务,包括远程访问服务(如Telnet)、桌面共享服务、电子邮件服务、Notes服务以及其他使用固定端口的TCP服务。
用户利用TCP接入方式访问内网服务器时,需要在SSL VPN客户端(用户使用的终端设备)上安装专用的TCP接入客户端软件,由该软件实现使用SSL连接传送应用层数据。
IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。
用户通过IP接入方式访问内网服务器前,需要安装专用的IP接入客户端软件,该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。
BYOD接入方式用来实现移动客户端对企业内部服务器进行安全访问。
移动客户端利用BYOD接入方式访问内网服务器时,需要在客户端上安装移动客户端专用的客户端软件,并在SSL VPN网关上为客户端指定EMO(Endpoint Mobile Office,终端移动办公)服务器。移动客户端通过EMO服务器来获取可以访问的内网资源。
SSL VPN采用基于用户的权限管理方法,可以根据用户的身份,限制用户可以访问的资源。
如图-1所示,SSL VPN对资源的管理方式为:同一台SSL VPN网关上可以创建多个SSL VPN访问实例(SSL VPN context)。每个SSL VPN访问实例包含多个资源组。资源组包含一系列规则,这些规则为用户定义了可访问的资源,包含Web接入资源、TCP接入服务资源、IP接入服务资源等。
图-1 SSL VPN资源管理方式
SSL VPN用户访问网关的方式,及每种访问方式下SSL VPN网关判断该用户所属的SSL VPN访问实例的方法为:
· 直接访问:SSL VPN用户直接输入网关的IP地址和端口号访问网关。只有SSL VPN网关上仅存在一个SSL VPN访问实例时,可以采用此方式。SSL VPN用户属于该SSL VPN访问实例。
· 通过域名列表访问:为不同的SSL VPN访问实例指定不同的域名。远端用户输入网关的IP地址和端口号登录SSL VPN网关后,进入Domain List页面,在该页面上选择自己所在的域。SSL VPN网关根据用户选择的域判断该用户所属的SSL VPN访问实例。
· 通过主机名访问:为不同的SSL VPN访问实例指定不同的主机名称。远端用户访问SSL VPN网关时,输入主机名称。SSL VPN网关根据主机名称判断该用户所属的SSL VPN访问实例。
SSL VPN网关判断出用户所属的SSL VPN访问实例后,根据SSL VPN访问实例所在的ISP域对用户进行认证和授权,授权结果为资源组名称。如果某个用户被授权访问某个资源组,则该用户可以访问该资源组下的资源。如果没有为用户进行授权,则用户可访问的资源由缺省资源组决定。
SSL VPN网关对用户的认证和授权通过AAA来完成。目前,SSL VPN支持的AAA协议包括RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议和LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议。在实际应用中,RADIUS协议较为常用。
禁用IP接入接口可能会导致IP接入业务中断,请谨慎执行本操作。
修改SSL VPN网关引用的SSL服务器端策略,或修改该策略内的SSL相关配置后,需要重新使能网关,否则新的配置不能生效。
配置Web接入方式时,如果设备的引擎板个数大于1时,需要创建安全引擎地址池,并在SSL VPN访问实例中引用该地址池。安全引擎地址池中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段,且地址池中的地址数目需要大于引擎板的数目。
· 客户端主机地址建议配置为127.0.0.0/8网段的地址,或者配置为主机名或域名。
· 主机通过TCP接入方式访问内网资源时,可能会修改主机上的Host文件,此时需要使用该主机的用户具有管理员权限。
· 主机上要求安装Java运行环境。
· 配置TCP接入方式时,如果设备的引擎板个数大于1时,需要创建安全引擎地址池,并在SSL VPN访问实例中引用该地址池。安全引擎地址池中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段,且地址池中的地址数目需要大于引擎板的数目。
为客户端地址池配置的网段需要满足以下要求:
· 不能和客户端物理网卡的IP地址在同一个网段。
· 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
· 不能和欲访问的内网地址在同一个网段。
配置SSL VPN用户绑定的IP地址必须属于用户登录的SSL VPN访问实例引用的地址池或用户被授权的资源组引用的地址池。
未关联VPN实例或在同一VPN实例中,不同SSL VPN用户不能绑定相同的IP地址。
IP接入方式需要与NAT配合使用。在SSL VPN用户访问内网时,需要在SSL VPN网关连接内网服务器的接口上配置NAT对源地址进行转换。如果不做源地址转换,则反向报文的目的地址为虚拟网卡地址,未做统一分配和引流,该报文不能引向正确的引擎。
配置NAT时需要注意:
· NAT地址组中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段。
· 进行NAT转换的源地址应为SSL VPN网关分配给客户端的地址。
配置域名(如配置Web接入资源中的URL、端口转发表项中的客户端主机名)时,需要由用户保证域名的合法性,SSL VPN不检查域名是否存在以及是否合法。
· 用户上传的自定义模板文件必须以.zip为拓展名。
· 用户上传的自定义模板文件中必须在其根路径下包含home.html和login.html两个文件。
SSL VPN用户使用LDAP认证时,必须使用LDAP授权。管理员需要使用CLI方式在设备上进行LDAP的相关配置。
在HA与VRRP配合的高可靠性组网环境中,当需要在HA的设备上使用安全引擎地址池功能时,必须将安全引擎地址池与VRRP备份组进行绑定,否则安全引擎地址池功能无法正常运行
· 自动构建登录请求方式下的单点登录,选择用户组作为登录参数时,只支持远程用户。
· 自动构建登录请求方式下的单点登录,只支持从SSL VPN资源页面单击URL链接时才会自动登录,不支持在地址栏或URL输入框中打开资源。
· 自动构建登录请求方式下的单点登录,不支持登录需要图形校验码校验的页面。
· 自动构建登录请求方式下的单点登录,不支持登录需要挑战码验证或调用脚本的页面。
若SSL VPN访问实例开启了企业微信认证功能,则该访问实例仅支持通过直接访问网关方式关联SSL VPN网关。
为方便使用,SSL VPN提供了向导式的Web配置页面。如图-2所示,进入“新建访问实例”页面后,按照Web页面提示,逐步完成如下配置后即可使用SSL VPN功能:
图-2 SSL VPN配置指导图
除了按照配置向导逐步完成SSL VPN配置外,管理员还可以进行以下操作:
· 通过“网关”、“客户端地址池”、“IP接入接口”页面创建和修改网关、客户端地址池、IP接入接口。
· 在“编辑访问实例”页面配置SSL VPN用户登录的SSL VPN网关Web页面的形式,包括页面模板、页面标题、登录页面欢迎信息、登录页面是否显示密码输入框、Logo。
· 在“编辑访问实例”的“页面配置”页面配置登录页面和资源页面的中英文页面公告信息、供用户下载的中英文页面文件、中英文页面密码复杂度提示信息以及改写服务器返回信息。
· 在“全局配置”页面,管理员可以上传自定义IP接入客户端供用户下载使用,也可选择已上传的页面模板作为全局页面模板。
· 当使用高可靠性功能时,可以在“全局配置”页面,配置SSL VPN备份通道使用的HA端口号。设备将使用此端口号以及高可靠性模块配置的“对端IP地址”,与HA的对端设备建立SSL VPN备份通道,此通道专用于SSL VPN用户信息的备份。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准。
· 在“模板管理”页面,点击创建按钮,弹出“新建自定义模板页面”,管理员可以上传自定义页面模板。上传后,管理员可在“全局配置”或“编辑访问实例”页面引用该页面模板。
· 通过“统计信息”页面,管理员可以查看在线用户信息,以及IP接入相关的统计信息。
· 单点登录功能支持在“全局配置”页面,配置导出用户自定义配置和导入用户自定义配置。导出用户自定义配置用于导出当前用户在SSL VPN资源页面配置的自定义用户名和密码;导入用户自定义配置用于导入用户在SSL VPN资源页面配置的自定义用户名和密码。
· 当NAT模块下发OpenFlow流表功能关闭时,设备将无法借助NAT模块对流量进行引流,为保证IP接入业务的正常处理,可以在“全局配置”页面开启IP接入引流功能。
配置访问实例的基本属性,包括访问实例关联的网关、所属的VRF、安全引擎地址池、使用的ISP认证域等。
1. 选择“网络 > SSL VPN > 访问实例”。
2. 在“访问实例”页面单击<新建>按钮,进入“新建访问实例”页面。
3. 在“基本配置”页签,配置访问实例基本配置,具体配置内容如下:
表-1 访问实例基本配置
参数 |
说明 |
访问实例 |
访问实例名称 |
关联网关 |
访问实例引用的网关 多个访问实例引用同一个网关时,可以为不同访问实例指定域名或主机名。如果不指定域名或主机名,则网关只能被一个访问实例引用 单击<新建>按钮,进入新建关联网关页面。在关联网关选项中选择网关,如果未创建网关,单击添加关联网关,进入“新建网关”页面,创建网关。在访问方式选项中选择访问方式,支持的访问方式有三种:直接访问网关、通过域名列表访问、通过主机名访问 |
VRF |
访问实例关联的VPN实例 |
最大用户数 |
同一个SSL VPN访问实例支持的最大用户数,当达到配置的最大用户数时,新的用户将无法登录 |
每用户在线控制 |
配置每个用户名的最大在线数 开启强制下线功能后,当某个用户达到最大在线数,该用户再次登录时,则从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线 |
每会话最大连接限制 |
开启每会话最大连接限制后,SSL VPN会话收到报文时,如果收到报文的板卡上该会话的连接数超过单个会话的最大连接数,则回应客户端503 Service Unavailable,并关闭该连接 |
空闲超时时间 |
SSL VPN会话保持空闲状态的最长时间,如果超过配置的最长时间,则断开连接 |
空闲流量阈值 |
SSL VPN会话保持空闲状态的流量阈值。配置该功能后,在空闲超时时间范围内,若SSL VPN用户发给SSL VPN网关的流量未超过该配置的流量阈值,则SSL VPN网关将断开该会话 |
每会话限速 |
配置每会话限速功能后,当SSL VPN会话相应方向的报文传输速率超过阈值时,该方向的报文将被丢弃。上行流量:即用户发给服务器的流量;下行流量:即服务器发给用户的流量 |
登录日志 |
开启登录日志功能后,用户上线下线时,SSL VPN网关会生成日志信息 |
资源访问日志 |
开启资源访问日志功能后,用户访问资源信息时,SSL VPN网关会生成日志信息 |
允许在线修改密码 |
实现在线修改密码功能,需同时勾选访问实例视图和用户视图下的允许在线修改密码 |
开启访问实例 |
开启访问实例 |
开启全局URL伪装 |
开启访问实例下所有WEB资源的URL伪装功能 |
允许访问的客户端 |
客户端类型包括: · 浏览器 · PC版iNode客户端 · 移动版iNode客户端 浏览器被禁用后,所有用户均无法使用浏览器登录SSL VPN网关。其他类型客户端被禁用后,仅对新登录用户生效 |
4. 单击<下一步>按钮,进入“认证配置”页签。
配置用户登录访问实例的认证方式,包括密码认证、证书认证、短信认证等。
1. 选择“网络 > SSL VPN > 访问实例”。
2. 在“访问实例”页面单击<新建>按钮,进入“新建访问实例”页面。
3. 在“认证配置”页签,配置用户认证的相关配置,具体配置内容如下:
表-2 用户认证配置
参数 |
说明 |
ISP认证域 |
访问实例将使用指定ISP域内AAA方案对SSL VPN用户进行认证、授权和计费 |
开启验证码验证 |
开启验证码验证功能后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面 |
开启证书认证 |
开启证书认证功能后,需要同时在SSL服务器端策略页面配置“验证客户端”。SSL VPN网关会对SSL客户端(SSL VPN用户)进行基于数字证书的身份验证,并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致 |
用户名属性 |
配置SSL VPN用户证书中指定字段取值作为SSL VPN用户名。缺省情况,将用户证书中主题部分内的CN字段的值作为SSL VPN用户名 |
开启密码认证 |
开启密码认证功能后,用户可以通过用户名、密码登录 |
证书和密码认证 |
可以同时使用,也可以只使用任意一种 |
iMC用户改密 |
实现iMC认证用户修改密码功能,需要配置iMC服务器地址、端口号及所属VPN实例,且需要开启允许在线修改密码功能 |
开启iMC短信认证 |
本功能需要在iMC服务器上提前配置好短信验证功能 开启iMC短信认证功能后,当用户登录SSL VPN网关进行身份验证时,可以获取短信验证码 |
开启企业微信认证 |
本功能需要在企业微信管理后台提前配置企业应用,并在各应用中配置应用主页重定向链接和SSL VPN网关的可信域名,并完成可信域名的校验(在企业微信管理后台下载校验文件,并在SSL VPN全局配置界面将文件上传至设备) 开启企业微信认证功能后,设备将从第三方企业微信获取企业用户信息,并使用该用户信息对用户进行认证和授权 |
API服务器地址 |
配置API服务器地址后,当设备收到从企业微信服务器重定向而来的报文时,设备将企业微信API服务器进行信息交互,获取用户信息,并使用获取到的信息对用户进行认证和授权 |
认证请求超时时间 |
SSL VPN网关向企业微信API服务器发送HTTP请求报文后,如果在超时时间内没有收到服务器的应答报文,则认为本次企业微信认证失败 |
企业ID |
企业微信上唯一标识一个企业 |
访问密钥 |
企业应用中用于保障数据安全的“钥匙”,每一个应用都有一个独立的访问密钥,为了保证数据的安全,此密钥务必不能泄漏 |
userid字段名 |
企业微信userid字段名,用于SSL VPN网关向内网服务器发起访问请求时,组装携带用户信息的登录参数 |
授权策略组字段名 |
企业微信授权策略组字段名,用于SSL VPN网关从企业微信API服务器获取的应答报文中解析企业微信授权策略组名称 |
微信开放平台URL |
配置微信开放平台的URL后,当内网服务器需要再次认证客户端身份时,客户端将能够正常访问微信开放平台,完成后续的认证 用户可以进行如下配置: · 预定义:表示预定义的URL地址,为https://open.weixin.qq.com,用户无法修改 · 自定义:表示自定义的URL地址,用户可以根据实际情况配置URL地址 |
4. 单击<下一步>按钮,进入“URI ACL”页签。
URI形式的ACL用于对SSL VPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。
在SSL VPN访问实例中可以创建多个URI ACL,并且每个URI ACL下又可以配置多条URI ACL规则。若一个URI ACL中配置了多条URI ACL规则,则按照规则编号由小到大进行匹配。
在Web业务和资源组中,可以引用URI ACL进行过滤。
1. 在“URI ACL”页签中的“URI ACL资源”区段,单击<新建>按钮,进入“新建URI ACL列表”页面,配置URI ACL列表名称。
2. 在“新建URI ACL列表”页面中的“URI ACL资源”区段,单击<新建>按钮,进入“新建URI ACL规则”页面,具体配置内容如下:
表-3 配置URI ACL规则
参数 |
说明 |
规则ID |
规则编号。URI ACL在匹配过滤时会按照规则编号从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程 |
动作 |
对匹配规则的报文的处理动作,动作包括允许报文通过和拒绝报文通过 |
规则内容 |
格式为protocol://host:port/path,protocol和host必须指定 |
3. 单击<确定>按钮,完成配置URI ACL规则,进入“新建URI ACL列表”页面,单击<确定>按钮,完成配置URI ACL列表。
4. 单击<下一步>按钮,进入“业务选择”页签
SSL VPN支持的业务类型包括:
· Web业务:即Web接入方式。在该业务下需要以URL表项和列表的形式创建Web接入资源。缺省情况下SSL VPN网关会对URL进行常规改写。常规改写可能会造成URL改写遗漏和改写错误等问题,从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式尽可能的解决此问题。
以SSL VPN网关名gw(域名为https://www.gateway.com:4430,对应的IP地址为1.1.1.1),内网资源服务器URL=http://www.server.com:8080为例:
○ 当不配置URL映射方式时(默认为常规改写),客户端访问内网资源服务器的URL显示为:https://www.gateway.com:4430/_proxy2/http/8080/www.server.com
○ 当配置域名映射,映射的域名为www.domain.com时,www.domain.com与内网资源http://www.server.com:8080为一一映射关系。客户端访问内网资源服务器的URL显示为:https://www.domain.com:4430
○ 当配置端口映射,又分为配置虚拟主机名和不配置虚拟主机名两种情况:
§ 不配置虚拟主机名,引用SSL VPN网关gw2时,客户端访问内网资源服务器的URL显示为:https://2.2.2.2:4430(网关gw2的IP地址为2.2.2.2,端口号是4430)
§ 配置虚拟主机名,虚拟主机名为vhosta,vhosta与内网资源http://www.server.com:8080为一一映射关系。引用SSL VPN网关gw时,客户端访问内网资源服务器的URL显示为:https://vhosta:4430
当内网资源为HTTPS服务器时,需要为Web业务指定SSL客户端策略,以便SSL VPN网关使用指定的SSL客户端策略与HTTPS服务器建立连接。
· TCP业务:即TCP接入方式。在该业务下需要以端口转发列表的形式创建TCP接入资源。端口转发列表用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,配置客户端主机为127.0.0.1、客户端代理端口为80、服务器地址为192.168.0.213、服务器端口为80,则表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。
在端口转发表项中,可以配置资源链接,链接内容直接显示在Web界面中,用户可以点击链接直接访问对应资源。
· IP业务:即IP接入方式。在该业务下需要进行以下配置:
○ 指定SSL VPN访问实例引用的IP接入接口,并为其配置IP地址。
○ 指定SSL VPN访问实例引用的地址池,以便SSL VPN网关从该地址池中选择IP地址分配给客户端。
○ 以路由列表的形式配置IP接入资源。路由表项包括包含和排除两种类型。包含路由下发给客户端后,匹配该路由的报文将通过虚拟网卡发送给SSL VPN网关;排除路由下发给客户端后,匹配该路由的报文不会发送给SSL VPN网关。
○ 开启IP客户端自启动。开启此功能,SSL VPN用户通过Web方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,且会自动连接SSL VPN网关,连接成功后SSL VPN用户也可以使用IP接入方式访问授权的资源。若用户主机上未安装IP客户端,则先提示用户下载并安装IP客户端,安装完成后IP客户端会自动启动;若已经安装IP客户端,则直接启动。为使IP客户端自启动后成功连接SSL VPN网关,需要保证设备上已创建IP接入服务资源。
○ 开启推送资源列表。开启此功能,SSL VPN用户通过IP方式成功登录SSL VPN网关后,设备会自动推送资源列表,以便用户通过Web方式访问所授权的资源。为使设备推送的资源列表上有内容,需要保证设备上已创建Web接入服务资源。
○ 配置流量限制后,若访问实例的IP接入速率大于设置的速率,则设备将丢弃收到的数据。
○ 指定用户绑定地址。本配置可以指定用户登录SSL VPN网关时,网关分配给用户的地址。若选择自动绑定IP地址,网关会从地址池中获取指定数量的空闲IP地址,为该用户绑定。若未选择自动绑定IP地址,则优先从指定IP地址范围内分配;如果指定IP地址范围中的地址已被分配给其他用户,则断开其他用户的连接并释放其IP地址。
· BYOD业务:即BYOD接入方式。在该业务下需要配置EMO服务器的地址和端口号、Message服务器的地址和端口号。
1. 在“业务选择”页签,选择WEB业务、TCP业务、IP业务和BYOD业务。
2. 单击<下一步>按钮,进入“WEB业务”页签,在“Web接入资源”区段,需要配置URL表项和URL列表。
3. 单击URL表项下的<新建>按钮,进入“新建URL表项”页面,具体配置内容如下:
表-4 配置URL表项
参数 |
说明 |
URL表项名称 |
URL对应的链接名 |
URL |
URL表项中资源的URL |
URI ACL |
过滤URL资源的URI ACL |
接入类型 |
接入类型包括以下三种: · 常规改写 · 域名映射 · 端口映射 |
开启URL伪装 |
开启此功能后,用户将无法看到访问的内网服务器的真实地址 |
单点登录 |
开启此功能后,SSL VPN用户只需要完成一次登录认证,即可访问所有相互信任的应用系统 |
登录方法 |
单点登录的登录方法包括以下两种: · Basic访问请求 · 选择该登录方法时,需要配置登录参数获取方式 · 自动构建访问请求 · 选择该登录方法时,需要配置请求方式、编码方式、请求参数和上传加密文件 |
登录参数获取方式 |
登录参数获取方式包括以下两种: · SSL VPN网关登录用户名和密码 · 该获取方式表示网关使用SSL VPN网关登录用户名和密码作为登录参数 · 自定义用户名和密码 · 该获取方式表示网关使用用户自定义的用户名和密码作为登录参数,用户需要在SSL VPN登录界面输入自定义的用户名和密码 |
请求方式 |
单点登录的请求方式包括以下两种: · GET · POST |
编码方式 |
单点登录的编码方式包括以下两种: · GB18030 · UTF-8 |
请求参数 |
单击请求参数右侧的新建按钮,进入“新建请求参数”界面,在“新建请求参数”界面配置名称、类型及是否加密参数值。名称指单点登录请求参数属性名。 请求参数类型包括: · 登录名、登录密码、认证标题、证书序列号、证书指纹、电话号码、用户组 · 登录名、登录密码、认证标题、证书序列号、证书指纹、电话号码、用户组分别表示取SSL VPN登录用户名、SSL VPN登录密码、登录SSL VPN网关使用的证书标题、登录SSL VPN网关使用的证书序列号、登录SSL VPN网关使用的证书指纹、短信认证配置的手机号码、SSL VPN用户所在的用户组作为单点登录请求参数属性名对应的属性值 · 自定义用户名、自定义密码 · 自定义用户名、自定义密码分别表示取用户在SSL VPN资源界面输入的自定义用户名和自定义密码作为单点登录请求参数属性名对应的属性值 · 自定义 · 自定义表示用户可以手动配置单点登录请求参数属性名对应的属性值 |
上传加密文件 |
加密文件用于对请求参数的参数值进行加密。单击选择文件按钮,选择加密文件,加密文件必须为js格式,且文件大小不能超过200KB。选择文件后,单击上传按钮,上传文件。取消引用用于取消当前引用的加密文件 |
当前加密文件 |
当前加密文件用于显示当前引用的加密文件 |
4. 单击<确定>按钮,完成URL表项配置。
5. 单击URL列表下的<新建>按钮,进入“新建URL列表”页面,具体配置内容如下:
表-5 配置URL列表
参数 |
说明 |
URL列表名称 |
URL列表的名称 |
标题 |
URL列表的标题 |
URL表项 |
URL列表引用的URL表项 |
6. 单击<确定>按钮,完成URL列表配置。
1. 在“业务选择”页签,选择TCP业务、IP业务和BYOD业务。
2. 单击<下一步>按钮,进入“TCP业务”页签,在“TPC接入资源”区段,需要配置端口转发表项和端口转发列表。
3. 单击端口转发表项下的<新建>按钮,进入“新建端口转发表项”页面,具体配置内容如下:
表-6 配置端口转发表项
参数 |
说明 |
端口转发表项名称 |
端口转发表项的名称 |
客户端主机 |
企业网内的TCP服务映射的本地地址或本地主机名称 |
客户端代理端口 |
企业网内的TCP服务映射的本地端口号 |
服务器地址 |
企业网内TCP服务的IP地址或完整域名 |
服务器端口 |
企业网内TCP服务器的端口号 |
描述 |
端口转发实例的描述信息 |
资源链接 |
端口转发表项对应的资源链接,用户可以在Web页面上单击指定的链接访问资源 |
4. 单击<确定>按钮,完成端口转发表项配置。
5. 单击端口转发列表下的<新建>按钮,进入“新建端口转发列表”页面,具体配置内容如下:
表-7 配置端口转发列表
参数 |
说明 |
端口转发列表名称 |
端口转发列表的名称 |
端口转发表项 |
端口转发列表引用的端口转发表项 |
6. 单击<确定>按钮,完成端口转发列表配置。
1. 在“业务选择”页签,选择IP业务和BYOD业务。
2. 单击<下一步>按钮,进入“IP业务”页签,支持同时配置IPv4和IPv6地址,具体配置内容如下:
表-8 配置IP业务
参数 |
说明 |
IP接入接口 |
IP接入接口的名称 |
客户端地址池 |
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。SSL VPN网关使用该地址池为客户端分配地址 |
客户端地址池掩码 |
引用的客户端地址池的掩码 |
主DNS服务器 |
企业网内主DNS服务器的地址 |
备DNS服务器 |
企业网内备DNS服务器的地址 |
主WINS服务器 |
企业网内主WINS服务器的地址,仅支持IPv4地址 |
备WINS服务器 |
企业网内备WINS服务器的地址,仅支持IPv4地址 |
保活周期 |
保活报文发送的时间间隔。保活报文由客户端发送给网关,用于维持客户端和网关之间的会话 |
开启IP客户端自启动 |
开启此功能后,用户通过WEB方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,并自动连接SSL VPN网关 |
开启推送资源列表 |
开启此功能后,用户通过IP方式成功登录SSL VPN网关后,设备会自动向用户主机推送资源列表 |
流量限制 |
IP接入方式的限速功能,包括上行流量限速和下行流量限速。上行流量表示SSL VPN用户访问内网服务器的流量,下行流量表示内网服务器发给SSL VPN用户的流量 |
丢包日志 |
开启此功能后,通过IP接入SSL VPN发生丢包时,SSL VPN网关会生成日志信息 |
IP连接关闭日志 |
开启此功能后,通过IP接入SSL VPN时建立的连接被关闭时,SSL VPN网关会生成日志信息 |
IP地址分配和释放日志 |
IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时,SSL VPN网关会生成日志信息 |
3. 在“IP业务”页签中的“IP接入资源”区段,需要配置IPv4接入资源、IPv6接入资源和用户管理。
4. 单击IPv4接入资源下的<新建>按钮,进入“新建路由列表”页面,需要配置路由列表名称。
5. 在“新建路由列表”页面中的“路由列表表项”区段,单击<新建>按钮,进入“新建路由表项”页面,具体配置内容如下:
表-9 配置路由表项
参数 |
说明 |
类型 |
类型包括包含和排除。包含表示在路由列表中添加路由,路由的目的网段需要是企业内部服务器所在的网络。排除表示客户端在本地添加这些路由表项,匹配这些路由表项的报文将不会被发送给SSL VPN网关 |
子网地址 |
路由的目的地址 |
掩码长度 |
路由目的地址的掩码长度 |
6. 单击<确定>按钮,完成配置路由表项。
7. 单击<确定>按钮,完成配置路由列表。
8. 单击IPv6接入资源下的<新建>按钮,进入“新建IPv6路由列表”页面,需要配置IPv6路由列表名称。
9. 在“新建IPv6路由列表”页面中的“IPv6路由列表表项”区段,单击<新建>按钮,进入“新建IPv6路由表项”页面,具体配置内容如下:
表-10 配置IPv6路由表项
参数 |
说明 |
类型 |
类型包括包含和排除。包含表示在路由列表中添加路由,路由的目的网段需要是企业内部服务器所在的网络。排除表示客户端在本地添加这些路由表项,匹配这些路由表项的报文将不会被发送给SSL VPN网关 |
子网地址 |
路由的目的地址 |
前缀长度 |
路由目的地址的前缀长度 |
10. 单击<确定>按钮,完成配置IPv6路由表项。
11. 单击<确定>按钮,完成配置IPv6路由列表。
12. 单击用户管理下的<新建>按钮,进入“新建用户管理”页面,支持同时配置IPv4和IPv6地址,具体配置内容如下:
表-11 配置用户管理
参数 |
说明 |
|
用户名 |
SSL VPN用户名 |
|
自动绑定IPv4地址 |
开启自动绑定IPv4地址功能后,SSL VPN网关为客户端自动分配空闲的IPv4地址,并绑定,可以配置绑定的空闲IPv4地址的个数 |
|
自动绑定IPv6地址 |
开启自动绑定IPv6地址功能后,SSL VPN网关为客户端自动分配空闲的IPv6地址,并绑定,可以配置绑定的空闲IPv6地址的个数 |
|
绑定的IPv4地址 |
不能包含组播、广播、环回地址。可以包含IPv4地址和地址范围,地址或地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开,结束地址必须大于或等于起始地址。例如:10.1.1.5,10.1.1.10-10.1.1.20 |
|
绑定的IPv6地址 |
只能是单播或任播地址,不能是未指定、多播、环回地址。可以包含IPv6地址和IPv6地址范围,地址和地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开,结束地址必须大于或等于起始地址。例如:1234::10,1234::100-1234::200 |
13. 单击<确定>按钮,完成配置用户管理。
1. 在“业务选择”页签,选择BYOD业务。
2. 单击<下一步>按钮,进入“BYOD业务”页签,需要配置EMO服务器地址、EMO服务器端口、Message服务器地址和Message服务器端口。
3. 单击<下一步>按钮,进入“快捷方式”页签。
本功能通过将用户常用的URL配置为快捷方式,方便用户使用。配置后,用户可以在Web页面上单击指定的快捷方式访问资源。
1. 在“快捷方式”页签中的“快捷方式”区段,需要配置快捷方式和快捷方式列表。
2. 单击快捷方式下<新建>按钮,进入“新建快捷方式”页面,具体配置内容如下:
表-12 配置快捷方式
参数 |
说明 |
快捷方式名称 |
快捷方式的名称 |
描述 |
快捷方式的描述信息 |
资源地址 |
资源地址包括三种类型: · 资源链接:快捷方式对应的资源链接,用户可以在Web页面上单击指定的链接访问资源,需要按照url('url-value')模板配置。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径” · 应用程序路径:快捷方式对应的应用程序路径,需要按照app('app-value')模板配置。程序路径可以使用绝对路径也可以使用环境变量,例如“c:\windows\system32\notepad++.exe” · 自定义:SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本,实现访问特定的资源 |
3. 单击<确定>按钮,完成配置快捷方式。
4. 单击快捷方式列表下<新建>按钮,进入“新建快捷方式列表”页面,具体配置内容如下:
表-13 配置快捷方式列表
参数 |
说明 |
列表名称 |
快捷方式列表的名称 |
选择快捷方式 |
在已配置的快捷方式中选择快捷方式 |
5. 单击<确定>按钮,完成配置快捷方式列表。
6. 单击<下一步>按钮,进入“资源组”页签。
指定访问实例引用的资源组,并在资源组中引用已经创建的访问资源,以限制用户只能访问授权的资源组中的资源。在资源组中还可以通过ACL进一步控制用户访问权限。在资源组中配置IP接入时,可以采用以下方式配置下发给客户端的路由表项:
· 指定路由方式:既可以直接配置路由表项,将一条路由下发给客户端,也可以引用“IP业务”中创建的路由列表,将路由列表中的多条路由同时下发给客户端。
· 强制接入方式:强制将客户端的流量转发给SSL VPN网关。SSL VPN网关在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。
此外,在资源组中配置IP接入时,还可以配置资源组引用的客户端地址池。若SSL VPN资源组下引用了地址池,则SSL VPN网关只会从该地址池中为客户端分配IP地址,当该地址池中无可用地址时,分配失败,用户无法通过IP接入。若SSL VPN资源组下未引用地址池,则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址。
1. 在“资源组”页签中的“资源组”区段,单击<新建>按钮,进入“新建资源组”页面,需要配置资源组名称和引用的快捷方式列表。
表-14 配置新建资源组
参数 |
说明 |
资源组名称 |
资源组的名称。SSL VPN网关通过给用户授权资源组的方式控制用户可以访问资源 |
快速访问资源 |
用户可以快速访问的资源。SSL VPN用户登录网关后直接跳转到用户指定的页面,而不需要在SSL VPN资源页面进行选择 |
快捷方式列表 |
选择资源组引用的快捷方式列表名称 |
2. 在“WEB接入”区段,需要配置WEB资源引用的URL列表、高级ACL和URI ACL。
3. 在“TCP接入”区段,需要配置TCP资源引用的端口转发列表、高级ACL和URI ACL。
4. 在“IP接入”区段,具体配置内容如下:
表-15 配置IP接入
参数 |
说明 |
|
强制IPv4流量接入VPN |
开启该功能后,设备会强制将客户端的流量转发给SSL VPN网关 |
|
指定IPv4路由接入VPN |
将指定IPv4路由列表中的IPv4路由表项下发给客户端 |
|
客户端IPv4地址池 |
策略组引用的IPv4客户端地址池。客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址 |
|
强制IPv6流量接入VPN |
开启该功能后,设备会强制将客户端的IPv6流量转发给SSL VPN网关 |
|
指定IPv6路由接入VPN |
将指定IPv6路由列表中的IPv6路由表项下发给客户端 |
|
客户端IPv6地址池 |
策略组引用的客户端IPv6地址池。客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址 |
|
IPv4 ACL |
配置对IP接入进行IPv4高级ACL过滤规则 |
|
IPv6 ACL |
配置对IP接入进行IPv6高级ACL过滤规则 |
|
URI ACL |
配置对IP接入进行URI ACL过滤规则 |
|
5. 单击<确定>按钮,完成配置资源组。
6. 单击<完成>按钮,完成配置访问实例。
这是因为SSL VPN不支持动态授权,权限变化的生效范围及生效时间如表-16所示。
权限变化方式 |
生效范围及时间 |
远程服务器授权变化 |
对已经登录用户不生效,仅对新登录的用户生效 |
资源组引用的ACL变化或ACL内的规则变化 |
IP接入方式、TCP接入方式和Web接入方式,均立即生效 |
Web接入资源变化 |
SSL VPN用户刷新页面后,可以看到资源变化 |
TCP接入资源变化 |
SSL VPN用户重新启动客户端软件后,变化生效 |
IP接入方式中的路由表项、DNS服务器地址、WINS服务器地址变化 |
立即生效 |
SSL VPN用户作为SSL客户端登录SSL VPN网关时,SSL客户端证书认证的三种方式及其区别如表-17所示。
认证方式 |
说明 |
关闭客户端证书认证 |
在使用浏览器访问SSL VPN网关时,不会提示用户选择证书,不对客户端进行证书认证 |
开启客户端证书认证 |
在使用浏览器访问SSL VPN网关时,会提示用户选择证书。如果用户没有证书,则会断开SSL连接 |
不强制要求客户端证书认证 |
在使用浏览器访问SSL VPN网关时,会提示用户选择证书。如果用户不使用证书,则SSL连接依然有效,此时并不会断开SSL连接。如果用户选择证书,但是服务器检查客户端证书未通过,则会断开SSL连接 |
当SSL VPN管理员认为需要对SSL VPN用户进行证书认证时,应该将SSL VPN网关引用的SSL服务器端策略配置为后两种方式,并使能SSL VPN的证书认证功能。SSL VPN证书认证功能会比较证书中的CN字段和用户名是否匹配,如果不匹配,则会禁止访问。
对于SSL VPN证书认证功能,仅在Web接入和IP接入方式下,支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证;在TCP接入和移动客户端接入方式下,不支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!