SSL VPN
本帮助主要介绍以下内容:
特性简介
SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。
SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务,并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络,访问内部网络的共享资源。
SSL VPN工作机制
SSL VPN网关,在SSL VPN网关上创建与企业网内服务器对应的资源。
远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
SSL VPN网关将资源访问请求转发给企业网内的服务器。
SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
SSL VPN典型组网
SSL VPN的典型组网方式主要有两种:网关模式和单臂模式。
在网关模式中,SSL VPN网关直接作为网关设备连接用户和内网服务器,所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护,但是由于SSL VPN网关处在内网与外网通信的关键路径上,其性能对内外网之间的数据传输有很大的影响。
在单臂模式中,SSL VPN网关不作为网关设备。用户访问内网服务器时,流量将先由网关设备转发到SSL VPN网关,经SSL VPN网关处理后再转发到网关设备,由网关设备转发到内网服务器。在单臂模式中,SSL VPN网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。
SSL VPN接入方式
隧道业务方式
隧道业务方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。
用户通过隧道业务方式访问内网服务器前,需要安装专用的隧道业务客户端软件(iNode),该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。
Web代理方式
Web代理方式是指用户使用浏览器,通过HTTPS协议访问SSL VPN网关提供的Web资源。用户登录后,Web页面上会显示用户可访问的资源列表,用户选择需要访问的资源直接访问。Web代理方式中,所有数据的显示和操作均通过Web页面进行。
目前,通过Web代理方式可以访问的资源只有Web服务器。
TCP代理方式
TCP代理方式是指用户对企业内部服务器开放端口的安全访问。通过TCP代理方式,用户可以访问任意基于TCP的服务,包括远程访问服务(如Telnet)、桌面共享服务、电子邮件服务、Notes服务以及其他使用固定端口的TCP服务。
用户利用TCP代理方式访问内网服务器时,需要在SSL VPN客户端(用户使用的终端设备)上安装专用的TCP代理客户端软件,由该软件实现使用SSL连接传送应用层数据。
BYOD接入方式
BYOD接入方式用来实现移动客户端对企业内部服务器进行安全访问。
移动客户端利用BYOD接入方式访问内网服务器时,需要在客户端上安装移动客户端专用的客户端软件,并在SSL VPN网关上为客户端指定EMO(Endpoint Mobile Office,终端移动办公)服务器。移动客户端通过EMO服务器来获取可以访问的内网资源。
资源访问控制
SSL VPN采用基于用户的权限管理方法,可以根据用户的身份,限制用户可以访问的资源。
如图-1所示,SSL VPN对资源的管理方式为:同一台SSL VPN网关上可以创建多个SSL VPN访问实例(SSL VPN context)。每个SSL VPN访问实例包含多个资源组。资源组包含一系列规则,这些规则为用户定义了可访问的资源,包含Web接入资源、TCP代理资源、隧道业务资源等。
SSL VPN用户访问网关的方式,及每种访问方式下SSL VPN网关判断该用户所属的SSL VPN访问实例的方法为:
直接访问:SSL VPN用户直接输入网关的IP地址和端口号访问网关。只有SSL VPN网关上仅存在一个SSL VPN访问实例时,可以采用此方式。SSL VPN用户属于该SSL VPN访问实例。
通过域名列表访问:为不同的SSL VPN访问实例指定不同的域名。远端用户输入网关的IP地址和端口号登录SSL VPN网关后,进入Domain List页面,在该页面上选择自己所在的域。SSL VPN网关根据用户选择的域判断该用户所属的SSL VPN访问实例。
通过主机名访问:为不同的SSL VPN访问实例指定不同的主机名称。远端用户访问SSL VPN网关时,输入主机名称。SSL VPN网关根据主机名称判断该用户所属的SSL VPN访问实例。
SSL VPN网关判断出用户所属的SSL VPN访问实例后,根据SSL VPN访问实例所在的ISP域对用户进行认证和授权,授权结果为资源组名称。如果某个用户被授权访问某个资源组,则该用户可以访问该资源组下的资源。如果没有为用户进行授权,则用户可访问的资源由缺省资源组决定。
SSL VPN网关对用户的认证和授权通过AAA来完成。目前,SSL VPN支持的AAA协议包括RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议和LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议。在实际应用中,RADIUS协议较为常用。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
SSL VPN功能使用限制和注意事项
SSL VPN功能仅支持在双机热备的主备运行模式下,并需配合VRRP联动的组网环境中进行高可靠性部署,其他双机热备模式下暂不支持可靠性部署。有关双机热备的详细介绍,请参见双机热备模块相关说明。
SSL VPN网关使用限制和注意事项
修改SSL VPN网关引用的SSL服务器端策略,或修改该策略内的SSL相关配置后,需要重新使能网关,否则新的配置不能生效。
访问实例使用限制和注意事项
配置访问实例关联网关时,设备默认采用直接访问方式,即SSL VPN用户直接输入网关的IP地址和端口号访问网关。如需配置通过域列表或主机名访问网关,请到CLI管理界面下进行配置,Web管理界面暂不支持配置访问方式。
新建访问实例时,设备默认仅支持关联一个网关,如需关联多个网关,请在完成新建访问实例后重新编辑该访问实例,指定多个关联的网关。
Web代理方式使用限制和注意事项
配置Web代理方式时,如果设备的引擎板个数大于1时,需要创建安全引擎地址池,并在SSL VPN访问实例中引用该地址池。安全引擎地址池中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段,且地址池中的地址数目需要大于引擎板的数目。
TCP代理方式使用限制和注意事项
客户端主机地址建议配置为127.0.0.0/8网段的地址,或者配置为主机名或域名。
主机通过TCP代理方式访问内网资源时,可能会修改主机上的Host文件,此时需要使用该主机的用户具有管理员权限。
主机上要求安装Java运行环境。
配置TCP代理方式时,如果设备的引擎板个数大于1时,需要创建安全引擎地址池,并在SSL VPN访问实例中引用该地址池。安全引擎地址池中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段,且地址池中的地址数目需要大于引擎板的数目。
隧道业务方式使用限制和注意事项
禁用IP接入接口可能会导致IP接入业务中断,请谨慎执行本操作。
为客户端地址池配置的网段需要满足以下要求:
不能和客户端物理网卡的IP地址在同一个网段。
不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
不能和欲访问的内网地址在同一个网段。
配置SSL VPN用户绑定的IP地址必须属于用户登录的SSL VPN访问实例引用的地址池或用户被授权的资源组引用的地址池。
未关联VPN实例或在同一VPN实例中,不同SSL VPN用户不能绑定相同的IP地址。
隧道业务方式需要与NAT配合使用。在SSL VPN用户访问内网时,需要在SSL VPN网关连接内网服务器的接口上配置NAT对源地址进行转换。如果不做源地址转换,则反向报文的目的地址为虚拟网卡地址,未做统一分配和引流,该报文不能引向正确的引擎。
配置NAT时需要注意:
NAT地址组中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段。
进行NAT转换的源地址应为SSL VPN网关分配给客户端的地址。
域名使用限制和注意事项
配置域名(如配置Web接入资源中的URL、端口转发表项中的客户端主机名)时,需要由用户保证域名的合法性,SSL VPN不检查域名是否存在以及是否合法。
页面模板使用限制和注意事项
用户上传的自定义模板文件必须以.zip为拓展名。
用户上传的自定义模板文件中必须在其根路径下包含home.html和login.html两个文件。
LDAP认证使用限制与注意事项
SSL VPN用户使用LDAP认证时,必须使用LDAP授权。管理员需要使用CLI方式在设备上进行LDAP的相关配置。
高可靠性支持SSL VPN安全引擎地址池使用限制与注意事项
在HA与VRRP配合的高可靠性组网环境中,当需要在HA的设备上使用安全引擎地址池功能时,必须将安全引擎地址池与VRRP备份组进行绑定,否则安全引擎地址池功能无法正常运行
单点登录使用限制和注意事项
自动构建登录请求方式下的单点登录,选择用户组作为登录参数时,只支持远程用户。
自动构建登录请求方式下的单点登录,只支持从SSL VPN资源页面单击URL链接时才会自动登录,不支持在地址栏或URL输入框中打开资源。
自动构建登录请求方式下的单点登录,不支持登录需要图形校验码校验的页面。
自动构建登录请求方式下的单点登录,不支持登录需要挑战码验证或调用脚本的页面。
企业微信认证使用限制和注意事项
若SSL VPN访问实例开启了企业微信认证功能,则该访问实例仅支持通过直接访问网关方式关联SSL VPN网关。
URI ACL使用限制和注意事项
URI ACL规则内容的格式为protocol://host:port/path,其中protocol和host必须指定。
protocol表示协议名称,支持的取值包括:http、https、tcp、udp、icmp和ip。
host表示主机IP地址或域名,支持的格式如下:
支持的主机地址格式如下:
IPv4地址或IPv6地址,例如:192.168.1.1。
使用字符-表示的IPv4地址或IPv6地址范围,例如:3.3.3.1-3.3.3.200。
指定子网掩码长度的IPv4地址或指定前缀长度的IPv6地址,例如2.2.2.2/24。
以上三种格式的组合,使用逗号分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24。
支持的域名格式包括精确的主机域名,例如www.domain.example.com、以及包含通配符的主机域名。其中,支持的通配符包括:
*:匹配零个或多个任意字符,例如:*.com。
?:匹配单个任意字符,例如:www.do?main.com。
%:匹配本级域名为任意字符,例如:www.%.com。
port表示主机端口。若未指定,则使用该协议的缺省端口号。支持的端口格式如下:
单个端口,例如:1002。
使用字符-表示的端口范围,例如:8080-8088。
以上两种格式的组合,使用逗号分隔,例如:1002,90,8080-8088。
path表示主机上的文件或目录,以一个或多个/或\分隔的路径。路径支持的通配符包括:
*:匹配零个或多个任意字符,例如:/path1/*。
?:匹配单个任意字符,例如:/path?/。
%:匹配本级域名为任意字符,例如:/path1/%/。
配置指南
配置思路
为方便使用,SSL VPN提供了向导式的Web配置页面。如图-2所示,进入“新建访问实例”页面后,按照Web页面提示,逐步完成如下配置后即可使用SSL VPN功能:
除了按照配置向导逐步完成SSL VPN配置外,管理员还可以进行以下操作:
通过“网关”、“客户端地址池”、“IP接入接口”页面创建和修改网关、客户端地址池、IP接入接口。
在“编辑访问实例”页面配置SSL VPN用户登录的SSL VPN网关Web页面的形式,包括页面模板、页面标题、登录页面欢迎信息、登录页面是否显示密码输入框、Logo。
在“编辑访问实例”的“页面配置”页面配置登录页面和资源页面的中英文页面公告信息、供用户下载的中英文页面文件、中英文页面密码复杂度提示信息以及改写服务器返回信息。
在“全局配置”页面,管理员可以上传自定义隧道业务客户端供用户下载使用,也可选择已上传的页面模板作为全局页面模板。
当使用高可靠性功能时,可以在“全局配置”页面,配置SSL VPN备份通道使用的HA端口号。设备将使用此端口号以及高可靠性模块配置的“对端IP地址”,与HA的对端设备建立SSL VPN备份通道,此通道专用于SSL VPN用户信息的备份。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准。
在“模板管理”页面,点击创建按钮,弹出“新建自定义模板页面”,管理员可以上传自定义页面模板。上传后,管理员可在“全局配置”或“编辑访问实例”页面引用该页面模板。
通过“统计信息”页面,管理员可以查看在线用户信息,以及隧道业务相关的统计信息。
单点登录功能支持在“全局配置”页面,配置导出用户自定义配置和导入用户自定义配置。导出用户自定义配置用于导出当前用户在SSL VPN资源页面配置的自定义用户名和密码;导入用户自定义配置用于导入用户在SSL VPN资源页面配置的自定义用户名和密码。
当NAT模块下发OpenFlow流表功能关闭时,设备将无法借助NAT模块对流量进行引流,为保证IP接入业务的正常处理,可以在“全局配置”页面开启IP接入引流功能。
配置准备
配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。
配置路由,保证路由可达。路由在“网络 > 路由”页面配置。
创建安全域。安全域在“网络 > 安全域”页面配置。
配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。
配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。
配置PKI,为SSL VPN网关获取数字证书,PKI在“对象 > 证书与密钥 > PKI”页面配置。
配置SSL服务器端策略。SSL服务器端策略在“对象 > SSL > 服务器端策略”页面配置。
使用隧道业务方式访问内网资源
隧道业务方式适用于需要实现远程主机与企业内部服务器之间全面网络层通信的场景,如在远程主机上ping内网服务器或运行需要稳定网络连接的应用程序。
需要注意,使用此方式时必须安装专用的客户端软件(iNode)。
配置网关
SSL VPN网关的具体配置步骤如下:
选择“网络 > VPN > SSL VPN > 网关”。
在“网关”页面单击<新建>按钮,进入“新建网关”页面,具体配置内容如下:
图-3 SSL VPN网关页面
图-4 新建网关
表-1 网关配置
参数
说明
网关
SSL VPN网关的名称
IP地址选择方式
SSL VPN网关IP地址的选择方式,包括使用接口IP地址和自定义IP地址
IP地址类型
SSL VPN网关的IP地址类型,包括IPv4和IPv6
使用接口IP
可通过在下拉框中选择指定的接口获取相应的IP地址作为SSL VPN网关的IP地址
不可选择设备的管理地址
IP地址
SSL VPN网关的IP地址
HTTPS端口
SSL VPN网关的HTTPS端口号
SSL服务器端策略
SSL VPN网关引用的SSL服务器端策略
(可选)VRF
SSL VPN网关所属的VRF
本参数仅支持在编辑网关页面进行配置
使能
开启SSL VPN网关
单击<确定>按钮,完成网关配置。
配置访问实例-基本配置
配置访问实例的基本属性,包括访问实例关联的网关、开启访问实例等。具体配置步骤如下:
选择“网络 > VPN > SSL VPN > 访问实例”。
在“访问实例”页面单击<新建>按钮,进入“新建访问实例”页面。
图-5 访问实例页面
在“基本配置”页签,配置访问实例基本配置,具体配置内容如下:
图-6 访问实例-基本配置
表-2 访问实例基本配置
参数
说明
访问实例
访问实例名称
关联网关
访问实例引用的网关
在关联网关下拉框中选择网关,如果未创建网关,单击<添加关联网关>按钮,可进入“新建网关”页面,创建网关
多个访问实例引用同一个网关时,可以为不同访问实例指定域名或主机名。如果不指定域名或主机名,则网关只能被一个访问实例引用
开启访问实例
开启访问实例
安全引擎地址池
如果设备的引擎板个数大于1时,需要创建安全引擎地址池,并在SSL VPN访问实例中引用该地址池。安全引擎地址池中的地址需要与SSL VPN网关上连接内网服务器的接口IP地址在同一网段,且地址池中的地址数目需要大于引擎板的数目
(可选)自动生成安全策略
开启自动生成安全策略功能后,设备将在创建SSL VPN访问实例时,自动生成放通SSL VPN业务报文的安全策略
单击<下一步>按钮,进入“业务选择”页签。
配置访问实例-业务选择
配置外网用户通过IP接入方式可以访问的内网资源。具体配置内容如下:
开启隧道业务,使用户可通过IP接入方式访问内网资源。在“业务选择”页签,单击划钮开启隧道业务。
图-7 隧道业务配置
指定SSL VPN访问实例引用的IP接入接口,从而有效地分隔SSL VPN流量和其他类型的网络流量。
在IP接入接口区域,选择IP接入接口。其中,IP接入接口可通过如下方式创建:
指定SSL VPN网关引用的IPv4或IPv6地址池。客户端使用隧道业务方式访问SSL VPN网关时,网关需要为客户端分配IP地址,以确保客户端能够通过网关隧道与内部网络进行通信。
在隧道模式区域,选择隧道模式以及相应的客户端地址池后,SSL VPN网关将使用该地址池为客户端分配地址。其中,客户端地址池可通过如下方式创建,创建完成后还需要配置客户端IPv4地址掩码或客户端IPv6地址前缀:
单击<添加客户端地址池>按钮,进入“新建客户端IPv4地址池”或者“新建客户端IPv6地址池”页面,配置地址池的名称以及地址池的起始和结束地址。单击<确定>按钮,完成客户端地址池配置。
图-11 添加客户端地址池(仅以IPv4客户端地址池为例)
图-12 新建客户端地址池(仅以IPv4客户端地址池为例)
或者选择“网络 > VPN > SSL VPN > 客户端地址池”。可分别在客户端IPv4地址池和客户端IPv6地址池页签创建相应的地址池,具体配置内容与上述方式相同。
配置隧道业务资源(IPv4和IPv6接入资源)。隧道业务方式下,通过路由表项来定义可访问的资源,可以有效控制和限制客户端的访问范围,提高网络安全性。
在IPv4接入资源区域,单击<新建>按钮,进入“新建IPv4路由列表”页面,配置IPv4路由列表名称。在“IPv4路由列表表项”区域,单击<新建>按钮,进入“新建IPv4路由表项”页面,具体配置内容如下:
图-13 新建IPv4路由列表
图-14 新建IPv4路由表项
表-3 配置IPv4路由表项
参数
说明
类型
类型包括包含和排除。包含表示在路由列表中添加路由,路由的目的网段需要是企业内部服务器所在的网络。排除表示客户端在本地添加这些路由表项,匹配这些路由表项的报文将不会被发送给SSL VPN网关
子网地址
路由的目的地址
掩码长度
路由目的地址的掩码长度
单击<确定>按钮,完成配置路由表项。单击<确定>按钮,完成配置路由列表。
在IPv6接入资源区域,单击<新建>按钮,进入“新建IPv6路由列表”页面,配置IPv6路由列表名称。在“IPv6路由列表表项”区域,单击<新建>按钮,进入“新建IPv6路由表项”页面,具体配置内容如下:
图-15 新建IPv6路由列表
图-16 新建IPv6路由表项
表-4 配置IPv6路由表项
参数
说明
类型
类型包括包含和排除。包含表示在路由列表中添加路由,路由的目的网段需要是企业内部服务器所在的网络。排除表示客户端在本地添加这些路由表项,匹配这些路由表项的报文将不会被发送给SSL VPN网关
子网地址
路由的目的地址
前缀长度
路由目的地址的前缀长度
单击<确定>按钮,完成配置IPv6路由表项。单击<确定>按钮,完成配置IPv6路由列表。
单击<下一步>按钮,进入资源授权页面。
配置访问实例-资源授权
资源授权分为两个部分:资源组和角色授权。需要先创建资源组,定义用户可访问的资源范围,然后在角色授权页面,将用户角色与资源组进行关联,确保不同角色的用户拥有与其关联的资源组内所有资源的访问权限。
资源组的具体配置步骤如下:
创建资源组。在“资源组”区域,单击<新建>按钮,进入“新建资源组”页面,需要配置资源组名称、快速访问资源和引用的快捷方式列表。
图-17 访问实例-资源授权
图-18 新建资源组
表-5 配置新建资源组
参数
说明
资源组名称
资源组的名称。SSL VPN网关通过给用户授权资源组的方式控制用户可以访问资源
(可选)快速访问资源
用户可以快速访问的资源。SSL VPN用户登录网关后直接跳转到用户指定的页面,而不需要在SSL VPN资源页面进行选择
(可选)快捷方式列表
选择资源组引用的快捷方式列表名称
配置IP接入用户可以访问的资源以及IP接入的过滤条件。
在“隧道业务”区域,具体配置内容如下:
表-6 配置隧道业务
参数
说明
强制IPv4流量接入VPN
开启该功能后,设备会强制将客户端的IPv4流量转发给SSL VPN网关
SSL VPN网关在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由
指定IPv4路由接入VPN
将指定IPv4路由列表中的IPv4路由表项下发给客户端
客户端IPv4地址池
策略组引用的IPv4客户端地址池。客户端使用隧道业务方式访问SSL VPN网关时,网关会从该地址池中为客户端分配IP地址,当该地址池中无可用地址时,分配失败,用户无法通过隧道接入
若SSL VPN资源组下未引用地址池,则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址
强制IPv6流量接入VPN
开启该功能后,设备会强制将客户端的IPv6流量转发给SSL VPN网关
SSL VPN网关在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由
指定IPv6路由接入VPN
将指定IPv6路由列表中的IPv6路由表项下发给客户端
客户端IPv6地址池
策略组引用的客户端IPv6地址池。客户端使用隧道业务方式访问SSL VPN网关时,网关会从该地址池中为客户端分配IP地址,当该地址池中无可用地址时,分配失败,用户无法通过隧道接入
若SSL VPN资源组下未引用地址池,则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址
(可选)IPv4 ACL
配置对隧道业务进行IPv4高级ACL过滤规则,进一步控制用户访问权限
(可选)IPv6 ACL
配置对隧道业务进行IPv6高级ACL过滤规则,进一步控制用户访问权限
(可选)URI ACL
配置对隧道业务进行URI ACL过滤规则,进一步控制用户访问权限
单击<确定>按钮,完成配置资源组。
角色授权的具体配置步骤如下:
在“角色授权”区域,单击<新建>按钮,进入“新建角色授权”页面,具体配置内容如下:
图-19 新建角色授权
表-7 配置新建角色授权
参数
说明
角色
选择引用的用户角色
资源组
选择用户角色可以使用的资源组
接入方式
选择用户角色可以使用的资源接入方式
单击<下一步>按钮,进入更多配置页面。该页面中可以配置SSL VPN会话限速、开启资源访问日志、用户认证、快捷方式和用户管理等扩展功能,用户可以按照实际需求进行配置。具体配置内容请参见“配置SSL VPN访问实例扩展功能”。
如果不需要配置扩展功能,则直接单击<完成>按钮,即可完成访问实例的配置。
查看统计信息
完成上述配置后,可到“网络 > VPN > SSL VPN > 统计信息”页面,查看在线用户统计、在线用户信息、锁定用户信息、锁定IP信息,以及IP接入相关的统计信息。
图-20 查看统计信息
使用Web代理方式访问内网资源
Web代理方式适用于用户需要通过浏览器快速访问企业内部Web资源的场景,适合临时访问或使用有限资源的用户。
该方式下,无需安装客户端软件,所有数据的显示和操作都是通过Web页面进行。通过Web接入方式可以访问的资源只有Web服务器。
配置网关
SSL VPN网关的具体配置步骤请参见“使用隧道业务方式访问内网资源”下的“配置网关”章节。
配置访问实例-基本配置
访问实例基本配置的具体步骤请参见“使用隧道业务方式访问内网资源”下的“配置访问实例-基本配置”章节。
配置访问实例-业务选择
开启Web代理,使用户可通过Web接入方式访问内网资源。在“业务选择”页签,单击划钮开启Web代理。
图-21 Web代理配置
引用SSL客户端策略。当内网资源为HTTPS服务器时,需要为Web代理指定SSL客户端策略,以便SSL VPN网关使用指定的SSL客户端策略与HTTPS服务器建立连接。如果没有指定SSL客户端策略,则SSL VPN网关使用缺省的SSL客户端策略,该策略支持的加密套件为rsa_rc4_128_md5。
配置Web接入资源。Web代理方式下,通过URL列表来定义可访问的资源,URL列表中可添加多个URL表项,每个URL表项对应一个企业网内的Web资源。
在URL表项区域,单击<新建>按钮,进入“新建URL表项”页面,具体配置内容如下:
图-22 新建URL表项
表-8 配置URL表项
参数
说明
URL表项名称
URL对应的链接名
URL
企业网内Web资源的URL
URI ACL
过滤URL资源的URI ACL
接入类型
当用户通过网关访问Web资源时,网关会根据接入类型对URL进行不同形式的映射,以保证用户的正常访问。接入类型有三种:常规改写、域名映射、端口映射
以SSL VPN网关名gw(域名为https://www.gateway.com:4430,对应的IP地址为1.1.1.1),内网资源服务器URL=http://www.server.com:8080为例:
常规改写下,客户端访问内网资源服务器的URL显示为:https://www.gateway.com:4430/_proxy2/http/8080/www.server.com。缺省情况下SSL VPN网关会对URL进行常规改写。但常规改写可能会造成URL改写遗漏和改写错误等问题,从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式尽可能的解决此问题
域名映射下,映射的域名为www.domain.com时,www.domain.com与内网资源http://www.server.com:8080为一一映射关系。客户端访问内网资源服务器的URL显示为:https://www.domain.com:4430
端口映射又分为配置主机名和不配置主机名两种情况:
不配置主机名,引用SSL VPN网关gw2时,客户端访问内网资源服务器的URL显示为:https://2.2.2.2:4430(网关gw2的IP地址为2.2.2.2,端口号是4430)
配置主机名,主机名为vhosta,vhosta与内网资源http://www.server.com:8080为一一映射关系。引用SSL VPN网关gw时,客户端访问内网资源服务器的URL显示为:https://vhosta:4430
(可选)开启URL伪装
开启此功能后,用户将无法看到访问的内网服务器的真实地址
(可选)单点登录
开启此功能后,SSL VPN用户只需要完成一次登录认证,即可访问所有相互信任的应用系统
(可选)登录方法
单点登录的登录方法包括以下两种:
Basic访问请求
选择该登录方法时,需要配置登录参数获取方式
自动构建访问请求
选择该登录方法时,需要配置请求方式、编码方式、请求参数和上传加密文件
(可选)登录参数获取方式
登录参数获取方式包括以下两种:
SSL VPN网关登录用户名和密码
该获取方式表示网关使用SSL VPN网关登录用户名和密码作为登录参数
自定义用户名和密码
该获取方式表示网关使用用户自定义的用户名和密码作为登录参数,用户需要在SSL VPN登录界面输入自定义的用户名和密码
(可选)请求方式
单点登录的请求方式包括以下两种:
GET
POST
(可选)编码方式
单点登录的编码方式包括以下两种:
GB18030
UTF-8
(可选)请求参数
单击请求参数右侧的新建按钮,进入“新建请求参数”界面,在“新建请求参数”界面配置名称、类型及是否加密参数值。名称指单点登录请求参数属性名。
请求参数类型包括:
登录名、登录密码、认证标题、证书序列号、证书指纹、电话号码、用户组
登录名、登录密码、认证标题、证书序列号、证书指纹、电话号码、用户组分别表示取SSL VPN登录用户名、SSL VPN登录密码、登录SSL VPN网关使用的证书标题、登录SSL VPN网关使用的证书序列号、登录SSL VPN网关使用的证书指纹、短信认证配置的手机号码、SSL VPN用户所在的用户组作为单点登录请求参数属性名对应的属性值
自定义用户名、自定义密码
自定义用户名、自定义密码分别表示取用户在SSL VPN资源界面输入的自定义用户名和自定义密码作为单点登录请求参数属性名对应的属性值
自定义
自定义表示用户可以手动配置单点登录请求参数属性名对应的属性值
(可选)上传加密文件
加密文件用于对请求参数的参数值进行加密。单击选择文件按钮,选择加密文件,加密文件必须为js格式,且文件大小不能超过200KB。选择文件后,单击上传按钮,上传文件。取消引用用于取消当前引用的加密文件
(可选)当前加密文件
当前加密文件用于显示当前引用的加密文件
单击<确定>按钮,完成URL表项配置。
在URL列表区域,单击<新建>按钮,进入“新建URL列表”页面,具体配置内容如下:
图-23 新建URL列表
表-9 配置URL列表
参数
说明
URL列表名称
URL列表的名称
标题
URL列表的标题
URL表项
URL列表引用的URL表项
单击<确定>按钮,完成URL列表配置。
单击<下一步>按钮,进入资源授权页面。
配置访问实例-资源授权
Web代理方式的资源授权配置步骤与隧道业务方式相同,请参见“使用隧道业务方式访问内网资源”下的“配置访问实例-资源授权”章节。
其中, Web代理方式下,Web接入用户可以访问的资源与隧道业务方式不同。Web代理方式下, Web资源为URL列表,可通过选择URL列表限定Web接入用户访问的资源。
完成资源授权配置后,单击<下一步>按钮,进入更多配置页面。该页面中可以配置SSL VPN会话限速、开启资源访问日志、用户认证、快捷方式和用户管理等扩展功能,用户可以按照实际需求进行配置。
如果不需要配置扩展功能,则直接单击<完成>按钮,即可完成访问实例的配置。
查看统计信息
完成上述配置后,可到“网络 > VPN > SSL VPN > 统计信息”页面,查看在线用户统计、在线用户信息、锁定用户信息、锁定IP信息。
使用TCP代理方式访问内网资源
TCP代理方式适用于需要安全访问企业内部基于TCP协议服务的场景,适合需要使用固定端口服务的用户,如远程访问(Telnet)、桌面共享、电子邮件和其他TCP服务。
需要注意,此方式需要安装专用的TCP代理客户端软件,通过SSL连接传送应用层数据。
配置网关
SSL VPN网关的具体配置步骤请参见“使用隧道业务方式访问内网资源”下的“配置网关”章节。
配置访问实例-基本配置
访问实例基本配置的具体步骤请参见“使用隧道业务方式访问内网资源”下的“配置访问实例-基本配置”章节。
配置访问实例-业务选择
开启TCP代理,使用户可通过TCP接入方式访问内网资源。在“业务选择”页签,单击划钮开启TCP代理。
图-24 TCP代理配置
配置TCP代理资源。TCP代理方式下,通过端口转发列表定义可访问的资源。该列表用于将企业网络内的TCP服务(如Telnet、SSH、POP3)映射为SSL VPN客户端的本地地址和端口,从而使客户端能够通过这些本地配置访问企业网络内的服务器。
例如,配置客户端主机为127.0.0.1、客户端代理端口为80、服务器地址为192.168.0.213、服务器端口为80,则表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。
在端口转发表项区域,单击<新建>按钮,进入“新建端口转发表项”页面,具体配置内容如下:
图-25 新建端口转发表项
表-10 配置端口转发表项
参数
说明
端口转发表项名称
端口转发表项的名称
客户端主机
企业网内的TCP服务映射的本地地址或本地主机名称
客户端代理端口
企业网内的TCP服务映射的本地端口号
服务器地址
企业网内TCP服务的IP地址或完整域名
服务器端口
企业网内TCP服务器的端口号
(可选)描述
端口转发实例的描述信息
(可选)资源链接
端口转发表项对应的资源链接,用户可以在Web页面上单击指定的链接访问资源
单击<确定>按钮,完成端口转发表项配置。
在端口转发列表区域,单击<新建>按钮,进入“新建端口转发列表”页面,具体配置内容如下:
图-26 新建端口转发列表
表-11 配置端口转发列表
参数
说明
端口转发列表名称
端口转发列表的名称
端口转发表项
端口转发列表引用的端口转发表项
单击<确定>按钮,完成端口转发列表配置。
单击<下一步>按钮,进入资源授权页面。
配置访问实例-资源授权
TCP代理方式的资源授权配置步骤与隧道业务方式相同,请参见“使用隧道业务方式访问内网资源”下的“配置访问实例-资源授权”章节。
其中,TCP代理方式下,用户可以访问的资源与隧道业务方式不同。TCP代理方式下,TCP代理资源为端口转发列表,可通过选择端口转发列表限定用户访问的资源。
完成资源授权配置后,单击<下一步>按钮,进入更多配置页面。该页面中可以配置SSL VPN会话限速、开启资源访问日志、用户认证、快捷方式和用户管理等扩展功能,用户可以按照实际需求进行配置。
如果不需要配置扩展功能,则直接单击<完成>按钮,即可完成访问实例的配置。
查看统计信息
完成上述配置后,可到“网络 > VPN > SSL VPN > 统计信息”页面,查看在线用户统计、在线用户信息、锁定用户信息、锁定IP信息。
使用BYOD业务方式访问内网资源
BYOD业务方式适用于需要通过移动设备安全访问企业内部资源的场景,适合支持移动办公的环境,允许员工使用个人设备接入企业网络。
需要注意,此方式需要安装移动客户端专用软件,依赖EMO服务器来管理和分配可访问的内网资源。
配置网关
SSL VPN网关的具体配置步骤请参见“使用隧道业务方式访问内网资源”下的“配置网关”章节。
配置访问实例-基本配置
访问实例基本配置的具体步骤请参见“使用隧道业务方式访问内网资源”下的“配置访问实例-基本配置”章节。
配置访问实例-业务选择
开启BYOD业务,使用户可通过移动客户端访问内网资源。在“业务选择”页签,单击划钮开启BYOD业务。
图-27 BYOD业务配置
配置BYOD业务资源。对于移动客户端,不需要配置端口转发规则,只需要在客户端上安装移动客户端专用的客户端软件,并在SSL VPN网关上为客户端指定EMO(Endpoint Mobile Office,终端移动办公)服务器即可。移动客户端通过EMO服务器来获取可以访问的内网资源。具体配置内容如下:
表-12 BYOD业务资源配置
参数
说明
EMO服务器地址
EMO服务器的主机名
EMO服务器端口
EMO服务器使用的端口号
(可选)Message服务器地址
Message服务器的主机名
(可选)Message服务器端口
Message服务器使用的端口号
配置完成后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便移动客户端通过EMO服务器获取可以访问的服务资源。
单击<下一步>按钮,进入“资源授权”页面。此页面不需要配置。再次单击<下一步>按钮,进入“更多配置”页面。该页面中可以配置SSL VPN会话限速、开启资源访问日志、用户认证、快捷方式和用户管理等扩展功能,用户可以按照实际需求进行配置。如果不需要配置扩展功能,则直接单击<完成>按钮,即可完成访问实例的配置。
查看统计信息
完成上述配置后,可到“网络 > VPN > SSL VPN > 统计信息”页面,查看在线用户统计、在线用户信息、锁定用户信息、锁定IP信息。
配置SSL VPN访问实例扩展功能
本章节用于介绍SSL VPN访问实例下“更多配置”页面中的扩展功能。
基础相关
图-28 基础配置
表-13 更多配置-基本相关
参数
说明
VRF
访问实例关联的VPN实例
最大用户数
同一个SSL VPN访问实例支持的最大会话数,当达到配置的最大值时,新的用户将无法登录
每用户在线控制
配置每个用户名的最大在线数
开启强制下线功能后,当某个用户达到最大在线数,该用户再次登录时,则从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线
每会话最大连接限制
开启每会话最大连接限制后,SSL VPN会话收到报文时,如果收到报文的板卡上该会话的连接数超过单个会话的最大连接数,则回应客户端503 Service Unavailable,并关闭该连接
空闲超时时间
SSL VPN会话保持空闲状态的最长时间,如果超过配置的最长时间,则断开连接
空闲流量阈值
SSL VPN会话保持空闲状态的流量阈值。配置该功能后,在空闲超时时间范围内,若SSL VPN用户发给SSL VPN网关的流量未超过该配置的流量阈值,则SSL VPN网关将断开该会话
每会话限速
配置每会话限速功能后,当SSL VPN会话相应方向的报文传输速率超过阈值时,该方向的报文将被丢弃。上行流量:即用户发给服务器的流量;下行流量:即服务器发给用户的流量
登录日志
开启登录日志功能后,用户上线下线时,SSL VPN网关会生成日志信息
资源访问日志
开启资源访问日志功能后,用户访问资源信息时,SSL VPN网关会生成日志信息
允许在线修改密码
实现在线修改密码功能,需同时勾选访问实例视图和用户视图下的允许在线修改密码
开启全局URL伪装
开启访问实例下所有WEB资源的URL伪装功能
允许访问的客户端
客户端类型包括:
浏览器
PC版iNode客户端
移动版iNode客户端
浏览器被禁用后,所有用户均无法使用浏览器登录SSL VPN网关。其他类型客户端被禁用后,仅对新登录用户生效
业务相关
图-29 业务相关
表-14 更多配置-业务相关
参数
说明
隧道模式
IP地址类型,取值包括IPv4和IPv6
主DNS服务器
企业网内主DNS服务器的地址
备DNS服务器
企业网内备DNS服务器的地址
主WINS服务器
企业网内主WINS服务器的地址,仅支持IPv4地址
备WINS服务器
企业网内备WINS服务器的地址,仅支持IPv4地址
保活周期
保活报文发送的时间间隔。保活报文由客户端发送给网关,用于维持客户端和网关之间的会话
开启IP客户端自启动
开启此功能后,用户通过WEB方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,并自动连接SSL VPN网关
开启推送资源列表
开启此功能后,用户通过IP方式成功登录SSL VPN网关后,设备会自动向用户主机推送资源列表
流量限制
IP接入方式的限速功能,包括上行流量限速和下行流量限速。上行流量表示SSL VPN用户访问内网服务器的流量,下行流量表示内网服务器发给SSL VPN用户的流量
丢包日志
开启此功能后,通过IP接入SSL VPN发生丢包时,SSL VPN网关会生成日志信息
IP连接关闭日志
开启此功能后,通过IP接入SSL VPN时建立的连接被关闭时,SSL VPN网关会生成日志信息
IP地址分配和释放日志
IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时,SSL VPN网关会生成日志信息
认证相关
配置用户登录访问实例的认证方式,包括密码认证、证书认证、短信认证等。
具体配置步骤如下:
选择“认证相关”页签,配置用户认证的相关配置,具体配置内容如下:
图-30 认证相关
表-15 用户认证配置
参数
说明
认证服务器类型
针对用户的认证需求,可以选择不同认证服务器类型,取值包括:
AAA:选择认证服务器类型为AAA时,需要配置ISP认证域
CUSTOM:选择认证服务器类型为CUSTOM时,需要通过命令行界面配置相关参数,具体参见SSL VPN配置手册
SMP:选择认证服务器类型为SMP时,需要配置安全业务平台地址、安全业务平台密钥以及认证系统类型
安全业务平台地址
配置本地址后,SSL VPN网关将与安全业务平台进行信息交互,完成对用户的身份认证
VRF
安全业务平台所属的VPN实例
安全业务平台密钥
SSL VPN网关与安全业务平台建立连接时,SSL VPN网关需要向安全业务平台提供本功能配置的密钥,安全业务平台会使用该密钥验证SSL VPN网关的身份,验证通过后,才能建立连接
认证系统类型
安全业务平台对接的第三方认证平台类型,目前仅支持派拉
ISP认证域
访问实例将使用指定ISP域内AAA方案对SSL VPN用户进行认证、授权和计费
开启证书认证
开启证书认证功能后,需要同时在SSL服务器端策略页面配置“验证客户端”。SSL VPN网关会对SSL客户端(SSL VPN用户)进行基于数字证书的身份验证,并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致
用户名属性
配置SSL VPN用户证书中指定字段取值作为SSL VPN用户名。缺省情况,将用户证书中主题部分内的CN字段的值作为SSL VPN用户名
开启密码认证
开启密码认证功能后,用户可以通过用户名、密码登录
证书和密码认证
可以同时使用,也可以只使用任意一种
开启验证码验证
开启验证码验证功能后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面
iMC用户改密
实现iMC认证用户修改密码功能,需要配置iMC服务器地址、端口号及所属VPN实例,且需要开启允许在线修改密码功能
开启短信认证-iMC
本功能需要在iMC服务器上提前配置好短信验证功能
开启iMC短信认证功能后,当用户登录SSL VPN网关进行身份验证时,可以获取短信验证码
开启短信认证-短信网关
本功能需要在短信网关上提前配置好短信验证功能
开启短信网关认证功能后,当用户登录SSL VPN网关进行身份验证时,可以获取短信验证码
开启企业微信认证
本功能需要在企业微信管理后台提前配置企业应用,并在各应用中配置应用主页重定向链接和SSL VPN网关的可信域名,并完成可信域名的校验(在企业微信管理后台下载校验文件,并在SSL VPN全局配置界面将文件上传至设备)
开启企业微信认证功能后,设备将从第三方企业微信获取企业用户信息,并使用该用户信息对用户进行认证和授权
应用ID
如需使用企业微信扫码认证方式对用户进行认证和授权,则必须配置应用ID
API服务器地址
配置API服务器地址后,当设备收到从企业微信服务器重定向而来的报文时,设备将企业微信API服务器进行信息交互,获取用户信息,并使用获取到的信息对用户进行认证和授权
企业ID
企业微信上唯一标识一个企业
访问密钥
企业应用中用于保障数据安全的“钥匙”,每一个应用都有一个独立的访问密钥,为了保证数据的安全,此密钥务必不能泄漏
认证请求超时时间
SSL VPN网关向企业微信API服务器发送HTTP请求报文后,如果在超时时间内没有收到服务器的应答报文,则认为本次企业微信认证失败
userid字段名
企业微信userid字段名,用于SSL VPN网关向内网服务器发起访问请求时,组装携带用户信息的登录参数
授权策略组字段名
企业微信授权策略组字段名,用于SSL VPN网关从企业微信API服务器获取的应答报文中解析企业微信授权策略组名称
微信开放平台URL
配置微信开放平台的URL后,当内网服务器需要再次认证客户端身份时,客户端将能够正常访问微信开放平台,完成后续的认证
用户可以进行如下配置:
预定义:表示预定义的URL地址,为https://open.weixin.qq.com,用户无法修改
自定义:表示自定义的URL地址,用户可以根据实际情况配置URL地址
防止暴力破解
为了防止暴力破解攻击,可以配置如下限制:
用户在连续登录错误达到指定的次数时启用图形验证码
可限制同IP用户登录连续出错指定次数后,拒绝同IP登录,并在指定的时长后恢复正常状态
URI ACL资源
URI形式的ACL用于对SSL VPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。
在SSL VPN访问实例中可以创建多个URI ACL,并且每个URI ACL下又可以配置多条URI ACL规则。若一个URI ACL中配置了多条URI ACL规则,则按照规则编号由小到大进行匹配。
在Web代理和资源组中,可以引用URI ACL进行过滤。
具体配置步骤如下:
选择“URI ACL资源”页签。
图-31 URI ACL资源
单击<新建>按钮,进入“新建URI ACL列表”页面,配置URI ACL列表名称。
图-32 新建URI ACL列表
在“URI ACL资源”区域,单击<新建>按钮,进入“新建URI ACL规则”页面,具体配置内容如下:
图-33 新建URI ACL规则
表-16 配置URI ACL规则
参数
说明
规则ID
规则编号。URI ACL在匹配过滤时会按照规则编号从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程
动作
对匹配规则的报文的处理动作,动作包括允许报文通过和拒绝报文通过
规则内容
格式为protocol://host:port/path,protocol和host必须指定
单击<确定>按钮,完成配置URI ACL规则。
单击<确定>按钮,完成配置URI ACL列表。
快捷方式
本功能通过将用户常用的URL配置为快捷方式,方便用户使用。配置后,用户可以在Web页面上单击指定的快捷方式访问资源。
具体配置步骤如下:
选择“快捷方式”页签。配置快捷方式和快捷方式列表。
图-34 快捷方式
在快捷方式区域,单击<新建>按钮,进入“新建快捷方式”页面,具体配置内容如下:
图-35 新建快捷方式
表-17 配置快捷方式
参数
说明
快捷方式名称
快捷方式的名称
描述
快捷方式的描述信息
资源地址
资源地址包括三种类型:
资源链接:快捷方式对应的资源链接,用户可以在Web页面上单击指定的链接访问资源,需要按照url('url-value')模板配置。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”
应用程序路径:快捷方式对应的应用程序路径,需要按照app('app-value')模板配置。程序路径可以使用绝对路径也可以使用环境变量,例如“c:\windows\system32\notepad++.exe”
自定义:SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本,实现访问特定的资源
单击<确定>按钮,完成配置快捷方式。
在快捷方式列表区域,单击<新建>按钮,进入“新建快捷方式列表”页面,具体配置内容如下:
图-36 新建快捷方式列表
表-18 配置快捷方式列表
参数
说明
列表名称
快捷方式列表的名称
选择快捷方式
在已配置的快捷方式中选择快捷方式
单击<确定>按钮,完成配置快捷方式列表。
用户管理
在“用户管理”页签,单击<新建>按钮,进入“新建用户管理”页面,具体配置内容如下:
图-37 用户管理
图-38 新建用户管理
表-19 配置新建用户管理
参数
说明
用户名
SSL VPN的用户名称
手机号码
SSL VPN用户绑定的手机号码
自动绑定IPv4地址
开启自动绑定IPv4地址功能后,SSL VPN网关为客户端自动分配空闲的IPv4地址,并绑定,可以配置绑定的空闲IPv4地址的个数
自动绑定IPv6地址
开启自动绑定IPv6地址功能后,SSL VPN网关为客户端自动分配空闲的IPv6地址,并绑定,可以配置绑定的空闲IPv6地址的个数
绑定的IPv4地址
不能包含组播、广播、环回地址。可以包含IPv4地址和地址范围,地址或地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开,结束地址必须大于或等于起始地址。例如:10.1.1.5,10.1.1.10-10.1.1.20
绑定的IPv6地址
只能是单播或任播地址,不能是未指定、多播、环回地址。可以包含IPv6地址和IPv6地址范围,地址和地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开,结束地址必须大于或等于起始地址。例如:1234::10,1234::100-1234::200
单击<确定>按钮,完成配置用户管理。
配置SSL VPN全局参数
登录页面定制
本功能可通过引用模版文件定制SSL VPN网关登录页面显示内容。具体配置步骤如下:
选择“网络 > VPN > SSL VPN > 全局配置”。
在登录页面定制区域,在下拉框中选择界面模版,SSL VPN网关登录页面将根据模版中定义的内容显示。
图-39 登录页面定制
SSL VPN登录页面模板管理
SSL VPN页面模板起到限定SSL VPN网关登录页面和资源页面风格的作用。管理员可根据实际需求自定义SSL VPN网关登录页面的模版。具体配置步骤如下:
选择“网络 > VPN > SSL VPN > 模板管理”。
图-40 模板管理
单击<新建>按钮,进入“新建自定义模板”页面,管理员可以上传自定义页面模板。
图-41 新建自定义模版
单击<确定>按钮,完成配置。上传后,管理员可在“全局配置”或“编辑访问实例”页面引用该页面模板。
自定义IP接入客户端
正常情况下,SSL VPN用户下载的IP接入客户端是存储在设备上的,但是对于一些存储空间较小的设备,无法在设备上部署IP接入客户端。为了解决此问题,SSL VPN网关管理员可以自定义IP接入客户端的下载路径为官网或者自定义的URL地址。具体配置步骤如下:
选择“网络 > VPN > SSL VPN > 全局配置”。
在自定义IP接入客户端区域,针对不同的操作系统类型,用户可根据实际情况选择相应的IP接入客户端的下载方式。取值包括:
设备:表示IP接入客户端下载路径为设备本地。仅Windows系统支持此方式。用户需要从官方渠道获取正版客户端文件,并上传到设备。
官网:表示IP接入客户端下载路径为官网。
自定义:表示IP接入客户端下载路径为指定的URL地址。
图-42 自定义IP客户端
单击<应用>按钮,完成配置。
单点登录
选择“网络 > VPN > SSL VPN > 全局配置”。
单击<导出用户自定义配置>按钮,下载单点登录数据文件,根据文件中的提示信息填写访问实例名、URL表项、登录用户名、资源用户名和资源密码。完成编辑后,将文件保存到用户本地。
图-43 单点登录
单击<导入用户自定义配置>按钮,进入导入用户自定义配置页面,单击<选择>按钮,选择保存的单点登录数据文件。单击<确定>按钮,完成单点登录数据文件的导入。
图-44 导入用户自定义配置
企业微信域名校验文件
选择“网络 > VPN > SSL VPN > 全局配置”。
在企业微信域名校验文件区域,单击<选择文件>按钮,选择用户在企业微信管理后台下载的域名校验文件,单击<上传>按钮,将文件上传到设备。
图-45 企业微信域名校验文件
其中,域名校验文件的获取方式如下:
在浏览器中输入地址https://work.weixin.qq.com,使用企业微信客户端扫码登录企业微信管理平台,单击<应用管理>按钮,选择应用,进入应用页面。
在应用页面的“网页授权及JS-SDK”处,单击<申请域名校验>按钮,在可信域名输入框中输入SSL VPN网关的域名和端口gateway.example.com:port。
单击<申请校验域名>按钮,按照页面提示下载文件。
需要注意,下载域名校验文件后,不能对文件进行任何修改。
IP接入引流
当NAT模块下发OpenFlow流表功能关闭时,设备将无法借助NAT模块对流量进行引流,为保证IP接入业务的正常处理,需要开启IP接入引流功能。
选择“网络 > VPN > SSL VPN > 全局配置”。
在IP接入引流区域,单击划钮开启IP接入引流功能。
图-46 IP接入引流
常见问题解答
某些资源的访问权限发生变化后,为什么不会立即生效?
这是因为SSL VPN不支持动态授权,权限变化的生效范围及生效时间如表-20所示。
权限变化方式 | 生效范围及时间 |
远程服务器授权变化 | 对已经登录用户不生效,仅对新登录的用户生效 |
资源组引用的ACL变化或ACL内的规则变化 | 隧道业务方式、TCP代理方式和Web代理方式,均立即生效 |
Web接入资源变化 | SSL VPN用户刷新页面后,可以看到资源变化 |
TCP代理资源变化 | SSL VPN用户重新启动客户端软件后,变化生效 |
隧道业务方式中的路由表项、DNS服务器地址、WINS服务器地址变化 | 立即生效 |
SSL VPN用户登录SSL VPN网关时,是否需要进行证书认证?
SSL VPN用户作为SSL客户端登录SSL VPN网关时,SSL客户端证书认证的三种方式及其区别如表-21所示。
认证方式 | 说明 |
关闭客户端证书认证 | 在使用浏览器访问SSL VPN网关时,不会提示用户选择证书,不对客户端进行证书认证 |
开启客户端证书认证 | 在使用浏览器访问SSL VPN网关时,会提示用户选择证书。如果用户没有证书,则会断开SSL连接 |
不强制要求客户端证书认证 | 在使用浏览器访问SSL VPN网关时,会提示用户选择证书。如果用户不使用证书,则SSL连接依然有效,此时并不会断开SSL连接。如果用户选择证书,但是服务器检查客户端证书未通过,则会断开SSL连接 |
当SSL VPN管理员认为需要对SSL VPN用户进行证书认证时,应该将SSL VPN网关引用的SSL服务器端策略配置为后两种方式,并使能SSL VPN的证书认证功能。SSL VPN证书认证功能会比较证书中的CN字段和用户名是否匹配,如果不匹配,则会禁止访问。
对于SSL VPN证书认证功能,仅在Web接入和隧道业务方式下,支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证;在TCP代理和移动客户端接入方式下,不支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证。