收藏 分销(赏)
立即下载 开通VIP

深信服SSLVPN使用手册.doc

上传人:快乐****生活 文档编号:4859436 上传时间:2024-10-15 格式:DOC 页数:34 大小:1.18MB
下载 相关 举报
深信服SSLVPN使用手册.doc_第1页
第1页 / 共34页
深信服SSLVPN使用手册.doc_第2页
第2页 / 共34页
深信服SSLVPN使用手册.doc_第3页
第3页 / 共34页
深信服SSLVPN使用手册.doc_第4页
第4页 / 共34页
深信服SSLVPN使用手册.doc_第5页
第5页 / 共34页
点击查看更多>>
资源描述

1、SSL 5.5用户手册2012年3月目录SSL 5.5用户手册1声明8前言9手册内容9本书约定9图形界面格式约定9各类标志10技术支持10致谢10第1章 VPN设备的安装121.1. 环境要求121.2. 电源121.3. 产品外观121.4. 配置与管理131.5. 设备接线方式13第2章 控制台的使用162.1. 登录WebUI配置界面162.2. 运行状态172.2.1. 系统状态182.2.2. 在线用户212.2.3. 告警日志232.2.4. 远程应用25第3章 系统设置303.1. 系统配置303.1.1. 序列号管理303.1.2. 日期与时间323.1.3. 控制台配置333

2、.1.4. 外置数据中心343.1.5. 设备证书353.1.6. 邮件服务器373.2. 网络配置383.2.1. 部署模式393.2.2. 多线路433.2.3. 路由设置483.2.4. HOSTS503.2.5. DHCP523.2.6. 本地子网553.3. 时间计划573.4. 管理员账号603.5. SSL VPN选项653.5.1. 系统选项653.5.1.1. 接入选项653.5.1.2. 客户端选项693.5.1.3. 虚拟IP池743.5.1.4. 内网域名解析763.5.1.5. 单点登录设置793.5.1.6. 资源服务选项83WEB应用83TCP应用86L3VPN应

3、用91其他设置923.5.2. 网络传输优化933.5.2.1. 传输优化943.5.2.2. WEB优化983.5.2.3. WEB Cache1013.5.3. 登录策略1033.5.3.1. 登录策略1033.5.3.2. 模板管理1063.5.3.3. 图标管理1093.5.4. 集群部署1103.5.4.1. 集群中的各元素定义与简介1103.5.4.2. 集群的主要特性1113.5.4.3. 部署方式1133.5.4.4. 集群部署设置1173.5.4.5. 集群部署状态1193.5.4.6. 集群在线用户1193.5.5. 分布式部署120第4章 SSL VPN设置1234.1.

4、 用户管理1234.1.1. 新建用户组1244.1.2. 新建用户1324.1.3. 高级搜索1404.1.4. 特征码管理1434.1.5. 导入用户1464.1.6. 其他操作1584.1.6.1. 导出1584.1.6.2. 绑定角色1614.1.6.3. 从账号设置1634.1.6.4. 批量生成证书1654.1.6.5. 批量创建USB-KEY1674.1.7. 查看资源1704.2. 资源管理1714.2.1. 资源组1714.2.2. WEB应用1754.2.3. TCP应用1834.2.4. L3VPN1904.2.5. 远程应用1954.2.6. 其它操作1984.2.6.

5、1. 导出操作1994.2.6.2. 导入操作1994.2.6.3. 资源排序2004.3. 角色授权2024.3.1. 新建角色2024.3.2. 生成权限报告2074.4. 认证设置2104.4.1. 主要认证2114.4.1.1. 本地密码认证2114.4.1.2. LDAP认证2134.4.1.3. RADIUS认证2234.4.1.4. 证书与USB-KEY认证2274.4.2. 辅助认证2384.4.2.1. 短信验证码238通过设备内置短信模块发送241通过安装在外部服务器上的短信模块发送244使用运营商短信网关2504.4.2.2. 硬件特征码2504.4.2.3. 动态令牌认

6、证2524.4.3. 认证选项设置2524.4.3.1. LDAP与Radius服务器认证优先级设置2534.4.3.2. 密码认证选项2544.4.3.3. 匿名登录设置2584.5. 策略组管理2614.5.1. 客户端选项2634.5.2. 账号控制2654.5.3. 安全桌面2674.5.4. 远程应用2704.6. 终端服务器管理2734.6.1. 新增远程应用服务器2764.6.2. 新增远程存储服务器2804.7. 端点安全2824.7.1. 端点安全规则2834.7.2. 端点安全策略2964.7.3. 内置规则库升级304第5章 VPN信息设置3075.1. 运行状态3075

7、.2. 基本设置3085.3. 虚拟IP池3115.4. 用户管理3145.5. 连接管理3245.6. 隧道间路由3275.7. 选路策略3295.8. 算法设置3315.9. 内网服务3325.10. 组播服务3345.11. RIP设置3375.12. VPN接口3385.13. LDAP设置3385.14. Radius设置3415.15. 生成证书3425.16. 第三方对接3435.16.1. 第一阶段3435.16.2. 第二阶段3455.16.3. 安全选项347第6章 防火墙设置3496.1. 服务定义3496.2. IP组定义3506.3. 过滤规则设置3526.3.1.

8、案例学习3556.4. NAT设置3596.4.1. 代理上网设置3596.4.2. 端口映射设置3606.4.2.1. 案例学习3616.4.3. IP MAC绑定设置3626.4.4. HTTP端口设置3646.4.5. URL组设置3656.4.6. 外部服务组设置3666.4.7. 用户上网权限设置3696.5. 访问监控3726.5.1. 流量排名3726.5.2. 访问记录3736.6. 防DOS攻击3736.7. QOS级别设置3746.8. QOS上传规则设置3756.9. QOS下载规则设置377第7章 系统维护3797.1. 日志查看3797.2. 配置备份/恢复3827.

9、3. 重启/重启服务/关机3847.4. 系统更新385第8章 SSL VPN客户端使用3878.1. 环境要求3878.2. 典型使用方法举例3878.3. SSL VPN客户端使用说明396第9章 案例集4019.1. 部署配置案例4019.1.1. 网关单线路模式部署4019.1.2. 网关多线路模式部署4039.1.3. 单臂单线路模式部署4089.1.4. 单臂多线路模式部署4099.2. 系统路由案例4129.3. 虚拟门户配置案例4139.4. 负载均衡集群部署案例4179.4.1. 网关模式部署集群4179.4.2. 单臂模式部署集群4209.4.3. 网关模式多线路集群部署4

10、229.4.4. 单臂模式多线路集群部署4259.5. 新建用户配置案例4289.6. 资源配置案例4319.6.1. WEB应用4319.6.1.1. WEB应用配置案例4319.6.1.2. 资源地址伪装案例4369.6.1.3. WEB文件共享配置案例4399.6.1.4. EasyLink配置案例4439.6.2. TCP应用4479.6.2.1. TCP应用配置案例4479.6.2.2. URL访问控制配置案例4509.6.3. L3VPN应用4539.6.3.1. L3VPN应用配置案例4539.6.4. 远程应用4549.6.4.1. 远程应用配置案例4549.7. 外部认证配置

11、案例4679.7.1. 结合第三方CA实现数字证书认证4679.7.2. CA中心映射规则配置案例4729.8. 单点登录配置案例4789.8.1. 单点登录配置案例4789.8.2. 远程发布的单点登录配置案例4839.9. 安全桌面配置案例4899.10. PPTP方式接入SSL VPN的配置案例4939.11. EasyConnect使用方法5029.12. IPSEC VPN配置案例5129.12.1. 隧道内NAT配置案例5129.12.2. 通过隧道间路由实现VPN客户端之间互访的案例5159.12.3. 内网权限的设置案例5189.12.4. IPSEC VPN互连配置案例522

12、9.13. 防火墙配置案例5289.13.1. 过滤规则设置案例5289.13.2. 代理上网设置案例5329.13.3. 端口映射设置案例5339.14. 1综合案例5349.14.1. 客户环境与需求5349.14.2. 配置思路5359.14.3. SSL设备配置步骤535第10章 附录:网关升级客户端的使用545产品升级步骤555声明Copyright 2012深圳市深信服电子科技有限公司及其许可者版权所有,保留一切权利。未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。SINFOR、SANGFOR及图标为深圳市深信服电子科技有限公司的商标

13、。对于本手册出现的其他公司的商标、产品标识和商品名称,由各自权利人拥有。除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册内容如发生更改,恕不另行通知。如需要获取最新手册,请联系深信服电子科技有限公司客户服务部。第1章 控制台的使用1.1. 登录WebUI配置界面按照前面所示方法接好线后,通过Web界面来配置VPN设备。方法如下:首先为本机器配置一个10.254.254.X网段的IP(如配置10.254.254.100),掩码配置为255.255.255.0,然后在IE浏览器中输入网关的默认登录IP及端口,输入http:/10.254.254.

14、254:1000,页面如下:在登录框输入用户名和密码,点击登录按钮即可登录VPN网关进行配置,默认情况下的用户名和密码均为:Admin。如果需要查看当前网关的版本号,可点击查看版本,即显示当前硬件的版本信息。登录WebUI配置界面后,可以看到有以下配置内容:如下图所示:运行状态:此处可以查看当前设备的运行状态。系统设置:此处可设置设备的序列号、网络配置及各种常见全局性配置。SSL VPN设置:设置SSL VPN相关信息。IPSEC VPN设置:设置IPSEC VPN互联信息。防火墙设置:设置设备内置的防火墙规则及策略。 系统维护:用来查看日志、备份/恢复设备的配置信息,重启设备/服务或关闭设备

15、。注意:所有配置界面中如果有确定、保存、配置生效按钮,则配置完毕后,必须要点击该按钮才能使设置保存并生效,后面的文档不再赘述。1.2. 运行状态SSL VPN运行状态里面可以查看系统状态,在线用户,告警日志,远程应用。界面如下图所示:第2章 系统设置系统设置包含系统配置,网络配置,时间计划,管理员账号,SSL VPN选项五个大模块。如下图:第3章 VPN信息设置3.1. 运行状态此页面可以查看当前的VPN连接状态和网络流量信息。页面如下:点击分支NAT状态可以查看当前分支NAT状态,包括用户名、原子网网段、代理子网网段、网络类型和子网掩码。页面如下:点击查找用户输入用户名,可以快速找到当前用户

16、的连接情况。页面如下: 点击显示选项,可以对显示的列进行筛选。页面如下:点击停止服务可暂时停止VPN服务。然后在用户管理新建用户时,在组播服务里选择刚定义好的组播服务。页面如下:3.2. RIP设置用于设置SANGFOR VPN设备通过RIPv2协议向其它路由设备通告路由信息,以实现内网路由设备RIP路由信息的动态更新。启用路由选择信息协议:是整个动态路由更新功能的开关,激活后,SANGFOR VPN设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息(更新其他设备的路由表,添加到VPN对端的路由指向SANGFOR VPN设备,VPN连接断开后会通告路由设备删除该路由)。设备

17、本身不接收RIP路由协议的动态更新,VPN设备要跟其他启用了RIP协议的内网路由器通讯,则需要在VPN设备上手动添加静态路由。启用密码验证:用于设置交换RIPv2协议信息时需要验证的密码,可视具体情况进行设置。IP地址和端口:用于设置主动向哪个IP(路由设备IP)发布路由更新信息。需要触发更新:勾选后,VPN设备在路由信息有变化时会触发路由更新信息过程,这时下面设置的RIP更新周期参数失效。记录日志:勾选,则VPN设备会记录RIP路由更新的日志信息。最后点击确定保存配置。3.3. VPN接口VPN接口设置,用于设置VPN服务虚拟网卡IP。页面如下:注意:默认情况下请设置为使用自动分配的VPN接

18、口IP,如果出现IP冲突的提示,可改为自定义IP并进行设置。VPN接口是VPN硬件网关系统的虚拟接口,外观上并不存在对应的真实物理接口。3.4. LDAP设置SANGFOR VPN设备的VPN服务支持使用第三方LDAP认证。如需要启用第三方认证,请在LDAP服务器设置中正确设置第三方LDAP服务器信息(包括LDAP服务器IP、LDAP服务器端口、LDAP管理员密码),页面如下:其中,管理员名称需使用域管理员帐号,并且填写完整的格式,例如:“Administrator”(不包括引号)设置好LDAP服务器信息后,请点击高级,显示【LDAP高级设置】对话框,按照实际需求设置LDAP高级信息,页面如下

19、:用户过滤参数和登录名属性保留默认值即可,填写好用户根目录及查询目录(用户接入校验时都是使用查询目录来查询并校验的,只有有当查询目录为空的时候才用根目录,导入用户的时候使用用户根目录来导入)。点击测试,输入一个域用户名及密码,如果测试通过,则LDAP配置正确,页面如下:点确定完成配置。LDAP认证仅支持微软的AD和Novell的eDirectory两种,OpenLDAP等暂不支持。3.5. Radius设置设置界面如下:填写Radius服务器IP、Radius服务器端口、认证共享密钥和Radius认证协议。勾选启用Radius认证即可。3.6. 生成证书基于硬件特性的证书认证系统是深信服公司的

20、发明专利之一。SANGFOR SSL VPN硬件设备和SANGFOR DLAN VPN软件一样,都采用了该技术用于不同VPN节点之间的身份认证。该证书提取了SSL VPN设备或安装DLAN VPN软件的计算机的部分硬件特性(如网卡、硬盘等)生成加密的认证证书。由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证,就保障了只有指定的硬件设备才能接入授权的网络,避免了安全隐患。页面如下:点击生成证书,选择证书保存路径,点击保存即可。证书保存到本地后,还需要将该证书通过某种方式(如电子邮件或U盘等)提供给需要接入的站点管理员,由该站点管理员将证书与用户名绑定(即在总部建用户

21、时,启用硬件捆绑鉴权,详见5.4章节)。以后该用入接入总部时,会自动验证接入的计算机身份的合法性。3.7. 第三方对接SANGFOR VPN硬件网关提供了与第三方VPN设备互联的功能,能与第三方的标准IPSEC VPN设备建立VPN连接。3.7.1. 第一阶段第一阶段用于设置需要与SANGFOR VPN网关建立标准IPSec连接的对端VPN设备的相关信息,也就是标准IPSec协议协商的第一阶段。页面如下:选择线路出口,点击新增,显示设备列表设置对话框,页面如下:点击高级,显示高级选项对话框,可进行其它高级设置,页面如下:3.7.2. 第二阶段第二阶段主要配置VPN的入站策略和出站策略,如下图:

22、入站策略用于设置由对端发到本端的数据包规则,点击新增,显示【策略设置】对话框,页面如下:出站策略用于设置从本端发往对端的数据包规则,点击新增,显示【策略设置】对话框,页面如下:3.7.3. 安全选项安全选项用于设置与对端建立标准IPSec连接时所使用的安全参数。页面如下:在建立与第三方设备的IPSec连接前,请先确定对端设备采用何种连接策略,包括:使用的协议(AH或ESP)、认证算法(MD5或SHA-1)、加密算法(DES、3DES、AES),点击新增,添加新的选项,页面如下:SANGFOR VPN网关会使用设置好的连接策略与对端协商建立IPSec连接。安全选项中的加密算法用于设置标准IPSe

23、c连接的第二阶段所使用的数据加密算法,如果要与多个采用不同连接策略的设备互联,需要分别将各个设备使用的连接策略添加到安全选项中。出站策略和入站策略中策略所对应的源IP地址是指源IP类型和本/对端服务。注意:出站策略和入站策略中的出站服务、入站服务和时间设置均为SANGFOR扩展的规则,此类规则仅在本端设备生效,在与第三方设备建立VPN连接的过程中不会协商此类规则。第4章 SSL VPN客户端使用输入用户名密码及校验码后,点击登录,即可登陆SSL VPN。 证书登录连接用于数字证书认证用户登录(数字证书手动安装在IE上的用户)。USB-Key登录用于使用USB-Key认证的用户登录(包括有驱US

24、B-Key和无驱USB-Key)。登录成功后会出现SSL VPN资源列表界面如下:界面会显示该SSL VPN用户可用的SSL VPN内网资源列表,对于Web类型或B/S结构的资源,直接点击资源列表中的超链接即可访问,对于其它C/S结构的资源,则可直接打开Client客户端,通过连接服务器的内网IP来访问。如果登录SSL VPN的用户需要访问总部定义好的TCP应用和L3VPN应用,则登录成功后,会自动安装控件或者需要点击启用TCP服务控件和启用L3VPN服务控件,如下图所示:注:若在系统设置SSL VPN选项系统选项客户端选项,勾选了用户登录后,自动安装TCP、L3VPN应用组件,那么SSL客户

25、端登陆时,会自动安装上述两个组件。若没有勾选,则需要在上述页面手动安装。如下图:至此,完成了一次SSL VPN用户登陆的过程。需要退出SSL VPN时,点击右上角的注销按钮,即可安全退出SSL VPN。注销之后,用户将不能访问SSL VPN的资源。资源列表上方的设置按钮,可让用户自行修改密码,界面如下:点击 修改,如下图所示:修改后,点击保存即可成功修改用户的登录密码。系统设置下,显示的内容与SSL VPN配置有关,请以实际显示的为准。对于使用USB-KEY的用户登录SSL VPN的过程,和普通用户登录稍有不同。USB-KEY用户登录时,打开浏览器输入SSL VPN登录网址,在登录界面处,插入

26、USB-Key,点击USB-KEY登录即进入USB-KEY用户的登录界面,(或前面直接取消修改PIN的操作),界面如下:输入用户USB-Key的PIN码,设备会自动校验客户端信息,校验成功能,即远成SSL VPN客户端登陆。USB-Key用户登录后,点击资源列表上方的设置按钮,可让用户自行修改密码和USB-Key的PIN码,界面如下: 点击修改,如下图所示:输入旧PIN码和新PIN码,点击保存即修改成功。注意:登录SSL VPN之后,如果相隔一段时间,没有访问SSL VPN内网资源,或者客户端这边没有任何操作,SSL VPN会超时,自动注销。超时时间设置请参考4.5章节。4.1. SSL VP

27、N客户端使用说明用户通过IE登陆了SSL VPN后,会自动在电脑上安装SSL VPN客户端组件。在系统设置SSL VPN选项系统选项客户端选项。可选择由用户手动安装组件或自动安装组件。若选择为手动安装,则在登陆时,会提示:点击安装硬件特征码组件,弹出如下图提示:点击安装,弹出如下初始化下载、安装界面:下载并安装完成后,在开始-程序下可以找到如下目录: 在安装SSL VPN组件的过程中,请先关闭本机的防火墙及杀毒软件,否则可能会安装不成功。选择启动客户端,即打开SSL VPN客户端程序,如下图:在SSL VPN地址中输入连接VPN的地址,点击连接,弹出【登录SSL VPN】对话框。若为用户名密码

28、登录,则选择【账号】,并在用户名和密码框中填入对应的“用户名”和“密码”。如下图:如果需要,用户可以勾选记住密码和自动登陆,那么下次点开SSL VPN客户端,不需再输一次地址和用户名密码,将自动连接到SSL VPN。该项选择需要在设备上进行相应的配置,具体可参考3.5.1.2章节。若为证书登陆,则选择【证书】,并选择好“证书文件”和填入“证书密码”。如下图:若为USB-KEY登陆,则选择为【USB-KEY】,并输入USB-KEY的PIN码。如下图:建立 SSL VPN用户,请参考4.1.2章节。按实际情况选择上述中的一种登录方式,成功能登录后,有如下提示:若在设备里设置了客户端启用系统托盘,则登录后在电脑桌面的右下角显示SSL VPN客户端图标,将鼠标移上去,显示SSL VPN的流速信息,如下图:右击该图标,可查看SSL VPN状态及对SSL VPN进行相关设置,如下图:上图中显示的项与SSL VPN配置有关,以实际应用中显示的为准。34

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服