深信服SSLVPN使用手册.doc

SSL 5.5用户手册 2012年3月 目录 SSL 5.5用户手册 1 声明 8 前言 9 手册内容 9 本书约定 9 图形界面格式约定 9 各类标志 10 技术支持 10 致谢 10 第1章 VPN设备的安装 12 1.1. 环境要求 12 1.2. 电源 12 1.3. 产品外观 12 1.4. 配置与管理 13 1.5. 设备接线方式 13 第2章 控制台的使用 16 2.1. 登录WebUI配置界面 16 2.2. 运行状态 17 2.2.1. 系统状态 18 2.2.2. 在线用户 21 2.2.3. 告警日志 23 2.2.4. 远程应用 25 第3章 系统设置 30 3.1. 系统配置 30 3.1.1. 序列号管理 30 3.1.2. 日期与时间 32 3.1.3. 控制台配置 33 3.1.4. 外置数据中心 34 3.1.5. 设备证书 35 3.1.6. 邮件服务器 37 3.2. 网络配置 38 3.2.1. 部署模式 39 3.2.2. 多线路 43 3.2.3. 路由设置 48 3.2.4. HOSTS 50 3.2.5. DHCP 52 3.2.6. 本地子网 55 3.3. 时间计划 57 3.4. 管理员账号 60 3.5. SSL VPN选项 65 3.5.1. 系统选项 65 3.5.1.1. 接入选项 65 3.5.1.2. 客户端选项 69 3.5.1.3. 虚拟IP池 74 3.5.1.4. 内网域名解析 76 3.5.1.5. 单点登录设置 79 3.5.1.6. 资源服务选项 83 WEB应用 83 TCP应用 86 L3VPN应用 91 其他设置 92 3.5.2. 网络传输优化 93 3.5.2.1. 传输优化 94 3.5.2.2. WEB优化 98 3.5.2.3. WEB Cache 101 3.5.3. 登录策略 103 3.5.3.1. 登录策略 103 3.5.3.2. 模板管理 106 3.5.3.3. 图标管理 109 3.5.4. 集群部署 110 3.5.4.1. 集群中的各元素定义与简介 110 3.5.4.2. 集群的主要特性 111 3.5.4.3. 部署方式 113 3.5.4.4. 集群部署设置 117 3.5.4.5. 集群部署状态 119 3.5.4.6. 集群在线用户 119 3.5.5. 分布式部署 120 第4章 SSL VPN设置 123 4.1. 用户管理 123 4.1.1. 新建用户组 124 4.1.2. 新建用户 132 4.1.3. 高级搜索 140 4.1.4. 特征码管理 143 4.1.5. 导入用户 146 4.1.6. 其他操作 158 4.1.6.1. 导出 158 4.1.6.2. 绑定角色 161 4.1.6.3. 从账号设置 163 4.1.6.4. 批量生成证书 165 4.1.6.5. 批量创建USB-KEY 167 4.1.7. 查看资源 170 4.2. 资源管理 171 4.2.1. 资源组 171 4.2.2. WEB应用 175 4.2.3. TCP应用 183 4.2.4. L3VPN 190 4.2.5. 远程应用 195 4.2.6. 其它操作 198 4.2.6.1. 导出操作 199 4.2.6.2. 导入操作 199 4.2.6.3. 资源排序 200 4.3. 角色授权 202 4.3.1. 新建角色 202 4.3.2. 生成权限报告 207 4.4. 认证设置 210 4.4.1. 主要认证 211 4.4.1.1. 本地密码认证 211 4.4.1.2. LDAP认证 213 4.4.1.3. RADIUS认证 223 4.4.1.4. 证书与USB-KEY认证 227 4.4.2. 辅助认证 238 4.4.2.1. 短信验证码 238 通过设备内置短信模块发送 241 通过安装在外部服务器上的短信模块发送 244 使用运营商短信网关 250 4.4.2.2. 硬件特征码 250 4.4.2.3. 动态令牌认证 252 4.4.3. 认证选项设置 252 4.4.3.1. LDAP与Radius服务器认证优先级设置 253 4.4.3.2. 密码认证选项 254 4.4.3.3. 匿名登录设置 258 4.5. 策略组管理 261 4.5.1. 客户端选项 263 4.5.2. 账号控制 265 4.5.3. 安全桌面 267 4.5.4. 远程应用 270 4.6. 终端服务器管理 273 4.6.1. 新增远程应用服务器 276 4.6.2. 新增远程存储服务器 280 4.7. 端点安全 282 4.7.1. 端点安全规则 283 4.7.2. 端点安全策略 296 4.7.3. 内置规则库升级 304 第5章 VPN信息设置 307 5.1. 运行状态 307 5.2. 基本设置 308 5.3. 虚拟IP池 311 5.4. 用户管理 314 5.5. 连接管理 324 5.6. 隧道间路由 327 5.7. 选路策略 329 5.8. 算法设置 331 5.9. 内网服务 332 5.10. 组播服务 334 5.11. RIP设置 337 5.12. VPN接口 338 5.13. LDAP设置 338 5.14. Radius设置 341 5.15. 生成证书 342 5.16. 第三方对接 343 5.16.1. 第一阶段 343 5.16.2. 第二阶段 345 5.16.3. 安全选项 347 第6章 防火墙设置 349 6.1. 服务定义 349 6.2. IP组定义 350 6.3. 过滤规则设置 352 6.3.1. 案例学习 355 6.4. NAT设置 359 6.4.1. 代理上网设置 359 6.4.2. 端口映射设置 360 6.4.2.1. 案例学习 361 6.4.3. IP MAC绑定设置 362 6.4.4. HTTP端口设置 364 6.4.5. URL组设置 365 6.4.6. 外部服务组设置 366 6.4.7. 用户上网权限设置 369 6.5. 访问监控 372 6.5.1. 流量排名 372 6.5.2. 访问记录 373 6.6. 防DOS攻击 373 6.7. QOS级别设置 374 6.8. QOS上传规则设置 375 6.9. QOS下载规则设置 377 第7章 系统维护 379 7.1. 日志查看 379 7.2. 配置备份/恢复 382 7.3. 重启/重启服务/关机 384 7.4. 系统更新 385 第8章 SSL VPN客户端使用 387 8.1. 环境要求 387 8.2. 典型使用方法举例 387 8.3. SSL VPN客户端使用说明 396 第9章 案例集 401 9.1. 部署配置案例 401 9.1.1. 网关单线路模式部署 401 9.1.2. 网关多线路模式部署 403 9.1.3. 单臂单线路模式部署 408 9.1.4. 单臂多线路模式部署 409 9.2. 系统路由案例 412 9.3. 虚拟门户配置案例 413 9.4. 负载均衡集群部署案例 417 9.4.1. 网关模式部署集群 417 9.4.2. 单臂模式部署集群 420 9.4.3. 网关模式多线路集群部署 422 9.4.4. 单臂模式多线路集群部署 425 9.5. 新建用户配置案例 428 9.6. 资源配置案例 431 9.6.1. WEB应用 431 9.6.1.1. WEB应用配置案例 431 9.6.1.2. 资源地址伪装案例 436 9.6.1.3. WEB文件共享配置案例 439 9.6.1.4. EasyLink配置案例 443 9.6.2. TCP应用 447 9.6.2.1. TCP应用配置案例 447 9.6.2.2. URL访问控制配置案例 450 9.6.3. L3VPN应用 453 9.6.3.1. L3VPN应用配置案例 453 9.6.4. 远程应用 454 9.6.4.1. 远程应用配置案例 454 9.7. 外部认证配置案例 467 9.7.1. 结合第三方CA实现数字证书认证 467 9.7.2. CA中心映射规则配置案例 472 9.8. 单点登录配置案例 478 9.8.1. 单点登录配置案例 478 9.8.2. 远程发布的单点登录配置案例 483 9.9. 安全桌面配置案例 489 9.10. PPTP方式接入SSL VPN的配置案例 493 9.11. EasyConnect使用方法 502 9.12. IPSEC VPN配置案例 512 9.12.1. 隧道内NAT配置案例 512 9.12.2. 通过隧道间路由实现VPN客户端之间互访的案例 515 9.12.3. 内网权限的设置案例 518 9.12.4. IPSEC VPN互连配置案例 522 9.13. 防火墙配置案例 528 9.13.1. 过滤规则设置案例 528 9.13.2. 代理上网设置案例 532 9.13.3. 端口映射设置案例 533 9.14. 1综合案例 534 9.14.1. 客户环境与需求 534 9.14.2. 配置思路 535 9.14.3. SSL设备配置步骤 535 第10章 附录：网关升级客户端的使用 545 产品升级步骤 555 声明 Copyright © 2012深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。 未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 SINFOR、SANGFOR及图标为深圳市深信服电子科技有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。 除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。 本手册内容如发生更改，恕不另行通知。 如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。 第1章 控制台的使用 1.1. 登录WebUI配置界面 按照前面所示方法接好线后，通过Web界面来配置VPN设备。方法如下： 首先为本机器配置一个10.254.254.X网段的IP（如配置10.254.254.100），掩码配置为255.255.255.0，然后在IE浏览器中输入网关的默认登录IP及端口，输入http：//10.254.254.254:1000，页面如下： 在登录框输入『用户名』和『密码』，点击登录按钮即可登录VPN网关进行配置，默认情况下的用户名和密码均为：Admin。 如果需要查看当前网关的版本号，可点击查看版本，即显示当前硬件的版本信息。 登录WebUI配置界面后，可以看到有以下配置内容： 如下图所示： 『运行状态』：此处可以查看当前设备的运行状态。 『系统设置』：此处可设置设备的序列号、网络配置及各种常见全局性配置。 『SSL VPN设置』：设置SSL VPN相关信息。 『IPSEC VPN设置』：设置IPSEC VPN互联信息。 『防火墙设置』：设置设备内置的防火墙规则及策略。 『系统维护』：用来查看日志、备份/恢复设备的配置信息，重启设备/服务或关闭设备。 注意：所有配置界面中如果有[确定]、[保存]、[配置生效]按钮，则配置完毕后，必须要点击该按钮才能使设置保存并生效，后面的文档不再赘述。 1.2. 运行状态 『SSL VPN运行状态』里面可以查看『系统状态』，『在线用户』，『告警日志』，『远程应用』。界面如下图所示： 第2章 系统设置 『系统设置』包含『系统配置』，『网络配置』，『时间计划』，『管理员账号』，『SSL VPN选项』五个大模块。如下图： 第3章 VPN信息设置 3.1. 运行状态 此页面可以查看当前的VPN连接状态和网络流量信息。页面如下： 点击分支NAT状态可以查看当前分支NAT状态，包括用户名、原子网网段、代理子网网段、网络类型和子网掩码。页面如下： 点击查找用户输入用户名，可以快速找到当前用户的连接情况。页面如下： 点击显示选项，可以对显示的列进行筛选。页面如下： 点击停止服务可暂时停止VPN服务。 然后在『用户管理』新建用户时，在『组播服务』里选择刚定义好的组播服务。页面如下： 3.2. RIP设置 用于设置SANGFOR VPN设备通过RIPv2协议向其它路由设备通告路由信息，以实现内网路由设备RIP路由信息的动态更新。 [启用路由选择信息协议]：是整个动态路由更新功能的开关，激活后，SANGFOR VPN设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息（更新其他设备的路由表，添加到VPN对端的路由指向SANGFOR VPN设备，VPN连接断开后会通告路由设备删除该路由）。 设备本身不接收RIP路由协议的动态更新，VPN设备要跟其他启用了RIP协议的内网路由器通讯，则需要在VPN设备上手动添加静态路由。 [启用密码验证]：用于设置交换RIPv2协议信息时需要验证的密码，可视具体情况进行设置。 『IP地址』和『端口』：用于设置主动向哪个IP（路由设备IP）发布路由更新信息。 [需要触发更新]：勾选后，VPN设备在路由信息有变化时会触发路由更新信息过程，这时下面设置的RIP更新周期参数失效。 [记录日志]：勾选，则VPN设备会记录RIP路由更新的日志信息。 最后点击确定保存配置。 3.3. VPN接口 VPN接口设置，用于设置VPN服务虚拟网卡IP。页面如下： 注意：默认情况下请设置为[使用自动分配的VPN接口IP]，如果出现IP冲突的提示，可改为自定义IP并进行设置。 VPN接口是VPN硬件网关系统的虚拟接口，外观上并不存在对应的真实物理接口。 3.4. LDAP设置 SANGFOR VPN设备的VPN服务支持使用第三方LDAP认证。如需要启用第三方认证，请在『LDAP服务器设置』中正确设置第三方LDAP服务器信息（包括LDAP服务器IP、LDAP服务器端口、LDAP管理员密码），页面如下： 其中，管理员名称需使用域管理员帐号，并且填写完整的格式，例如：“Administrator@”（不包括引号） 设置好LDAP服务器信息后，请点击高级，显示【LDAP高级设置】对话框，按照实际需求设置LDAP高级信息，页面如下： 『用户过滤参数』和『登录名属性』保留默认值即可，填写好用户根目录及查询目录（用户接入校验时都是使用查询目录来查询并校验的，只有有当查询目录为空的时候才用根目录，导入用户的时候使用用户根目录来导入）。 点击测试，输入一个域用户名及密码，如果测试通过，则LDAP配置正确，页面如下： 点确定完成配置。 LDAP认证仅支持微软的AD和Novell的eDirectory两种，OpenLDAP等暂不支持。 3.5. Radius设置 设置界面如下： 填写『Radius服务器IP』、『Radius服务器端口』、『认证共享密钥』和『Radius认证协议』。 勾选[启用Radius认证]即可。 3.6. 生成证书 基于硬件特性的证书认证系统是深信服公司的发明专利之一。SANGFOR SSL VPN硬件设备和SANGFOR DLAN VPN软件一样，都采用了该技术用于不同VPN节点之间的身份认证。该证书提取了SSL VPN设备或安装DLAN VPN软件的计算机的部分硬件特性（如网卡、硬盘等）生成加密的认证证书。由于硬件特性的唯一性，使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证，就保障了只有指定的硬件设备才能接入授权的网络，避免了安全隐患。页面如下： 点击生成证书，选择证书保存路径，点击保存即可。 证书保存到本地后，还需要将该证书通过某种方式（如电子邮件或U盘等）提供给需要接入的站点管理员，由该站点管理员将证书与用户名绑定（即在总部建用户时，启用硬件捆绑鉴权，详见5.4章节）。以后该用入接入总部时，会自动验证接入的计算机身份的合法性。 3.7. 第三方对接 SANGFOR VPN硬件网关提供了与第三方VPN设备互联的功能，能与第三方的标准IPSEC VPN设备建立VPN连接。 3.7.1. 第一阶段 『第一阶段』用于设置需要与SANGFOR VPN网关建立标准IPSec连接的对端VPN设备的相关信息，也就是标准IPSec协议协商的第一阶段。页面如下： 选择线路出口，点击新增，显示『设备列表设置』对话框，页面如下： 点击高级，显示『高级选项』对话框，可进行其它高级设置，页面如下： 3.7.2. 第二阶段 第二阶段主要配置VPN的『入站策略』和『出站策略』，如下图： 『入站策略』用于设置由对端发到本端的数据包规则，点击新增，显示【策略设置】对话框，页面如下： 『出站策略』用于设置从本端发往对端的数据包规则，点击新增，显示【策略设置】对话框，页面如下： 3.7.3. 安全选项 『安全选项』用于设置与对端建立标准IPSec连接时所使用的安全参数。页面如下： 在建立与第三方设备的IPSec连接前，请先确定对端设备采用何种连接策略，包括：使用的『协议』（AH或ESP）、『认证算法』（MD5或SHA-1）、『加密算法』（DES、3DES、AES），点击新增，添加新的选项，页面如下： SANGFOR VPN网关会使用设置好的连接策略与对端协商建立IPSec连接。 『安全选项』中的『加密算法』用于设置标准IPSec连接的第二阶段所使用的数据加密算法，如果要与多个采用不同连接策略的设备互联，需要分别将各个设备使用的连接策略添加到『安全选项』中。 『出站策略』和『入站策略』中策略所对应的源IP地址是指『源IP类型』和『本/对端服务』。 注意：『出站策略』和『入站策略』中的『出站服务』、『入站服务』和『时间设置』均为SANGFOR扩展的规则，此类规则仅在本端设备生效，在与第三方设备建立VPN连接的过程中不会协商此类规则。 第4章 SSL VPN客户端使用 输入用户名密码及校验码后，点击登录，即可登陆SSL VPN。 『证书登录』连接用于数字证书认证用户登录（数字证书手动安装在IE上的用户）。 『USB-Key登录』用于使用USB-Key认证的用户登录（包括有驱USB-Key和无驱USB-Key）。 登录成功后会出现SSL VPN资源列表界面如下： 界面会显示该SSL VPN用户可用的SSL VPN内网资源列表，对于Web类型或B/S结构的资源，直接点击资源列表中的超链接即可访问，对于其它C/S结构的资源，则可直接打开Client客户端，通过连接服务器的内网IP来访问。 如果登录SSL VPN的用户需要访问总部定义好的『TCP应用』和『L3VPN应用』，则登录成功后，会自动安装控件或者需要点击启用TCP服务控件和启用L3VPN服务控件，如下图所示： 注：若在『系统设置』→『SSL VPN选项』→『系统选项』→『客户端选项』，勾选了用户登录后，自动安装TCP、L3VPN应用组件，那么SSL客户端登陆时，会自动安装上述两个组件。若没有勾选，则需要在上述页面手动安装。如下图： 至此，完成了一次SSL VPN用户登陆的过程。 需要退出SSL VPN时，点击右上角的注销按钮，即可安全退出SSL VPN。注销之后，用户将不能访问SSL VPN的资源。 资源列表上方的设置按钮，可让用户自行修改密码，界面如下： 点击 [修改]，如下图所示： 修改后，点击保存即可成功修改用户的登录密码。 『系统设置』下，显示的内容与SSL VPN配置有关，请以实际显示的为准。 对于使用USB-KEY的用户登录SSL VPN的过程，和普通用户登录稍有不同。 USB-KEY用户登录时，打开浏览器输入SSL VPN登录网址，在登录界面处，插入USB-Key，点击USB-KEY登录即进入USB-KEY用户的登录界面，（或前面直接取消修改PIN的操作），界面如下： 输入用户USB-Key的PIN码，设备会自动校验客户端信息，校验成功能，即远成SSL VPN客户端登陆。 USB-Key用户登录后，点击资源列表上方的设置按钮，可让用户自行修改密码和USB-Key的PIN码，界面如下： 点击修改，如下图所示： 输入[旧PIN码]和[新PIN码]，点击保存即修改成功。 注意：登录SSL VPN之后，如果相隔一段时间，没有访问SSL VPN内网资源，或者客户端这边没有任何操作，SSL VPN会超时，自动注销。超时时间设置请参考4.5章节。 4.1. SSL VPN客户端使用说明 用户通过IE登陆了SSL VPN后，会自动在电脑上安装SSL VPN客户端组件。 在『系统设置』→『SSL VPN选项』→『系统选项』→『客户端选项』。可选择[由用户手动安装组件]或[自动安装组件]。若选择为手动安装，则在登陆时，会提示： 点击安装硬件特征码组件，弹出如下图提示： 点击安装，弹出如下初始化下载、安装界面： 下载并安装完成后，在开始->程序下可以找到如下目录： 在安装SSL VPN组件的过程中，请先关闭本机的防火墙及杀毒软件，否则可能会安装不成功。 选择[启动客户端]，即打开SSL VPN客户端程序，如下图： 在『SSL VPN地址』中输入连接VPN的地址，点击连接，弹出【登录SSL VPN】对话框。若为用户名密码登录，则选择【账号】，并在用户名和密码框中填入对应的“用户名”和“密码”。如下图： 如果需要，用户可以勾选[记住密码]和[自动登陆]，那么下次点开SSL VPN客户端，不需再输一次地址和用户名密码，将自动连接到SSL VPN。该项选择需要在设备上进行相应的配置，具体可参考3.5.1.2章节。 若为证书登陆，则选择【证书】，并选择好“证书文件”和填入“证书密码”。如下图： 若为USB-KEY登陆，则选择为【USB-KEY】，并输入USB-KEY的PIN码。如下图： 建立 SSL VPN用户，请参考4.1.2章节。 按实际情况选择上述中的一种登录方式，成功能登录后，有如下提示： 若在设备里设置了客户端启用系统托盘，则登录后在电脑桌面的右下角显示SSL VPN客户端图标，将鼠标移上去，显示SSL VPN的流速信息，如下图： 右击该图标，可查看SSL VPN状态及对SSL VPN进行相关设置，如下图： 上图中显示的项与SSL VPN配置有关，以实际应用中显示的为准。 34