深信服SSLVPN使用手册.doc

SSL 5.5用户手册2012年3月目录SSL 5.5用户手册1声明8前言9手册内容9本书约定9图形界面格式约定9各类标志10技术支持10致谢10第1章 VPN设备的安装121.1. 环境要求121.2. 电源121.3. 产品外观121.4. 配置与管理131.5. 设备接线方式13第2章 控制台的使用162.1. 登录WebUI配置界面162.2. 运行状态172.2.1. 系统状态182.2.2. 在线用户212.2.3. 告警日志232.2.4. 远程应用25第3章 系统设置303.1. 系统配置303.1.1. 序列号管理303.1.2. 日期与时间323.1.3. 控制台配置333.1.4. 外置数据中心343.1.5. 设备证书353.1.6. 邮件服务器373.2. 网络配置383.2.1. 部署模式393.2.2. 多线路433.2.3. 路由设置483.2.4. HOSTS503.2.5. DHCP523.2.6. 本地子网553.3. 时间计划573.4. 管理员账号603.5. SSL VPN选项653.5.1. 系统选项6. 接入选项6. 客户端选项6. 虚拟IP池7. 内网域名解析7. 单点登录设置7. 资源服务选项83WEB应用83TCP应用86L3VPN应用91其他设置923.5.2. 网络传输优化9. 传输优化9. WEB优化9. WEB Cache1013.5.3. 登录策略10. 登录策略10. 模板管理10. 图标管理1093.5.4. 集群部署1. 集群中的各元素定义与简介1. 集群的主要特性1. 部署方式1. 集群部署设置1. 集群部署状态1. 集群在线用户1193.5.5. 分布式部署120第4章 SSL VPN设置1234.1. 用户管理1234.1.1. 新建用户组1244.1.2. 新建用户1324.1.3. 高级搜索1404.1.4. 特征码管理1434.1.5. 导入用户1464.1.6. 其他操作15. 导出15. 绑定角色16. 从账号设置16. 批量生成证书16. 批量创建USB-KEY1674.1.7. 查看资源1704.2. 资源管理1714.2.1. 资源组1714.2.2. WEB应用1754.2.3. TCP应用1834.2.4. L3VPN1904.2.5. 远程应用1954.2.6. 其它操作19. 导出操作19. 导入操作19. 资源排序2004.3. 角色授权2024.3.1. 新建角色2024.3.2. 生成权限报告2074.4. 认证设置2104.4.1. 主要认证2. 本地密码认证2. LDAP认证2. RADIUS认证2. 证书与USB-KEY认证2274.4.2. 辅助认证23. 短信验证码238通过设备内置短信模块发送241通过安装在外部服务器上的短信模块发送244使用运营商短信网关250. 硬件特征码250. 动态令牌认证2524.4.3. 认证选项设置25. LDAP与Radius服务器认证优先级设置25. 密码认证选项25. 匿名登录设置2584.5. 策略组管理2614.5.1. 客户端选项2634.5.2. 账号控制2654.5.3. 安全桌面2674.5.4. 远程应用2704.6. 终端服务器管理2734.6.1. 新增远程应用服务器2764.6.2. 新增远程存储服务器2804.7. 端点安全2824.7.1. 端点安全规则2834.7.2. 端点安全策略2964.7.3. 内置规则库升级304第5章 VPN信息设置3075.1. 运行状态3075.2. 基本设置3085.3. 虚拟IP池3115.4. 用户管理3145.5. 连接管理3245.6. 隧道间路由3275.7. 选路策略3295.8. 算法设置3315.9. 内网服务3325.10. 组播服务3345.11. RIP设置3375.12. VPN接口3385.13. LDAP设置3385.14. Radius设置3415.15. 生成证书3425.16. 第三方对接3435.16.1. 第一阶段3435.16.2. 第二阶段3455.16.3. 安全选项347第6章 防火墙设置3496.1. 服务定义3496.2. IP组定义3506.3. 过滤规则设置3526.3.1. 案例学习3556.4. NAT设置3596.4.1. 代理上网设置3596.4.2. 端口映射设置360. 案例学习3616.4.3. IP MAC绑定设置3626.4.4. HTTP端口设置3646.4.5. URL组设置3656.4.6. 外部服务组设置3666.4.7. 用户上网权限设置3696.5. 访问监控3726.5.1. 流量排名3726.5.2. 访问记录3736.6. 防DOS攻击3736.7. QOS级别设置3746.8. QOS上传规则设置3756.9. QOS下载规则设置377第7章 系统维护3797.1. 日志查看3797.2. 配置备份/恢复3827.3. 重启/重启服务/关机3847.4. 系统更新385第8章 SSL VPN客户端使用3878.1. 环境要求3878.2. 典型使用方法举例3878.3. SSL VPN客户端使用说明396第9章 案例集4019.1. 部署配置案例4019.1.1. 网关单线路模式部署4019.1.2. 网关多线路模式部署4039.1.3. 单臂单线路模式部署4089.1.4. 单臂多线路模式部署4099.2. 系统路由案例4129.3. 虚拟门户配置案例4139.4. 负载均衡集群部署案例4179.4.1. 网关模式部署集群4179.4.2. 单臂模式部署集群4209.4.3. 网关模式多线路集群部署4229.4.4. 单臂模式多线路集群部署4259.5. 新建用户配置案例4289.6. 资源配置案例4319.6.1. WEB应用43. WEB应用配置案例43. 资源地址伪装案例43. WEB文件共享配置案例43. EasyLink配置案例4439.6.2. TCP应用44. TCP应用配置案例44. URL访问控制配置案例4509.6.3. L3VPN应用45. L3VPN应用配置案例4539.6.4. 远程应用45. 远程应用配置案例4549.7. 外部认证配置案例4679.7.1. 结合第三方CA实现数字证书认证4679.7.2. CA中心映射规则配置案例4729.8. 单点登录配置案例4789.8.1. 单点登录配置案例4789.8.2. 远程发布的单点登录配置案例4839.9. 安全桌面配置案例4899.10. PPTP方式接入SSL VPN的配置案例4939.11. EasyConnect使用方法5029.12. IPSEC VPN配置案例5129.12.1. 隧道内NAT配置案例5129.12.2. 通过隧道间路由实现VPN客户端之间互访的案例5159.12.3. 内网权限的设置案例5189.12.4. IPSEC VPN互连配置案例5229.13. 防火墙配置案例5289.13.1. 过滤规则设置案例5289.13.2. 代理上网设置案例5329.13.3. 端口映射设置案例5339.14. 1综合案例5349.14.1. 客户环境与需求5349.14.2. 配置思路5359.14.3. SSL设备配置步骤535第10章 附录：网关升级客户端的使用545产品升级步骤555声明Copyright 2012深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。SINFOR、SANGFOR及图标为深圳市深信服电子科技有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册内容如发生更改，恕不另行通知。如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。第1章 控制台的使用1.1. 登录WebUI配置界面按照前面所示方法接好线后，通过Web界面来配置VPN设备。方法如下：首先为本机器配置一个10.254.254.X网段的IP（如配置00），掩码配置为，然后在IE浏览器中输入网关的默认登录IP及端口，输入http：/54:1000，页面如下：在登录框输入用户名和密码，点击登录按钮即可登录VPN网关进行配置，默认情况下的用户名和密码均为：Admin。如果需要查看当前网关的版本号，可点击查看版本，即显示当前硬件的版本信息。登录WebUI配置界面后，可以看到有以下配置内容：如下图所示：运行状态：此处可以查看当前设备的运行状态。系统设置：此处可设置设备的序列号、网络配置及各种常见全局性配置。SSL VPN设置：设置SSL VPN相关信息。IPSEC VPN设置：设置IPSEC VPN互联信息。防火墙设置：设置设备内置的防火墙规则及策略。 系统维护：用来查看日志、备份/恢复设备的配置信息，重启设备/服务或关闭设备。注意：所有配置界面中如果有确定、保存、配置生效按钮，则配置完毕后，必须要点击该按钮才能使设置保存并生效，后面的文档不再赘述。1.2. 运行状态SSL VPN运行状态里面可以查看系统状态，在线用户，告警日志，远程应用。界面如下图所示：第2章 系统设置系统设置包含系统配置，网络配置，时间计划，管理员账号，SSL VPN选项五个大模块。如下图：第3章 VPN信息设置3.1. 运行状态此页面可以查看当前的VPN连接状态和网络流量信息。页面如下：点击分支NAT状态可以查看当前分支NAT状态，包括用户名、原子网网段、代理子网网段、网络类型和子网掩码。页面如下：点击查找用户输入用户名，可以快速找到当前用户的连接情况。页面如下： 点击显示选项，可以对显示的列进行筛选。页面如下：点击停止服务可暂时停止VPN服务。然后在用户管理新建用户时，在组播服务里选择刚定义好的组播服务。页面如下：3.2. RIP设置用于设置SANGFOR VPN设备通过RIPv2协议向其它路由设备通告路由信息，以实现内网路由设备RIP路由信息的动态更新。启用路由选择信息协议：是整个动态路由更新功能的开关，激活后，SANGFOR VPN设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息（更新其他设备的路由表，添加到VPN对端的路由指向SANGFOR VPN设备，VPN连接断开后会通告路由设备删除该路由）。设备本身不接收RIP路由协议的动态更新，VPN设备要跟其他启用了RIP协议的内网路由器通讯，则需要在VPN设备上手动添加静态路由。启用密码验证：用于设置交换RIPv2协议信息时需要验证的密码，可视具体情况进行设置。IP地址和端口：用于设置主动向哪个IP（路由设备IP）发布路由更新信息。需要触发更新：勾选后，VPN设备在路由信息有变化时会触发路由更新信息过程，这时下面设置的RIP更新周期参数失效。记录日志：勾选，则VPN设备会记录RIP路由更新的日志信息。最后点击确定保存配置。3.3. VPN接口VPN接口设置，用于设置VPN服务虚拟网卡IP。页面如下：注意：默认情况下请设置为使用自动分配的VPN接口IP，如果出现IP冲突的提示，可改为自定义IP并进行设置。VPN接口是VPN硬件网关系统的虚拟接口，外观上并不存在对应的真实物理接口。3.4. LDAP设置SANGFOR VPN设备的VPN服务支持使用第三方LDAP认证。如需要启用第三方认证，请在LDAP服务器设置中正确设置第三方LDAP服务器信息（包括LDAP服务器IP、LDAP服务器端口、LDAP管理员密码），页面如下：其中，管理员名称需使用域管理员帐号，并且填写完整的格式，例如：“A”（不包括引号）设置好LDAP服务器信息后，请点击高级，显示【LDAP高级设置】对话框，按照实际需求设置LDAP高级信息，页面如下：用户过滤参数和登录名属性保留默认值即可，填写好用户根目录及查询目录（用户接入校验时都是使用查询目录来查询并校验的，只有有当查询目录为空的时候才用根目录，导入用户的时候使用用户根目录来导入）。点击测试，输入一个域用户名及密码，如果测试通过，则LDAP配置正确，页面如下：点确定完成配置。LDAP认证仅支持微软的AD和Novell的eDirectory两种，OpenLDAP等暂不支持。3.5. Radius设置设置界面如下：填写Radius服务器IP、Radius服务器端口、认证共享密钥和Radius认证协议。勾选启用Radius认证即可。3.6. 生成证书基于硬件特性的证书认证系统是深信服公司的发明专利之一。SANGFOR SSL VPN硬件设备和SANGFOR DLAN VPN软件一样，都采用了该技术用于不同VPN节点之间的身份认证。该证书提取了SSL VPN设备或安装DLAN VPN软件的计算机的部分硬件特性（如网卡、硬盘等）生成加密的认证证书。由于硬件特性的唯一性，使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证，就保障了只有指定的硬件设备才能接入授权的网络，避免了安全隐患。页面如下：点击生成证书，选择证书保存路径，点击保存即可。证书保存到本地后，还需要将该证书通过某种方式（如电子邮件或U盘等）提供给需要接入的站点管理员，由该站点管理员将证书与用户名绑定（即在总部建用户时，启用硬件捆绑鉴权，详见5.4章节）。以后该用入接入总部时，会自动验证接入的计算机身份的合法性。3.7. 第三方对接SANGFOR VPN硬件网关提供了与第三方VPN设备互联的功能，能与第三方的标准IPSEC VPN设备建立VPN连接。3.7.1. 第一阶段第一阶段用于设置需要与SANGFOR VPN网关建立标准IPSec连接的对端VPN设备的相关信息，也就是标准IPSec协议协商的第一阶段。页面如下：选择线路出口，点击新增，显示设备列表设置对话框，页面如下：点击高级，显示高级选项对话框，可进行其它高级设置，页面如下：3.7.2. 第二阶段第二阶段主要配置VPN的入站策略和出站策略，如下图：入站策略用于设置由对端发到本端的数据包规则，点击新增，显示【策略设置】对话框，页面如下：出站策略用于设置从本端发往对端的数据包规则，点击新增，显示【策略设置】对话框，页面如下：3.7.3. 安全选项安全选项用于设置与对端建立标准IPSec连接时所使用的安全参数。页面如下：在建立与第三方设备的IPSec连接前，请先确定对端设备采用何种连接策略，包括：使用的协议（AH或ESP）、认证算法（MD5或SHA-1）、加密算法（DES、3DES、AES），点击新增，添加新的选项，页面如下：SANGFOR VPN网关会使用设置好的连接策略与对端协商建立IPSec连接。安全选项中的加密算法用于设置标准IPSec连接的第二阶段所使用的数据加密算法，如果要与多个采用不同连接策略的设备互联，需要分别将各个设备使用的连接策略添加到安全选项中。出站策略和入站策略中策略所对应的源IP地址是指源IP类型和本/对端服务。注意：出站策略和入站策略中的出站服务、入站服务和时间设置均为SANGFOR扩展的规则，此类规则仅在本端设备生效，在与第三方设备建立VPN连接的过程中不会协商此类规则。第4章 SSL VPN客户端使用输入用户名密码及校验码后，点击登录，即可登陆SSL VPN。 证书登录连接用于数字证书认证用户登录（数字证书手动安装在IE上的用户）。USB-Key登录用于使用USB-Key认证的用户登录（包括有驱USB-Key和无驱USB-Key）。登录成功后会出现SSL VPN资源列表界面如下：界面会显示该SSL VPN用户可用的SSL VPN内网资源列表，对于Web类型或B/S结构的资源，直接点击资源列表中的超链接即可访问，对于其它C/S结构的资源，则可直接打开Client客户端，通过连接服务器的内网IP来访问。如果登录SSL VPN的用户需要访问总部定义好的TCP应用和L3VPN应用，则登录成功后，会自动安装控件或者需要点击启用TCP服务控件和启用L3VPN服务控件，如下图所示：注：若在系统设置SSL VPN选项系统选项客户端选项，勾选了用户登录后，自动安装TCP、L3VPN应用组件，那么SSL客户端登陆时，会自动安装上述两个组件。若没有勾选，则需要在上述页面手动安装。如下图：至此，完成了一次SSL VPN用户登陆的过程。需要退出SSL VPN时，点击右上角的注销按钮，即可安全退出SSL VPN。注销之后，用户将不能访问SSL VPN的资源。资源列表上方的设置按钮，可让用户自行修改密码，界面如下：点击 修改，如下图所示：修改后，点击保存即可成功修改用户的登录密码。系统设置下，显示的内容与SSL VPN配置有关，请以实际显示的为准。对于使用USB-KEY的用户登录SSL VPN的过程，和普通用户登录稍有不同。USB-KEY用户登录时，打开浏览器输入SSL VPN登录网址，在登录界面处，插入USB-Key，点击USB-KEY登录即进入USB-KEY用户的登录界面，（或前面直接取消修改PIN的操作），界面如下：输入用户USB-Key的PIN码，设备会自动校验客户端信息，校验成功能，即远成SSL VPN客户端登陆。USB-Key用户登录后，点击资源列表上方的设置按钮，可让用户自行修改密码和USB-Key的PIN码，界面如下： 点击