技术培训LSPE-SAG.ppt

联想网御SSLVPN产品技术培训课程代码 LSPE SAG SSLVPN产品基础原理和配置方法FAQ和注意事项提问 目录 定义 登录 列表 访问 WebFTPMAILSQLSSHTelnet SSL协议 认证 加密 授权 审计 SSLVPN实现原理 Web代理针对B S服务 对HTTP协议信息进行转换处理 封装成HTTPS协议信息 对HTTPS协议信息保持不变 客户端访问的目的地址为SSLVPN网关的外口地址 服务器接收的数据源地址为SSLVPN网关的内口地址 不需要安全控件 用IE加解密数据 使用最简单实现对复杂B S应用的支持难度较大 SSLVPN实现原理 端口转发主要针对C S服务 将原有应用协议端口转换为443端口 客户端访问的目的地址为应用服务器的真实地址 服务器接收的数据源地址为SSLVPN网关的内口地址 需要安全控件 由控件完成数据的加解密 实现简单 支持应用广泛 转发效率较高 不是真正免客户端 SSLVPN实现原理 NC NetworkConnect 主要针对子网访问 将原有应用协议端口转换为443端口 需要给客户端配置虚拟IP地址 客户端访问的目的地址为应用服务器的真实地址 服务器接收的数据源地址为客户端虚拟IP地址 需要安全控件 虚拟网卡 由控件完成数据的加解密 与应用无关 配置较复杂 SSLVPN重要组成 身份认证 口令 证书授权 角色 认证级别端点安全 痕迹清除 绑定 准入策略个性定制 文字 图片 首页应用防御 应用层过滤 DDOS防御安全审计 日志 报表 SSLVPN性能评价 业务处理速率从用户登录 访问页面到注销为一个业务SSLVPN每秒能够处理的业务个数Transaction s并发用户数能够承载的最大多少个用户同时在线访问应用与最大并发SSL会话相关加密吞吐每秒加解密的信息量Mbps SSLVPN产品基础SAG原理和配置FAQ和注意事项提问 目录 部署 旁路 单臂 串联 双臂 网关到网关 SAG支持多样的部署方式 能满足各种环境的需要 命令行管理 方式 串口 SSH帐号 ssl ssl 1234567890 管理和登录 打开IE浏览器输入 https 网关的IP地址 6443管理员即可进行管理 打开IE浏览器输入 https 网关的IP地址用户即可进行认证 网络配置 两点通 客户端与SAG通 SAG与服务通 1 接口IP2 默认网关3 静态路由4 DNS 访问B S应用 Web协议处理 实现100 零客户端 1 添加用户2 添加B S服务3 将B S服务授权给角色 访问C S服务 1 添加用户2 添加C S服务3 将C S服务授权给角色 透明代理技术 通过控件实现对C S服务的访问 对子网的访问 1 添加用户2 添加网段服务3 授权给角色 无需配置虚拟IP 不改变服务器网关指向 实现对整个子网的访问 对RDP的访问 1 添加用户2 添加终端服务3 授权给角色 无需安装RDP客户端软件 通过SAG访问RDP 网关 网关 SAG可以实现如IPSECVPN一样的多个子网间的安全通信 不需要安装虚拟网卡不会自动改变用户路由安全性与IPSEC同一水平 细粒度授权 1 配置角色授权2 不同用户属于不同角色3 不同应用授权给不同的角色4 结合URL 用户IP地址 认证级别 所处网络特性 时间等因素进一步进行访问控制 不同级别用户允许访问的服务不同 口令安全策略 1 口令复杂度检测2 首次登录修改密码3 用户有效期4 锁定暴力猜测帐号5 动态附加码6 密码修改权限限制 增强帐号口令安全性 本地数据库管理 1 备份恢复2 自定义数据库3 批量处理 SAG提供本地帐号数据库备份恢复功能和自定义数据导入功能 第三方认证 SAG可以使用用户现有认证服务器帐号认证 WindowsAD域认证 1 认证参数2 认证顺序 RADIUS认证 1 认证参数2 认证顺序 PKI认证 1 本地CA认证2 第三方CA3 OCSP CRL证书校验4 AD LDAP证书发布 SAG支持标准PKI体系 短信认证 SAG可以将动态变化的认证发送到客户的手机上 实现更高级别的安全认证 认证总结 口令 PKI证书 双因素 本地口令动态令牌ADLDAPRadiusTACACS短信 文件USBKEY本地CA第三方CA 单点登录 一次身份认证 SAG 二次身份认证 没有单点登录的情况 SAG认证 应用认证 应用访问 单点登录 一次身份认证 SAG 用了单点登录的情况 单点登录 1 配置B S服务2 探测模式3 配置参数 客户端检测 1 痕迹清除2 操作系统及补丁检查3 IE浏览器版本检查4 查毒软件 防火墙检查5 系统服务和端口检查6 硬盘文件检查7 注册表检查8 硬件特性9 HASH计算防止伪造功能 SAG对客户端进行安全准入检测 不符合规则拒绝接入 个性门户 1 HTTP首页登录入口方式定制2 HTTPS登录方式定制3 自动跳转4 图片和文字定制5 首页文件定制 SAG可根据用户需求定制登录页面 智能选路 SAG可以根据用户的ISP智能选择最佳的出口和路径 审计 详细的审计 用户行为审计管理员操作审计系统状态审计丰富的报表格式巨大的存储空间 防火墙 应用层安全防御 ActiveX插件Java控件跨站脚本SQL注入非法URL入侵基于IP的DOS防护基于用户的DOS防护地址黑名单 公网控制 Internet控制 加强内网安全性审计用户上网行为节约带宽资源 DNS控制 便捷的DNS管理 1 客户端DNS顺序调整2 自定义域名IP对应关系 高可用性 强大的高可用性 主从热备负载均衡集群部署 高可用性 HA拓扑实例 设备管理 SAG提供了软件配置备份恢复 恢复出厂 重启 关机 SSLVPN产品基础原理和配置方法FAQ和注意事项提问 目录 FAQ和注意事项 软件关机 保护硬盘 FAQ和注意事项 现象 可ping通网关 无法登录管理和客户端页面原因 代理方法 关闭代理 FAQ和注意事项 现象 认证成功后显示无访问权限原因 没有将用户加入角色 或没有为角色分配访问权限方法 将用户加入角色 并为角色加入访问权限 FAQ和注意事项 现象 应用访问不通原因 SAG与应用服务器联通问题方法 联通性测试 FAQ和注意事项 现象 托盘程序连接不上原因 杀毒软件Safe360VistaUAC功能个别系统方法 加入可信列表关闭UACX Remove重启PC FAQ和注意事项 现象 访问页面出现安全提示 是否继续显示原因 页面中某些连接没有被配置到B S服务中方法 在B S服务中添加链接配置IE 启用显示混合内容 FAQ和注意事项 现象 页面打不开 显示不完整原因 不是真的B S服务 有非标准端口通讯 有控件参与 CRM ERP 复杂OA系统 财务系统等 存在页面跳转 方法 配置为C S服务或C S支持 在服务列表中