网御神州SecSSL 3600安全接入网关-管理手册V1.0.doc

网神SecSSL 3600安全接入网关管理手册网御神州科技（北京）有限公司目录前言i手册说明i读者对象i手册简介ii手册约定iii第1章网神SecSSL 3600简介11.1典型部署模式11.2利用网神SecSSL 3600实现远程接入控制4第2章 网络设置72.1基本设置72.2接口配置72.3系统路由82.4名称解析82.5 IP地址池92.6 NAT9第3章 使用证书103.1配置网关证书103.2管理用户端证书的签名CA113.3使用OCSP服务器对客户端证书进行验证123.4添加证书用户12第4章 用户和用户组管理134.1用户的类型134.2系统管理员144.3用户生命周期154.4用户和组的关系17第5章 认证185.1使用本地认证服务器185.2使用证书作为认证凭证185.3使用LDAP作为认证服务器195.4使用Active Directory作为认证服务器205.5使用Radius作为认证服务器205.6使用SMS认证20第6章 服务管理216.1服务类型216.2客户端应用226.3访问方式和内容控制226.4单点登录24第7章 授权管理与客户端安全257.1基于角色的访问控制模型257.2对客户端安全条件和属性的说明277.3内容过滤33第8章 配置网络连接348.1如何配置NC358.2其它NC属性37第9章 端对端的网络互连389.1利用网神SecSSL 3600实现端对端的网络互连38第10章 日志和审计4010.1邮件告警4010.2配置日志系统4010.3将日志存储到外部的服务器上4110.4在网神SecSSL 3600上查询日志4110.5报表配置4410.6查看系统 Top N 统计4510.7系统资源监控4610.8在线用户4910.9服务状态4910.10用户会话49第11章 高可用性5111.1利用网神SecSSL 3600实现远程接入HA5111.2使用多条Internet线路保障系统可用性53第12章 系统维护5412.1系统信息5412.2许可证管理5412.3配置管理5512.4系统安全设置5512.5设置系统时间5712.6升级系统5812.7重启系统6012.8启用功能6012.9客户自定义6012.10向导6112.11工具6112.12组件下载61第13章 虚拟门户6313.1配置虚拟门户63第14章 Shell命令6514.1监控模式6514.2普通模式7114.3配置模式78第15章 配置实例8115.1网络基本设置8115.2配置多ISP接入方式8115.3配置AA工作模式8115.4导入和导出系统配置8115.5利用AD作为认证服务器8115.6证书认证8115.7使用Filepass访问FTP服务8115.8通过虚拟服务访问内部网络8115.9以NC方式访问内部网络8115.10为用户添加启动Web SSO的Web服务8115.11用户动态授权访问8115.12配置客户端绑定8115.13配置检查客户端防病毒软件8115.14端对端NC连接8115.15通过代理服务器访问客户端界面8115.16从PDA上访问网神SecSSL 36008115.17将日志存储到外部的服务器上81附录A：使用LCD面板81附录B：名词解释81前言网神SecSSL 3600是一款基于SSL 协议的无客户端VPN，提供了远程访问的安全解决方案。通过网神SecSSL 3600，无需客户端软件，家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。网神SecSSL 3600通过对用户的认证，基于角色的访问控制以及数据加密技术为用户提供了安全保障。网神SecSSL 3600实现了良好的加密和认证功能，SSL/TLS 协议保证了数据在传输过程中的加密和解密。 本手册前言分为以下四个部分：n 手册说明n 读者对象n 本书简介n 本书约定手册说明网神SecSSL 3600 系统的用户界面已提供了很周全的在线帮助，为您解释和描述网神SecSSL 3600的各种功能与参数。本手册的目的则是让您能够对网神SecSSL 3600功能有更深入的理解，和认识应用在网神SecSSL 3600的技术和概念。除此之外，本手册也附加了许多功能配置的应用案例，以帮助您更能胜任管理和配置网神SecSSL 3600的任务。本手册适用于任何系列的网神SecSSL 3600设备。读者对象本手册适合下列人员阅读n 网络工程师n 网络管理人员n 具备网络基础知识的用户手册简介本手册后续章节包括：第1章网神SecSSL 3600 安全接入网关 简介介绍了部署网神SecSSL 3600的典型模式。也介绍两个基本，但很重要的概念：角色和访问控制。第2章 网络设置在网神SecSSL 3600还没能够完全运作，您必须配置一些基本网络设置。本章将介绍这些设置参数。第3章 使用证书介绍网神SecSSL 3600如何使用证书来认证网神SecSSL 3600和用户。第4章 用户和用户组管理介绍了网神SecSSL 3600里用户和用户组的概念。第5章 认证网神SecSSL 3600会对所有要访问系统的用户祖做认证。本章介绍了网神SecSSL 3600所使用的认证方法和机制。第6章 服务管理解释什么是服务，和怎样配置和管理这些服务。第7章 授权管理与客户端安全详细介绍了授权和访问控制的概念，并如何配置远端访问。第8章 配置网络连接网络连接，或NC(Network Connection)，是网神SecSSL 3600访问模式之一。本章将详细介绍此访问模式的概念，和如何配置它。第9章 端对端的网络互连详细介绍了端对端的网络互连的功能，和如何使用它。第10 章 日志和审计一个周全的系统必须有一个记录日志的功能，以及能让管理员监控和分析系统的工具。本章介绍了网神SecSSL 3600的日志和监控功能。第11 章 高可用性高可用性是SSL VPN不可缺少的功能。本章介绍了网神SecSSL 3600的高可用性功能。第12 章 系统维护介绍了网神SecSSL 3600维护系统的功能，如系统时间，系统安全设置等。第13 章 虚拟门户虚拟门户是网神SecSSL 3600可订制的登录界面。本章介绍了如何配置虚拟门户。第14 章 Shell命令介绍了网神SecSSL 3600的命令行 (Shell) 命令。第15 章 配置实例本章给出一系列配置应用案例，以帮助您更容易配置网神SecSSL 3600。附录A 使用LCD面板详细描述了网神SecSSL 3600系统中LCD面板的使用；附录B 名词解释列举了在本手册运用的技术词汇。手册约定以下是手册里所用到的约定。格式意义加粗加粗的文字代表界面上的参数【 】用于表示按钮名称；如：单击【确定】按钮用于表示多级菜单，如：“网络 基本设置”表示“网络”菜单下“基本设置”子菜单项。iii 网神SecSSL 3600安全接入网关-管理手册 第1章 网神SecSSL 3600简介网神SecSSL 3600是一款基于SSL 协议的无客户端VPN，提供了远程访问的安全解决方案。通过网神SecSSL 3600，无需客户端软件，家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。网神SecSSL 3600通过对用户的认证，基于角色的访问控制以及数据加密技术为用户提供了安全保障。网神SecSSL 3600实现了良好的加密和认证功能，SSL/TLS 协议保证了数据在传输过程中的加密和解密。本章将介绍典型的网神SecSSL 3600部署模式。您可以采用任何一个所介绍的模式，或联系网御神州技术人员帮您计划适合的部署模式。本章也介绍了两个基本，但很关键的概念：角色和访问控制。网神SecSSL 3600有许多功能都直接或间接跟这两个概念有关。1.1典型部署模式网神SecSSL 3600 VPN有三种典型部署方式：单机、多出口以及HA模式。所有来自因特网的应用数据都要通过网神SecSSL 3600的保护才能进入企业内部网络，以此来阻止消息窃听、消息重放、不合法登入等攻击。下面将详细介绍网神SecSSL 3600的这三种典型布局方案和结构图示。在实际应用中可根据网络环境和客户要求进行组合来实施具体的部署，例如可以部署HA+Multiple ISP模式等。1.1.1单机模式利用网神SecSSL 3600可以为企业提供远程接入方案。移动用户可通过任意方式接入到Internet，然后经过网神SecSSL 3600的SSL隧道保护安全的接入到企业内部网络。网神SecSSL 3600支持各种认证服务器，如：Radius、Windows AD、LDAP等，可以方便地同企业现有的认证系统结合在一起，便于企业部署远程接入解决方案。下图为典型的远程接入解决方案的结构图示。1.1.2 多出口模式利用网神SecSSL 3600为企业提供的远程接入方案，可以方便移动办公用户随心所欲地访问企业内部网络；但由于移动用户接入Internet的条件不同，导致不同的用户可能从不同的运营商接入到Internet。在这种环境下，跨运营商实现对网神SecSSL 3600访问会出现网络质量不稳定的情况，尽管网神SecSSL 3600的客户端智能可以在低速和不稳定的链路上保持连接畅通，但有些应用因为对网络环境的要求比较苛刻，会导致不能使用。在网神SecSSL 3600上可配置多个外部接口，每一个接口连接一个ISP，再结合网神SecSSL 3600客户端的智能选路功能，可以保障从不同ISP接入的客户都能得到良好的网络应用体验。1.1.3 HA（高可用性）模式移动办公解决方案的目的是保证移动用户可以随时接入到企业内部网络。这就要求网神SecSSL 3600提供高可靠性，同时要能对物理网络环境可能出现的故障提供足够的容错措施；网神SecSSL 3600的HA特性即可解决这个问题。如下图所示，两台网神SecSSL 3600以双机备份模式部署，既可采取AA（主动-主动）模式，也可采取AP（主动-被动）模式。在HA模式下，两台网神SecSSL 3600可以自动地实现配置的同步，并能依据网络可用性、自身状态等条件实现状态的切换和恢复；在AA模式下，结合客户端智能还可以实现负载的均衡。因此网神SecSSL 3600的HA模式使得企业的远程接入方案具备了良好的高可用性，从而保障移动用户能够随时访问企业内部网络资源。关于HA的详细配置，请参见手册第11章。1.2利用网神SecSSL 3600实现远程接入控制网神SecSSL 3600实现了对远程用户的接入和控制，本节介绍网神SecSSL 3600的基础访问控制和远程接入的基本工作模式。1.2.1 基于角色的访问控制网神SecSSL 3600实现了基于角色的用户访问控制系统，如下图所示：基于角色的用户访问控制角色是连接用户和服务的关键点。当用户登入系统认证通过之后，网神SecSSL 3600 根据用户名称来查询该用户属于什么角色，再根据角色决定用户可以访问哪些资源。n 用户：需要利用网神SecSSL 3600实现通过Internet访问企业内部资源的人员。这些人员可以使用各种不同的计算终端访问网神SecSSL 3600。n 服务：是企业内部系统提供数据的存储、计算等服务的应用系统。一个服务可以是一个应用服务软件，或者是一台机器，或者是若干台机器一起执行的应用系统。n 角色：一个角色可以包含多个服务以及用户；一个用户可以属于多个角色；一个服务也可以属于多个角色。服务和用户之间没有直接的关联关系。针对网神SecSSL 3600的访问控制的详细信息，读者可参考第7章。1.2.2网神SecSSL 3600提供多种用户访问模式通过Internet远程访问企业内部网络，一方面面对着复杂的Internet，另一方面也面临着不同层面用户的不同要求。比如，针对合作伙伴只需提供一些Web应用即可；针对IT人员则可能需要使其能够访问整个IP网络以便进行网络管理。为了达到有秩序地通过远程访问方式访问企业资源的需要，网神SecSSL 3600提供不同的访问模式给最终客户，包括： 基于Web的应用访问服务 (FilePass，UDesk)； 基于端口转发的代理服务 (Proxy)； 基于IP封装的全网络连接的服务 (Network Connection)； 基于SSL加密的直接代理的虚拟服务 (Virtual Service)基于Web的应用访问服务（FilePass，UDesk）n FilePassFilePass是网神SecSSL 3600提供的纯粹基于Web实现的文件共享服务，可以在任意操作系统和浏览器中为用户提供文件共享的服务，其支持的后台服务器类型包括：FTP服务器，CIFS服务器，SMB服务器。 利用FilePass，管理员可以对文件共享实现到一个文件的某个操作的详细控制，比如可以控制用户a只能读取某一个文件file-a。请参考15.7节的FilePass配置案例。n UDeskUDesk是网神SecSSL 3600提供的基于Java的远程桌面服务，它要求客户端具有Java1.4以上的虚拟机环境。Udesk能让用户在客户端实现零痕迹的对远程桌面服务器的访问。这种访问的优点是只需要客户端具有Java环境即可提供远程桌面的访问服务，从而帮助用户实现对企业的远程访问。其缺点是需要Java环境的支持，并且需要下载Java Applet插件，在网络速度较慢时，第一次使用该插件需要下载花费一定的时间。6.3节有更多有关UDesk的资料。n ProxyProxy是网神SecSSL 3600提供的基于ActiveX的应用端口转发服务，它能够让用户访问企业内部网络任何B/S、C/S结构的服务。 但在Proxy模式下无法实现从服务器端向客户端的主动访问。要使用Proxy模式，要求客户端能够安装Activex组件，同时用户具有客户端PC的管理员权限，显而易见，这种模式只能在Windows平台下使用。6.3节有更多有关Proxy的资料。n Network ConnectionNetwork Connection（NC，网络连接）是网神SecSSL 3600提供的一种实现网络层互联的功能。NC 模式有两种应用模式：1. 单个远程用户与网神SecSSL 3600之间建立NC连接，实现远程客户端对企业内部网络的访问；2. 两个网神SecSSL 3600设备之间建立NC连接，实现局域网络之间的安全连接。NC连接提供了网络层的互联互通服务，同时网神SecSSL 3600能够对NC连接上运行的数据进行访问控制，确保对企业内部网络的访问控制。这种方式的优点是可以实现对任意网络资源的访问；其缺点也很明显，即需要在客户端安装组件和虚拟网卡，并且要求远程访问用户在使用该功能时具备管理员权限。第八章有更多NC的详细资料。n Virtual ServiceVirtual Service（虚拟服务）是网神SecSSL 3600为用户的业务系统提供的一种SSL卸载服务。使用虚拟服务时，网神SecSSL 3600会要求业务系统的客户端程序使用SSL协议连接到网神SecSSL 3600，然后网神SecSSL 3600再把业务数据转发给应用服务器。这样既无需增加业务服务器的处理负荷，也对业务数据实现了加密保护。它是安全性介于DNAT（Destination Network Address Translation，也就是目的地址转换）和Proxy之间的一种服务。使用Virtual Service，远程用户通过访问SecSSL 3600的特定端口实现对企业内部资源的访问。利用Virtual Service实现远程访问，管理员可以有三种安全选择：1. 不需要对用户进行认证也不需要对数据进行加密，这种访问方式类似于DNAT，但只能支持一些由远端客户端发起的TCP应用；2. 仅加密不认证，这种情况下要求客户端的程序支持SSL协议，利用SSL协议实现应用客户端同网神SecSSL 3600之间的数据加密；3. 要求客户端利用证书对服务器实现身份的双向认证，并利用SSL协议实现对数据的加密。Virtual Service的优点是不用任何的客户端组件支持，直接可以访问后台的服务，而且对于应用客户端支持SSL能力的应用，如HTTPS，还可以实现对应用的加密和客户的认证。由于Virtual Service只能使用证书对用户进行认证，所以缺点是其用户认证的授权仅能使用CA认证，而不能进行更多的授权控制。请参考15.8节的虚拟服务配置案例。安全源于管理 管理驱动安全149第2章 网络设置作为网络远程接入设备，设备的网络配置正确是其提供远程接入服务的必要条件。网神SecSSL 3600中与网络相关的配置包括两个部分：第一是系统基础网络相关部分，包括系统的网络名称，接口地址，网络路由；第二是业务相关部分，包括：IP地址池，IP主机表，NAT。 本节介绍在网络配置部分的概念和注意事项。2.1基本设置点击“网络 基本设置”可以配置网神SecSSL 3600的基本网络信息。这些信息也可以帮助网神SecSSL 3600解析名称。因此，它们的正确性和可用性对于系统工作至关重要。15.1给出了相应的配置范例。配置了域或DNS服务器之后，管理员在配置服务（“服务 服务 添加”）时，可以在服务主机名称的字段填写服务器的域名而不需要添加IP地址。若是此处不配置域名，那么网神SecSSL 3600将无法从网络中解析服务域名对应的IP地址，从而可能造成客户端看到的服务不可用。2.2接口配置点击“网络 接口”可以对系统的接口进行配置。 在此可根据网络具体需要，配置各个接口将网神SecSSL 3600连接至各种网络。 选择一个接口，得到接口的配置信息如下：网络接口的配置界面有3个分页，其中“IP地址”页面用来设置接口的地址信息，每一个接口可以选择类型为“内部”接口或者“外部”接口。针对“外部”接口，若系统需要连接多个ISP，则需要配置“接口默认网关”，外部接口无法使用“DHCP”方式来配置其IP地址。请参见15.1的配置范例。“浮动IP”仅当系统工作在“HA-AP”模式下才可以配置，其作用是在两台HA机器上提供一个外部访问地址。“映射IP”仅当系统工作在“HA-AA”模式下或者多ISP模式下，并且该接口并不是直接连接在Internet上，而是被DNAT映射访问的，那么需要在“映射IP”中配置用户在外部可见的IP地址和端口号。2.3系统路由网神SecSSL 3600仅支持静态路由。点击“网络 路由”进入系统路由管理界面；在该页面中可以添加/删除静态路由。若系统配置了多个外部接口，那么系统对于来自外部接口的连接的应答包将采取由哪个接口进来从哪个接口返回的原则。2.4名称解析当客户端仅使用主机名访问应用服务器时，网络会将这个请求发送至一台DNS服务器查询此主机名相对应的IP地址。网神SecSSL 3600支持两个DNS系统。管理员可指定主、次两台DNS服务器的IP 地址（“网络 基本设置”）。当用户仅使用主机名访问服务时这两台服务器将处理产生的DNS请求。也可手动添加主机名与IP的映射至系统的映射列表中（“网络 名称解析”）。这些信息将被保存在客户端缓存中，可直接进行主机名称解析。系统不必通过修改客户端PC上的主机文件来保存DNS信息，从而保证VPN的使用更加安全可靠。通过第二个名称解析系统，用户仅使用主机名即可成功连接至应用服务器，无论其在网神SecSSL 3600上使用的是主机名还是IP 地址。为方便管理员，系统还支持导入主机名与IP的映射列表文件（仅支持文本文件）。文件格式为： 。例如：Company-storage Company-mail 注意：若名称解析列表与DNS服务器的查询结果发生冲突，将优先使用名称解析列表。2.5 IP地址池IP Pool由一段IP地址构成。这一段IP地址可以是连续，也可以是不连续的。网神SecSSL 3600中有两个地方需要IP地址池，第一个是网络连接配置 (NC Profile，“网络连接 NC配置”) ； 第二个是代理类型的文件共享服务。网络连接配置中设置地址池的目的是给远程接入的客户分配IP地址；在文件共享服务中设置IP地址池的目的，是解决某些条件下Windows的共享文件只允许有限的用户同时访问。点击“网络 IP地址池”，管理系统中的IP地址池。注意: 这些IP地址池不能使用当前网络中存在的地址，并且需要通过应用服务器的网关或者静态路由配置来保证应用服务器到IP地址池的路由可以到达网神SecSSL 3600。2.6 NAT网神SecSSL 3600支持地址转换功能，支持源地址转换 (SNAT) 和目的地址转换 (DNAT) 。点击“网络 NAT”可得：点击“源地址转换”得到源地址转换配置页面。其中源地址字段和源子网掩码指明IP报文的来源地址和子网掩码，目的IP指明IP报文被转换之后的源地址，也就是对外表现的IP地址，接口字段指明经过转换之后的数据报文从哪个接口外出。点击“目的地址转换”页面得到目的地址转换配置页面。协议字段指明需要被转换的数据的协议，可选择TCP或者UDP；源IP和源端口指明了需要被转换的数据报其原始的目的IP地址和端口；目的IP和目的端口指明了被转换后的IP报文的目的IP和目的端口。 第3章 使用证书公钥证书是由公钥基础设置（PKI）中使用CA签名来绑定用户身份与其公钥的对应关系的文件。网神SecSSL 3600作为一个SSL-VPN网关，使用公钥证书向客户端浏览器标示自己的身份，同时网神SecSSL 3600可以使用证书对登入的客户进行身份认证。因此在网神SecSSL 3600中涉及到两类证书：1. 标识网关身份的证书，称为网关证书；2. 标识用户身份的证书，称为用户证书。3.1配置网关证书网神SecSSL 3600在出厂时配置了默认的网关证书，是由网神SecSSL 3600在第一次运行系统时生成的自签名的证书，因此它不会被浏览器默认信任。网神SecSSL 3600的网关证书是可以被管理员修改的，网神SecSSL 3600提供了三种修改网神SecSSL 3600网关证书的方法：1. 由网神SecSSL 3600生成自签名证书；2. 由网神SecSSL 3600生成自签名证书申请 (PKCS#10) ，管理员可以把该证书请求消息提交给其信任的PKI系统，由CA签发证书请求中的公钥证书；3. 管理员可以直接从企业信任的CA申请SSL网关服务器证书，并将证书和私钥以及CA链导入到网神SecSSL 3600中即可。使用自签名证书，网神SecSSL 3600会定期更新网关证书，使用其它两种方式的证书，需要管理员采取手动方式对证书进行更新。网神SecSSL 3600允许管理员为网关配置多个网关证书，但是只有一个会作为当前网关的身份标识。您可以从界面的“系统 证书”功能来配置网关证书。浏览器会对网关证书的有效性进行检查，包括以下内容：1. 签名是否正确；2. 签发者CA是否可信；3. 证书是否在CRL (Certificate Revocation List, 证书撤销列表) 中4. 证书有效期是否有效；5. 证书中的网关地址与浏览器访问的网关地址是否一致。因此在申请网关证书时，管理员要注意将证书中的IP地址信息设置为网神SecSSL 3600外网接口的IP地址。注意: 证书是有有效期的，因此管理员需要注意配置的网神SecSSL 3600的网关证书的有效期，并注意在证书到期前更新网关证书。3.2管理用户端证书的签名CA网神SecSSL 3600允许用户使用证书标示自己的身份，为了验证客户端的证书的有效性，需要在网神SecSSL 3600中设置为用户签发证书的CA的证书链，为用户签发证书的CA称为可信CA。网神SecSSL 3600中允许设置多个可信CA，每一个可信CA包括从用户证书签发CA的证书到该CA体系的根CA之间的整个证书链信息和相应的CRL列表。您可以点击界面的“认证 可信CA”以配置用户证书。CRL (Certificate Revocation List) 是由CA签发的证书撤销列表，其中包含了那些尚在有效期内但是某些信息如用户身份、私钥等已经失效的证书，处于CRL中的证书是无效的证书。CA系统依据其策略不同，发布CRL信息的频率也不同，通常以天为单位发布CRL信息，有些CA系统服务的用户数量庞大，因此也发布一些增量CRL。网神SecSSL 3600不支持增量CRL。网神SecSSL 3600支持3种使用CRL的方式：1. 将CRL文件导入到系统中；2. 网神SecSSL 3600访问CA证书中指定的CRL发布点信息地址来获取CRL信息；3. 网神SecSSL 3600 使用指定的协议（FTP，HTTP，LDAP）从指定的URL地址定期获取CRL列表信息；其中第2，3两种方式下网神SecSSL 3600可以定期的自动更新CRL信息。3.3使用OCSP服务器对客户端证书进行验证OCSP（Online Certificate Status Protocol）证书应用可以实时查询接入的客户证书的有效性，而不依赖于CA发布的CRL列表和其它验证信息。网神SecSSL 3600支持OCSP协议，管理员可以为网神SecSSL 3600配置多个OCSP服务器作为对证书用户进行认证的服务器。您可以点击界面的“认证 OCSP”以配置此证书。在管理员配置OCSP服务器时，需要确保该OCSP服务器对网神SecSSL 3600允许接入的证书用户的证书具有判断能力。3.4添加证书用户网神SecSSL 3600允许用户使用证书作为认证凭证登入系统，在用户可以利用证书登入系统之前，管理员需要将用户的证书加载到系统中，以便对用户进行授权操作。管理员需要将用户的证书导入到系统中，可以单个导入，也可批量导入。在批量导入时，管理员需要将多个用户的证书压缩打包放在一个文件中。具体添加方式请参考“帐号 用户帐号”部分的在线帮助。网神SecSSL 3600 还支持添加证书认证服务器，管理员可将证书用户分成不同的群组，属于同一群组的所有证书用户经由同一台认证服务器进行认证，有助于减轻管理证书用户的负担。请参见5.2.1的详细信息。第4章 用户和用户组管理网神SecSSL 3600提供远程接入服务的第一步是对远程用户进行认证。网神SecSSL 3600支持多种认证方式：本地数据库用户认证，使用远程认证服务器，使用动态口令认证等。本章介绍在网神SecSSL 3600中管理用户的若干概念。4.1用户的类型网神SecSSL 3600中有两种用户：管理员帐号和普通用户；管理员帐号是用于对系统进行管理的帐号；普通用户则是通过网神SecSSL 3600实现远程访问的帐号。管理员帐号和普通用户相互独立。管理员帐号不具备普通用户的权利，普通用户也无法登入管理页面。针对普通用户，系统分为三种：本地密码帐号，本地证书帐号和远程帐号。远程帐号包括AD、LDAP、Radius服务器上的帐号。在网神SecSSL 3600中一个用户需要使用认证服务器+用户名作为唯一的标识。因此用户在登入系统时除了需要输入用户名/密码或者选择证书之外，还需要选择使用特定的认证服务器。网神SecSSL 3600支持使用LDAP/AD/Radius服务器作为远程认证服务器，使用远程认证服务器认证用户有三种方式：第一种：不在系统中添加任何用户信息，当用户登入时使用远程认证服务器作为认证的服务器；此种方式不能对每一个用户进行授权，但可以对所有用户进行统一的授权；第二种：在系统中手工添加部分用户的信息；可以指定未明确加入到系统中的用户是否需要访问企业内部资源；这种方式下可对加入网神SecSSL 3600的用户进行详细的授权；添加此种方式的用户操作请参考“帐号 用户帐号”相关在线帮助。第三种：在网神SecSSL 3600中下载远程服务器（只适合LDAP、AD类型的服务器）中指定分支下的用户信息，这种方式可以对用户进行详细的授权定义。4.2系统管理员管理员帐号仅支持本地数据库认证和采用证书进行认证。系统默认管理员帐号为：admin，密码为：admin。点击“帐号 管理员帐号”可以看到管理员帐号列表，选择其中一个，或点击“添加”可打开管理员帐号配置界面。管理员有三种类型：系统，配置，审计。它们的权限分别如下 (R=读；W=写)：菜单子菜单系统配置审计系统信息RRR许可RWR-配置文件RRW-证书RWR-安全RWRW-日期和时间RWRR网络IP主机RWR-其他RWR-高可用性RRW-网络连接RRW-帐号管理员帐号RW-其他RRW-认证RRW-服务RRW-授权RRW-客户端安全RRW-端对端互联RRW-日志与监控在线用户RRWR其他RRRW维护升级RWR-重启RWRW-功能RWRW-自定义RWRW-向导-RW-工具RR-网神SecSSL 3600提供了四种管理员访问配置界面的方式：HTTPS, SSH, console, SNMP。管理员可以为每一个管理员指定访问方式。管理员可能被锁定，分为两种情况：第一种是系统管理员手动在管理页面上锁定该帐号，而该帐号也只能被手动解锁；第二种是管理员登入系统时出现连续3次密码错误，被锁定的帐号即可以被手动解锁，也可能在一定时间后被系统自动解锁，该时间由“系统 安全 锁定周期”选项决定。在管理员登入系统之后，若一段时间不访问系统，那么系统会自动让该管理员下线，这一段时间可在“超时”字段中进行设置。4.3用户生命周期在网神SecSSL 3600中，一个帐号具有一定的生命周期，其中的操作和状态包括：添加用户；用户有效；用户禁止；用户在线；锁定用户；用户过期；删除用户。4.3.1 添加用户添加用户有多种方式，如下：1. 点击“帐号 用户帐号 添加”在添加用户的页面中可以有两种添加用户的方式：a) 添加本地密码帐号；凭证=密码；认证服务器=本地；b) 添加本地证书+密码帐号；凭证=证书；认证服务器=证书认证服务器；一次上传多个证书文件，则使用ZIP格式把多个证书压缩在一个文件中。采用上传证书压缩文件的方式添加多个证书用户，则每一个用户的名称为证书中的DN。 2. 手动添加远程帐号添加认证服务器，并且不下载帐号，当该认证服务器中的用户登入系统之后，网神SecSSL 3600会在系统中自动添加该用户，并且该用户会继承认证服务器对应组的权限；也可以在上图页面上添加远程用户，设置名字，不需要设置密码，选择认证服务器为某一个远程认证服务器。3. 点击“帐号 用户帐号 批量添加”通过上传一个包含了所需添加账号用户名的文件可批量添加用户；此用户名文件中的账号若有密码，则勾选上“包括密码”单选框。注意仅可批量添加本地密码用户。上传的用户名文件必须保存为.txt 格式。每一行代表一个账号，以回车键分行。用户名和密码必须以空格分隔。4. 从远端服务器下载用户帐号管理员可以使用认证服务器的管理功能来下载远端服务器的用户帐号。目前网神SecSSL 3600支持从AD和LDAP服务器下载用户帐号或用户组。详情清参考5.3和5.4节。4.3.2 用户有效禁止/锁定针对每一个帐号，管理员可以设置其是否有效，点击“帐号-用户帐号”选择添加一个新帐号或者编辑一个已有帐号，进入帐号管理页面，点开“高级”，如图所示：被禁止和锁定的帐号无法登入系统。4.3.3 用户在线无论何种用户，只要认证通过登入系统，那么就可以在“日志与监控 在线用户”的列表中看到该用户。4.3.4 锁定用户用户的账号可以被锁定，而锁定的原因有两种：第一是系统管理员手动在管理页面上锁定该用户。被手动锁定的用户必须由管理员解锁； 被系统自动锁定的帐号会在被锁定后一段时间后自动解锁，也可以由管理员手动解锁。该时间由“系统 安全 锁定周期”选项决定。若账号是由管理员锁定的话，则必须由管理员手动解除锁定。管理员可以在“帐号 锁定帐号”中查看锁定的用户列表。4.3.5 用户过期针对每一个帐号，管理员可以设置其有效期，点击“帐号 用户帐号”选择添加一个新帐号或者编辑一个已有帐号，可进入帐号管理页面，点开“高级”：管理员可以设置该帐号的有效时间，即在有效时间内该帐号方可登入系统使用系统的服务，否则不能登入。4.3.6 删除用户要删除一个帐号，可通过“帐号 用户帐号”进入用户列表，然后选择要删除的帐号，再点击【删除】按钮即可。若是该用户已经登入并且正在使用系统，那么该用户会被立即从在线用户列表中清除，而用户正在使用的所有服务连接也会立即中断。4.4用户和组的关系网神SecSSL 3600中有用户和组，每个用户可以属于多个组，也可以不属于任何组。网神SecSSL 3600在对用户进行授权时，除了考虑用户直接关联的角色，还会考虑用户所属的全部组的角色，包括用户所属组的父组的角色。父组基本上是一个已配置好的用户组。当一个新增的用户组被配置至个或多个父组，此用户组将继承其父组的属性。网神SecSSL 3600中管理员可以通过“帐号 组”添加组，系统也会在添加了远程认证服务器之后自动增加一个同名组。这样管理员可以针对与认证服务器同名的组进行授权，从而简化授权管理的工作。网神SecSSL 3600中组采用树型结构，即一个组可以有父组，也可以没有父组，一个组只能有一个父组。一个组可以作为多个组的父组。添加一个组需要选择属于该组的用户，该组适用的角色和他的父组。比如，系统中添加了group1, group1具备角色role1, 添加用户user1,其具备角色role2，并设置user1属于组group1，那么用户user1将会具备的角色将是role1,role2。在“帐号 用户帐号”中点击用户列表“关系结构”列中的图标，可查看相应的用户在系统中的关系结构图。将显示用户所属的组、被分配的角色及用户属性和条件。第5章 认证作为一个VPN网关，网神SecSSL 3600提供了对远端用户做认证，授权和访问控制的功能。网神SecSSL 3600不仅提供了内部用户认证数据库（本地认证服务器），支持使用证书和SMS（短消息服务）做认证，更融合了一些通用的第三方认证服务系统，如：Raduis，Windows AD和LDAP。本章将介绍如何配置这些认证方法。5.1使用本地认证服务器网神SecSSL 3600系统内部认证服务器可以设置密码长度，点击“认证 本地”可打开页面：系统用户的密码长度必须在6-32个字符之间。5.2使用证书作为认证凭证网神SecSSL 3600允许远程客户使用证书作为认证的凭证。网神SecSSL 3600使用证书信任链的方式管理信任关系。在系统中可添加多个可信CA，点击“认证 可信CA”页面选择【添加】按钮可打开页面：在“证书”字段输入可信CA的证书链，CRL 选项标示该CA是否使用CRL来对客户端证书进行认证。对每一个可信CA，网神SecSSL 3600支持多种CRL获取方式，可以导入CRL文件，也可以设置FTP、HTTP路径由网神SecSSL 3600自动获取，还可以依据CA证书中携带的CRL发布点信息来自动获取CRL信息。5.2.1 证书认证服务器为减小管理员添加/导入证书用户的工作量，网神SecSSL 3600新增了添加证书认证服务器功能。点击【添加】按钮可添加多个过滤条件至下拉列表框中，从列表中选择一个条件并点击【删除】按钮可将之删除。管理员可对每个证书认证服务器设定过滤条件，通过判断证书用户是否符合条件过滤出属于此群组的用户。这样简化了证书用户的管理，因为属于同一群组的所有证书用户可使用相同的角色进行授权。系统将校验证书的有效性以及此群组是否使用此证书进行认证。点击“认证 证书” 管理证书认证服务器。 请参见15.6关于添加证书认证服务器的配置范例。5.3使用LDAP作为认证服务器网神SecSSL 3600可使用LDAP服务器作为远程认证服务器，并且允许管理员通过网神SecSSL 3600从LDAP服务器下载帐号信息。考虑到多数企业应用中会以组作为授权单位，因此网神SecSSL 3600支持从LDAP服务器仅下载组信息而不下载帐号信息，这样可以减少管理员在网神SecSSL 3600上的维护工作。网神SecSSL 3600也支持从配置好的LDAP服务器中下载用户/群组信息。EntryUUIDLDAP使用EntryUUID来唯一标识一个用户。但是有些LDAP服务器的实现中并没有使用这个属性，仅当确认LDAP服务器使用该属性时才能勾选“启动EntryUUID”选项，否则将导致无法下载“组”和“用户”。认证未添加的用户通过配置“默认允许访问”选项，您可以控制是否允许还未添加到网神SecSSL 3600中的用户进行远程认证。当该用户选择认证服务器进行认证时，若勾选上该选项，且该用户所属的组已经添加到系统，系统会将用户的输入提交到LDAP认证服务器进行认证，并在认证成功后将此用户添加至网神SecSSL 3600的用户列表中；否则，即使用户名和密码输入正确，也会认证失败，而用户将不能成功登入。注意：在不下载用户的情况下，必须下载组，并勾选“默认允许访问”选项，对应的用户才能通过认证。如果用户组较多，而不想下载所有的组，可以只下载最顶层的根组来保证用户能够登入。也可配置系统，当远端LDAP认证服务器发生变更时，自动将LDAP服务器上用户选中的“组”和“用户”信息以每天1次的频率同步到系统上。勾选“自动同步选项”，而用户也可以通过点击上图中的【同步帐号】按钮做手动同步，强制网神SecSSL 3600比较本次保存的已下载帐号与LDAP服务器上帐号的异同，并修改本地的帐号信息以保持同LDAP服务器上的信息一致。5.4使用Active Directory作为认证服务器网神SecSSL 3600可使用AD (Active Directory) 服务器作为远程认证服务器，并且允许管理员通过网神SecSSL 3600从AD服务器下载帐号信息。考虑到多数企业应用中会以组作为授权单位，因此网神SecSSL 3600支持从AD服务器仅下载组信息而不下载帐号信息，这样可以减少管理员在网神SecSSL 3600上的维护工作，当然，网神SecSSL 3600也支持将相关帐号下载下来。点击“认证 AD” 管理AD服务器。AD服务器的【下载用户】和【同步帐号】与LDAP服务器的对应功能是完全相同的。请参见15.5的详细配置信息。5.5使用Radius作为认证服务器网神SecSSL 3600支持使用Radius服务器作为远程认证服务器。系统中可以增加多个Radius认证服务器。点击“认证 Radius”管理Radius认证服务器。5.6使用SMS认证网神SecSSL 3600支持将短消息认证作为一种认证方式。点击“认证 短消息” 配置实现短消息认证所需的信息。这些配置对应了第三方服务提供商的相应接口，通过向这个接口传递这些信息，从而使网神SecSSL 3600与服务提供商的短信网关之间成功进行通信。注意必须在“系统 安全”中已启用短消息认证，短消息认证才会生效。第6章 服务管理在网神SecSSL 3600中，服务是指企业内部的应用业务系统，如一个Web门户网站，一个FTP服务器等，每一个服务可能对应了一台或多台硬件服务器。在网神SecSSL 3600中与服务相关的概念有：服务类型、客户端应用、访问模式、角色、应用权限。服务要分配给用户需要通过角色来关联，详细配置请参见“授权 角色”页面的在线帮助。本章重点介绍服务类型，客户端应用，访问模式和应用权限的概念。6.1服务类型 服务类型：指的是该网络服务属于哪一种服务，如：SMTP/POP3邮件服务，FTP服务等，服务类型定义了此类型的服务需要使用哪些TCP/UDP端口或IP协议端口。针对不同的服务类型，网神SecSSL 3600需要做不