SANGFOR_SSLVPN_____年度渠道培训教材(part1)_SANGFOR SSL产品培训.ppt

SANGFORSSL产品培训 SANGFORTECHNOLOGIESCO LTD SSL基础介绍 SANGFORSSLVPN的各种资源 SANGFORSSLVPN基本部署 特殊应用及部署 SANGFORSSLVPN的认证方式 其它功能 SANGFORSSLVPN的整体框架 目录 SSL基础介绍 什么是SSLVPN SANGFORSSLVPN支持的客户端 什么是SSLVPN SSLVPN是一种远程安全接入技术 因为采用SSL协议而得名 因为Web浏览器都内嵌支持SSL协议 使得SSLVPN可以做到 无客户端 部署 从而使得远程安全接入的使用非常简单 而且整个系统更加易于维护 SSLVPN一般采用插件系统来支持各种TCP和UDP的非Web应用系统 使得SSLVPN真正称得上是一种VPN 并相对IPSecVPN更符合应用安全的需求 成为远程安全接入主要手段和选择 IE Mozilla系列 SANGFORSSLVPN支持的客户端 SSL基础介绍 SANGFORSSLVPN的各种资源 SANGFORSSLVPN基本部署 特殊应用及部署 SANGFORSSLVPN的认证方式 其它功能 SANGFORSSLVPN的整体框架 部署方法 1 配置内 外网IP信息 根据具体情况设置 2 设置SSL用到端口信息 HTTP和HTTPS端口3 填写webagent 外网为动态IP 例如ADSL 网关部署 部署方法 1 LAN口接线 配内网IP 与内网pc同网段 2 WAN口不接线 任意配置一固定IP 不能与内网网段冲突 默认网关填 0 0 0 0 填写正确的DNS3 添加一条目标网段为 0 0 0 0 掩码为 0 0 0 0的系统路由 下一跳指向前置网关4 设置SSL用到端口信息 HTTP和HTTPS端口5 前置网关做相应的端口映射 SSL用到的HTTP和HTTPS端口 6 填写webagent 外网为拨号 我做端口映射 单臂部署 SSL基础介绍 SANGFORSSLVPN的各种资源 SANGFORSSLVPN基本部署 特殊应用及部署 SANGFORSSLVPN的认证方式 其它功能 SANGFORSSLVPN的整体框架 用户 登录SSLVPN的帐号 分为公共用户和私有用户 资源 用户登录SSLVPN后拥有的权限 即可以访问的IP及其端口 详见后续章节 用户组 由 用户 组成 每个 用户 必须属于唯一的一个 用户组 默认用户组无法删除 用户组设置 用户设置 用户 可选是否继承 用户组 相关属性 认证方式等 公共用户与私有用户 私有用户 公共用户 私有用户支持在线修改密码 DKey的pin码 手机号码 用户导入 通过文本方式批量导入用户 节省工作量 用户导出 手机号 密码 角色设置 SSL基础介绍 SANGFORSSLVPN的各种资源 SANGFORSSLVPN基本部署 特殊应用及部署 SANGFORSSLVPN的认证方式 其它功能 SANGFORSSLVPN的整体框架 SANGFORSSLVPN的认证方式 外部认证 认证方式 本地认证 用户名 密码 数字证书 可选Dkey 硬件特征码认证 短信认证 LDAP认证 RADIUS认证 辅助认证 可选 主要认证 必须 令牌认证 RADIUS认证 用户名 密码认证 最简单的用户认证方式 私用用户支持在线修改密码 数字证书认证 使用数字登录 实现双向认证 文件方式保存数字证书 1 安装证书控件2 生成数字证书3 安装数字证书 并登录 DKey保存数字证书 1 高级配置 中启用DKey功能2 安装证书控件和相应的DKey驱动3 生成数字证书 烧录到DKey中4 插入DKey 并登录 选择相应的DKey类型 无驱DKey认证 特殊情况 功能背景 由于使用DKey承载数字证书 客户端登录时必须安装DKey驱动程序 有可能会出现驱动安装不上 受杀毒软件等影响 或者顺利安装后驱动由于某些原因遭到破坏 推出一种全新的 无驱DKey 认证 不含数字证书 通过控件实现认证 硬件要求V2版key与有驱同相同的keyV3版key新的一款key 无驱key不能刷为有驱key原V3版key不支持无驱V2版key可从有驱直接刷成无驱 选择相应的DKey类型 1 高级配置 中启用DKey功能2 生成免驱DKey 需要安装控件 仅支持IE 3 插入DKey 并登录 与使用有驱DKdey区别 生成key和使用key登录都无需安装证书控件和key驱动 只需安装特定的控件 外部认证 LDAP认证 RADIUS认证 功能背景 登录SSLVPN的用户帐号保存在第三方服务器上 用户登录登录时 帐号信息会发往第三方服务器做校验 能够和客户原有的业务系统用到的服务器 LDAP或RADIUS服务器 内帐号结合无需在设备用户列表上手动建立用户 LDAP认证 各参数具体含义参考备注 1 设置LDAP服务器 自动生成一个对应该LDAP服务器的外部认证用户组2 成功配置后 客户端使用LDAP账号登录后 拥有对应LDAP服务器用户组的权限 本地用户帐号和RADIUS帐号冲突时 本地帐号优先 手动建立本地LDAP认证账号 背景 同一路径下所有LDAP用户账号权限都相同 在角色关联里 要给外部认证用户分配权限 只能关联对应的外部认证用户组 根据企业实际使用情况对某个部门主管的账号 或者需要特定权利的用户 分配特有的权限 和同一LDAP路径下的用户权限区分开 名字必须和LDAP服务器用户一致 RADIUS认证 什么是AAA协议 常用AAA安全协议RADIUS TACACS Kerberos Authentication Authorization Accounting 功能背景 1 设置RADIUS服务器 自动生成一个对应该RADIUS服务器的外部认证用户组2 成功配置后 客户端使用RADIUS账号登录后 拥有对应RADUIS服务器用户组的权限 本地用户帐号和RADIUS帐号冲突时 本地帐号优先 各参数具体含义参考备注 动态令牌认证 radius认证特例 动态令牌认证服务器仍然是radius服务器 只是用户登录时一般可选 静态密码 动态密码 令牌 静态密码 动态密码动态令牌认证本质上是密码策略较为丰富的Radius认证与SSLVPN结合时配置与普通radius认证相同 短信认证 私有用户在满足主要认证方后跳转到短信认证页面 必须输入发送到手机上的短信验证码 才能登录SSLVPN 1 通过序列号激活短信认证模块2 在用户编辑页面填写手机号 并勾选短信认证 对移动和联通短信网关的支持 参考备注 硬件特征码认证 功能背景 实现SSLVPN帐号和电脑绑定起来 防止他人盗用帐号在其他电脑上登录该认证方式类似SANGFOR的IPsecVPN硬件信息绑定 1 给用户帐号启用特征码认证 并启用特征码提交提示2 登录SSLVPN并提交硬件特征码3 审批客户端提交的硬件特征码4 全局启用硬件特征码认证 正式