联想网御安全网关SAG用户手册.doc

联想网御安全网关SAG用户手册联想网御安全网关SAG 用户手册联想网御科技（北京）有限公司前 言感谢您使用联想网御安全网关SAG。联想网御安全网关SAG系列接入网关是适用于中小型企业/大中型企业/政府机关/移动用户的综合接入网关，为用户远程访问网络服务提供安全保护，主要功能包括：身份认证：确保远程访问者不是恶意用户；访问控制：确保访问者只能访问被授权访问的服务和信息；数据加密：确保所有数据在网络传输过程中都是被加密的，防止被窃听；SAG网关是在SSL协议基础上实现的远程接入安全平台，无需改变网络结构和应用模式，完全支持Web应用，以及Exchange、SMB、FTP、Telnet、CRM、ERP、Mail、Oracle和SQL Server等C/S模式的应用。和传统SSLVPN接入网关相比，SAG网关突破了SSL的局限性，创新性地对SSLVPN网关技术进行了拓展：SSLVPN网关到网关模式：和IPSEC VPN相比，传统SSLVPN适用于终端到网关模式的部署方式，SAG突破了这种局限，创新性地实现了网关到网关模式的SSLVPN技术；客户端自动获取域名解析(DNS)配置：和IPSEC VPN相比，SSLVPN无需安装客户端软件，但是传统的SSLVPN客户端无法通过DHCP协议自动从接入网关获取DNS配置，因此SSLVPN无法使用企业内部DNS服务器。SAG创新性地实现了客户端自动从接入网关获取域名解析服务。支持网络邻居：网络邻居是Microsoft Windows操作系统基于NetBIOS协议实现的网络文件共享功能，网络邻居难以跨越路由器在互联网范围内实现。SAG网关能够确保用户远程接入内网的同时正常使用内网的网络邻居功能。安全远程桌面功能：Microsoft Windows提供的远程桌面功能被网络管理人员广泛采用，但是远程桌面功能无法对远程接入用户进行细颗粒的安全限制，因此存在巨大安全隐患。SAG网关的【远程终端】服务，实现了对Microsoft Windows远程桌面的安全拓展，用户可通过接入网关开放远程桌面的同时，限制远程用户所能访问的资源和应用程序。灵活的用户管理：支持大批量用户的导入/导出机制，兼容SecureID等动态口令用户，兼容标准LDAP服务器，兼容微软活动目录（AD）服务器，兼容第三方Radius服务器，支持数字证书用户，支持本地用户数据库等等。本手册随SAG网关一起发行，是SAG网关的用户使用手册。本手册介绍了SAG网关的使用方法。本手册适用于使用SAG网关的一般用户，对一般用户经常用到的功能作了介绍，如果想了解更多的关于SAG配置方面的信息请参见SAG网关管理手册。其他参考资料参见软件帮助和我们的网站： 本手册围绕SAG网关编写，疏忽和失误之处敬请广大用户批评指正，欢迎对我们的产品提出宝贵意见。您的信赖来自于我们的严谨和努力您的满意来源于我们优质的服务联想网御科技（北京）有限公司 版权声明SAG网关用户手册本手册面向用户详细介绍了SAG的使用方法，为用户在使用本系统时提供参考。本手册和接入网关一起发行。作者：联想网御科技（北京）有限公司Copyright2008 by联想网御科技（北京）有限公司，版权所有。联想网御科技（北京）有限公司发行。未经发行人书面许可，不得使用任何形式或任何途径，包括使用影印、录制在内的电子或机械手段、其他信息储存和恢复系统等对该书任何部分进行复制或传播。警告和承诺：本手册用于提供关于“SAG网关”的操作使用信息。尽管我们做了大量的努力使本书尽可能完备和准确，但疏漏和缺陷之处在所难免。本手册信息是建立在“SAG网关”的基础之上，没有成为标准或规范，仅作为“SAG网关”操作使用的参考及SSLVPN接入网关和安全管理的概念普及。本手册中表达的观点权属于联想网御科技（北京）有限公司。本手册的解释权归联想网御科技（北京）有限公司所有。由于本手册是基于“SAG网关”编写，产品软件的升级和更新，将导致本手册内容的相关变更，手册内容的更改恕不另行通知。本手册将不作为联想网御科技（北京）有限公司的任何承诺，联想网御科技（北京）有限公司对本手册中可能出现的任何错误不负任何责任。反馈信息欢迎您对我们的产品及本手册提供宝贵的意见和建议，您的支持是我们工作的动力。对于您的帮助，我们十分感激。请与我们联系：。本系统的开发单位联想网御科技（北京）有限公司地址：北京市海淀区中关村南大街6号 中电信息大厦8层，100086公司总机9：0018：00）销售热线9：0018：00）售后热线：400-810-7766 （7x24小时，续有效）传真址：Http:/E-Mail：本系统版权受到中华人民共和国国家法律保护，任何单位个人不得非法使用、拷贝、修改、扩散本软件及其文档，否则将受到法律的制裁。本系统及其文档中使用到其他公司的有关资源，其版权归相应公司所有，同样受到法律的保护。 联想网御安全网关SAG用户手册手册阅读方法文本标记 表1本文的标记形式标记说 明【项目】表示导航菜单的项目名称。用“”表示两个连续操作的菜单项。例如：执行导航菜单的【网关管理】【网络属性】项目表示Tab标签选项。例如：【网关管理】【网络属性】网卡。项目表示画面上的项目标题名称。例如：【网关管理】【网络属性】网卡界面中的系统网卡。表示设定的变量/参数值。图标表2 关于图标的说明图标说 明 提示 注意 参照表示所参照的相关条目。表示注意事项。表示提示信息。联想网御安全网关SAG用户使用手册目 录第1部分 远程接入模式 用户手册 11.1 访问SSLVPN安全网关11.2 客户端登录认证21.2.1 匿名登录21.2.2 口令登录21.2.3 短信登录41.2.4 证书登录71.3 客户端用户主界面71.3.1 安装ActiveX控件81.3.2 客户端用户主界面111.4 注销登录14第2部分 对等网关模式用户手册 15第1部分 远程接入模式 用户手册1.1 访问SSLVPN安全网关打开IE浏览器输入：http:/网关的IP地址 或者 https:/网关的IP地址根据管理人员的配置不同，用户看到的登录选项可能会不同。配置选项功能描述1. 无需认证，客户端用户可以直接访问被保护的网络服务；2. 所有传输数据被加密；1. 使用静态“用户名+口令”方式登录SSLVPN安全网关（包括：SSLVPN安全网关本地用户帐号、第三方Radius帐号、第三方LDAP口令帐号和Microsoft域口令帐号登录）；2. 所有传输数据被加密。1. 使用手机短信SMS动态口令方式登录SSLVPN安全网关；2. 所有传输数据被加密。1. 使用数字证书方式登录SSLVPN安全网关（包括使用USBKEY存储数字证书的方式）；2. 所有传输数据加密。用户远程登录SSLVPN安全网关时不一定能够看到所有类型的登录按钮，这和SSLVPN安全网关管理端的配置相关。在实际应用中遇到和手册不符的问题，请和SSLVPN安全管理人员联系。 提示 1.2 客户端登录认证1.2.1 匿名登录点击，转入“1.3节 客户端用户主界面”。1.2.2 口令登录点击，弹出用户登录界面：配置选项功能描述输入用户的帐户信息；输入口令用户的口令信息；安装可信证书链在客户端计算机上安装可信证书链。安装Java虚拟机下载并安装Java虚拟机，使用SSL VPN RDP模式时，客户端需要下载并安装Java虚拟机；修改用户口令修改用户的口令信息；安装Key驱动当使用USBKEY实现双因子安全认证时，客户端需要安装USBKEY的驱动。安装Key管理工具安装USBKEY的客户端管理工具；转到证书登录切换到证书登录认证方式，转入“1.2.4节 证书登录”。输入正确的登录认证信息后，转入“1.3节 客户端用户主界面”。根据SSLVPN安全管理员的设置安全策略不同，客户端用户登录时有可能不需要输入动态附加码，例如：不使用动态附加码增加了网络攻击者使用脚本（或者应用程序）暴力猜解用户口令的可能性。 提示 1.2.3 短信登录点击，弹出用户登录界面：配置选项功能描述输入用户的帐户信息或者手机号码；输入口令用户的口令信息；安装可信证书链在客户端计算机上安装可信证书链。安装Java虚拟机下载并安装Java虚拟机，使用SSL VPN RDP模式时，客户端需要下载并安装Java虚拟机；修改用户口令修改用户的口令信息；安装Key驱动当使用USBKEY实现双因子安全认证时，客户端需要安装USBKEY的驱动。安装Key管理工具安装USBKEY的客户端管理工具；转到证书登录切换到证书登录认证方式，转入“1.2.4节 证书登录”。输入正确的认证信息后，转入“1.3节 客户端用户主界面”根据SSLVPN安全网关安全策略设置的不同，客户端用户登录时有可能不需要输入或者。例如：只需要输入帐户信息的界面：如果不使用动态附加码，存在网络攻击者利用不停尝试登录SSLVPN安全网关的方式，导致网关系统不断给授权用户的手机发送短信的可能性。 提示 根据SSLVPN安全网关安全策略设置的不同，客户端用户登录时有可能不需要输入。例如：需要输入帐户名字和的界面：如果不使用，存在网络攻击者非法获取授权用户的手机后，冒充授权用户登录SSLVPN安全网关的可能性。 提示 根据SSLVPN安全网关安全策略设置的不同，客户端用户登录时有可能不需要输入。例如：需要输入帐户信息和的界面：不使用动态附加码增加了网络攻击者使用脚本（或者应用程序）暴力猜解用户口令的可能性。 提示 1.2.4 证书登录点击，弹出用户登录界面：用户选择授权用户登录证书，点击确定。点击“确定”， 转入“1.3节 客户端用户主界面”。1.3 客户端用户主界面如果提示安装ActiveX控件，请转入“1.3.1节 安装ActiveX控件”；如果未提示安装ActiveX控件，请转入“1.3.2节 客户端用户主界面”。1.3.1 安装ActiveX控件如果客户端用户需要访问被保护的C/S网络服务，需要安装ActiveX控件。点击“确定”按钮后请点击ActiveX安装条，然后在下拉菜单中选择“安装ActiveX控件(C)”选项，如下图所示。弹出ActiveX控件签名信息。在微软Windows XP以后版本的操作系统中考虑到安全问题，不允许安装未签名的ActiveX控件。 提示 配置选项功能描述显示控件的名称和版本信息。ActiveX控件发行者的信息。点击运行，显示签名公司证书信息，如下图所示：点击按钮，安装ActiveX控件。1.3.2 客户端用户主界面显示登录用户信息。 客户端用户主界面点击此处，用户可安装可信证书链。当安装了ActiveX控件后，用户登录后会自动启动SSLVPN托盘程序，只有启动了SSLVPN托盘程序，用户才能够通过VPN安全访问C/S服务、网络和终端应用。 访问“授权的Web服务”直接点击HTTP链接，访问被保护的WWW服务。例如，访问办公自动化系统 访问“授权的C/S服务”和在企业局域网内部一样的方式正常访问C/S服务。例如，授权用户登录SSLVPN安全网关之后，期望能在互联网中使用企业内网的SMTP/POP3(00)服务器收发电子邮件。在OutLook中可以如下配置：授权用户登录SSLVPN安全网关之后，可以象在企业内网中一样使用企业内网的SMTP/POP3（00）服务器。 访问“授权网段”直接访问被保护的网段（用户和在企业内网访问该网段的行为模式完全一致，无需修改任何