国家 / 地区

10-安全配置指导

15-SSL VPN配置

本章节下载  (3.22 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_CG-R3103(V1.18)/10/201307/791207_30005_0.htm

15-SSL VPN配置

  录

1 SSL VPN

1.1 SSL VPN简介

1.2 SSL VPN的优点

2 命令行方式配置SSL VPN

2.1 配置准备

2.2 配置SSL VPN

2.3 SSL VPN典型配置举例

3 Web方式配置SSL VPN网关

3.1 配置PKI

3.1.1 PKI配置任务简介

3.1.2 新建PKI实体

3.1.3 新建PKI域

3.1.4 生成RSA密钥对

3.1.5 销毁RSA密钥对

3.1.6 获取和查看证书

3.1.7 申请本地证书

3.1.8 获取和查看CRL

3.2 配置SSL VPN服务

3.3 配置Web代理服务器资源

3.4 配置TCP应用资源

3.4.1 配置远程访问服务资源

3.4.2 配置桌面共享服务资源

3.4.3 配置电子邮件服务资源

3.4.4 配置Notes邮件服务资源

3.4.5 配置通用TCP服务资源

3.5 配置IP网络资源

3.5.1 配置全局参数

3.5.2 配置主机资源

3.5.3 配置固定IP

3.5.4 配置预置域名

3.6 配置资源组

3.7 配置本地用户

3.7.1 手工配置本地用户

3.7.2 批量导入本地用户

3.8 配置用户组

3.9 查看用户信息

3.9.1 查看在线用户信息

3.9.2 将在线用户强制下线

3.9.3 查看历史用户信息

3.10 配置域基本策略

3.10.1 配置域策略

3.10.2 配置缓存策略

3.10.3 配置公告

3.11 配置认证策略

3.11.1 配置本地认证

3.11.2 配置RADIUS认证

3.11.3 配置LDAP认证

3.11.4 配置AD认证

3.11.5 配置组合认证

3.12 配置安全策略

3.13 配置用户界面定制

3.13.1 配置用户界面部分定制

3.13.2 配置用户界面完全定制

4 用户访问SSL VPN

4.1 登录SSL VPN服务界面

4.2 使用SSL VPN资源

4.3 查看帮助信息

4.4 修改登录密码

5 SSL VPN典型配置举例

5.1 组网需求

5.2 配置步骤

5.2.1 配置SSL VPN服务

5.2.2 配置SSL VPN访问资源

5.2.3 配置SSL VPN用户

5.2.4 配置SSL VPN域

5.3 配置结果验证

 


1 SSL VPN

SR6600/SR6600-X路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

SR6602

SSL VPN

支持

SR6602-X

支持

SR6604/SR6608/SR6616

仅在配置了MCP主控板时支持

SR6604-X/SR6608-X/SR6616-X

不支持

 

1.1  SSL VPN简介

SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。

SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如下图所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。

目前,设备可以通过命令行和Web两种方式配置SSL VPN。

图1-1 SSL VPN典型组网架构

 

SSL VPN的工作机制为:

(1)      管理员登录SSL VPN网关的Web界面,在SSL VPN网关上创建与服务器对应的资源。

(2)      远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。

(3)      HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。

(4)      用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。

(5)      SSL VPN网关解析请求,与服务器交互后将应答发送给用户。

1.2  SSL VPN的优点

SSL VPN利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点:

(1)      支持各种应用协议

任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。SSL VPN将应用协议提供的服务资源划分为三类:

·              Web接入方式下的访问资源:是指用户使用浏览器以HTTPS方式通过SSL VPN网关对服务器提供的Web代理服务器资源进行访问。

·              TCP接入方式下的访问资源:用于实现用户应用程序对服务器开放端口的安全访问,包括远程访问服务、桌面共享服务、电子邮件服务、Notes服务和通用TCP服务资源。

·              IP接入方式下的访问资源:用于实现用户终端与服务器网络层之间的安全通信,进而实现所有基于IP的应用与服务器的互通。

(2)      部署简单

目前SSL协议已被集成到大部分的浏览器(如Internet Explorer浏览器)中,这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。通过这些浏览器访问Web接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问TCP接入方式下和IP接入方式下的资源,则在用户登录SSL VPN时,会自动运行SSL VPN客户端专用软件,也不需要用户进行额外的操作。

(3)      支持多种用户认证方式

除了可以利用SSL协议本身提供的证书认证机制,对SSL客户端进行身份确认外,SSL VPN还支持以下四种认证方式,以及基于这些认证方式的组合认证:

·              本地认证

·              RADIUS认证

·              LDAP认证

·              AD认证

(4)      实现了对网络资源的细粒度的控制访问

管理员可以配置多个资源和用户,将资源加入到不同的资源组中,将用户加入到不同的用户组,然后为每个用户组指定可以访问的资源组。用户登录后,SSL VPN网关根据用户所在的用户组找到其可以访问的资源组,进而找到可以访问的资源列表,从而实现对资源访问权限的细粒度的控制。

2 命令行方式配置SSL VPN

SSL VPN网关配置包括如下内容:

·              指定SSL VPN服务使用的SSL服务器端策略:用户访问SSL VPN网关和内网资源时,需要首先通过HTTPS登录SSL VPN网关的Web页面,管理员配置用户访问权限时,需要首先通过HTTP登录SSL VPN网关的Web页面。因此,SSL VPN网关上需要指定使用的SSL服务器端策略,以便确定SSL VPN服务使用的SSL参数。

·              指定SSL VPN服务使用的TCP端口号:SSL VPN网关作为HTTPS服务器为用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号。

·              使能SSL VPN服务:只有使能SSL VPN服务后,用户才能通过Web页面访问SSL VPN网关。

2.1  配置准备

配置SSL VPN之前,需要先创建SSL服务器端策略。SSL服务器端策略的配置方法,请参见“安全配置指导”中的“SSL”。

2.2  配置SSL VPN

表2-1 配置SSL VPN

操作

命令

说明

进入系统视图

system-view

-

配置SSL VPN服务使用的SSL服务器端策略和端口号

ssl-vpn server-policy server-policy-name [ port port-number ]

必选

缺省情况下,没有配置SSL VPN服务使用的SSL服务器端策略

使能SSL VPN服务

ssl-vpn enable

必选

缺省情况下,SSL VPN服务处于关闭状态

 

说明

·          HTTPS服务和SSL VPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时使能HTTPS服务和SSL VPN服务。

·          HTTPS服务和SSL VPN服务同时使能,并使用相同的端口号时,若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSL VPN服务,修改SSL服务器端策略后,再使能HTTPS服务和SSL VPN服务,修改后的SSL服务器端策略才能生效。

·          SSL VPN服务处于使能状态时,对使用的端口号、与其关联的SSL服务器端策略进行的修改不会生效。如果修改了端口号或SSL服务器端策略,则建议重新使能SSL VPN服务,以使新的配置生效。

 

2.3  SSL VPN典型配置举例

1. 组网需求

在SSL VPN中,为了使普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关访问企业内部资源,需要在SSL VPN网关上进行SSL相关配置,并使能SSL VPN服务。

在本配置举例中:

·              SSL VPN网关的地址为10.1.1.1/24;

·              为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。

2. 组网图

图2-1 SSL VPN配置组网图

 

3. 配置步骤

说明

·       本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·       进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

 

(1)      为SSL VPN网关Router申请证书

# 配置PKI实体en,指定实体的通用名为http-server。

<Router> system-view

[Router] pki entity en

[Router-pki-entity-en] common-name http-server

[Router-pki-entity-en] quit

# 配置PKIsslvpn,指定信任的CA名称为ca server、注册服务器的URLhttp://10.2.1.1/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en

[Router] pki domain sslvpn

[Router-pki-domain-sslvpn] ca identifier ca server

[Router-pki-domain-sslvpn] certificate request url http://10.2.1.1/certsrv/mscep/mscep.dll

[Router-pki-domain-sslvpn] certificate request from ra

[Router-pki-domain-sslvpn] certificate request entity en

[Router-pki-domain-sslvpn] quit

# 生成本地的RSA密钥对。

[Router] public-key local create rsa

# 获取CA的证书。

[Router] pki retrieval-certificate ca domain sslvpn

# Router申请证书。

[Router] pki request-certificate domain sslvpn

(2)      配置SSL VPN服务使用的SSL服务器端策略

# 创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn。

[Router] ssl server-policy myssl

[Router-ssl-server-policy-myssl] pki-domain sslvpn

[Router-ssl-server-policy-myssl] quit

(3)      配置SSL VPN

# 指定SSL VPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443。

[Router] ssl-vpn server-policy myssl

# 使能SSL VPN服务。

[Router] ssl-vpn enable

(4)      验证配置结果

远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.1.1.1/svpn/,即可打开SSL VPN网关Router的Web登录页面。

说明

·       PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;

·       public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;

·       SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。

 

3 Web方式配置SSL VPN网关

说明

登录设备的Web配置界面之前,需要先在命令行配置本地用户,且本地用户的服务类型为web,用户级别为3。关于本地用户的详细介绍请参见“安全配置指导”中的“AAA”。

 

表3-1 SSL VPN网关配置任务简介

步骤

配置任务

说明

1

3.1  配置PKI

必选

配置PKI域,并获取证书

2

3.2  配置SSL VPN服务

必选

启用SSL VPN,配置SSL VPN服务的端口号和使用的PKI域

 

3

3.3  配置Web代理服务器资源

三者至少选其一

缺省情况下,不存在任何资源

3.4  配置TCP应用资源

3.5  配置IP网络资源

4

3.6  配置资源组

必选

缺省情况下,存在名为autohome和autostart的资源组

5

3.7  配置本地用户

必选

配置以本地认证方式登录的SSL VPN用户信息

缺省情况下,存在名为guest(没有密码)的本地用户,其状态为禁用

6

3.8  配置用户组

必选

将本地用户加入到不同的用户组,并指定用户组可以访问的资源组

缺省情况下,存在名为Guests的用户组,该组未配置任何成员,且未与任何资源组关联

提示

也可以在配置本地用户时直接将用户加入已经存在的用户组中

7

3.9  查看用户信息

可选

查看在线用户信息和历史用户信息,将在线用户强制下线

8

3.10  配置域基本策略

可选

配置域策略、缓存策略和公告管理

9

3.11  配置认证策略

可选

启用SSL VPN域的各种认证方式,并配置具体的认证参数

提示

本地认证固定是启用的,其余认证方式需要通过配置启用后才能使用

10

3.12  配置安全策略

可选

安全策略定义了对用户主机进行安全检查的方法,明确了需要检查的项目。再通过为安全策略配置保护资源,保证了只有满足安全策略的用户主机才能访问相应的资源

提示

要实现对用户主机的安全性检查,还必须在域策略中启用安全策略

11

3.13  配置用户界面定制

可选

为SSL VPN用户定制个性化的服务界面

 

3.1  配置PKI

配置SSL VPN服务前,需要先配置PKI域,并获取证书。SSL VPN网关的证书用于对其进行身份认证,以免管理员或用户登录到非法的SSL VPN网关。有关PKI的详细介绍及通过命令行配置PKI的方法,请参见“安全配置指导”中的“PKI”。

3.1.1  PKI配置任务简介

PKI证书的申请方式有两种:

·              手动申请证书方式:需要手工完成获取CA(Certificate Authority,证书颁发机构)证书、生成密钥对、申请本地证书的工作。

·              自动申请证书方式:在没有本地证书时实体自动通过SCEP(Simple Certification Enrollment Protocol,简单证书注册协议,专门用于与认证机构进行通信)协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。

证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。

1. 手动申请证书方式

手动申请证书方式下PKI配置的推荐步骤如下表所示。

表3-2 PKI配置步骤(手动申请证书方式)

步骤

配置任务

说明

1

3.1.2  新建PKI实体

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

3.1.3  新建PKI域

必选

新建PKI域,配置证书申请方式为“Manual”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

3.1.4  生成RSA密钥对

必选

配置生成本地RSA密钥对

缺省情况下,本地没有RSA密钥对

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书

提示

若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对

4

获取CA证书

必选

将CA证书获取至本地,详细配置请参见“3.1.6  获取和查看证书

获取证书的目的是:

·       将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数

·       为证书的验证做好准备

提示

如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

3.1.7  申请本地证书

必选

证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分

申请本地证书有在线和离线两种方式:

·       在线申请成功后,会自动将本地证书获取至本地

·       离线申请成功后,需要用户通过离线方式将本地证书获取至本地

提示

如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请

6

3.1.5  销毁RSA密钥对

可选

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书

7

3.1.6  获取和查看证书

当采用离线方式申请证书时必选

将已存在的证书获取至本地,获取后可以查看证书的详细信息

提示

·       当采用离线方式申请证书时,必须通过离线方式将下载到的CA证书和本地证书获取至本地

·       在线获取本地证书之前必须完成LDAP服务器的配置

8

3.1.8  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

2. 自动申请证书方式

自动申请证书方式下PKI配置的推荐步骤如下表所示。

表3-3 PKI配置步骤(自动申请证书方式)

步骤

配置任务

说明

1

3.1.2  新建PKI实体

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

3.1.3  新建PKI域

必选

新建PKI域,配置证书申请方式为“Auto”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

3.1.5  销毁RSA密钥对

可选

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书

4

3.1.6  获取和查看证书

可选

将已存在的证书获取至本地,获取后可以查看证书的详细信息

提示

·       在线获取本地证书之前必须完成LDAP服务器的配置

·       如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

3.1.8  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

3.1.2  新建PKI实体

(1)      在导航栏中选择“认证 > 证书管理 > PKI实体”,进入PKI实体的显示页面,如下图所示。

图3-2 PKI实体

 

(2)      单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。

图3-3 新建PKI实体

 

(3)      配置PKI实体的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-4 新建PKI实体的详细配置

配置项

说明

PKI实体名称

设置要新建的PKI实体的名称

通用名

设置实体的通用名,比如用户名称

实体IP地址

设置实体的IP地址

FQDN

设置实体的FQDN(Fully Qualified Domain Name,完全合格域名)

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN

国家/地区

设置实体所属的国家或地区代码

州省

设置实体所属的州省

地理区域

设置实体所在地理区域的名称

组织

设置实体所属组织的名称

部门

设置实体所属部门的名称

 

3.1.3  新建PKI域

(1)      在导航栏中选择“认证 > 证书管理 > PKI域”,进入PKI域的显示页面,如下图所示。

图3-4 PKI

 

(2)      单击<新建>按钮,进入新建PKI域的配置页面,如下图所示。

图3-5 新建PKI

 

(3)      配置PKI域的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-5 新建PKI域的详细配置

配置项

说明

PKI域名称

设置要新建的PKI域的名称

CA标识符

设置设备信任的CA标识符

在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA标识符,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行

提示

·       当采用离线方式申请证书时,此项可以不配置,否则必须配置

·       CA标识符只是在获取CA证书时使用,申请本地证书时不会用到

本地实体

设置本地PKI实体名称

向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份

注册机构

设置证书申请的注册审理机构

·       CA:表示实体从CA注册申请证书

·       RA:表示实体从RA注册申请证书

证书申请的受理一般由一个独立的注册机构(即RA)来承担,它接收用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI推荐独立使用RA作为注册审理机构

证书申请URL

设置注册服务器的URL

证书申请前必须指定注册服务器的URL,随后实体可通过SCEP向该服务器提出证书申请

提示

·       当采用离线方式申请证书时,此项可以不配置,否则必须配置

·       目前,注册服务器URL的配置不支持域名解析

LDAP服务器IP地址

设置LDAP服务器的IP地址、端口号和版本号

在PKI系统中,用户的证书和CRL信息的存储是一个非常核心的问题。一般采用LDAP服务器来存储证书和CRL,这时就需要指定LDAP服务器的信息

端口

版本

证书申请方式

设置在线证书申请的方式,有Auto(自动)和Manual(手动)两种方式

挑战码

当证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码

输入的挑战码和确认挑战码必须一致

确认挑战码

根证书指纹散列算法

设置验证CA根证书时所使用的指纹

当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书

·       当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入

·       当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入

·       当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

提示

当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

根证书指纹

证书查询次数

设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数

实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。客户端可以配置证书申请状态的查询周期和次数

证书查询间隔

启用CRL查询

设置在证书验证时是否进行CRL检查

如果启用CRL检查,则验证证书的有效性,必须通过CRL判断

CRL更新间隔

启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔

缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定

提示

手工配置的CRL更新间隔将优先于CRL文件中指定的更新间隔

获取CRL的URL

启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式

需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行

 

3.1.4  生成RSA密钥对

(1)      在导航栏中选择“认证 > 证书管理 > 证书”,进入PKI证书的显示页面,如下图所示。

图3-6 证书

 

(2)      单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。

图3-7 创建密钥

 

(3)      设置RSA密钥的长度。

(4)      单击<确定>按钮完成操作。

3.1.5  销毁RSA密钥对

(1)      在导航栏中选择“认证 > 证书管理 > 证书”,进入PKI证书的显示页面,如图3-5所示。

(2)      单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。

(3)      单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。

图3-8 销毁密钥

 

3.1.6  获取和查看证书

用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。

(1)      在导航栏中选择“认证 > 证书管理 > 证书”,进入PKI证书的显示页面,如图3-5所示。

(2)      单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。

图3-9 获取证书

 

(3)      配置获取PKI证书所需的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-6 获取PKI证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

证书类型

设置要获取的证书的为CA证书或Local证书

启用离线方式

设置是否启用离线方式(如FTP、磁盘、电子邮件等)获取证书

从设备取得文件

当启用离线方式时,设置要导入的证书文件的存放路径和文件名

·       当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件

·       当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区

从PC取得文件

口令

当启用离线方式时,设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令

 

(5)      获取证书后,在PKI证书显示页面中单击某证书对应的<查看证书>按钮,查看该证书的详细信息,如下图所示。

图3-10 查看证书的详细信息

 

3.1.7  申请本地证书

(1)      在导航栏中选择“认证 > 证书管理 > 证书”,进入PKI证书的显示页面,如图3-5所示。

(2)      单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。

图3-11 申请证书

 

(3)      配置申请本地证书所需的信息,详细配置如下表所示。

表3-7 申请本地证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

挑战码

设置挑战码,即撤销证书时使用的密码

启用离线方式

设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书

当无法通过SCEP协议向CA在线申请证书时,可以选择启用离线方式申请本地证书

 

(4)      单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如下图所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。

图3-12 离线申请证书的信息

 

3.1.8  获取和查看CRL

(1)      在导航栏中选择“认证 > 证书管理 > CRL”,进入CRL的显示页面,如下图所示。

图3-13 CRL

CRL

 

(2)      在列表中单击某PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。

(3)      获取CRL后,在列表中单击该PKI域对应的<查看CRL>按钮,可查看其CRL的详细信息,如下图所示。

图3-14 查看CRL的详细信息

 

3.2  配置SSL VPN服务

(1)      在导航栏中选择“VPN > SSL VPN > 服务管理”,进入如下图所示的页面。

图1-1 服务管理

 

(2)      配置SSL VPN服务的信息,详细配置如下表所示。

(3)      单击<确定>按钮完成操作。

表3-8 SSL VPN服务的详细配置

配置项

说明

启用SSL VPN

设置启用SSL VPN服务

端口

设置SSL VPN服务使用的端口号,缺省值为443

PKI域

设置SSL VPN服务使用PKI域

 

3.3  配置Web代理服务器资源

Web服务器的服务一般是以网页的形式提供的,用户可以通过点击网页中的超链接,在不同的网页之间跳转,以浏览网页获取信息。在Internet上,这种服务器与用户的交互是通过明文方式传输的,任何人都可以通过截取HTTP数据的方式非法获取信息。SSL VPN为用户访问Web服务器的过程提供了安全的访问链接,并且可以阻止非法用户访问受保护的Web服务器。

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”,进入Web代理服务器资源的显示页面,如下图所示。

图3-15 Web代理

 

(2)      单击<新建>按钮,进入新建Web代理服务器资源的页面,如下图所示。

图3-16 新建Web代理服务器资源

 

(3)      配置Web代理服务器资源的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-9 Web代理服务器资源的详细配置

配置项

说明

资源名称

设置Web代理服务器资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

站点地址

设置提供Web服务的站点地址,必须以“http://”开头,以“/”结尾,例如:http://www.domain.com/web1/

站点地址可以设置为IP地址或域名,当设置为域名时,需要通过命令行配置域名解析,具体配置请参见“三层技术-IP业务配置指导”中的“IPv4域名解析”

缺省页面

设置用户登录Web站点后的首页面,例如:index.htm

站点匹配模式

设置用户通过该站点可以访问哪些网页

站点匹配模式可以使用通配符“*”进行模糊匹配,多个匹配模式之间以“|”隔开

例如,要使用户能够访问站点中提供的到www.domain1.com的链接,以及到www.domain2.com、www.domain2.org、www.domain2.edu等的链接,可以将站点匹配模式设置为www.domain1.com|www.domain2.*

启用页面保护

设置启用页面保护功能

启用页面保护功能时,用户登录Web站点后,不能对该站点的页面进行截屏、页面保存、页面打印的操作

单点登录

设置是否启用单点登录

启用单点登录并正确设置单点登录参数后,当用户通过SSL VPN服务界面点击访问该资源时,如果用户访问站点的用户名、密码与用户登录SSL VPN的用户名、密码相同,则用户可以自动登录相应的站点,简化了用户访问资源的操作过程

当启用单点登录时,可以设置下面的配置项

提示

除了在配置Web代理服务器资源时配置单点登录功能,还可以在如图3-14所示的Web代理服务器资源显示页面单击某资源对应的icon_dtl图标进行配置。单击此图标后,在弹出的页面中输入任意的用户名和密码(二者不能相同),单击<确定>按钮,弹出此资源中站点的登录页面。在登录页面再次输入之前指定的用户名和密码并登录,当看到单点登录配置成功的提示后,即完成单点登录功能的配置,系统会从这个过程中自动提取用户名参数名和密码参数名。需要注意的是,当站点登录页面还需要设置除用户名和密码外的其他参数时,可能无法通过这种方式配置

使用IP网络方式

设置系统是否使用IP网络方式自动登录站点,不使用此方式时使用Web代理方式自动登录站点

提示

当使用IP网络方式登录时,系统采用IP接入来访问资源,此时需要配置相应的IP网络资源,并将该资源与相关的用户进行关联

登录请求路径

·       当使用IP网络方式时,设置单点登录时系统自动提交的路径。此时如果不设置登录请求路径,则直接使用Web代理方式登录前面指定的站点地址

·       当不使用IP网络方式时,设置Web代理方式登录该站点的相对路径。此时如果不设置登录请求路径,则直接使用前面指定的缺省页面

用户名参数

设置系统自动登录时提交的用户名参数名

密码参数

设置系统自动登录时提交的密码参数名

其他参数

设置系统自动登录时提交的其他参数

单击<新建>按钮,在弹出的对话框中设置参数名和参数值,单击<确定>按钮,即可添加一个参数

 

3.4  配置TCP应用资源

TCP应用资源包括以下几种:

·              远程访问服务资源

·              桌面共享资源

·              电子邮件资源

·              Notes邮件服务资源

·              通用TCP服务资源

3.4.1  配置远程访问服务资源

远程访问服务是一类服务的总称,包括Telnet、SSH等常见的远程字符终端服务,还包括IBM3270等一些传统的终端服务。这些服务一般是用于方便用户管理远程主机的,通过软件模拟一个服务器终端窗口,使得在本地主机上的操作就像是在远程主机上操作一样。SSL VPN使用SSL加密技术,将这些原本在Internet上以明文方式传输的服务通过SSL来进行加密,保证了数据传输的安全性。

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,默认进入“远程访问服务”页签的页面,如下图所示。

图3-17 远程访问服务

 

(2)      单击<新建>按钮,进入新建远程访问服务的页面,如下图所示。

图3-18 新建远程访问服务

 

(3)      配置远程访问服务资源的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-10 远程访问服务资源的详细配置

配置项

说明

资源名称

设置远程访问服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置提供远程访问服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,建议设置为大于1024的非常用端口号

命令行

设置该资源的Windows命令行

正确配置命令行后,用户可以在SSL VPN服务界面上通过点击该资源名称的链接,直接启动相应的应用程序,访问远程服务器

例如:Telnet远程访问服务的命令行可以设置为“telnet 本地地址 本地端口”,如“telnet 127.0.0.1 2300”。需要注意的是,如果本地端口使用的是远程访问服务缺省的端口号,则在命令行中可以省略本地端口信息

 

3.4.2  配置桌面共享服务资源

使用桌面共享(又称为“远程桌面”)服务,用户可以从本地计算机上访问运行在远程计算机上的会话。这意味着用户可以从家里连接到办公室里的工作计算机,并访问所有应用程序、文件和网络资源,就好像坐在工作计算机前面一样。常用的桌面共享服务有Windows远程桌面、VNC(Virtual Network Computing)桌面共享、Citrix桌面共享等。某些桌面共享应用使用明文压缩方式发送数据,在网络上传输容易被攻击者截获并还原。通过SSL VPN加密后,可以提高数据传输的安全性。

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)      单击“桌面共享”页签,进入如下图所示的页面。

图3-19 桌面共享

 

(3)      单击<新建>按钮,进入新建桌面共享服务的页面,如下图所示。

图3-20 新建桌面共享服务

 

(4)      配置桌面共享服务资源的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-11 桌面共享服务资源的详细配置

配置项

说明

资源名称

设置桌面共享服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置提供桌面共享服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,建议设置为大于1024的非常用端口号

命令行

设置该资源的Windows命令行

例如:Windows桌面共享服务的命令行可以设置为“mstsc /v 本地地址:本地端口”,如“mstsc /v 127.0.0.2:20000”。需要注意的是,如果本地端口使用的是桌面共享服务缺省的端口号,则在命令行中可以省略本地端口信息

 

3.4.3  配置电子邮件服务资源

电子邮件服务是日常生活、工作中的一种常用服务,用于在网络上使用电子信件的方式在邮件服务用户之间交换各种文字、图形形式的信息。一般情况下,这些信息交换都是以明文方式在网络上传输的,存在一定的安全隐患。用户可以通过实现将邮件加密的方式提高内容安全性,但是无法保证传输过程的安全。使用SSL VPN,可以提高邮件传输过程的安全性。

说明

电子邮件服务必须至少配置两个资源才能正常使用,一个接收服务器、一个发送服务器。

 

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)      单击“电子邮件”页签,进入如下图所示的页面。

图3-21 电子邮件

 

(3)      单击<新建>按钮,进入新建电子邮件服务的页面,如下图所示。

图3-22 新建电子邮件服务

 

(4)      配置电子邮件服务资源的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-12 电子邮件服务资源的详细配置

配置项

说明

资源名称

设置电子邮件服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

服务类型

设置电子邮件服务的类型,包括POP3、IMAP和SMTP

远程主机

设置电子邮件服务器的主机名或IP地址

服务端口

设置电子邮件服务器的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,必须设置为各类电子邮件服务的缺省端口号

命令行

设置该资源的Windows命令行

用户必须手动启动电子邮件服务应用程序,故此项不需要配置

 

3.4.4  配置Notes邮件服务资源

Notes是实现和运行办公自动化的平台,能够提供基于C/S结构的电子邮件服务。使用SSL VPN,可以提高Notes服务的安全性。

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)      单击“Notes服务”页签,进入如下图所示的页面。

图3-23 Notes服务

 

(3)      单击<新建>按钮,进入新建Notes服务的页面,如下图所示。

图3-24 新建Notes服务

 

(4)      配置Notes邮件服务资源的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-13 Notes邮件服务资源的详细配置

配置项

说明

资源名称

设置Notes邮件服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置Notes邮件服务器的主机名或IP地址

服务端口

设置Notes邮件服务器的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

提示

本地主机字符串必须和Notes程序中的邮件服务器名称符串相同才能正常使用该资源

本地端口

本地主机的端口号,必须设置为Notes邮件服务的缺省端口号

命令行

设置该资源的命令行

用户必须手动启动Notes邮件服务应用程序,故此项不需要配置

 

3.4.5  配置通用TCP服务资源

通用TCP服务是SSL VPN为了满足多种多样的C/S(客户端/服务器)程序而设计的,具有良好的普遍适用性。一般情况下,管理员在通用TCP服务中配置应用程序服务可能使用的所有网络端口,用户只要将应用程序的访问地址、端口号配置为通用TCP服务列表中列出的地址和端口号,即可正确运行应用程序。

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)      单击“TCP服务”页签,进入如下图所示的页面。

图3-25 TCP服务

 

(3)      单击<新建>按钮,进入新建TCP服务的页面,如下图所示。

图3-26 新建TCP服务

 

(4)      配置通用TCP服务资源的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-14 通用TCP服务资源的详细配置

配置项

说明

资源名称

设置通用TCP服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

服务类型

设置通用TCP服务的类型

远程主机

设置提供通用TCP服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号

命令行

设置该资源的Windows命令行

 

3.5  配置IP网络资源

SSL VPN网络服务访问提供了IP层以上的所有应用支持,可以保证用户与服务器的通讯安全。用户不需要关心应用的种类和配置,仅通过登录SSL VPN服务界面,即可自动下载并启动ActiveX SSL VPN客户端程序,从而完全地访问特定主机的管理员所授权的服务。

表3-15 配置IP网络资源

步骤

配置任务

说明

1

3.5.1  配置全局参数

必选

配置地址池、网关地址、超时时间、WINS/DNS服务器地址等IP网络资源访问的全局参数

2

3.5.2  配置主机资源

必选

配置用户通过IP网络接入方式可以访问的主机资源

3

3.5.3  配置固定IP

可选

配置将用户名与固定IP地址进行绑定。配置了固定IP后,当该用户访问IP网络资源时,系统不会再从全局地址池中为客户端分配虚拟网卡IP地址,而是直接将绑定的固定IP分配给客户端

4

3.5.4  配置预置域名

可选

配置了预置域名后,网关将预先指定的域名与IP地址的映射下发给客户端。当客户端要访问该域名时,直接使用相应的IP地址,不需要再进行域名解析

 

3.5.1  配置全局参数

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面,如下图所示。

图3-27 全局配置

 

(2)      配置IP网络资源访问的全局参数,详细配置如下表所示。

(3)      单击<确定>按钮完成操作。

表3-16 全局参数的详细配置

配置项

说明

起始IP

设置为客户端虚拟网卡分配IP地址的地址池

终止IP

子网掩码

设置为客户端虚拟网卡分配的子网掩码

网关地址

设置为客户端虚拟网卡分配的默认网关IP地址

超时时间

设置客户端连接的空闲超时时间。如果网关在超时时间内没有收到客户端发来的任何报文,则断开与该客户端的连接

WINS服务器地址

设置为客户端虚拟网卡分配的WINS服务器IP地址

DNS服务器地址

设置为客户端虚拟网卡分配的DNS服务器IP地址

允许客户端互通

设置是否允许不同的在线用户之间通过IP接入相互通信

只允许访问VPN

设置用户上线之后是否能够同时访问Internet

如果设置为只允许访问VPN,则用户上线之后不能同时访问Internet

用户网络服务显示方式

设置用户上线后看到的网络服务的显示方式,包括:

·       显示描述信息:显示主机资源中允许访问的网络服务的描述信息

·       显示IP地址:显示主机资源中允许访问的网络服务的目的地址、子网掩码和协议类型

 

3.5.2  配置主机资源

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”。

(2)      单击“主机配置”页签,进入如下图所示的页面。

图3-28 主机配置

 

(3)      单击<新建>按钮,进入新建主机资源的页面,如下图所示。

图3-29 新建主机资源

 

(4)      配置主机资源的资源名。

(5)      单击允许访问的网络服务列表下的<新建>按钮,弹出如下图所示的窗口。

图3-30 新建允许访问的网络服务

 

(6)      配置允许访问的网络访问的信息,详细配置如下表所示。

表3-17 允许访问的网络服务的详细配置

配置项

说明

目的地址

设置网络服务的目的地址

子网掩码

设置网络服务的子网掩码

协议类型

设置网络服务的协议类型,包括IP、TCP和UDP

描述信息

设置网络服务的描述信息

提示

当在全局配置中设置了用户网络服务显示方式为“显示描述信息”时,建议描述信息中要包含允许访问的网段信息,以便用户登录到SSL VPN后能够查看到所需的信息

 

(7)      单击<确定>按钮完成操作。

(8)      重复步骤(5)~(7)配置多个允许访问的网络服务。

(9)      单击快捷方式列表下的<新建>按钮,弹出如下图所示的窗口。

图3-31 新建快捷方式

 

(10)   配置快捷方式的信息,详细配置如下表所示。

表3-18 快捷方式的详细配置

配置项

说明

快捷方式名称

设置该快捷方式的名称

快捷方式命令

设置该快捷方式的Windows命令行

 

(11)   单击<确定>按钮完成操作。

(12)   重复步骤(9)~(11)配置多个快捷方式。

(13)   单击<确定>按钮完成操作。

3.5.3  配置固定IP

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”。

(2)      单击“固定IP”页签,进入如下图所示的页面。

图3-32 固定IP

 

(3)      单击<新建>按钮,进入新建固定IP的页面,如下图所示。

图3-33 新建固定IP

 

(4)      配置固定IP的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-19 固定IP的详细配置

配置项

说明

用户名

设置要与IP地址绑定的用户名,必须为完全用户名格式,例如:aaa@local

绑定IP地址

设置绑定的IP地址,必须与全局配置中的地址池在同一网段,但不能包含在地址池中,且不能与网关地址相同

 

3.5.4  配置预置域名

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”。

(2)      单击“预置域名”页签,进入如下图所示的页面。

图3-34 预置域名

 

(3)      单击<新建>按钮,进入新建预置域名的页面,如下图所示。

图3-35 新建预置域名

 

(4)      配置预置域名的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-20 预置域名的详细配置

配置项

说明

域名

设置下发给客户端的域名

获取IP方式

设置域名对应IP地址的获取方式,包括:

·       动态:选择此项时,需要通过命令行配置域名解析,网关会先进行域名解析,再将解析的结果下发给客户端

·       静态:选择此项时,需要设置配置项“IP”,网关会直接将域名与IP的映射关系下发给客户端

IP

设置域名对应的IP地址

当获取IP方式为“动态”时,此设置无效

 

3.6  配置资源组

(1)      在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”,进入如下图所示的页面。

图3-36 资源组

 

(2)      单击<新建>按钮,进入新建资源组的页面,如下图所示。

图3-37 新建资源组

 

(3)      配置资源组的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-21 资源组的详细配置

配置项

说明

资源组名

设置资源组的名称

资源

设置该资源组中包含的资源

 

3.7  配置本地用户

配置以本地认证方式登录的SSL VPN用户信息,有两种配置方法:

·              手工逐个进行配置。使用此方法可以同时为用户指定用户名、密码,以及证书绑定、公告账号、用户状态、MAC地址绑定、所属用户组等高级参数。

·              先将用户信息编写成文本文件,然后进行批量导入。使用此方法导入的用户信息只包含用户名和密码参数(用户状态为“允许”),可以在完成批量导入后通过手工修改用户信息来为其指定高级参数。

3.7.1  手工配置本地用户

(1)      在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”,进入如下图所示的页面。

图3-38 本地用户

 

(2)      单击<新建>按钮,进入新建本地用户的页面,如下图所示。

图3-39 新建本地用户

 

(3)      配置本地用户的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-22 本地用户的详细配置

配置项

说明

用户名

设置本地用户的名称

用户描述

设置用户的描述信息

用户密码

设置用户的密码

输入的密码确认必须与用户密码一致

密码确认

证书序号

设置与用户名绑定的证书序列号,用于用户的身份验证

启用公共账号

设置是否将该用户账号作为公共账号

当启用公共账号时,允许多个用户同时使用该账号登录SSL VPN;否则,同一时刻只允许一个用户使用该账号登录SSL VPN

公共账号允许登录的最大用户数

当启用公共账号时,设置允许同时使用该账号登录的最大用户数

用户状态

设置该用户的使能状态,包括:允许、有效期限内允许、禁止

有效期限

当用户状态为“有效期限内允许”时,设置允许该用户登录的有效期限

MAC地址

设置与用户名绑定的MAC地址,用于用户的身份验证

提示

要实现这两个功能,还需要在域策略中启用MAC地址绑定,详细配置请参见“3.10.1  配置域策略

启用MAC地址自学习

设置是否自动学习用户的MAC地址

启用MAC地址自学习功能后,当用户使用此账号登录时,SSL VPN系统会自动学习该用户主机的MAC地址,并记录于“MAC地址”配置项中,同一个账号最多可以学习并记录3个不同的MAC地址。记录的MAC地址在禁用此功能后仍然有效

所属用户组

设置用户所属的用户组

 

3.7.2  批量导入本地用户

(1)      在导航栏中选择“VPN > SSL VPN > 用户管理 > 批量导入”,进入如下图所示的页面。

(2)      通过单击<浏览…>按钮正确设置用户信息文件保存在本地主机的路径及文件名。

(3)      设置如果设备上存在同名的文件,是否直接覆盖。

(4)      单击<确定>按钮将文件中的用户信息批量导入到设置。

图3-40 本地用户

 

3.8  配置用户组

(1)      在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”,进入如下图所示的页面。

图3-41 用户组

 

(2)      单击<新建>按钮,进入新建用户组的页面,如下图所示。

图3-42 新建用户组

 

(3)      配置用户组的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-23 用户组的详细配置

配置项

说明

用户组名

设置用户组的名称

资源组

设置与该用户组相关联的资源组,用户组中的用户就可以访问资源组中的资源

本地用户

设置用户组中的本地用户成员

 

3.9  查看用户信息

3.9.1  查看在线用户信息

(1)      在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”,进入“在线用户”页签的页面,如下图所示。

图3-43 在线用户

 

(2)      查看当前在线的用户信息,详细说明如下表所示。

表3-24 在线用户信息的详细说明

标题项

说明

登录时间

该用户登录到SSL VPN的时间

用户名

该用户的用户名,完全用户名格式

IP地址

该用户的主机IP地址

 

3.9.2  将在线用户强制下线

(1)      在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”,进入“在线用户”页签的页面,如图3-42所示。

(2)      选中用户信息前的复选框。

(3)      单击<强制下线>按钮,弹出是否确认要删除选中项的提示框。

(4)      单击提示框中的<确定>按钮,将选中的用户强制下线。

说明

也可以单击某用户对应的icon_del图标,将其强制下线。

 

3.9.3  查看历史用户信息

(1)      在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”。

(2)      单击“历史信息”页签,进入如下图所示的页面。

(3)      查看历史最大并发用户数和历史最大并发连接数的信息。

图3-44 历史信息

 

3.10  配置域基本策略

配置域策略、缓存策略和公告管理:

·              域策略:是针对SSL VPN域的一些通用参数或功能的设置,包括是否启用安全策略、是否启用校验码验证、是否启用单独客户端策略、是否启用MAC地址绑定、是否启用自动登录、用户超时时间、默认认证方式等。

·              缓存策略:是针对用户退出SSL VPN时,需要清除的缓存内容的设置。

·              公告管理:通过公告管理实现在企业中为不同的用户发布不同的消息、通知的功能。

3.10.1  配置域策略

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”,进入“域策略”页签的页面,如下图所示。

图3-45 域策略

 

(2)      配置域策略的信息,详细配置如下表所示。

(3)      单击<确定>按钮完成操作。

表3-25 域策略的详细配置

配置项

说明

启用安全策略

设置是否启用安全策略

启用安全策略时,SSL VPN系统会在用户登录时对用户主机的安全状况进行检查,根据检查结果来决定用户能够使用哪些资源。

提示

要实现此功能,还需要配置具体的安全策略,详细配置请参见“3.12  配置安全策略

启用校验码验证

设置是否启用校验码验证

启用校验码验证时,用户需要在SSL VPN登录页面输入正确的校验码,才能登录

启用单独客户端策略

设置是否启用单独客户端策略

启用单独客户端策略时,当用户登录SSL VPN系统,SSL VPN客户端自动运行后,SSL VPN系统的网页会自动关闭,但客户端仍然正常运行

启用MAC地址绑定

设置是否启用MAC地址绑定

启用MAC地址绑定时,系统会在用户登录时获取用户主机的MAC地址,用于验证用户身份或者学习用户MAC地址

启用自动登录

设置是否启用自动登录

启用自动登录时,系统会在用户访问SSL VPN登录页面时,根据默认认证方式中认证模式的不同,自动以guest账号或证书的账号进行登录

·       当认证模式为密码认证时,系统自动以guest账号登录

·       当认证模式为证书认证时,系统自动以客户端证书中携带的用户名登录

·       当认证模式为密码+证书认证时,系统自动以guest账号登录,并且要求用户必须有颁发给guest用户的客户端证书

用户超时时间

设置用户的空闲超时时间

用户登录SSL VPN时,如果长时间没有进行任何操作,则系统会将该用户强制下线

默认认证方式

设置SSL VPN登录页面缺省情况下选择的认证方式

提示

要设置除本地认证外的其他认证方式为默认认证方式,还必须启用该认证方式,详细配置请参见“3.11  配置认证策略

证书用户名字段

设置当认证模式为证书认证时,采用证书中的哪个字段作为认证用户名。可以选择Common-Name或Email-Address字段

校验码超时时间

设置SSL VPN登录页面上显示的校验码图片的有效时间。超过指定的时间,校验码将失效,可以通过刷新页面获得新的校验码

 

3.10.2  配置缓存策略

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

(2)      单击“缓存策略”页签。

(3)      进入如下图所示的页面。

(4)      选择当用户退出SSL VPN时,要在用户主机上清除的内容,包括:

·              网页缓存

·              Cookie

·              下载程序:指用户登录SSL VPN时,自动下载并运行的SSL VPN客户端程序。

·              配置文件:指用户修改SSL VPN客户端程序的设置时,自动保存的配置文件。

(5)      单击<确定>按钮完成操作。

图3-46 缓存策略

 

3.10.3  配置公告

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

(2)      单击“公告管理”页签,进入如下图所示的页面。

图3-47 公告管理

 

(3)      单击<新建>按钮,进入新建公告的页面,如下图所示。

图3-48 新建公告

 

(4)      配置公告的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表3-26 公告的详细配置

配置项

说明

公告标题

设置公告的标题

公告内容

设置公共的内容

用户组

设置可以查看到该公告的用户组

 

3.11  配置认证策略

SSL VPN支持本地认证、RADIUS认证、LDAP认证和AD认证4种认证方式。每种认证方式支持3种认证模式(RADIUS认证只支持密码认证和密码+证书认证2种):

·              密码认证:只认证用户密码。

·              密码+证书认证:同时认证用户密码和客户端证书。

·              证书认证:只认证客户端证书。

同时,SSL VPN还支持由上述4种认证方式中的任意2种组合进行组合认证。

3.11.1  配置本地认证

本地认证主要是针对用户信息存储在SSL VPN设备上的认证方式。这种认证由于用户信息是存储在本地的,所以不需要同外部服务器进行交互,认证过程较快。但是由于设备本身容量有限,本地用户的数目也是有限制的。

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,进入“本地认证”页签的页面,如下图所示。

(2)      配置本地认证的认证模式,包括:密码认证、密码+证书认证、证书认证。

(3)      单击<确定>按钮完成操作。

图3-49 本地认证

 

3.11.2  配置RADIUS认证

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。SSL VPN系统通过配置RADIUS认证,能够实现与企业原有RADIUS认证服务器的无缝集成,平滑实现对企业原RADIUS用户进行认证,避免企业为用户重复创建账号的问题。

说明

·       要启用RADIUS认证,必须先在设备上配置名为“system”的RADIUS方案,有关RADIUS的详细介绍及通过命令行配置RADIUS的方法,请参见“安全配置指导”中的“AAA”。

·       要成功进行RADIUS认证,还需要在RADIUS认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备允许每个用户最多能属于100个用户组,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

1. 配置RADIUS方案

RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参数。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址、UDP端口号和报文共享密钥进行设置,这些服务器包括认证和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、从服务器的IP地址、共享密钥以及RADIUS服务器类型等。缺省情况下,不存在任何RADIUS方案。

在导航栏中选择“认证 > RADIUS”,进入如图3-49所示的页面。单击<新建>按钮,进入新建RADIUS方案的配置页面,如图3-50所示。

图3-50 RADIUS

 

图3-51 新建RADIUS方案

 

RADIUS方案的详细配置如表3-27所示。

表3-27 RADIUS方案的详细配置

配置项

说明

方案名称

设置RADIUS方案的名称

通用配置

设置RADIUS方案的通用参数,包括服务类型、用户名格式、认证/计费服务器共享密钥等,详细配置请参见“3.11.2  1. (1)通用配置

RADIUS服务器配置

设置RADIUS认证服务器和计费服务器信息,详细配置请参见“3.11.2  1. (2)RADIUS服务器配置

 

(1)      通用配置

单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如图3-51所示。

图3-52 通用配置

 

通用参数的详细配置如表3-28所示。

表3-28 通用参数的详细配置

配置项

说明

服务类型

设置设备支持的RADIUS服务器类型:

·       Standard:要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互

·       Extended:要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互,一般为CAMS/iMC

用户名格式

设置发送给RADIUS服务器的用户名格式,包括:保持用户原始输入、带域名、不带域名

接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名,可以配置将域名去除后再传送给服务器

认证服务器共享密钥

设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥

RADIUS客户端与服务器使用MD5算法来加密RADIUS报文,通过共享密钥验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应

提示

设备优先采用“RADIUS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用

确认认证服务器共享密钥

计费服务器共享密钥

确认计费服务器共享密钥

静默时间间隔

设置RADIUS服务器恢复active状态的时间

若主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使认证和计费尽可能的集中在主服务器上进行。当静默时间间隔为0时,若当前用户使用的服务器不可达,则设备保持active状态不进行切换,并将当前用户的认证或计费请求报文发送给下一个active状态的服务器,而后续其它用户的认证或计费请求报文仍然可以发送给该服务器进行处理

服务器应答超时时间

设置RADIUS服务器应答超时时间

如果在RADIUS认证请求或计费请求报文传送出去一段时间后,设备还没有得到服务器的应答,则有必要重传请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为服务器应答超时时间。根据网络状况合理设置该超时时间,可以提高系统性能

提示

服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能大于75

RADIUS报文最大尝试发送次数

设置由于RADIUS服务器未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数

实时计费间隔

设置向RADIUS服务器发送在线用户计费信息的时间间隔,取值必须为3的整数倍

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的要求,取值越小,对二者的性能要求越高。建议当用户量较大(≥1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系请参见“表3-29

实时计费报文最大发送次数

设置允许实时计费请求无响应的最大次数

流量数据的单位

设置发送到RADIUS服务器的流量数据的单位,包括:Byte(字节)、Kilo-byte(千字节)、Mega-byte(兆字节)、Giga-byte(千兆字节)

数据包的单位

设置发送到RADIUS服务器的数据包的单位,包括:One-packet(包)、Kilo-packet(千包)、Mega-packet(兆包)、Giga-packet(千兆包)

VPN

设置RADIUS方案所属的VPN实例

此处设置的VPN对于该方案下的所有RADIUS认证和计费服务器生效,但设备优先使用配置RADIUS认证和计费服务器时为各服务器单独指定的VPN

安全策略服务器IP地址

设置安全策略服务器的IP地址

RADIUS报文源IP地址

设备向RADIUS服务器发送RADIUS报文时使用的源IP地址

为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址

RADIUS报文备份源IP地址

设备向RADIUS服务器发送RADIUS报文时使用的备份源IP地址

在双机热备运行的环境下,此地址必须指定为对端设备上的RADIUS报文源IP地址,以保证主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理

缓存未得到响应的停止计费报文

设置当出现没有得到响应的停止计费请求时,是否将该报文存入设备缓存后,并制定允许停止计费请求无响应的最大次数

停止计费报文最大发送次数

启用accounting-on报文发送功能

设置是否启用accounting-on报文发送功能,并指定accounting-on报文的重发时间间隔和最大发送次数

在启用accounting-on报文发送功能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器,要求服务器强制该设备的用户下线

提示

启用accounting-on报文发送功能后,请保存配置,以保证功能在设备重启后生效

accounting-on发送间隔

accounting-on发送次数

属性

设置开启RADIUS Attribute 25的CAR参数解析功能

属性值类型

 

表3-29 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

≥1000

≥15

 

(2)      RADIUS服务器配置

在“RADIUS服务器配置”中单击<添加>按钮,弹出如图3-52所示的页面,可以为RADIUS方案添加RADIUS服务器。

图3-53 添加RADIUS服务器

 

RADIUS服务器的详细配置如表3-30所示。

表3-30 RADIUS服务器的详细配置

配置项

说明

服务器类型

设置要添加的RADIUS服务器类型,包括:主认证服务器、主计费服务器、备份认证服务器、备份计费服务器

IP地址

设置RADIUS服务器的IP地址,可以配置IPv4地址或IPv6地址

提示

·       主认证服务器和备份认证服务器的IP地址不能相同,主计费服务器和备份计费服务器的IP地址不能相同

·       同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致

端口

设置RADIUS服务器的UDP端口号

密钥

设置RADIUS服务器的共享密钥

当RADIUS服务器中未指定共享密钥时,使用RADIUS方案的通用配置中指定的共享密钥

确认密钥

VPN

设置RADIUS服务器所属的VPN实例

当RADIUS服务器中未指定VPN时,使用RADIUS方案的通用配置中指定的VPN

 

2. 配置RADIUS认证

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)      单击“RADIUS认证”页签,进入如下图所示的页面。

图3-54 RADIUS认证

 

(3)      配置RADIUS认证的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-31 RADIUS认证的详细配置

配置项

说明

启用RADIUS认证

设置是否启用RADIUS认证功能

认证模式

设置RADIUS认证的认证模式,包括:密码认证、密码+证书认证

启动RADIUS计费

设置是否启用RADIUS计费功能

上传虚地址

设置RADIUS计费成功后,是否向RADIUS服务器上传客户端虚拟网卡的IP地址

 

3.11.3  配置LDAP认证

LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种基于TCP/IP的目录访问协议,用于提供跨平台的、基于标准的目录服务。它是在继承了X.500协议优点的基础上发展起来的,并对X.500在读取、浏览和查询操作方面进行了改进,适合于存储那些不经常改变的数据。

LDAP协议的典型应用是用来保存系统的用户信息,如Microsoft的Windows操作系统就使用了Active Directory Server来保存操作系统的用户、用户组等信息。SSL VPN系统通过配置LDAP认证,可以实现对存储在LDAP服务器上的用户进行身份认证,并得到其资源访问权限。

说明

要成功进行LDAP认证,还需要在LDAP认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备允许每个用户最多能属于100个用户组,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)      单击“LDAP认证”页签,进入如下图所示的页面。

图3-55 LDAP认证

 

(3)      配置LDAP认证的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-32 LDAP认证的详细配置

配置项

说明

启用LDAP认证

设置是否启用LDAP认证功能

LDAP服务器IP地址

设置LDAP服务器的IP地址

服务器端口

设置LDAP认证服务器所使用的TCP端口号

版本

设置LDAP认证中所支持的LDAP协议的版本号

认证模式

设置LDAP认证的认证模式,包括:密码认证、密码+证书认证、证书认证

用户组LDAP属性

设置在服务器上定义的用户所在组的属性名

使用查询检查用户DN

设置是否使用查询检查用户DN

管理员DN

当使用查询检查用户DN时,设置具有管理员权限(可以查询登录用户信息)的用户DN

密码

当使用查询检查用户DN时,设置具有管理员权限的用户密码

输入的确认密码必须和密码一致

确认密码

搜索库DN

当使用查询检查用户DN时,设置搜索库DN

搜索查询模板

当使用查询检查用户DN时,设置查询模板

使用模板查询用户DN

设置是否使用模板查询用户DN

用户DN模板

当使用模板查询用户DN时,设置用户DN模板

 

3.11.4  配置AD认证

AD(Active Directory,活动目录)是Windows 2000 Server及以上版本的目录服务,用于存储网络上各种对象的有关信息,便于管理员和用户查找和使用。AD目录服务使用结构化的数据存储,是目录信息的逻辑层次结构的基础。SSL VPN通过配置AD认证,可以实现与企业原有AD域认证的无缝集成。

说明

要成功进行AD认证,还需要在AD认证服务器上配置用户信息。同时,由于AD服务器本身具有组的概念,管理员只要创建用户组,然后把用户加入到组中即可。但必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备允许每个用户最多能属于100个用户组,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)      单击“AD认证”页签,进入如下图所示的页面。

图3-56 AD认证

 

(3)      配置AD认证的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-33 AD认证的详细配置

配置项

说明

启用AD认证

设置是否启用AD认证功能

AD域名

设置AD域的名称

AD服务器IP地址

设置AD服务器的IP地址

最多可以配置4个AD服务器。当一台服务器发生故障时,可以切换到其他服务器上进行认证。4个服务器按照顺序优先使用配置在前的服务器。

认证模式

设置AD认证的认证模式,包括:密码认证、密码+证书认证、证书认证

服务器故障恢复时间

设置AD服务器出现故障时,系统重新检测AD服务器是否恢复正常的间隔时间

管理员账号

设置管理员账号,必须为AD域中User目录下具有查询目录权限的用户账号

密码

设置管理员密码

输入的确认密码必须与密码一致

确认密码

用户名格式

设置登录AD服务器的用户名的格式,包括:用户登录名不带AD域名、用户登录名带AD域名、用户姓名

 

3.11.5  配置组合认证

组合认证是系统其他四种认证方式的任意组合而形成的一种二次认证策略。管理员可以任意指定用户的第一次及第二次分别采用何种认证方式,并且可以指定两次认证之间是否需要重新输入密码。

说明

对于组合认证,用户可访问的资源以及在线用户名均由第一次认证采用的用户名决定;用户在访问单点登录资源时,采用第一次认证的密码作为登录密码。

 

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)      单击“组合认证”页签,进入如下图所示的页面。

图3-57 组合认证

 

(3)      配置组合认证的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-34 组合认证的详细配置

配置项

说明

启用组合认证

设置是否启用组合认证功能

第一次认证方式

设置第一次认证采用的认证方式

第二次认证方式

设置第二次认证采用的认证方式

第二次认证时重新输入密码

设置用户第一次认证成功后,系统是否重新输出登录页面让用户输入二次认证的密码

如果不设置重新输入密码,则系统自动采用第一次认证的密码作为第二次认证的密码

提示

此功能只在启用完全定制界面,并且定制的界面具有二次输出登录页面功能时有效

 

3.12  配置安全策略

不安全用户主机的接入有可能对内部网络造成安全隐患。通过安全策略功能可以在用户登录SSL VPN时,对用户主机的操作系统、浏览器、杀毒软件、防火墙、文件和进程的部署情况进行检查,根据检查的结果来判断该用户主机能够访问哪些资源。

每条安全策略可以包含多个检查类,这些检查类之间是逻辑与的关系,即所有检查类都满足时,才认为符合该安全策略;每个检查类中又包含多个检查规则,检查规则之间是逻辑或的关系,即只要满足其中一个检查规则,就认为符合该检查类。

(1)      在导航栏中选择“VPN > SSL VPN > 域管理 > 安全策略”,进入如下图所示的页面。

图3-58 安全策略

 

(2)      单击<新建>按钮,进入新建安全策略的页面,如下图所示。

图3-59 新建安全策略

 

(3)      配置安全策略的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-35 安全策略的详细配置

配置项

说明

名称

设置安全策略的名称

级别

设置安全策略的级别,数字越大,级别越高

对用户主机进行安全检查时,如果同时定义了多条安全策略,则从级别最高的安全策略开始检查,如果没有通过则检查级别次高的安全策略,直到通过某一条安全策略为止。用户可以使用的是其所能通过的级别最高的安全策略所对应的资源,所以配置安全策略时,应该为级别较高的安全策略配置较多资源

描述

设置安全策略的描述信息

策略配置

设置安全策略的检查规则

检查规则分为7类:操作系统、浏览器、防病毒软件、防火墙、证书、文件和进程

同一个检查类中配置的所有规则,只要满足其中一个,就认为符合该检查类;安全策略中配置的所有检查类都满足时,才认为符合该安全策略

单击某检查类前的扩展按钮,可以查看该类检查规则的信息。单击相应的<新建>按钮,弹出新建该类检查规则的窗口。检查规则的详细配置如表3-36所示

资源配置

设置符合该安全策略的用户主机可以访问的资源

可以直接选择所有Web网站、所有TCP应用、所有IP网络;也可以单击展开“Web网站”、“TCP应用”、“IP网络”前的扩展按钮,在相应资源的列表中进行选择

 

表3-36 检查规则的详细配置

配置项

说明

操作系统

规则名称

设置操作系统检查规则的名称

类型

设置操作系统的类型,用户主机的操作系统必须符合指定类型才能通过检查

版本

设置操作系统的版本,用户主机的操作系统必须符合指定版本才能通过检查

补丁

设置操作系统的补丁,用户主机的操作系统必须安装了指定补丁才能通过检查

浏览器

规则名称

设置浏览器检查规则的名称

类型

设置浏览器的类型,用户主机的浏览器必须符合指定类型才能通过检查

条件

设置浏览器版本检查的条件

·       >=:用户主机的浏览器必须大于或等于指定版本才能通过检查

·       >:用户主机的浏览器必须大于指定版本才能通过检查

·       =:用户主机的浏览器必须等于指定版本才能通过检查

·       <=:用户主机的浏览器必须小于或等于指定版本才能通过检查

·       <:用户主机的浏览器必须小于指定版本才能通过检查

版本

设置浏览器的版本

提示

对于IE浏览器的版本,必须为合法的浮点数,并且小数点后面最多只能有两位数字

补丁

设置浏览器的补丁,用户主机的浏览器必须安装了指定补丁才能通过检查

防病毒软件

规则名称

设置防病毒软件检查规则的名称

类型

设置防病毒软件的类型,用户主机的防病毒软件必须符合指定类型才能通过检查

条件

设置防病毒软件版本检查和病毒库版本检查的条件

·       >=:用户主机的防病毒软件及其病毒库必须大于或等于指定版本才能通过检查

·       >:用户主机的防病毒软件及其病毒库必须大于指定版本才能通过检查

·       =:用户主机的防病毒软件及其病毒库必须等于指定版本才能通过检查

·       <=:用户主机的防病毒软件及其病毒库必须小于或等于指定版本才能通过检查

·       <:用户主机的防病毒软件及其病毒库必须小于指定版本才能通过检查

版本

设置防病毒软件的版本

病毒库版本

设置防病毒软件的病毒库版本

防火墙

规则名称

设置防火墙检查规则的名称

类型

设置防火墙的类型,用户主机的防火墙必须符合指定类型才能通过检查

条件

设置防火墙版本检查的条件

·       >=:用户主机的防火墙必须大于或等于指定版本才能通过检查

·       >:用户主机的防火墙必须大于指定版本才能通过检查

·       =:用户主机的防火墙必须等于指定版本才能通过检查

·       <=:用户主机的防火墙必须小于或等于指定版本才能通过检查

·       <:用户主机的防火墙必须小于指定版本才能通过检查

版本

设置防火墙的版本

证书

规则名称

设置证书检查规则的名称

颁发者

设置证书的颁发者,用户主机上用户证书的颁发者必须符合指定条件才能通过检查

文件

规则名称

设置文件检查规则的名称

文件名

设置文件的名称,用户主机上必须有指定文件才能通过检查

进程

规则名称

设置进程检查规则的名称

进程名

设置进程的名称,用户主机上必须有指定进程才能通过检查

 

3.13  配置用户界面定制

SSL VPN提供了非常灵活的用户访问界面显示方式,管理员可以根据需要部分定制或完全定制界面的内容。

·              部分定制:使用系统提供的页面文件,但可以根据需要定制页面上的部分信息,包括:登录页面标题、登录页面欢迎信息、服务页面标识区信息、登录页面Logo、服务页面Logo和服务页面背景。这些可定制信息在页面上的位置如图3-59图3-60所示。

·              完全定制:使用自行编写的页面文件,定制完全个性化的用户访问界面。

图3-60 登录页面可定制信息

 

图3-61 服务页面可定制信息

 

3.13.1  配置用户界面部分定制

1. 配置页面信息

(1)      在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”,进入“页面信息”页签的页面,如下图所示。

(2)      配置SSL VPN的服务页面标识区信息、登录页面欢迎信息和登录页面标题。

(3)      单击<确定>按钮完成操作。

图3-62 页面信息

 

2. 配置登录页面Logo

(1)      在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”。

(2)      单击“登录页面Logo”页签,进入如下图所示的页面。

(3)      通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。

(4)      设置如果设备上存在同名的文件,是否直接覆盖。

(5)      单击<确定>按钮,将指定的图片文件上传到设备,并将其作为登录页面的Logo图片。

图3-63 登录页面Logo

 

3. 配置服务页面Logo

(1)      在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”。

(2)      单击“服务页面Logo”页签,进入如下图所示的页面。

(3)      通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。

(4)      设置如果设备上存在同名的文件,是否直接覆盖。

(5)      单击<确定>按钮,将指定的图片文件上传到设备,并将其作为服务页面的Logo图片。

图3-64 服务页面Logo

 

4. 配置服务页面背景

(1)      在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”。

(2)      单击“服务页面背景”页签,进入如下图所示的页面。

(3)      通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。

(4)      设置如果设备上存在同名的文件,是否直接覆盖。

(5)      单击<确定>按钮,将指定的图片文件上传到设备,并将其作为服务页面标识区的背景图片。

图3-65 服务页面背景

 

3.13.2  配置用户界面完全定制

说明

进行下面的配置之前,管理员需要将预先编写好的自定义页面文件通过FTP或TFTP方式上传到设备上。

 

(1)      在导航栏中选择“VPN > SSL VPN > 界面定制 > 完全定制”,进入如下图所示的页面。

图3-66 完全定制

 

(2)      配置完全定制的信息,详细配置如下表所示。

(3)      单击<确定>按钮完成操作。

表3-37 完全定制的详细配置

配置项

说明

启用完全定制

设置是否启用自定义页面

页面目录

设置自定义页面文件在设备上的存放路径

页面文件名

设置自定义的登录页面文件的文件名

 


4 用户访问SSL VPN

说明

本节是基于系统提供的SSL VPN服务界面进行介绍的,不适用于完全自行定制的服务界面。

 

4.1  登录SSL VPN服务界面

(1)      完成SSL VPN网关的配置后,用户在其主机上启动浏览器。

(2)      在浏览器的地址栏中输入“https://192.168.1.1:44300/svpn/”后回车(其中的“192.168.1.1”和“44300”分别为SSL VPN网关的主机地址和服务端口号。需要注意的是,当服务端口号为缺省值443时,可以只输入地址),即可进入SSL VPN的登录页面,如下图所示。

图4-1 SSL VPN登录页面

 

(3)      在登录页面上输入用户名和密码,选择认证方式的类别。

(4)      单击<登录>按钮即可登录到SSL VPN服务界面,如下图所示。同时,如果管理员为该用户指定了可以访问的TCP应用或IP网络资源,则会自动运行SSL VPN客户端专用软件,如图4-3所示。

注意

当管理员在域策略中启用了校验码验证时,登录页面上还会显示验证码,用户必须输入正确的验证码才能登录。

 

图4-2 SSL VPN服务界面

 

图4-3 SSL VPN客户端专用软件

 

4.2  使用SSL VPN资源

用户登录到SSL VPN服务界面后,可以看到管理员授权其能够访问的各种资源的信息。

·              对于Web站点资源,用户直接点击资源的名称,即可弹出相应站点的访问窗口。

·              对于TCP应用资源,如果管理员配置了正确的命令行,则用户直接点击资源的名称,即可执行相应的命令,实现对该资源的访问;如果管理员未配置命令行,用户可以根据资源名称提供的信息进行设置,例如用户可以根据电子邮件服务资源名称提供的信息设置Outlook的接收邮件服务器和发送邮件服务器,并使用当前用户的用户名和密码登录,即可使用该电子邮件服务资源正常处理邮件。

·              对于IP网络资源,用户可以根据页面上显示的允许访问的网段信息,访问属于该网段的任何主机;可以直接点击快捷方式的名称,即可执行相应的快捷方式命令。

4.3  查看帮助信息

用户在SSL VPN服务界面上单击右上方的<帮助>按钮,弹出如下图所示的页面,可以查看关于SSL VPN系统的帮助信息。

图4-4 关于SSL VPN系统

 

4.4  修改登录密码

(1)      用户在SSL VPN服务界面上单击右上方的<配置>按钮,进入如下图所示的页面。

(2)      输入新的密码,并再次输入确认密码。

(3)      单击<应用>按钮,即可修改当前用户的登录密码。此用户再次登录时,需使用修改后的密码。

图4-5 修改登录密码

 


5 SSL VPN典型配置举例

5.1  组网需求

在SSL VPN中,为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要为SSL VPN网关申请证书,并启用SSL VPN服务。

在本配置举例中:

·              SSL VPN网关的地址为10.1.1.1/24,为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。

·              对SSL VPN用户进行RADIUS认证,由一台CAMS/iMC服务器(IP地址为10.153.10.131/24)担当RADIUS认证服务器。SSL VPN用户通过认证后,可以访问公司内部提供技术网站(IP地址为10.153.1.223);可以访问10.153.2.0/24网段中的所有主机,并可以通过FTP协议快捷访问Security Server(IP地址为10.153.2.25)。

·              提供一个公共账号usera,对其进行本地认证(不进行RADIUS认证),且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后,可以访问公司内部主机10.153.70.120的共享桌面。

·              SSL VPN域的默认认证方式为RADIUS认证,并且启用校验码验证。

图5-1 SSL VPN配置组网图

 

5.2  配置步骤

说明

·       本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·       进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

·       进行下面的配置之前,需要确保已完成RADIUS服务器的配置,保证用户的认证功能正常运行。本例中,RADIUS服务器上需要配置共享密钥为expert;还需要配置用户帐户信息及用户所属的用户组属性,将用户划分到用户组“user_gr2”中。

 

5.2.1  配置SSL VPN服务

(1)      配置PKI实体en。

步骤1:在导航栏中选择“认证 > 证书管理 > PKI实体”

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入PKI实体名称为“en”。

·              输入通用名为“http-server”。

步骤4:单击<确定>按钮完成操作。

图5-2 配置PKI实体en

 

(2)      配置PKI域sslvpn。

步骤1:在导航栏中选择“认证 > 证书管理 > PKI域”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入PKI域名称为“sslvpn”。

·              输入CA标识符为“CA server”。

·              选择本端实体为“en”。

·              选择注册机构为“RA”。

·              输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

·              选择证书申请方式为“Manual”。

步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”

步骤5:单击对话框中的<确定>按钮完成操作。

图5-3 配置PKI域sslvpn

 

(3)      生成RSA密钥对。

步骤1:在导航栏中选择“认证 > 证书管理 > 证书”。

步骤2:单击<创建密钥>按钮。

步骤3:如下图所示,输入密钥长度为“1024”。

步骤4:单击<确定>按钮开始生成RSA密钥对。

图5-4 生成RSA密钥对

 

(4)      获取CA证书至本地。

步骤1:生成密钥对成功后,在“认证 > 证书管理 > 证书”的页面单击<获取证书>按钮。

步骤2:进行如下配置,如下图所示。

·              选择PKI域为“sslvpn”。

·              选择证书类型为“CA”。

步骤3:单击<确定>按钮开始获取CA证书。

图5-5 获取CA证书至本地

 

(5)      申请本地证书。

步骤1:获取CA证书成功后,在“认证 > 证书管理 > 证书”的页面单击<申请证书>按钮。

步骤2:如下图所示,选择PKI域名称为“sslvpn”。

图5-6 申请本地证书

 

步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。

步骤4:单击提示框中的的<确定>按钮完成操作。

步骤5:完成上述配置后,在“认证 > 证书管理 > 证书”的页面可以看到获取到的CA证书和本地证书,如下图所示。

图5-7 获取到的CA证书和本地证书

 

(6)      启用SSL VPN,并配置SSL VPN服务的端口号和使用的PKI域。

步骤1:在导航栏中选择“VPN > SSL VPN > 服务管理”,进入如下图所示的页面。

步骤2:进行如下配置,如下图所示。

·              选中“启用SSL VPN”前的复选框。

·              输入端口为“443”。

·              选择PKI域为“sslvpn”。

步骤3:单击<确定>按钮完成操作。

图5-8 配置SSL VPN服务

 

5.2.2  配置SSL VPN访问资源

(1)      配置访问公司内部技术网站的Web代理服务器资源tech。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”。

步骤2:单击<新建>按钮。

步骤3:进入如下配置,如下图所示。

·              输入资源名称为“tech”。

·              输入站点地址为“http://10.153.1.223/”。

步骤4:单击<确定>按钮完成操作。

图5-9 配置Web代理服务器资源

 

(2)      配置主机10.153.70.120的桌面共享服务资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

步骤2:单击“桌面共享”页签。

步骤3:单击<新建>按钮。

步骤4:进入如下配置,如下图所示。

·              输入资源名称为“desktop”。

·              输入远程主机为“10.153.70.120”。

·              输入服务端口为“3389”。

·              输入本地主机为“127.0.0.2”。

·              输入本地端口为“20000”。

·              输入命令行为“mstsc /v 127.0.0.2:20000”。

步骤5:单击<确定>按钮完成操作。

图5-10 配置桌面共享服务资源

 

(3)      配置IP网络资源的全局参数。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面。

步骤2:进行如下配置,如下图所示。

·              输入起始IP为“192.168.0.1”。

·              输入终止IP为“192.168.0.100”。

·              输入子网掩码为“24”。

·              输入网关地址为“192.168.0.101”。

步骤3:单击<确定>按钮完成操作。

图5-11 配置IP网络资源的全局参数

 

(4)      配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

步骤1:单击“主机配置”页签。

步骤2:单击<新建>按钮。

步骤3:输入资源名为“sec_srv”。

步骤4:在“允许访问的网络服务”中单击<新建>按钮。

步骤5:在弹出的窗口中进行如下配置,如下图所示。

·              输入目的地址为“10.153.2.0”。

·              输入子网掩码为“24”。

·              选择协议类型为“IP”。

·              输入描述信息为“10.153.2.0/24”。

步骤6:单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

图5-12 配置允许访问的网络访问

 

步骤7:在“快捷方式”中单击<新建>按钮。

步骤8:在弹出的窗口中进行如下配置,如下图所示。

·              输入快捷方式名称为“ftp_security-server”。

·              输入快捷方式命令为“ftp 10.153.2.25”。

步骤9:单击<确定>按钮向该主机资源中添加一个快捷方式。

图5-13 配置允许访问的网络访问

 

步骤10:完成上述配置后的新建主机资源页面如下图所示,单击<确定>按钮完成操作。

图5-14 配置主机资源

 

(5)      配置资源组res_gr1,包含资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入资源组名为“res_gr1”。

·              在可用资源中选中“desktop”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图5-15 配置资源组res_gr1

 

(6)      配置资源组res_gr2,包含资源tech和sec_srv。

步骤1:在资源组的显示页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

·              输入资源组名为“res_gr2”。

·              在可用资源中选中“sec_srv”和“tech”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图5-16 配置资源组res_gr2

 

5.2.3  配置SSL VPN用户

(1)      配置本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入用户名为“usera”。

·              输入用户密码为“passworda”。

·              输入密码确认为“passworda”。

·              选中“启用公共账号”前的复选框。

·              输入公共账号允许登录的最大用户数为“1”。

·              选择用户状态为“允许”。

步骤4:单击<确定>按钮完成操作。

图5-17 配置本地用户usera

 

(2)      配置用户组user_gr1,包含资源组res_gr1和本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入用户组名为“user_gr1”。

·              在可用资源组中选中“res_gr1”,单击“<<”按钮。

·              在可用本地用户中选中“usera”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图5-18 配置用户组user_gr1

 

(3)      配置用户组user_gr2,包含资源组res_gr2。

步骤1:在用户组的显示页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

·              输入用户组名为“user_gr2”。

·              在可用资源组中选中“res_gr2”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图5-19 配置用户组user_gr2

 

5.2.4  配置SSL VPN域

(1)      配置SSL VPN域的默认认证方式为RADIUS认证,并启用校验码验证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

步骤2:进行如下配置,如下图所示。

·              选中“启用校验码验证”前的复选框。

·              选择默认认证方式为“RADIUS认证”。

步骤3:单击<确定>按钮完成操作。

图5-20 配置域策略

 

(2)      配置RADIUS方案system。

步骤1:在导航栏中选择“认证 > RADIUS”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置。

·              输入方案名称为“system”。

·              选择服务类型为“Extended”。

·              选择用户名格式为“不带域名”。

步骤4:在RADIUS服务器配置中单击<添加>按钮。

步骤5:在弹出的页面上进行如下配置,如下图所示。

·              选择服务器类型为“主认证服务器”。

·              输入IP地址为“10.153.10.131”。

·              输入端口为“1812”。

·              输入密钥为“expert”。

·              输入确认密钥为“expert”。

步骤6:单击<确定>按钮向RADIUS方案中添加一个主认证服务器。

图5-21 配置主认证服务器

 

步骤7:完成上述配置后的新建RADIUS方案页面如下图所示,单击<确定>按钮完成操作。

图5-22 配置RADIUS方案system

 

(3)      对SSL VPN域启用RADIUS认证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

步骤2:单击“RADIUS认证”页签。

步骤3:如下图所示,选中“启用RADIUS认证”前的复选框。

步骤4:单击<确定>按钮完成操作。

图5-23 启用RADIUS认证

 

5.3  配置结果验证

完成上述配置后,SSL VPN用户在其主机上启动浏览器,在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车,进入SSL VPN的登录页面,如下图所示,可以看到默认的认证方式(即类别)为RADIUS,并且需要输入验证码。

图5-24 SSL VPN登录页面

 

用户使用公共账号usera登录SSL VPN,登录时类别参数设置为“Local”。usera登录SSL VPN后,可以看到其可访问的资源desktop,如下图所示。单击此资源名称,即可弹出如图5-26所示的窗口,访问指定主机的共享桌面。

图5-25 公共账号usera可访问的资源

 

图5-26 访问桌面共享资源

 

假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”,用户使用该账号登录SSL VPN,登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后,可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机,以及通过FTP访问Security Server,如下图所示。单击tech资源名称,即可弹出技术网站的访问窗口;单击快捷方式ftp_security-server,即可弹出如图5-28所示的窗口,通过FTP协议访问Security Server。

图5-27 非公共账号可访问的资源

 

图5-28 访问IP网络资源

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!