- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath VPN综合安全网关
Web配置指导
|
Copyright © 2023-2025 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
为了方便网络或设备管理员对综合安全网关设备进行配置操作及维护,综合安全网关产品支持通过HTTP协议建立安全的Web连接实现Web网关功能。管理员可以通过Web界面更加直观和便捷地管理和维护综合安全网关设备。
设备在出厂时已经设置了默认的Web登录信息,用户直接使用该默认信息登录设备的Web界面。
默认的Web登录信息包括:
· 设备默认管理IP地址:“192.168.0.1”。
· 验证码:随机数字。
Web管理的具体登录步骤如下:
用交叉以太网线将 PC 和设备的默认管理口相连。
修改管理PC的IP地址为192.168.0.0/24(192.168.0.0/24网段内除192.168.0.1的任意地址即可),例如192.168.0.100。
启动浏览器,在地址栏内输入“https://192.168.0.1:8181”即可进入如下图所示的Web网管登录页面。插入管理员USB Key,密码为初始化时设置的密码,点击<登录>按钮即可进入Web网关页面并进行相关操作。
图1-1 登录窗口
Web UI介绍
系统管理员登录后的Web UI界面如下图所示,为运行状态的监控页面,它显示了关键的系统信息和系统统计数据的概要信息。
图1-2 综合安全网关web UI介绍
Web UI界面由以下部分组成:
· 主菜单和子菜单
系统的功能主要分为以下几个主菜单(根据当前登录管理员的权限不同会显示不同的菜单),而主菜单中又包括了更多的子菜单:
以系统管理员身份登录:
· 运行状态:用于查看设备状态。
· 系统设置:用于配置网络、系统时间、邮件、日志服务器等相关设置。
· SSLVPN设置:用于配置SSL服务,包括对用户和资源的配置。
· SSL卸载设置:用于配置卸载服务。
· IPSECVPN设置:用于配置IPSEC服务。
· 系统维护:用于备份恢复、升级更新、重启关机等操作。
· 单点登录:用于配置单点登录功能及LDAP用户同步。
· 高可用:用于配置keepalived和双主复制,搭建集群环境及保障系统的稳定运行。
· 以安全管理员身份登录:
· 系统设置:用于对管理员及所属管理组进行配置,生成及导入证书秘钥。
· 证书管理:可上传可信证书、吊销证书,以及进行CA证书新增和删除等操作。
· 以审计管理员身份登录:
· 系统维护:可查看系统记录的各种日志及日志的导出操作。
· 内容面板(菜单栏右侧)
选择主菜单下的子菜单时,Web UI界面的右侧将会显示出一个内容面板,管理员可以通过这个面板来进行配置,也可以查看相关的统计信息。
· 工具图标(最上方状态栏内)
在Web UI的右上角,您可找到修改当前管理员密码及退出系统:
<退出登录>,单击可以退出Web UI界面。确保关闭Web浏览器前从Web UI界面中退出。
运行状态的监控图表展示了综合安全网关当前的安全概况,界面如下图所示:
图2-1 监控面板
以下介绍界面上相关内容
· 右上角小铃铛:显示当前管理系统操作失败产生的异常日志条数,需要登录审计管理员进行查看。
· 在线用户:当前SSL在线用户数。
· 可用资源:当前SSL可用资源。
· 接入连接:当前在使用的IPSEC隧道数。
· 设备运行状态:显示设备的CPU、内存、硬盘使用率和运行时间。
· 管理员访问次数:显示最近七天中管理员登录系统的次数。
· 资源分布:显示SSL服务配置的资源占比饼状图。
· 网络状态:设备各网口及IP信息,绿色的图标表示网口在线,黄色图标表示网口离线。
· 系统信息:显示系统备份、还原时间等。
功能说明:时间与日期功能为用户提供了修改综合安全网关时间与日期的功能。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > 时间与日期,点击<日期>可修改综合安全网关的日期,点击<时间>可修改综合安全网关的时间。勾选<自动与时间服务器同步>,输入要同步的时间服务器,点击<保存>,可使刚刚修改的时间与日期生效。
图3-1 时间与日期
l 同步时间需配置综合安全网关,使设备可以和时间服务器网络连通。
l 开启NTP时间同步,点击保存按钮后请等待对时操作结果显示后再操作页面,不然可能导致授权异常。
l 如需使用需用域名,请先前往Hosts页面添加相关host数据。
l 如需使用DNS,需要前往防火墙配置页面,将配置的DNS地址添加到防火墙白名单策略里。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > 控制台配置,此功能可修改访问安全控制网关页面的端口号,系统出厂默认https访问端口号为8181;可修改超时时间设置、相关访问控制地址及集中管理平台的启用和关闭等功能。
参数说明:
l 设备名称:可以在此处设置设备名称,长度控制在3-40位。
l HTTPS:VPN管理系统的服务端口号设置。
l 超时时间:控制台超时时间,超过设定时间后,系统会自动退出登录。
l 请求服务器页面地址:设置跨域请求服务器地址。
l 请求地址:需要加入host白名单中的地址。
l 负载主机地址:当设备作为负载子节点时,需要在此处添加负载主机的地址。
l 客户端地址:如果想要访问设备上开放的接口,需要先将要访问接口的客户端的 IP 添加到此处。
l 远程维护支持:当需要远程维护时,将远程的设备ip填入该处。
l 集中管理平台配置:在此处控制集中管理平台的启用与否。
图3-2 控制台配置
· 远程维护仅供远程支持使用,支持结束后请将远程维护支持切换至禁用状态。
· 在提示修改完成前请勿进行操作
功能说明:主要针对设备的 SMTP 服务器的设置,使设备能够对外发送邮件。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > 邮件服务器,进入邮件服务器配置界面。
参数说明:
· SMTP 服务器地址:填写相应 SMTP 服务器地址,例如 QQ 邮箱的服务器地址为smtp.qq.com,网易的服务器地址为smtp.163.com。
· 端口号:设置 SMTP 服务器提供服务的端口号。
· 用户名:填写发送邮箱的邮箱地址。
· 密码:填写发送邮箱的密码。
· 收件邮箱:填写接收邮箱的邮件地址。
· 邮件协议:选择所需的邮件安全协议。
· 发送方式:选择使用互联网端的邮件服务器或者内网服务器。
· 启用邮件日志:勾选上,则会向发信邮箱发送服务端的管理日志。
参数配置完成后,点击<保存>,进行邮件服务器的配置。点击<取消>,可重置邮件服务器的配置。点击<发送测试邮件>,可测试保存的邮件服务器配置是否正确。
图3-3 邮件服务器
· 使用邮件服务器需配置综合安全网关,使设备可以和邮件服务器互通。
· 用户名即发件人邮箱,必须开启SMTP服务。
· 不使用邮件服务器时请去掉启用按钮勾选状态并保存,否则会占用资源。
· 若使用邮件服务器,请前往高可用-双主复制页面,在开启服务中添加邮件服务器设备的IP或在防火墙页面将入站默认策略修改为ACCEPT。
· 当选择公网发送时,端口号为465不可修改;选择内网发送时,可根据内网部署的邮件服务器情况,输入相应的端口号。
功能说明:可配置向日志服务器发送管理员日志的功能。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > Syslog,进入Syslog配置界面。
图3-4 Syslog配置
参数说明:
· 启用:是否启用日志服务器。
· 通讯协议:日志传输使用的协议类型。
· 服务器地址:日志服务器的IP地址。
· 端口号:日志服务器用于接收日志的端口号。
· 最小优先级:发送到日志服务器的日志等级。
配置完成后点击<保存>完成Syslog功能的配置。
· 开启Syslog功能后,日志会向配置好的日志服务器发送,管理员日志实时发送,用户日志每日固定时间发送。
功能说明:SNMP可以使管理员远程管理支持该协议的网络设备,如监视网络状态,查看网络设备配置等。
(注:使用SNMP获取设备信息时,需先在web系统高可用-双主复制-开启服务中添加连接VPN设备的IP)
· SNMP无配置页面,此处仅针对状态监控时的配置进行说明。
· SNMP协议版本v2,团体字default-public
功能说明:管理员账号提供管理员及管理组的新增、编辑和删除。
以安全管理员身份登录管理页面,选择系统设置 > 管理员账号,进入管理员账号页面。
图3-5 管理员账号
点击查看在线管理员,可查看在线管理员信息,包含登录名、登录IP、登录时间和最后操作时间。
图3-6 查看在线管理员
在左边管理组树状结构上选择一个节点,点击新增管理组,打开新增/编辑管理组页面。
图3-7 新增/编辑管理组
参数说明:
· 管理组名称:新增管理组的名称。
· 管理组描述:配合管理组名称,方便管理员对管理组进行管理。
· 所属管理组:要新建的管理组所属父级管理组。
· 启用该管理组:新建管理组是否启用。
· 口令安全策略:配置口令长度、复杂度、失败次数、锁定时间。
· 配置管理权限和管理内容:该管理组有用的管理权限,勾选上代表有。
点击保存,可新增/编辑管理组。
· 组内管理员不可编辑所在管理组。
· 删除管理组其下级管理组及管理员都将被删除。
选中要删除的管理组,点击<删除>,在打开的删除确认模态框中点击<确定>,即可删除该管理组及组下管理员。
图3-8 管理组删除
选中管理组,点击<新增>,选择管理员,打开管理员新增页面。
图3-9 新增管理员
图3-10 管理员新增
参数说明:
· 管理员:管理员名称。
· 证书类型:生成管理员证书时使用的根证书类型。
· 管理员USB-KEY:与管理员绑定使用的USB Key。
· 管理员描述:配合管理员名称,方便对管理员的管理。
· 新PIN码:要使用的密码。
· 确认PIN码:确认PIN码与新PIN码一致。
· 允许登录IP设置:是否对该管理员使用的设备IP做限制,若选择<该账号允许从下面的地址登录>,则该管理员只能从被限制的IP访问,该限制可以是一个IP,也可以是一段IP。
配置完成后,点击<保存>即可完成管理员新增。
· 新增管理员时,该管理员使用的USB Key必须插在进行操作的设备上,不然PIN值无法同步会造成问题。
· 新增管理员时必须生成证书,否则使用该管理员登录会登录失败并出现空白提示框。
· 当管理员组密码复杂度为高时,管理员密码不能包含“# % &”中任意特殊符号。
选中管理员,点击<编辑>,打开管理员编辑页面。
图3-11 编辑管理员
图3-12 管理员编辑1
图3-13 管理员编辑2
参数说明:
· 管理员:管理员名称。
· 证书类型:生成管理员证书时使用的根证书类型。
· 管理员USB-KEY:与管理员绑定使用的USB Key。
· 管理员描述:配合管理员名称,方便对管理员的管理。
· 原PIN码 :该管理员原来使用的密码。
· 新PIN码:要使用的密码。
· 确认PIN码:确认PIN码与新PIN码一致。
· 允许登录IP设置:是否对该管理员使用的设备IP做限制,若选择‘该账号允许从下面的地址登录’,则该管理员只能从被限制的IP访问,该限制可以是一个IP,也可以是一段IP。
配置完成后,点击<保存>即可完成管理员编辑。
· 编辑管理员时,该管理员使用的USB Key必须插在进行操作的设备上,不然PIN值无法同步会影响登录。
· 当管理员组密码复杂度为高时,管理员密码不能包含“# % &”中任意特殊符号。
选中要删除的管理员,点击<删除>,在弹出的确认删除提示框中点击<确定>,即可删除该管理员。
图3-14 管理员删除
· 删除管理员前先编辑该管理员,将管理员USB Key的密码更改为12345678,这样已删除的管理员的USB Key就可以在添加新的管理员时使用。
· 当前登录的安全管理员账号无法删除自己,其余管理员均可以删除。
功能说明:部署模式可修改 综合安全网关各网口的IP、掩码、网关等配置。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > 部署模式,进入部署模式页面。
网络接口参数说明:
· IP获取方式:分为自动获取和手动设置,选择dhcp为自动,否则为手动。
· IP协议类型:可选择ipv4或者ipv6。
· IP地址:该网口修改后生效的IP地址
· 子网掩码:该网口所在网络的掩码长度,例如255.255.255.0。
· DNS:分为首选和备选,当首选DNS失效时会启用备选。
· MTU:最大传输单元
图3-15 部署模式
· IP获取方式、DNS、最大传输单元仅外网接口可以设置。
· 选择DHCP方式获取IP需保证网络中存在DHCP服务器,否则该网口会获取不了IP。
· 如实际网络中不存在网关此处不可填写,否则会造成该网口无法使用。
功能说明:此功能可为网口配置多个IP。
参数说明:
· IP地址:要创建的多IP地址。
· 子网掩码:该IP匹配的掩码长度,例如255.255.255.0。
图3-16 多IP绑定
图3-17 添加多IP
功能说明:此功能可配置综合安全网关的默认网关。
图3-18 默认网关
配置好上述参数后,点击<保存>,此时系统提示“正在配置网络部署,请等待配置保存成功提示后再操作”,点击<确定>,等待提示成功即可。
· 选择设为默认网关的网卡配置处网关不可为空,且该网关必须可达,否则会导致该网口无法正常使用。
· 若网络中无网关又需配合其他功能(如IPSec)添加默认网关的话可在路由设置页面以目标网段(0.0.0.0),网络掩码(0.0.0.0),网关(如无指定可随意选择符合绑定网卡掩码规则的IP),网关(如无指定可随意选择网卡)进行添加。
· 更换网卡插槽需在关机后进行,开机后在部署模式页面对新增卡槽的各网口IP进行配置。
· 若更换插槽后没有在页面上配置IP,设备再次重启后扩展插槽中的网口会恢复成出厂默认的IP。
功能说明:防火墙是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断,只有匹配了防火墙规则的情况下,数据才能顺利通过。
以系统管理员身份登录选择系统设置 > 网络配置 > 防火墙,进入防火墙配置页面。
防火墙策略分为三种:
· 入站策略:针对目的地是综合安全网关的数据包。
· 出站策略:针对综合安全网关发往别的设备的数据包。
· 转发策略:针对经过综合安全网关转发的数据包。
图3-19 防火墙配置
上述三种策略的配置方式是相同的,此处以入站策略为例介绍。默认策略为ACCEPT,默认不拦截,可以添加特定的拦截规则。
点击<新增>按钮,可以打开添加规则窗口,如下图
图3-20 新增策略
参数说明:
· 编号:表示策略的加载顺序,不能填写大于提示的数字,一般按提示填写即可。
· 目的:ACCEPT代表放行,DROP代表丢弃,REJECT表示拒绝,在默认策略ACCEPT时,通过添加DROP或者REJECT规则,来增加黑名单;在默认策略为DROP时,通过添加ACCEPT规则来添加白名单。
· 协议:TCP或UDP或ICMP协议或ANY。
· 源IP:数据包的源IP。
· 目的IP:数据包的目的IP。
· 端口/icmp类型:若协议为ICMP,则端口/icmp一栏填写icmp类型。若协议为TCP或UDP,则此处填写端口类型。
参数配置完成后点击<保存>即可新增一条规则。
点击<清除所有>会清除已添加的所有规则。
图3-21 清除所有
点击<同步防火墙>,可以将添加的规则保存并生效。
图3-22 同步防火墙
右击已添加的策略,选择<替换>可以进行修改等操作。
图3-23 修改策略
· 相同的策略不同的序号可能出现不一样的执行结果,若想实现特定规则,请在添加前注意相关策略的加载顺序。
右击已添加的策略,选择<删除>可以进行删除操作。
图3-24 删除策略
功能说明:综合安全网关在实际使用环境中,可能根据网络环境需要添加路由,此时可在路由设置中进行操作。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > 路由设置,进入路由配置页面。以下已ipv4地址的路由设置举例。
图3-25 路由配置
点击<新增>,在打开的新增路由框中输入要配置的路由信息。
· 目标网段:路由指向的目标地址段。
· 路由掩码长度:目标地址段的子网掩码长度。
· 网卡:路由的载体。
· 网关:到达目标地址段的下一跳地址。
点击<保存>,保存当前路由;点击<取消>放弃本次添加。
图3-26 添加路由
选中要修改的路由,点击<编辑>,在打开的路由编辑界面修改参数,点击<保存>即可完成修改。
图3-27 编辑路由
选中要删除的路由,点击<删除>,在弹出的确认选择框中选择<确定>,即可删除该路由。
图3-28 删除路由
· 目标网段与网络掩码必须同段,比如目标网段为192.168.4.0,网络掩码可以为24或32,但不能为16。网关为可选项,首次添加新路由时,不需指定网关。添加成功后可点击编辑,进行网关的指定。
功能说明:Hosts可以将主机地址与主机名进行对应,配置后用户只需记住对应地址的主机名即可,该页面可对综合安全网关上的Hosts信息进行管理。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > Hosts,进入Hosts配置页面。
· 添加:点击<新增>,选择<新增主机映射>,输入对应配置信息即可点击<保存>。
· 删除:选中要删除的Host,点击<删除>即可删除本条host。
· 编辑:选中要编辑的Host,点击<编辑>,在打开的模态框中输入要修改的参数,点击<保存>即可完成修改
图3-29 Hosts页面
图3-30 Hosts添加/编辑
功能说明:配置NAT可以实现使用少量的公有IP地址代表较多的私有IP地址的方式,NAT不仅能解决IP地址不足的问题,而且还能够有效的避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > NAT,进入NAT配置页面。
NAT策略分为:
· 预路由策略:即目标网络地址转换,一般用于外网访问内网。
· 后路由策略:即源网络地址转换,一般用于内网访问外网。
图3-31 NAT
应用场景为综合安全网关上的GE0/0口和GE0/1口IP地址分别为192.168.18.199(模拟外网),192.168.17.199(模拟内网),并分别接入两台设备A和B,IP地址分别为192.168.18.100和192.168.17.100。A访问综合安全网关(192.168.18.199:1234),此时真正访问到的是B(192.168.17.100:8080),以此种方式隐藏目的地址即实现外网访问内网的安全控制。
点击<新增>,打开添加窗口。填写配置如下图所示。
图3-32 预路由配置
参数说明:
· 编号:表示规则的编号,一般按顺序填写即可。
· 目的:DNAT,目的地址转换。
· 协议:选择新增策略的协议类型。
· 源IP:数据包的源IP。
· 目标IP:数据包的目的IP。
· 端口/icmp类型:若协议为ICMP,则端口/icmp一栏填写icmp类型。
· DMZs:若目的地址设备在隔离区中选择on,否则选择off。
· 转发主机地址:目标主机地址。
点击<保存>,即可完成添加。
将B设备的默认路由设为综合安全网关的GE0/1网口(192.168.17.199),A设备即可通过在浏览器中访问综合安全网关的GE0/0网口(192.168.18.199)和端口访问到B设备,此时访问A访问192.168.18.199:1234实际上访问的是192.168.17.100:8080。
应用场景为综合安全网关上的GE0/0口和GE0/1口IP地址分别为192.168.18.199(模拟外网),192.168.17.199(模拟内网),并分别接入两台设备A和B,IP地址分别为192.168.18.100和192.168.17.100。
参照下图配置。
图3-33 后路由配置
参数说明:
· 编号:表示规则的编号,一般按提示填写即可。
· 目的:MASQUERADE根据网口IP自动获取,SANT指定源转换地址。
· 协议:选择新增策略的协议类型。
· 源IP:数据包的源IP。
· 目标IP:数据包的目标IP。
· 端口/icmp类型:若协议为ICMP,则端口/icmp一栏填写icmp类型。
· 转发主机地址:对外展示的源ip地址。
点击<保存>,即可完成添加。
将B设备的默认路由设置为安全接入网关的GE0/1网口192.168.17.199,B设备即可通过在浏览器中访问综合安全网关的地址和端口访问到A设备,此时数据包是先到安全接入网关,然后安全接入网关把源地址转换为自己GE0/0网卡的地址(192.168.18.199),然后将包发往192.168.18.100,然后A设备的回包也会回到接入网关,再转给B设备,以此方式实现隐藏源地址,实现内网访问外网安全控制。
点击<清除所有>会清除已添加的所有规则。
图3-34 清除所有
点击<同步NAT策略>,可以将添加的规则保存并生效。
图3-35 同步策略
右击已添加的策略,点击<替换>按钮,可以进行修改等操作。
图3-36 修改策略
右击已添加的策略,点击<删除>按钮,可以进行修改等操作。
图3-37 删除策略
功能说明:ARP记录了综合安全网关收到的ARP应答消息终端IP及MAC地址。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > ARP,进入ARP页面。
图3-38 ARP
功能说明:将多个物理端口汇聚一起,形成一个逻辑端口,以实现负载均衡或主备。
主备模式:多个网卡聚合,只有一个网卡工作,当这个网卡出现异常停止工作时,其他网卡立刻顶上,替换其进行工作,有效防止因网卡损坏带来的损失。。
负载均衡模式:实现出入流量吞吐量在各成员端口的负荷分担,增加带宽,提高网络访问速度。
要求:配置链路聚合前需要先完成部署模式的配置,且需要聚合的网卡要保证网络正常。
图3-39 链路聚合
点击<新增>,以下图为例,选择工作模式,主备或者负载均衡,然后选择逻辑网卡和物理网卡,逻辑网卡必须是物理网卡中的一个,否则无法保存(例:若物理端口为GE0/0, GE0/1, GE0/2, GE0/3,则逻辑网卡只能选择这四个中的一个),之后点击保存,进行链路聚合配置。完成后,会在主界面生成一条记录,点击该记录所在行,即可查看此记录的详细信息、主备模式、当前活跃网卡。负载模式不显示活跃网卡信息。参与聚合的物理网卡的网关均会清除。
点击<删除>,会将选中记录中所有的物理网卡的ip、子网掩码、网关信息全部恢复。
图3-40 新增链路聚合
功能说明:OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。OSPF简单地说就是两个相邻的路由器通过发报文的形式成为邻居关系,邻居再相互发送链路状态信息形成邻接关系,之后各自根据最短路径算法算出路由,放在OSPF路由表,OSPF路由与其他路由比较后更优的加入全局路由表。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > OSPF管理,进入OSPF配置页面。
图3-41 OSPF管理
参数说明:
· OSPF服务状态:表示OSPF是否开启
· Zebra服务状态:表示Zebra是否开启;因为通过zebra配置,所以配置时两个都需要开启
· Router-ID配置:表示OSPF网络中本设备的ID,一般选择连接网卡的IP
· 网口AREA配置:配置每个网卡所属的OSPF区域号,AREA值上限为4294967295。
· NETWORK宣告配置:配置本机在OSPF网络中广播的网段,配置后其他接入的设备可以生成指向该网段的路由
· OSPF邻居显示:显示在网络中发现的邻居。
· OSPF当前配置:显示目前zebra配置文件。
配置好后,点击<保存>生效,OSPF只有在存在邻居设备时才能动态更新路由。
功能说明:接入选项页面提供特征库上传、用户key种类配置、SSL设备证书切换及日志等级设置及下载等的功能,用户可在此处进行相关配置。
以系统管理员身份登录管理页面,选择系统设置>SSLVPN设置>接入选项,进入接入选项页面。
图4-1 接入选项
参数说明:
· SSL设备证书配置:系统支持添加多套SSL设备证书,当需要切换证书时可在此处进行选择。
· 上传第三方库:当有新的国标USB Key适配完成,可以在此处上传对应的特征库文件实现VPN对新国标USB Key的使用。
· 用户key种类配置:此处在设备已适配的所有USB Key中可以选择目前正在使用的USB Key类型。
· SSL日志等级:日志等级2为正常使用时的等级,此时日志输出内容较少。
· 重试锁定时间:当用户输错密码次数到达上限后被锁定的时间。
· 密码重置提醒:当用户在设置的时间内未修改过密码,提醒用户及时修改密码。
· SSO跳转配置:当使用单点登录功能时,url填写VPN与资源服务器连接的网口的IP,请不要填写127.0.0.1。
· 是否使用固定虚拟IP:开启后用户每次登录都会获得同一个虚拟IP,且不能同时登录多个客户端。
· SSL日志等级默认为2 ,调试结束后需要将等级修改为2,否则设备性能会有衰退。
功能说明:用户管理页面提供SSLVPN用户的配置功能(注:该用户是指实际使用SSL功能的用户,并非管理员用户)。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 用户管理,进入用户管理页面。
图4-2 用户管理
为方便将用户与所需访问的网络资源关联并进行统一管理,综合安全网关引用用户组概念。在实际使用时,建议根据实际使用情况先进行用户组的添加操作,具体为:选择‘根’用户组(注:该用户组只是方便进行用户组的展示,并无法实际使用,切勿在‘根’用户组进行用户添加、移动和删除操作),单击<新增>并选择用户组,跳转至用户组添加页面按照提示进行操作。
图4-3 新增用户组
图4-4 新增用户组详情
参数说明:
· 名称:用户组的名称,为方便管理可以填入部门简称如:网络支持1组等。
· 描述:配合用户组名称,方便系统管理员对用户组进行识别。
· 所属组:用于展示当前用户组所在的层级。
· 所属虚卡:用户组绑定的虚卡
· 口令安全策略 长度:当前用户组下的用户使用的安全口令的长度
· 口令安全策略 复杂度:当前用户组下的用户使用的安全口令的复杂度
· 继承上级用户组关联资源:如果该用户组为二级用户组,当选择此选项时,[关联资源]选项只可选择父组分配的资源组。
· 主要认证:
¡ 用户名/密码:适用于所用的客户端,是最基本也是最普通的认证方式。
¡ UKEY认证:使用USB Key,配合对应密码进行用户登录认证,适用于Linux和Windows客户端。
¡ 强制该组用户继承本组认证选项:若勾选,则该组下用户都会使用本组已选择的认证方式,不可修改;若不勾选,则该组下用户可自行选择认证方式。
· 关联资源:指定该用户组内用户可以使用的具体资源,通过关联相应的资源组进行具体资源的关联。
选择用户组后点击<编辑>,即可对该用户组进行编辑,具体参数同用户组添加。
图4-5 用户组编辑
选择用户组后点击<删除>,即可删除该用户组及组下的所有用户。
图4-6 用户组删除
选择用户组后点击<移动>,会打开下图窗口,选择目标组后点击<确认>,即可将该用户组移动到目标组下。
图4-7 移动用户组
选择需要使用的用户组,点击绿色<新增>,在弹出的下拉条中选择用户,进行具体SSL用户的的添加操作。用户添加页面如图所示:
图4-8 新增用户
参数说明:
· 名称:SSL用户名称,当用户使用用户名和密码进行登录时,名称将作为登录用户的唯一身份标识。
· 描述:便于系统操作员对不同用户进行辨别及管理,不参与任何功能的实现及管理。
· 密码:用户密码。
· 确认密码:需和用户密码保持一致。
· 手机号码:功能类似‘描述’,仅便于系统操作员对用户进行管理,不参与任何功能的实现及管理。
· 所属组:当前新建用户所属的用户组。可以通过点击‘所属组’内容框在弹出的用户组树状图上进行新建用户与其他用户组的关联。
· 继承所属组认证:当该用户所在的用户组未勾选“强制该组用户继承本组认证选项”时,该选项可以进行勾选,如勾选该选项,下方认证选项将变成灰色,不允许进行更改。相反即可对当前新建用户进行认证方式选择操作。
· 认证选项:展示当前用户支持的认证方式。
· 不同认证方式的申请:SSL用户一共可选择两种认证方式(如用户组在“认证选项”进行限定,用户可使用的认证方式可能会有所减少),如果选择使用uKey认证可在此处进行申请。(注:系统管理员需先点击<保存>按钮,新建用户成功后才可以创建USB Key)具体如下图所示:
图4-9 ukey认证方式申请
· 创建USB-KEY:将USB Key插入操作电脑(系统操作员正在使用的工作电脑,并非综合安全网关本身)。点击<刷新>,在选择智能密码钥匙下拉条选择需要绑定的USB Key,并输入密码钥匙口令(新的USB Key默认密码为12345678)。在绑定USB Key时,综合安全网关会将USB Key以用户名称进行重新命名,系统管理员可自行决定是否重新命名,USB Key名称并不影响正常使用。
图4-10 创建USB-KEY
· 用户绑定USB Key时必须生成证书,否则会导致使用USB Key登录用户失败。
· 当用户组密码复杂度为高时,用户密码不能包含“# % &”中任意特殊符号。
功能说明:批量新增用户功能可以根据csv文件批量导入用户,方便大量用户一次性创建。
点击<其他操作>,鼠标移动到导入,然后点击<从文件导入>
图4-11 批量新增用户
选择导入的文件类型,目前只支持csv文件格式,选择后点击下一步。
图4-12 从文件导入用户
随后进入批量导入用户信息设定的界面。
图4-13 批量导入用户信息设定界面
参数说明:
l 下载示例文件:点击后会下载一个csv格式的示例文件。
l 文件选择:上传编辑好的csv文件,文件中包含了需要添加批量导入的用户名和密码信息。
l 指定导入用户的用户组:选择批量导入用户所属的组(不能选择到根目录)。
l 对本地存在用户的选择:继续导入,覆盖已经存在的用户会将已经存在同名用户进行覆盖; 选择跳过不导入该用户会跳过同名的用户。
图4-14 下载后的csv文件
· 目前只支持csv格式的文件,文件中的用户数量不超过100。
· 不需要导入的行需要在行头添加”#” 作为注释内容。
· 用户名和密码会有格式的校验,需要遵守文档中的注释格式要求,不符合要求的内容在最后一步点击导入时会导入失败并返回失败的信息。
点击下一步后会显示从csv文件中读取到用户的信息。
图4-15 导入用户详情
点击开始导入后,如果所有的用户都符合校验,则会成功导入。并且返回用户页面,可以查看到刚刚添加的用户信息。
图4-16 用户信息
如果导入用户的信息不合法,会返回失败用户的信息。
图4-17 批量新增用户结果
点击查看详情可以查看导入失败用户的信息,点击下载按钮后会将该导入失败的信息下载到csv文件。
图4-18 导入失败用户信息
功能说明:实现查看在线用户状态,显示用户名、登录时间以及登录终端。
在用户管理页面,点击“查看在线用户”按钮。
图4-19 查看在线用户
图4-20 在线用户表格展示
参数说明:
· 用户名:当前已在登录状态的用户名称。
· 登录时间:用户的登录时间。
· 登录终端:用户登录的设备终端平台。
功能说明:资源管理功能可以添加资源组和资源,这些资源可以分配用户组使用。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 资源管理,进入资源管理页面。
选择一个资源组,点击<新增>,在列表中选择资源组,进入资源组添加界面。
参数说明:
· 名称:资源组名称。
· 描述:备注资源组信息。
· 启用资源组:是否使用该资源组。
图4-21 新增资源组
选中要编辑的资源组,点击<编辑>,在打开的资源组编辑页面可编辑资源组属性。
图4-22 编辑资源组
选中要删除的资源组,点击<删除>,在打开的确认删除提示框中点击<确定>,即可删除资源组。
图4-23 删除资源组
图4-24 新增/编辑L3VPN应用
参数说明:
· 名称:L3VPN应用名称。
· 描述:只在管理页面进行展示方便系统管理员对该L3VPN应用进行管理。
· 协议类型:使用ipv4地址或ipv6地址
· 资源地址:具体要转发的内网资源网段。
· 资源掩码长度:具体要转发的内网资源网段的子网掩码长度(请配置与资源地址匹配的掩码长度,且需要按照顺序先配置资源地址再配置掩码长度,配置错误需要重新按照顺序配置)。以内网资源网段为192.168.17.0/24为例,具体的配置如下图所示:
图4-25 配置L3VPN
· web资源配置:可添加服务器部署在内网资源网段的B/S架构的应用,添加后客户端可通过点击资源列表的方式在浏览器中跳转到对应的B/S应用页面。
图4-26 web资源配置
· 所属组:该L3VPN应用所属的资源组,系统管理员可以通过‘选择资源组’,指定该L3VPN应用所属的资源组。
· 启用资源:是否启用该资源。
添加完成后点击<保存>,保存成功后会跳转至资源管理页面,新建的L3VPN应用会在页面右侧列表处展示。
IPv4 L3VPN 资源只支持配置8、16、24、32等标准掩码资源。
IPv6 L3VPN 资源只支持配置 16、32、48、64、80、96、112、128 位标准掩码资源,且配置的
网段和对应访问资源掩码位数需相同。
选中要删除的资源,点击<删除>,在确认删除提示框中点击<确定>即可删除该资源。
图4-27 资源删除
选中要移动的资源,点击<移动>,在弹出的确认框中选中要移动到的资源组,点击<确认>即可完成资源的移动。
图4-28 资源移动
功能说明:可以配置综合安全网关内部使用的用于转发的虚卡,多个虚卡可提高SSL服务性能上限,设备默认支持4个虚拟网卡,可根据需要修改虚卡的名称、IP、掩码长度,首次配置需点击虚卡生效按钮。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 虚卡配置,进入虚卡配置页面。
点击要编辑的虚拟网卡,点击<编辑>,选择对应的修改项点击<保存>,提示保存成功后点击<虚卡生效>即可使虚卡重启并生效新的配置。
图4-29 虚卡配置页面
图4-30 编辑虚卡配置
参数说明:
· 虚卡名称:虚拟网卡的名称。
· 虚拟网卡ip:虚拟网卡的IP。
· 子网掩码长度:虚拟网卡的掩码长度。
功能说明:将综合安全网关收到的数据进行解析处理后,发送给真实的网络资源。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 映射配置,进入映射配置页面。
点击<新增>,打开新增映射配置对话框。
图4-31 新增映射配置
参数说明:
· 网口:综合安全网关与L3VPN资源连接的网口,若综合安全网关通过GE0/1口与内网资源服务器所在网络连接,则此时的网口选择GE0/1。
点击<保存>即可完成新增映射配置。
选中要删除的映射配置,点击<删除>,在打开的确认对话框中点击<确认>,即可删除该映射配置
图4-32 删除映射
SSL卸载功能是将http或https服务映射成https服务的模块,分为国际算法和国密算法。国密算法目前认证了红莲花浏览器和360安全浏览器。
进入SSLVPN设置菜单,单击SSL卸载,进入SSL卸载管理页面。
图5-1 SSL卸载
单击<新增>按钮,弹出新增映射窗体,选择新增<国密>或者<国际>
图5-2 新增SSL卸载
国密:
图5-3 新增SSL国密卸载
国际:
图5-4 新增SSL国际卸载
单击编辑按钮,弹出编辑窗体,修改信息后保存即可。
生效:添加映射后单击生效按钮完成服务重启生效。防火墙需要放开资源ip、本机映射端口,或者使用默认开放端口18500:18800。
IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
· 数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
· 数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
· 数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。
· 防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。
配置IPSEC连接需要至少两台综合安全网关。
功能说明:该功能提供配置IPSEC的基本设置。
以系统管理员身份登录系统,选择IPSECVPN设置 > 基本设置,打开基本设置页面。
图6-1 基本配置
· 该页面仅做展示使用无需配置。
功能说明:连接管理提供IPSEC隧道的具体配置信息。
以系统管理员身份登录管理页面,选择IPSECVPN设置 > 连接管理,进入连接管理界面。
图6-2 组网图
切换到保护节点标签页,点击<新增>,在打开的新增保护节点填入相关配置并点击<保存>,此处以下图中的配置为例。
图6-3 综合安全网关1新增保护节点
参数说明:
· 节点名称:新增节点的名字。
· 网络类型:IPv4协议。
· road warrior : 是否配置对端VPN为任意地址。
· 本端VPN地址:综合安全网关1接入互联网的IP。
· 本端内部子网:综合安全网关1与子网1的网络。
· 对端VPN地址:综合安全网关2接入互联网的IP。
· 对端内部子网:综合安全网关2与子网2的网络。
切换到SA策略标签页,点击<新增>,在打开的新增SA策略填入相关配置并点击<保存>,此处以下图中的配置为例。
图6-4 综合安全网关1新增SA策略
参数说明:
· SA策略名称:添加的策略名称。
· IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,建议时间为2小时。每达到一个存活时间就会协商出新的密钥。
· SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,建议时间为1小时。每达到一个存活时间就会协商出新的密钥。
· SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间。
· SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动)。
· DPD周期-过期-重试次数:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般主动端选择为重协商,被动端选择清除SA。
· 重试次数:失败时的重试次数。
切换到IPSEC连接标签页,点击<新增>,在打开的新增填入相关配置并点击<保存>,此处以下图中的配置为例。
图6-5 综合安全网关1新增IPSEC连接
参数说明:
· 连接名称:添加的IPSEC连接名称。
· 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
· 保护节点:选择已添加的保护节点。
· SA策略:选择已添加的SA策略。
· 签名证书:建立隧道使用的签名证书。
· 加密证书:建立隧道使用的加密证书。
· 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
点击<确定>,保存隧道配置,点击<生效>,使保存的配置生效。
以系统管理员权限登录综合安全网关2的管理系统,选择IPSECVPN设置>连接管理页面。
切换到保护节点标签页,点击<新增>,在打开的新增保护节点填入相关配置并点击<保存>,此处以下图中的配置为例。
图6-6 综合安全网关2新增保护节点
参数说明:
· 节点名称:新增节点的名字。
· 网络类型:IPv4协议。
· road warrior : 是否配置对端VPN为任意地址。
· 本端VPN地址:综合安全网关2接入互联网的IP。
· 本端内部子网:综合安全网关2与子网2的网络。
· 对端VPN地址:综合安全网关1接入互联网的IP。
· 对端内部子网:综合安全网关1与子网1的网络。
切换到SA策略标签页,点击<新增>,在打开的新增SA策略填入相关配置并点击<保存>,此处以下图中的配置为例。
图6-7 综合安全网关2新增SA策略
参数说明:
· SA策略名称:添加的策略名称。
· IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,建议时间为2小时。每达到一个存活时间就会协商出新的密钥。
· SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,建议时间为1小时。每达到一个存活时间就会协商出新的密钥。
· SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间。
· SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动)。
· DPD周期-过期-重试次数:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般主动端选择为重协商,被动端选择清除SA。
· 重试次数:失败时的重试次数。
切换到IPSEC连接标签页,点击<新增>,在打开的新增填入相关配置并点击<保存>,此处以下图中的配置为例。
图6-8 综合安全网关2新增IPSEC连接
参数说明:
· 连接名称:添加的IPSEC连接名称。
· 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
· 保护节点:选择已添加的保护节点。
· SA策略:选择已添加的SA策略。
· 签名证书:建立隧道使用的签名证书。
· 加密证书:建立隧道使用的加密证书。
· 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
点击<确定>,保存隧道配置,点击<生效>,使保存的配置生效。
点击<查看>,可以查看隧道连接情况。
· 要建立连接需要配置默认网关,若网络中无默认网关的话可在路由设置页面以目标网段(0.0.0.0),网络掩码(0.0.0.0),网关(如无指定可随意选择符合绑定网卡掩码规则的IP),网卡(如无指定可随意选择网卡)进行添加。
· 两台综合安全网关配置IPsec的子网网段不可相同,否则会出现子网间设备通信异常的问题。
· 配置IPsec的相关参数需要满足SA存活时间=(SA更新误差+SA更新误差*SA更新抖动)*n,n 为整数,否则隧道连接会失败。
选中要删除的连接,点击<删除>,在弹出的确认删除提示框中点击<确定>,即可删除该连接。
图6-9 删除连接
隧道信息页面可查看隧道建立状态,隧道日志页面可查看隧道的日志信息
功能说明:算法查看提供IPSEC服务支持的国密算法类型查看。
以系统管理员身份登录系统,选择IPSECVPN设置 > 算法查看,打开算法查看页面。
图6-10 算法查看
功能说明:密钥备份/恢复功能可以将加密卡中的密钥备份出来,也可以将备份的密钥恢复到加密卡中,备份和恢复需要用到5把USB Key。
以安全管理员身份登录管理页面,选择系统维护 > 密钥备份/恢复,打开密钥备份/恢复页面。
点击<备份初始化>,在刷新出的密钥备份处同时插入5把智慧密码钥匙(任意5把),每次选择一把密码钥匙,输入PIN码值,点击导入密钥,此时会将密钥导入智慧密码钥匙中。
图7-1 密钥备份开始
上述操作进行5次后,会出现<开始备份>按钮,点击<开始备份>,即可下载备份文件。
图7-2 开始备份
备份密钥时备份了5把智慧密码钥匙,恢复时只需要其中的3把智慧密码钥匙,同时插上3把智慧密码钥匙,输入PIN码,点击导出密钥。
图7-3 密钥恢复
3把智慧密码钥匙验证通过后,会出现上传备份文件的文本框,选择备份文件后点击<开始恢复>,即可完成密钥恢复。
图7-4 上传备份文件
· 备份的数据包中含证书、密钥数据。
功能说明:备份/恢复功能可以下载备份文件,并恢复备份文件。备份文件包括ipsec相关配置及完整数据库文件(网络配置、SSL配置及授权信息等)。
以系统管理员身份登录管理页面,选择系统维护 > 备份/恢复,打开备份/恢复页面。
· 备份操作生成的备份文件仅能在本机的恢复操作时使用。
· 备份的数据包括完整的数据库文件、web配置文件、IPSec配置文件、卸载配置文件及证书文件。
· 备份文件恢复完成后,请重启设备使服务配置生效。
点击<下载>。可以将相关服务的配置文件及数据库等文件备份成备份文件并下载到终端。
图7-5 备份配置
选择要恢复的备份文件,点击<上传>即可恢复相关配置文件及数据库。
图7-6 配置还原
功能说明:用于查看设备的运行日志及服务错误提示。运行日志包括管理日志和用户日志。选择要查看的日期, 会显示相应时间下的日志记录。
以审计管理员身份登录管理系统,选择系统维护 > 日志管理,进入日志管理页面。
图7-7 日志管理-管理日志
图7-8 日志管理-用户日志
参数说明:
· 日志类型:
¡ 管理日志:记录管理员操作的日志。
¡ 用户日志:记录用户在客户端上的操作日志。
· 日期:点击可以选择查看指定时间的日志,选择好时间后点击刷新。
· 查看全部:可以显示当前选择的日志类型下,系统中所有时间的日志。
· 导出日志:导出当前选择的日志类型下,在页面上显示的所有日志。
· 清除日志:清除当前选择的日志类型下,一段时间内的所有日志
功能说明:用于设置日志清理时间,当日志管理页面中的日志数量超过阈值后会触发日志转存,被转存出的日志会继续存储页面中设置的时间,超过设置的时间后日志会被自动清理。
以审计管理员身份登录管理系统,选择系统维护 > 日志清理,进入日志清理页面。
图7-9 日志清理
功能说明:重启/关机功能提供重启、关闭综合安全网关的功能。
以系统管理员身份登录管理页面,选择系统维护 > 重启/关机,进入重启/关机页面。
图7-10 重启/关机
· 不建议在这里重启综合安全网关,管理页面上的<重启设备>可能造成综合安全网关内部的加密卡出现异常,若需重启设备,可点击<关闭设备>,待设备充分放电(面板上的灯全部熄灭)后再开机。
· 恢复出厂设置会清除掉所有数据,包含网络配置、证书密钥、用户资源、系统配置等,请谨慎操作。(E6101版本不会清除授权,E6101P01及后续版本会清除授权数据)。
· 恢复出厂设置后所有网口IP都会恢复为默认IP,其中管理口(GE0/0)地址为192.168.0.1,可通过访问管理系统https://192.168.0.1:8181,重新进行初始化操作,完成后可继续进行其他业务的配置。
· 恢复出厂设置后重新进行初始化操作前,请使用USB Key重置工具对已使用的管理员及用户USB Key进行重置。
功能说明:展示授权信息以及进行更新授权文件等授权码管理操作。
以系统管理员身份登录管理系统,选择系统维护 > 授权码管理,打开授权码管理页面。
图7-11 授权信息展示
图7-12 授权码管理
可在此处上传授权文件进行授权信息的更新。
功能说明:升级更新页面提供对安全加密网关功能的升级操作。
以系统管理员身份登录管理系统,选择系统维护 > 升级更新,打开升级更新页面。
图7-13 升级更新
上传对应的更新文件后点击<更新>按钮进行升级。
图7-14 升级成功
功能说明:网络检测页面提供对IP、端口、路由追踪及网络抓包的功能。
以系统管理员身份登录管理系统,选择系统维护 > 网络检测,打开网络检测页面。
图7-15 网络检测
简单模式和高级模式对应网络抓包(TCPDUMP)功能,若抓包需求仅为指定IP和端口,可在简单模式中进行抓取;若抓包需求较复杂,可选择高级模式,此模式需要输入tcpdump命令进行更多条件下的数据包抓取。
检测网络功能可输入IP和端口,VPN会检测输入IP和端口的连通性并给出相应数据。
路由追踪功能可进行路由的追踪,需要输入正确的traceroute命令进行操作。
功能说明:应用权限管理基于RBAC (Role-based access control, 基于角色的访问控制), 对不同的业务系统进行细粒度的权限控制。此功能用于配置客户端应用以及与用户、角色的绑定关系。
图8-1 新增客户端应用
图8-2 添加用户组
图8-3 添加角色
图8-4 添加资源
图8-5 添加授权
功能说明:LDAP(Lightweight Directory Access Protocol)轻量目录访问协议可以用来管理用户、用户组等,在对接了LDAP 服务器后,可以从LDAP 中同步用户信息到SSLVPN 中。
配置LDAP信息:
图8-6 配置LDAP信息
用户同步字段映射:
图8-7 用户同步字段映射
用户组配置:
图8-8 用户组配置
自动导入配置:
图8-9 自动导入配置
图8-10 同步历史
功能说明:可信证书列表页面提供上传可信任证书及已吊销证书的功能,用户可在此处对其他设备的证书状态进行维护。
以安全管理员身份登录管理页面,选择证书管理>可信证书列表,进入可信证书列表页面。
图9-1 可信证书列表
图9-2 吊销证书列表
· 上传crl文件后需要使用系统管理员登录管理系统,在SSLVPN设置-虚卡配置页面点击<虚卡生效>按钮后才可被正常加载。
功能说明:CA管理页面可创建根证书,包括内置证书及外置证书。
以安全管理员身份登录管理页面,选择证书管理>CA管理,进入CA管理页面。
图9-3 CA管理
新增内置CA
图9-4 内置证书配置:
参数说明
· 名称:生成的根证书名称,长度不超过7,可以是数字或者字母。
· 国家:可根据需要填写,长度不超过2,只能是大写字母缩写。
· 省、城市、组织、部门:可根据需要填写,长度不超过20,可以是字母、数字或汉字。
· 有效起始日期:证书生效的起始时间,具体起始日期根据需求确定,若无特殊要求建议早于当前时间。
· 有效终止日期:证书生效的终止时间,具体终止日期根据需求确定,若无特殊要求建议设置尽可能久,可用的最晚终止时间为2036年12月31日。
· 密钥类型:SM2。
· 密钥长度:256。
导入第三方CA,选中对应证书上传即可。
功能说明:设备证书页面也创建设备证书,包含内置设备证书及外置设备证书。
以安全管理员身份登录管理页面,选择证书管理>设备证书,进入设备证书页面。因为根证书分为使用内置CA和外置CA两种情况,对应的设备证书也需随根证书类型做调整。
图9-5 设备证书
点击<新增>,当系统使用的是内置证书时,选择内置设备证书,点击<下一步>。
图9-6 新增内置设备证书
此处的配置参考根证书,CA名称选择要生成设备证书的对应根证书,填写完成没有提示格式错误后,点击<确认>完成内置设备证书的生成。
图9-7 内置设备证书生成
点击<新增>按钮,选择外置双P10,星号标识为必填项,其余选项按需填写,点击<确认>即可下载P10文件。
图9-8 生成双P10
图9-9 导入双P10后
点击<新增>按钮,选择外置单P10,星号标识为必填项,其余选项按需填写,点击<确认>即可下载P10文件。
待CA签发好签名和加密证书及加密密钥的保护结构之后在设备证书页面点击<导入证书>,完成证书的导入。
图9-10 生成单P10
图9-11 导入单P10后
功能说明:用于数据库数据同步,可实现双主复制(两台主机的任意一台有数据变化都会同步到另一台)、一主多从(主机的数据变化可以同步到从机,从机的数据变化不会同步到主机)的配置方式,实现了数据库服务器的热备,结合keepalived的动态切换,实现了自动检查,失败切换机制,实现了数据库高可用方案。
以系统管理员身份登录管理系统,选择高可用 > 双主复制,打开双主复制页面。
参数说明:
· 服务类型:master(主)或者slave(从)。
· 本机ID:唯一标志服务器ID。
· IP:仅作为从机时有此选项,为主从配置中的主机的IP值。
· 二进制文件名:(1)主机端点击保存后自动生成,使用时复制后粘贴到从机的配置中。
(2)从机端粘贴自主机处生成的二进制文件名。
· 文件偏移量:(1)主机端点击保存后自动生成,使用时复制后粘贴到从机的配置中。
(2)从机端粘贴自主机处生成的文件偏移量。
图10-1 主机配置1
图10-2 主机配置2
图10-3 从机配置
图10-4 状态监控面板
状态监控面板左侧区域为本端类型,右侧区域为对端主机信息。
· 双主状态下,两台设备右侧区域均有信息展示。
· 若配置双主,先以A为主机配置B为从机配置,再以B为主机A为从机配置。
· 因防火墙默认对双主复制服务使用的端口添加了限制,若为一主多从则主机上需点击<开启服务>为每台从机的IP开启服务。
· 备份文件数据包括IPSec配置、卸载配置、用户组、用户、资源组、资源等数据。
功能说明:两台综合安全网关使用同一个虚拟IP提供服务,一台为主服务器,另一台作为备服务器。当主服务器出现故障时,备服务器接管主服务器工作,保证不影响应用正常使用。在配置了主备服务器后可继续配置负载,以实现集群部署。
以系统管理员身份登录管理系统,选择高可用 > keepalived,打开keepalived页面。
参数说明:
· 实例名称:新增实例的名称,同网络中实例名称不可重复。
· 心跳检测网卡:要配置keepalived的网卡。
· VRID标识:同组主备需相同。
· 优先级:范围1~100,优先级大的设备为主机,若主备优先级相同则先配置生效的设备为主机。
· 虚拟服务器IP:与主VPN及备VPN共用的虚拟IP。
· 子网掩码:虚拟IP的子网掩码长度。
· 实例绑定网卡:同心跳检测网卡。
· 心跳包检测间隔:主备VPN检测彼此状态的时间间隔,范围0.01~30。
· 是否启用非抢占式:选择是否启用非抢占模式。
图10-5 实例配置
· 添加实例的虚拟IP不能与设备网口IP相同,否则会导致网络异常。
参数说明:
· 启用邮箱通知:是否开启邮箱通知。
· 发件人邮箱:发件邮箱地址。
· 邮箱服务器:发件邮箱服务器地址。
· 邮箱授权码:发件邮箱服务器授权信息。
· 收件人邮箱:接收邮件地址。
图10-6 故障发送邮箱配置
图10-7 邮件样例
· 启用邮箱前需要在高可用>双主复制页面,点击<开启服务>按钮,将邮箱的地址输入后点击<开启服务>保存配置。
参数说明:
· 实时日志功能:是否开启日志。
· 记录详细信息:是否记录详细信息
· 记录配置数据:是否记录配置数据
图10-8 日志监控
图10-9 Keepalived负载增加实例
参数说明:
· 虚拟ip:先前实例中添加的对外提供负载服务的IP(客户端连接使用的IP)。
· 内网虚拟ip:被负载的设备连接主负载VPN使用的IP。
· 转发端口:对外提供负载服务的端口(客户端登录时填写的端口号)。
· 调度算法:rr:轮询调度,将请求依次负载给VPN
lc:最小连接数调度,会优先将请求负载给当前连接数最小的VPN
wlc:加权最小连接数调度,会将请求优先负载给当前连接数与权值比最小的VPN。
· 转发模式:负载转发模式。
· 协议:负载使用的协议,此处选择tcp。
图10-10 添加被负载节点
参数说明:
· 被负载VPN管理页面地址:被负载的VPN的管理页面地址。
· 端口:被负载VPN的端口。
· 权重:范围1~7,该参数只在调度算法为wlc时生效,选择其他调度算法时输入5即可。
· 检查方式:默认TCP_CHECK。
可以查看负载配置完成后的节点运行状态。
图10-11 负载节点状态
· 保证机器之间的网络畅通,配置时 被负载VPN需可以被主备VPN访问到。
· 被负载设备需将主备设备的虚拟IP和真实IP添加到控制台配置的负载主机白名单中。
· 实例配置可添加多个网口,实例名称需不相同,主备实例VRID需一致。
用户系统及客户端是SSL服务使用的工具,只有在客户端上登录才可以访问SSL服务配置的各种资源。
功能说明:用于用户查看拥有资源,访问WEB资源以及下载各版本客户端的页面,访问路径为https://综合安全网关IP:9494,登录名密码为已添加的SSLVPN用户的用户名和密码。
图11-1 用户系统登录页面
图11-2 用户系统主页
点击<查看详细>可查看该资源的详细信息,包括资源名称,资源描述,所属资源组,以及资源的配置详情。
图11-3 资源详细信息
综合安全网关提供Windows客户端(win7及以上64位操作系统),安卓客户端(Android7.0及以上),X86平台(大部分的Linux、Ubuntu),飞腾、统信UOS平台(arm),龙芯平台(mips)。
在用户系统登录页下载客户端后,以管理员权限运行,所有操作都选则是,安装完成后在桌面打开VPN的快捷方式。
图11-4 Windows客户端快捷方式
图11-5 Windows客户端登录页
配置客户端与综合安全网关的连接详细信息,点击<设置>切换到配置窗口。
参数说明:
· 日志等级:分为FATAL、ERR、WARN、INFO、DEBUG共5个等级,日志内容依次增加,默认使用ERR。
· 服务器地址:综合安全网关的IP地址。
· 服务器端口: 填写服务端口号8443。
· 选择厂商:要使用的USB Key的厂商。
· 选择key:要使用的USB Key。
· 上传签发CA:当证书由第三方CA直接签发到USB Key中时,需要上传CA证书。
· 查询更新:当设备适配完其他厂商的USB Key时可在此处点击<查询更新>进行同步。
配置好后点击<保存>,会提示服务器地址配置成功!
· 安装及使用客户端的过程中需要退出杀毒和安全类软件,否则可能出现安装失败或使用出现问题。
· 使用客户端的设备上不要安装其他VPN客户端或类VPN客户端,否则会出现登录成功却无法正常访问资源的情况。
· 同步时可能会对已安装的驱动程序进行更新,当点击<查询更新>后出现卸载或安装程序的提示信息后请点击确认完成更新。
· 同一用户账号不可重复登录Windows的客户端程序,若在SSL接入选项页面开启了固定虚拟IP,则同一用户账号只能登录一个客户端。
图11-6 网络配置
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图11-7 资源详情
登录成功后,通过命令行ping资源设备的IP可通,证明网络已通,SSL服务正常。
· 若客户端登录提示错误,可参考故障排查手册进行处理。
在用户系统登录页下载客户端后安装,安装VPN后打开,配置客户端与综合安全网关的连接详细信息,点击设置图标切换到配置窗口。
图11-8 配置连接
图11-9 配置详情
参数说明:
· 服务器IP:综合安全网关的IP地址。
· 服务器端口号(TCP):填写服务端口号8443。
· 服务器端口号(UDP):此处使用默认值0。
· SSL套件:默认ECC_SM4_SM3。
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图11-10 资源详情
· 若客户端登录提示错误,可参考故障排查手册进行处理。
· UDP端口一定要修改为0,否则点击开启VPN功能后会闪退。
· 安装VPN客户端后系统耗电量会增加,若提示电量相关问题,请选择允许客户端常驻后台。
· 同一用户账号不可重复登录安卓客户端程序,若在SSL接入选项页面开启了固定虚拟IP,则同一用户账号只能登录一个客户端。
在用户系统登录页下载客户端后存放至桌面,鼠标双击安装或在终端中通过dpkg -i 客户端程序名称的方式进行安装。
安装完成后双击桌面快捷方式运行客户端,点击<设置>切换到连接配置窗口。
图11-11 运行客户端
图11-12 配置详情
参数说明:
· 日志等级:分为FATAL、ERR、WARN、INFO、DEBUG共5个等级,日志内容依次增加,默认使用ERR。
· 服务器地址:综合安全网关的IP地址。
· 服务器端口:VPN提供服务的端口号。
· 登录方式选择:可选择用户名登录和USB-Key登录的方式。
· 选择厂商:要使用的USB Key的厂商。
· 选择key:要使用的USB Key。
· 上传签发CA:当证书由第三方CA直接签发到USB Key中时,需要上传CA证书。
· 查询更新:当设备适配完其他厂商的USB Key时可在此处点击<查询更新>进行同步。
点击<保存>保存当前配置,切换至用户名登录窗口登录客户端。
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图11-13 资源详情
在资源地址输入IP、端口(不输入端口的情况下只检测IP),点击<检测资源>可检测此IP和端口是否可以正常访问。
图11-14 资源检测
· 客户端卸载命令:dpkg -r slink。
· 同一用户账号不可重复登录同一个国产化平台的客户端程序,若在SSL接入选项页面开启了固定虚拟IP,则同一用户账号只能登录一个客户端。
大型项目实施时,因分支机构数量众多或组网 VPN 数量达到一定量级,此时可以使用集中管理平台进行统一管理。
使用系统管理员的USB Key登录VPN管理界面,进入系统设置>系统配置>控制台配置>集中管理平台配置,点击开启选项,点击保存,等待三分钟WEB重启。
图12-1 集管平台开关示例
重新使用系统管理员的USB Key登录VPN管理系统界面,进入高可用>双主复制页面,点击<开启服务>,将被管理VPN设备的 IP地址填入对端IP输入框,点击<开启服务>即可。如被管理VPN设备的IP地址已添加过,则可忽略该步。
图12-2 开启服务配置示例
使用被管VPN设备的系统管理员登录VPN管理系统界面,进入高可用>双主复制页面,点击<开启服务>,将集中管理平台设备的 IP地址填入对端IP输入框,点击<开启服务>即可。如集中管理平台设备的IP地址已添加过,则可忽略该步。
启动浏览器,在地址栏内输入“https://VPN地址:8166”即可进入集中管理平台页面。
初始化时默认使用内置证书,直接点击<下一步>即可。
图12-3 CA证书类型选择
集中管理平台页面访问默认通过用户名密码初始化,点击<下一步>。
图12-4 管理员初始化方式选择
系统默认有三大管理员:系统管理员,安全管理员,审计管理员。各管理员实现对系统的分权管理。
· 系统管理员负责对VPN设备日常运行的管理和维护。
· 安全管理员负责管理员账号管理。
· 审计管理员负责系统中的日志进行安全审计。
此处的初始化目的是创建集中管理平台所需的三种管理员账号。用户名密码初始化输入对应用户密码,分别点击‘初始化安全管理员’、‘初始化系统管理员’、‘初始化审计管理员’,完成三个管理员初始化后点击<下一步>,会提示‘是否使用当前配置完成初始化’,单击<确定>完成初始化。
图12-5 管理员初始化方式配置
账号密码方式登录,输入正确角色名称(系统管理员/安全管理员/审计管理员)及密码后,点击<立即登录>即可登录。
图12-6 首页登录
使用系统管理员登录集中管理平台,进入主页系统提示当前添加的设备是否正常连通,可以通过检测所有连接按钮,检测所有设备网络是否连的通,连不通的设备不可进行下一步操作。检测通过后点击服务配置,检测可连通的管理员账号密码是否可用,建立加密隧道进入VPN设备配置界面。
图12-7 主页配置
点击新增按钮添加被管理的VPN设备,在打开的窗口处填写以下参数,点击确定即可。
图12-8 连接添加
参数说明:
· 地址(ip:端口号):被管VPN设备的访问地址及端口。
· 主机名称:给被管VPN设备设置主机名称。
· 设备类型:选择被管VPN的设备类型,包括单机、主机、备机、子节点。
· 集群组:若被管VPN设备归属于某个集群组,且在设备类型内选择了非‘单机’类型,需选择当前添加的VPN设备归属的集群组。
· 管理员名称:被管VPN设备登录需要的用户名,可以后续编辑时添加,不作为必要添加字段。
· 管理员密码:被管VPN设备登录对应的用户名密码,可以后续编辑时添加,不作为必要添加字段。
选择一个设备,点击<编辑>按钮显示选中连接的信息,可以进行修改,相关参数同连接添加时的参数(一次只能选中一条设备信息进行编辑操作)。
图12-9 连接编辑
选中要删除的连接,点击<删除>按钮可以进行删除。
图12-10 连接删除
点击<在线用户数>,进入在线用户数量统计页面。
图12-11 在线用户数按钮
在线用户数页面用于统计单机和每个集群内所有SSL用户当前在线数量,以及集中管理平台纳管的所有设备SSL用户在线数量总和。
图12-12 在线用户数
当集中管理平台纳管的VPN设备存在集群时,为方便集群管理和统计数据,可在集群组管理中添加集群组,也可以对集群组进行编辑和删除操作。
添加集群组后,可以在新增设备信息时选择对应的集群组。
图12-13 集群组管理
添加新设备后,需要先检测设备连接状态,点击检测所有连接按钮,会检测所有的设备连接状态是否正常,只有检测通过的设备才可进行配置下发的操作。
图12-14 检测所有连接
· 检测所有连接无需选择连接,当添加、编辑连接后都需要重新检测连接。默认进入首页时,会自动检测连接。
· 若被管理VPN正常在线,但集管平台检测失败请进行如下配置:请检查两端防火墙是否正确添加以及设备网络状态是否正常。
在检测所有连接完成后,选中需要进行配置的相关连接点击<服务配置>按钮,进入配置页面。
图12-15 服务配置
· 点击服务配置之前需要检测所有连接,只能对检测通过的连接进行配置,并且要求连接的用户名密码正确。
当设备数量众多时可以使用批量导入功能,点击其他操作,选择导入,在打开的窗口中点击下载示例文件,填好相关数据后将此文件上传,若文档中各字段格式正确就可以批量添加设备。
图12-16 批量导入
图12-17 批量导入文件模板
· 设备类型默认为单机,暂不支持集群设备导入。
图12-18 添加文件
点击上传按钮可以预览待导入的设备信息,点击确定完成导入操作。
· 当添加的连接不符合规范时会有相应的表格显示错误信息,无法保存添加,根据提示修改文档后重新导入,当文档信息完全符合规范时可正常导入。
使用系统管理员登录集中管理平台,点击检测所有连接,选择需管理的设备,点击服务配置,进入运行状态页面,可以显示所选所有设备的系统状态(CPU使用率、内存、磁盘占用率、网卡流量等)。
图12-19 VPN设备状态
上传可信证书时,选中需管理的设备,点击<上传证书>,选择<SSL国密>,点击<下一步>。
图12-20 新增可信证书选择类型
图12-21 上传证书
点击选择文件后,选择相应的证书,点击<导入>即可。
删除可信证书列表时,在操作栏内点击删除图标,点击<确定>即可。
图12-22 删除可信证书
选中需管理的设备,点击<数据同步>,点击<确定>,即可对VPN设备内可信证书列表进行前后台证书数据同步操作。
图12-23 数据同步
上传吊销证书列表时,选中需管理的设备,点击<上传CRL>,选择SSL,点击<下一步>。
图12-24 上传CRL证书
点击选择文件后,选择相应的CRL列表,点击<导入>即可。
下载吊销证书列表时,在操作栏内点击下载图标即可。
图12-25 下载CRL证书
删除吊销证书列表时,在操作栏内点击删除图标,点击<确定>即可。
选中需管理的设备,点击<数据同步>,点击<确定>,即可对VPN设备内吊销证书列表进行前后台列表数据同步操作。
图12-26 数据同步
功能说明:本功能可以生成内置CA证书或导入外置CA,下载证书,查看证书,删除证书,可根据VPN设备IP地址查询和选择设备。
参数说明:
· 名称:生成的根证书名称
· 国家、省、城市、组织、部门:可根据需要填写
· 有效起始日期:证书生效的起始时间
· 有效终止日期:证书生效的终止时间
· 密钥类型:SM2
· 密钥长度:256
· 密钥号:证书对应密钥在加密卡中的位置
图12-27 内置CA证书
点击<导入第三方 CA>,上传外置CA。
图12-28 上传外置CA
图12-29 删除CA证书
图12-30 下载CA证书
功能说明:以CA证书为基础生成用于SSL服务使用的设备证书。
因为根证书分为使用内置CA和使用外置CA两种情况,对应的设备证书也需随根证书类型做调整。
图12-31 数据同步
选择内置设备证书后,弹出内置设备证书生成窗口,输入必填项目,单击确认,生成证书。
图12-32 使用内置CA证书
选择外置设备证书(单P10),弹出生成并下载P10文件窗口,输入必填项目,单击确认,浏览器自动下载一个P10文件,将P10文件上传至第三方CA中心,由CA中心签发生成设备证书,从集中管理平台页面导入。
图12-33 生成并下载P10证书
上传由第三方CA中心签发回来的证书和密钥文件,点击导入证书,选择证书和密钥文件,点击导入即可。
图12-34 上传设备证书
使用系统管理员登录集中管理平台。
功能说明:此功能可以修改SSL服务使用的设备证书。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 接入选项,进入接入选项配置界面,勾选设备,选择SSL服务使用的设备证书,单击保存进行证书修改。
图12-35 接入选项配置
功能说明:用户管理页面提供SSLVPN用户的配置功能(注:该用户是指实际使用SSL功能的用户,并非系统管理员用户)。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 用户管理,进入用户管理页面。
图12-36 用户管理页面
用户组添加:
在实际使用时,建议根据实际使用情况先进行用户组的添加操作,具体为:选择‘根’用户组(注:该用户组只是方便进行用户组的展示,并无法实际使用,切勿在‘根’用户组进行用户添加、移动和删除操作),单击<新增>并选择用户组,跳转至用户组添加页面按照提示进行操作。
图12-37 添加用户组按钮
图12-38 添加用户组
参数说明:
· 名称:用户组的名称,为方便管理可以填入部门简称如:网络支持1组等。
· 描述:配合用户组名称,方便系统管理员对用户组进行识别。
· 所属组:用于展示当前用户组所在的层级。
· 所属虚卡:该用户组内用户分配IP时使用的虚卡。
· 口令安全策略(长度):该用户组下用户可使用最短口令长度。
· 口令安全策略(复杂度):该用户组下用户可使用最低口令复杂度,可配置项:低、中、高。
· 继承上级用户组关联资源:如果该用户组为二级用户组,当选择此选项时,<关联资源>选项只可选择父组分配的资源组。
· 用户名/密码:适用于所有的客户端,是最基本也是最普通的认证方式。
· UKEY认证:使用USB智能密码钥匙,配合对应密码进行用户登录认证,适用于Linux和Windows客户端。
· 强制该组用户继承本组认证选项:强制指定用户组内的用户使用认证方式中的一种或多种。
· 关联资源:指定该用户组内用户可以使用的具体资源,通过关联相应的资源组进行具体资源的关联。
· 用户组内的用户个数不能超过所能分配的最大虚拟IP个数,理论上一个用户组的最大用户数量不能超过255-1=254 个用户。
用户组编辑:
选择用户组后点击<编辑>,即可对该用户组进行编辑,具体参数同用户组添加。
用户组删除:
选择用户组后点击<删除>,即可删除该用户组及组下的所有用户。
用户组移动:
选择用户组后点击<移动>,会打开下图窗口,选择目标组后点击<确认>,即可将该用户组移动到目标组下。
图12-39 移动用户组
新增用户:
选择需要使用的用户组,点击绿色<新增>,在弹出的下拉条中选择用户,进行具体SSL用户的的添加操作。用户添加页面如图所示:
图12-40 添加用户
参数说明:
· 名称:SSL用户名称,当用户使用用户名和密码进行登录时,名称将作为登录用户的唯一身份标识。
· 描述:便于系统管理员对不同用户进行辨别及管理,不参与任何功能的实现及管理。
· 新密码:用户密码。
· 确认密码:需和用户密码保持一致。
· 手机号:功能类似‘描述’,仅便于系统操作员对用户进行管理,不参与任何功能的实现及管理。
· 所属组:当前新建用户所属的用户组。可以通过点击‘所属组’内容框在弹出的用户组树状图上进行新建用户与其他用户组的关联。
· 继承所属组认证和账户状态选项:当选择此选项时,<认证选项>和<账户状态>仅支持默认使用父组的配置,不可自行更改。
· 继承所属组认证:当该用户所在的用户组未勾选“强制该组用户继承本组认证选项”时,该选项可以进行勾选,如勾选该选项,下方认证选项将变成灰色,不允许进行更改。相反即可对当前新建用户进行认证方式选择操作。
· 认证选项:展示当前用户支持的认证方式。
· 不同认证方式的申请:SSL用户一共可选择两种认证方式(如用户组在“认证选项”进行限定,用户可使用的认证方式可能会有所减少),如果选择使用uKey认证可在此处进行申请。(注:系统管理员需先点击<保存>按钮,新建用户成功后才可以创建USB Key)具体如下图所示。
图12-41 创建USB-Key按钮
· 创建USB-KEY:将智能密码钥匙插入操作电脑(系统管理员正在使用的工作电脑,并非安全接入网关本身)。点击<刷新>,在选择智能密码钥匙下拉条选择需要绑定的智能密码钥匙,并输入密码钥匙口令。在绑定智能密码钥匙时,安全接入网关会将智能密码钥匙以用户名称进行重新命名,系统管理员可自行决定是否重新命名,智能密码钥匙名称并不影响正常使用
图12-42 创建USB-Key
功能说明:资源管理功能可以添加资源组和资源,这些资源可以分配用户组使用。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 资源管理,进入资源管理页面。
新增资源组:
选择一个资源组,点击<新增>,在列表中选择资源组,进入资源组添加界面。
参数说明:
· 名称:资源组名称。
· 描述:备注资源组信息。
· 启动资源组:是否使用该资源组。
图12-43 创建资源组
编辑资源组:
选中要编辑的资源组,点击<编辑>,在打开的资源组编辑页面可编辑资源组属性。
删除资源组:
选中要删除的资源组,点击<删除>,在打开的确认删除提示框中点击<确定>,即可删除资源组。
资源添加/编辑:
L3VPN应用:适用于所有客户端,不区分TCP和UDP协议,也不对端口进行控制。
图12-44 创建L3VPN资源
参数说明:
· 名称:L3VPN应用名称。
· 描述:只在管理页面进行展示方便系统管理员对该L3VPN应用进行管理。
· 资源协议:包括ipv4和ipv6。
· 资源地址:具体要转发的网络资源,L3VPN应用的地址通过IP配合掩码长度来控制。
· web资源配置:配置具体应用页面名称和应用页面地址。
· 所属组:该L3VPN应用所属的资源组,系统管理员可以通过‘选择资源组’,指定该L3VPN应用所属的资源组。
· 启用资源:是否启用该资源。
添加完成后点击<保存>,保存成功后会跳转至资源管理页面,新建的L3VPN应用会在页面右侧列表处展示
· L3VPN应用,在添加资源地址时,可以添加多个地址,已达到批量添加的目的,但是可能存在某一应用资源地址在其他应用中重复添加的问题,安全接入网关不会进行重复判断,需要系统管理员在添加时自行判断。为防止分配的资源范围过大,从而导致的权限或信息溢出问题,建议在分配资源时,不要分配超过所需资源的最大范围。
资源删除:
选中要删除的资源,点击<删除>,在确认删除提示框中点击<确定>即可删除该资源。
资源移动:
选中要移动的资源,点击<移动>,在弹出的确认框中选中要移动到的资源组,点击<确认>即可完成资源的移动。
功能说明:虚卡配置功能可以编辑和开启服务用到的虚卡,为这些虚卡分配IP和端口。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 虚卡配置,进入虚卡配置页面。
图12-45 虚卡配置
编辑虚卡配置:
在需要进行操作的虚卡信息操作栏中,点击编辑图标,打开编辑虚卡配置对话框。
图12-46 虚卡编辑
参数说明:
· 虚拟网卡名称:配置虚卡名称。
· 虚拟网卡ip:虚拟网卡的IP。
· 子网掩码长度:虚拟网卡的掩码长度,默认24。
点击<保存>即可完成编辑虚卡配置
虚卡生效:
点击<虚卡生效>,实现虚卡配置重启。
功能说明:将安全接入网关收到的数据进行解析处理后,发送给真实的网络资源。
以系统管理员身份登录管理页面,选择SLVPN设置 > 映射配置,进入映射配置页面。
新增/编辑映射配置:
点击<新增>,打开新增映射配置对话框。
图12-47 新增映射配置
参数说明:
· 网口:L3VPN资源连接的网口,以安全接入网关默认网络配置为例,若资源是192.168.17.0/24网段的,此时的网口选择GE0/0。
点击<保存>即可完成新增映射配置。
删除映射配置:
选中要删除的映射配置,点击<删除>,在打开的确认对话框中点击<确认>,即可删除该映射配置。
使用系统管理员登录集中管理平台
授权码页面显示VPN设备包括序列号和匹配的授权码,以及授权的详细信息,可以对授权进行更新。
图12-48 授权码管理
功能说明:用于被管设备keepalived的实例配置添加生效。以系统管理员身份登录管理系统,选择高可用 > keepalived,打开keepalived页面。
参数说明:
· 实例名称:新增实例的名称,同网络中实例名称不可重复。
· 心跳检测网卡:要配置keepalived的网卡。
· VRID标识:同组主备需相同。
· 优先级:范围1~100,优先级大的设备为主机,若主备优先级相同则先配置生效的设备为主机。
· 虚拟服务器IP:与主VPN及备VPN共用的虚拟IP。
· 子网掩码:虚拟IP的子网掩码长度。
· 实例绑定网卡:同心跳检测网卡。
· 心跳包检测间隔:主备VPN检测彼此状态的时间间隔,范围0.01~30。
· 是否启用非抢占式:选择是否启用非抢占模式。
图12-49 实例配置
展示已添加的负载实例,可进行编辑、删除以及配置生效操作。
参数说明:
· 虚拟ip地址:先前实例中添加的对外提供负载服务的IP(客户端连接使用的IP)。
· 内网虚拟ip:被负载的设备连接主负载VPN使用的IP。
· 端口:对外提供负载服务的端口(客户端登录时填写的端口号)。
· 调度算法:rr:轮询调度,将请求依次负载给VPN
lc:最小连接数调度,会优先将请求负载给当前连接数最小的VPN
wlc:加权最小连接数调度,会将请求优先负载给当前连接数与权值比最小的VPN。
· 负载均衡转发规则:负载转发模式。
· 协议:负载使用的协议。
图12-50 负载均衡页面
可以查看负载配置完成后的节点运行状态。
参数说明:
· 负载服务器IP:被负载的服务器的ip地址。
· 端口:被负载VPN的端口。
· 权重:服务器权重。
· 当前活跃的连接:在线的连接数量。
· 失活连接:不在线的连接数量。
图12-51 负载节点状态页面
审计管理员登录集中管理平台才能使用此模块。
功能说明:用于查看集管平台设备的运行日志,运行日志类型为管理日志。审计管理员登录成功后,选择系统维护 > 日志管理,进入日志管理页面。
图12-52 集管平台日志
页面参数说明:
· 日期:点击可以选择查看指定时间的日志,选择好时间后点击刷新。
· 查看全部:可以显示当前选择的日志类型下,系统中所有时间的日志。
· 导出日志:导出当前选择的日志类型下,在页面上显示的所有日志。
· 清除日志:清除当前选择的日志类型下,一段时间内的所有日志。
表格参数说明:
· 管理员:产生当前日志的管理员名称。
· 操作时间:产生当前日志的时间。
· 类型:当前操作所属功能类型。
· 结果:当前操作执行结果。
· 审计结果:对当前日志进行审计的结果显示。
· 审计:对当前日志进行审计操作按钮。
功能说明:用于查看设备的运行日志及服务错误提示。运行日志包括了三种类型,管理日志、服务日志和用户日志。选择要查看的日期, 会显示相应时间下的日志记录。审计管理员登录成功后,选择待管理设备,点击服务配置,进入日志管理页面。
图12-53 VPN日志管理
页面参数说明:
· 日志类型:
· 管理日志:记录管理员操作的日志。
· 用户日志:记录用户在客户端上的操作日志。
· 日期:点击可以选择查看指定时间的日志,选择好时间后点击刷新。
· 选择设备:当前可操作设备列表。
· 查看全部:可以显示当前选择的日志类型下,系统中所有时间的日志。
· 导出日志:导出当前选择的日志类型下,在页面上显示的所有日志。
· 清除日志:清除当前选择的日志类型下,一段时间内的所有日志
页面参数说明:
· 管理员:当前操作日志的管理员名称。
· 操作时间:当前操作日志的时间。
· 类型:当前操作所属功能类型。
· 操作:当前操作具体操作内容。
· 结果:当前操作执行结果。
· 审计结果:对当前日志进行审计的结果显示
· 审计:对当前日志进行审计操作按钮
点击选择设备可以显示对应设备的日志
图12-54 根据ip选择设备日志
使用安全管理员登录集中管理平台才能使用此模块。
当前管理员权限下的管理员及管理组的新增、编辑和删除。功能说明:管理员账号提供管理员及管理组的新增、编辑和删除。
以安全管理员身份登录管理页面,选择系统设置 > 管理员账号,进入管理员账号页面。
图12-55 管理员账号
在左边管理组树状结构上选择一个管理员组,点击新建-管理组,打开新建管理组页面。
图12-56 新建管理组管理
参数说明:
· 管理组名称:新增管理组的名称。
· 管理组描述:配合管理组名称,方便管理员对管理组进行管理。
· 所属管理组:要新建的管理组所属父级管理组。
· 启用该管理组:新建管理组是否启用。
· 组内管理员不可编辑所在管理组。
· 删除管理组其下级管理组及管理员都将被删除。
管理组删除:
选中要删除的管理组,点击<删除>,在打开的删除确认框中点击<确定>,即可删除该管理组及组下管理员。
管理员新建/编辑:
选中管理组,点击<新增>,选择管理员,打开管理员新增页面。
图12-57 管理员管理
参数说明:
· 登录方式:默认用户名密码登录。
· 管理员姓名:管理员名称。
· 管理员描述:配合管理员名称,方便对管理员的管理。
· 密码:要使用的密码。
· 确认密码:确认密码与新密码一致。
· 所属管理组:管理员所属管理组。
配置完成后,点击<保存>即可完成管理员新增。
管理员删除:
选中要删除的管理员,点击<删除>,在弹出的确认删除提示框中点击<确定>,即可删除该管理员。
支持
