手册下载
H3C SecPath F1000-VPN综合安全网关
Web配置指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为了方便网络或设备管理员对综合安全网关设备进行配置操作及维护,综合安全网关产品支持通过HTTP协议建立安全的Web连接实现Web网关功能。管理员可以通过Web界面更加直观和便捷地管理和维护综合安全网关设备。
设备在出厂时已经设置了默认的Web登录信息,用户直接使用该默认信息登录设备的Web界面。
默认的Web登录信息包括:
· 设备默认管理IP地址:“192.168.0.1”。
· 验证码:随机数字。
Web管理的具体登录步骤如下:
(1) 连接设备和PC。
用交叉以太网线将 PC 和设备的默认管理口相连。
(2) 为PC配置IP地址,保证能与设备互通。
修改管理PC的IP地址为192.168.0.0/24(192.168.0.0/24网段内除192.168.0.1的任意地址即可),例如192.168.0.100。
(3) 启动浏览器输入登录信息。
启动Chrome浏览器,在地址栏内输入“https://192.168.0.1:8181”即可进入如下图所示的Web网管登录页面。插入管理员USB KEY,密码为初始化时设置的密码,点击<登录>按钮即可进入Web网关页面并进行相关操作。
图1-1 登录窗口
WebUI介绍
系统管理员登录后的Web UI界面如下图所示,为运行状态的监控页面,它显示了关键的系统信息和系统统计数据的概要信息。
图1-2 综合安全网关web UI介绍
Web UI界面由以下部分组成:
· 主菜单和子菜单(黑色方框内)
系统的功能主要分为以下几个主菜单(根据当前登录管理员的权限不同会显示不同的菜单),而主菜单中又包括了更多的子菜单:
以系统管理员身份登录:
¡ 运行状态:用于查看设备状态。
¡ 系统设置:用于配置网络、证书及相关设置。
¡ SSLVPN设置:用于配置SSL服务,包括对用户和资源的配置。
¡ SSL卸载设置:在用于配置卸载服务。
¡ IPSECVPN设置:在用于配置IPSEC服务。
¡ 系统维护:用于备份恢复、升级更新、开关机等操作。
¡ 单点登录:用于配置单点登录功能及LDAP用户同步。
¡ 高可用:用于配置keepalived和master-slave,搭建集群环境及保障系统的稳定运行。
¡ 以安全管理员身份登录:
¡ 系统设置:用于对管理员及所属管理组进行配置,生成及导入证书秘钥。
¡ 证书管理:可上传可信证书、吊销证书,以及进行CA证书新增和删除等操作。
¡ 以审计管理员身份登录:
¡ 系统维护:可查看系统记录的各种日志及日志的导出操作。
· 内容面板(菜单栏右侧)
选择主菜单下的子菜单时,Web UI界面的右侧将会显示出一个内容面板,管理员可以通过这个面板来进行配置,也可以查看相关的统计信息。
· 工具图标(最上方状态栏内)
在Web UI的右上角,您可找到修改当前管理员密码及退出系统:
¡ <退出登录>,单击可以退出Web UI界面。确保关闭Web浏览器前从Web UI界面中退出。
运行状态的监控图表展示了综合安全网关当前的安全概况,界面如下图所示:
图2-1 监控面板
以下介绍界面上相关内容
· 在线用户:当前SSL在线用户数。
· 可用资源:当前SSL可用资源。
· 接入连接:当前在使用的IPSEC隧道数。
· 设备运行状态:根据设备的CPU、内存、硬盘使用率计算出当前设备的健康状态。
· 管理员访问次数:显示最近七天中管理员登录系统的次数。
· 资源分布:显示SSL服务配置的各种资源占比饼状图。
· 网络状态:设备各网口及IP信息。
· 系统信息:显示系统备份、还原时间等。
功能说明:时间与日期功能为用户提供了修改综合安全网关时间与日期的功能。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > 时间与日期,点击<日期>可修改综合安全网关的日期,点击<时间>可修改综合安全网关的时间。勾选<自动与时间服务器同步>,选择要同步的时间服务器,点击<保存>,可使刚刚修改的时间与日期生效。
图3-1 时间与日期
· 同步时间需配置综合安全网关,使设备可以和时间服务器网络连通。
· 开启NTP时间同步,点击保存按钮后请等待对时操作结果显示后再操作页面,不然可能导致授权异常。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > 控制台配置,此功能可修改访问安全控制网关页面的端口号,系统出厂默认https访问端口号为8181。
图3-2 控制台配置
· 远程访问仅供远程支持使用,支持结束后请将远程支持维护切换至禁用状态。
· 在提示修改完成前请勿进行操作。
功能说明:主要针对设备的 SMTP 服务器的设置,使设备能够对外发送邮件。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > 邮件服务器,进入邮件服务器配置界面。
参数说明:
· SMTP 服务器地址:填写相应 SMTP 服务器地址,例如 QQ 邮箱的服务器地址为smtp.qq.com,网易的服务器地址为smtp.163.com。
· 端口号:设置 SMTP 服务器提供服务的端口号。
· 用户名:填写发送邮箱的邮箱地址。
· 密码:填写发送邮箱的密码。
· 收件邮箱:填写接收邮箱的邮件地址。
· 邮件协议:选择所需的邮件安全协议。
· 启用邮件日志:勾选上,则会向发信邮箱发送服务端的管理日志。
参数配置完成后,点击<保存>,进行邮件服务器的配置。点击<取消>,可重置邮件服务器的配置。点击<发送测试邮件>,可测试保存的邮件服务器配置是否正确。
图3-3 邮件服务器
· 使用邮件服务器需配置综合安全网关,使设备可以和邮件服务器互通。
· 用户名即发件人邮箱,必须开启SMTP服务。
· 不使用邮件服务器时请去掉启用按钮勾选状态并保存,否则会占用资源。
· 若使用邮件服务器,请在防火墙页面将入站默认策略修改为ACCEPT。
功能说明:可配置向日志服务器发送管理员日志的功能。
以系统管理员身份登录管理页面,选择系统设置 > 系统配置 > Syslog,进入Syslog配置界面。
图3-4 Syslog配置
参数说明:
· 启用:是否启用日志服务器。
· 通讯协议:日志传输使用的协议类型。
· 服务器地址:日志服务器的IP地址。
· 端口号:日志服务器用于接收日志的端口号。
· 最小优先级:发送到日志服务器的日志等级。
配置完成后点击<保存>完成Syslog功能的配置。
· 开启Syslog功能后,日志会向配置好的日志服务器发送,管理员日志实时发送,用户日志每日固定时间发送。
功能说明:SNMP可以使管理员远程管理支持该协议的网络设备,如监视网络状态,查看网络设备配置等。
(注:使用SNMP获取设备信息时,需先在web系统高可用-双主复制-开启服务中添加连接VPN设备的IP)
· SNMP无配置页面,此处仅针对状态监控时的配置进行说明。
· SNMP协议版本v2,团体字default-public。
功能说明:管理员账号提供管理员及管理组的新增、编辑和删除。
以安全管理员身份登录管理页面,选择系统设置 > 管理员账号,进入管理员账号页面。
图3-5 管理员账号
点击查看在线管理员,可查看在线管理员信息,包含登录名、登录IP、登录时间和最后操作时间。
在左边管理组树状结构上选择一个节点,点击新增管理组,打开新增/编辑管理组页面。
图3-6 新增/编辑管理组
参数说明:
· 管理组名称:新增管理组的名称。
· 管理组描述:配合管理组名称,方便管理员对管理组进行管理。
· 所属管理组:要新建的管理组所属父级管理组。
· 启用该管理组:新建管理组是否启用。
· 口令安全策略:配置口令长度、复杂度、失败次数、锁定时间。
· 配置管理权限和管理内容:该管理组有用的管理权限,勾选上代表有。
点击保存,可新增/编辑管理组。
· 组内管理员不可编辑所在管理组。
· 删除管理组其下级管理组及管理员都将被删除。
选中要删除的管理组,点击<删除>,在打开的删除确认模态框中点击<确定>,即可删除该管理组及组下管理员。
图3-7 管理组删除
选中管理组,点击<新增>,选择管理员,打开管理员新增页面。
图3-8 新增管理员
图3-9 管理员新增
图3-10
图3-11 管理员新增
参数说明:
· 管理员:管理员名称。
· 证书类型:生成管理员证书时使用的根证书类型。
· 管理员USB-KEY:与管理员绑定使用的USB KEY。
· 管理员描述:配合管理员名称,方便对管理员的管理。
· 新PIN码:要使用的密码。
· 确认PIN码:确认PIN码与新PIN码一致。
· 允许登录IP设置:是否对该管理员使用的设备IP做限制,若选择‘该账号允许从下面的地址登录’,则该管理员只能从被限制的IP访问,该限制可以是一个IP,也可以是一段IP。
配置完成后,点击<保存>即可完成管理员新增。
· 新增管理员时,该管理员使用的USB KEY必须插在进行操作的设备上,不然PIN值无法同步会造成问题。
· 新增管理员时必须生成证书,否则使用该管理员登录会登录失败并出现空白提示框。
选中管理员,点击<编辑>,打开管理员编辑页面。
图3-12 编辑管理员
图3-13 管理员编辑1
图3-14 管理员编辑2
参数说明:
· 管理员:管理员名称。
· 证书类型:生成管理员证书时使用的根证书类型。
· 管理员USB-KEY:与管理员绑定使用的USB KEY。
· 管理员描述:配合管理员名称,方便对管理员的管理。
· 原PIN码 :该管理员原来使用的密码。
· 新PIN码:要使用的密码。
· 确认PIN码:确认PIN码与新PIN码一致。
· 允许登录IP设置:是否对该管理员使用的设备IP做限制,若选择‘该账号允许从下面的地址登录’,则该管理员只能从被限制的IP访问,该限制可以是一个IP,也可以是一段IP。
配置完成后,点击<保存>即可完成管理员编辑。
· 编辑管理员时,该管理员使用的USB KEY必须插在进行操作的设备上,不然PIN值无法同步会影响登录。
选中要删除的管理员,点击<删除>,在弹出的确认删除提示框中点击<确定>,即可删除该管理员。
图3-15 管理员删除
· 删除管理员前先编辑该管理员,将管理员USB KEY的密码更改为12345678,这样已删除的管理员的USB KEY就可以在添加新的管理员时使用。
功能说明:部署模式可修改 综合安全网关各网口的IP、掩码、网关等配置。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > 部署模式,进入部署模式页面。
网络接口参数说明:
· IP获取方式:分为自动获取和手动设置,选择dhcp为自动,否则为手动。
· IP协议类型:可选择ipv4或者ipv6。
· IP地址:该网口修改后生效的IP地址
· 子网掩码:该网口所在网络的掩码长度,范围为1-32。
· DNS:分为首选和备选,当首选DNS失效时会启用备选。
· MTU:最大传输单元
图3-16 部署模式
· IP获取方式、DNS、最大传输单元仅外网接口可以设置。
· 选择DHCP方式获取IP需保证网络中存在DHCP服务器,否则该网口会获取不了IP。
· 如实际网络中不存在网关此处不可填写,否则会造成该网口无法使用。
功能说明:此功能可为网口配置多个IP。
参数说明:
· IP地址:要创建的多IP地址。
· 子网掩码:该IP匹配的掩码长度,范围为1-32。
图3-17 多IP绑定
图3-18 添加多IP
功能说明:此功能可配置综合安全网关的默认网关。
图3-19 默认网关
配置好上述参数后,点击<保存>,此时系统提示“正在配置网络部署,请等待配置保存成功提示后再操作”,点击<确定>,等待提示成功即可。
· 选择设为默认网关的网卡配置处网关不可为空,且该网关必须可达,否则会导致该网口无法正常使用。
· 若网络中无网关又需配合其他功能(如IPSec)添加默认网关的话可在路由设置页面以目标网段(0.0.0.0),网络掩码(0.0.0.0),网关(如无指定可随意选择符合绑定网卡掩码规则的IP),网关(如无指定可随意选择网卡)进行添加。
· 更换可扩展插槽后必须在页面上配置好新增插槽的各网口地址,点击保存后扩展插槽上的网口才可用。
· 更换网卡插槽需在关机后进行,开机后在部署模式页面对新增卡槽的各网口IP进行配置。
若更换插槽后没有在页面上配置IP,设备再次重启后扩展插槽中的网口会恢复成出厂默认的IP。
· 若网口IP协议选择IPv6,在页面添加配置保存后需重启设备以保证配置生效。
功能说明:防火墙是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断,只有匹配了防火墙规则的情况下,数据才能顺利通过。
以系统管理员身份登录选择系统设置 > 网络配置 > 防火墙,进入防火墙配置页面。
防火墙策略分为三种:
· 入站策略:针对目的地是综合安全网关的数据包。
· 出站策略:针对综合安全网关发往别的设备的数据包。
· 转发策略:针对经过综合安全网关转发的数据包。
图3-20 防火墙配置
上述三种策略的配置方式是相同的,此处以入站策略为例介绍。
默认策略为ACCEPT,默认不拦截,可以添加特定的拦截规则。
点击<添加>按钮,可以打开添加规则窗口,如下图
图3-21 新增策略
参数说明:
· 编号:表示策略的加载顺序,不能填写大于提示的数字,一般按提示填写即可。
· 目的:ACCEPT代表放行,DROP代表丢弃,REJECT表示拒绝,在默认策略ACCEPT时,通过添加DROP或者REJECT规则,来增加黑名单;在默认策略为DROP时,通过添加ACCEPT规则来添加白名单。
· 协议:TCP或UDP或ICMP协议。
· 源IP:数据包的源IP。
· 目的IP:数据包的目的IP。
· 端口/icmp类型:若协议为ICMP,则端口/icmp一栏填写icmp类型。若协议为TCP或UDP,则此处填写端口类型。
参数配置完成后点击<保存>即可新增一条规则。
点击<清除所有>会清除已添加的所有规则。
图3-22 清除所有
点击<同步防火墙>,可以将添加的规则保存并生效。
图3-23 同步防火墙
右击已添加的策略,选择<替换>可以进行修改等操作。
图3-24 修改策略
· 相同的策略不同的序号可能出现不一样的执行结果,若想实现特定规则,请在添加前注意相关策略的加载顺序。
右击已添加的策略,选择<删除>可以进行删除操作。
图3-25 删除策略
功能说明:综合安全网关在实际使用环境中,可能根据网络环境需要添加路由,此时可在路由设置中进行操作。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > 路由设置,进入路由配置页面。
图3-26 路由配置
点击<新增>,在打开的新增路由框中输入要配置的路由信息。
· 目标网段:路由指向的目标地址段。
· 路由掩码长度:目标地址段的子网掩码长度。
· 网卡:路由的载体。
· 网关:到达目标地址段的下一跳地址。
点击<保存>,保存当前路由;点击<取消>放弃本次添加。
图3-27 添加路由
选中要修改的路由,点击<编辑>,在打开的路由编辑界面修改参数,点击<保存>即可完成修改。
图3-28 编辑路由
选中要删除的路由,点击<删除>,在弹出的确认选择框中选择<确定>,即可删除该路由。
图3-29 删除路由
· 目标网段与网络掩码必须同段,比如目标网段为192.168.4.0,网络掩码可以为255.255.255.0或255.255.255.255,但不能为255.255.0.0。网关为可选项,首次添加新路由时,不需指定网关。添加成功后可点击编辑,进行网关的指定。
功能说明:Hosts可以将主机地址与主机名进行对应,配置后用户只需记住对应地址的主机名即可,该页面可对综合安全网关上的Hosts信息进行管理。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > Hosts,进入Hosts配置页面。
· 添加:点击<新增>,选择<新增主机映射>,输入对应配置信息即可点击<保存>。
· 删除:选中要删除的Host,点击<删除>即可删除本条host。
· 编辑:选中要编辑的Host,点击<编辑>,在打开的模态框中输入要修改的参数,点击<保存>即可完成修改
图3-30 Hosts页面
图3-31 Hosts添加/编辑
功能说明:配置NAT可以实现使用少量的公有IP地址代表较多的私有IP地址的方式,NAT不仅能解决IP地址不足的问题,而且还能够有效的避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > NAT,进入NAT配置页面。
NAT策略分为:
· 预路由策略:即目标网络地址转换,一般用于外网访问内网。
· 后路由策略:即源网络地址转换,一般用于内网访问外网。
图3-32 NAT
应用场景为综合安全网关上的GE0/0口和GE0/1口IP地址分别为192.168.18.199(模拟外网),192.168.17.199(模拟内网),并分别接入两台设备A和B,IP地址分别为192.168.18.100和192.168.17.100。A访问综合安全网关(192.168.18.199:1234),此时真正访问到的是B(192.168.17.100:1234),以此种方式隐藏目的地址即实现外网访问内网的安全控制。
点击<添加>,打开添加窗口。填写配置如下图所示。
图3-33 预路由配置
参数说明:
· 编号:表示规则的编号,一般按顺序填写即可。
· 目的:DNAT,目的地址转换。
· 协议:选择新增策略的协议类型。
· 源IP:数据包的源IP。
· 目标IP:数据包的目的IP。
· 端口/icmp类型:若协议为ICMP,则端口/icmp一栏填写icmp类型。
· DMZs:若目的地址设备在隔离区中选择on,否则选择off。
· 转发主机地址:目标主机地址。
点击<保存>,即可完成添加。
将B设备的默认路由设为综合安全网关的GE0/1网口(192.168.17.199),A设备即可通过在浏览器中访问综合安全网关的GE0/0网口(192.168.18.199)和端口访问到B设备,此时访问A访问192.168.18.199:1234实际上访问的是192.168.17.100:1234。
应用场景为综合安全网关上的GE0/0口和GE0/1口IP地址分别为192.168.18.199(模拟外网),192.168.17.199(模拟内网),并分别接入两台设备A和B,IP地址分别为192.168.18.100和192.168.17.100。
参照下图配置。
图3-34 后路由配置
参数说明:
· 编号:表示规则的编号,一般按提示填写即可。
· 目的:MASQUERADE根据网口IP自动获取,SANT指定源转换地址。
· 协议:选择新增策略的协议类型。
· 源IP:数据包的源IP。
· 目标IP:数据包的目标IP。
· 端口/icmp类型:若协议为ICMP,则端口/icmp一栏填写icmp类型。
· 转发主机地址:对外展示的源IP。
点击<保存>,即可完成添加。
B设备在浏览器中访问A设备,此时A设备上收到的消息包的源地址为192.168.18.100,以此方式实现隐藏源地址,实现内网访问外网安全控制。
点击<清除所有>会清除已添加的所有规则。
图3-35 清除所有
点击<同步NAT策略>,可以将添加的规则保存并生效。
图3-36 同步策略
右击已添加的策略,点击<替换>按钮,可以进行修改等操作。
图3-37 修改策略
右击已添加的策略,点击<删除>按钮,可以进行修改等操作。
图3-38 删除策略
功能说明:ARP记录了综合安全网关收到的ARP应答消息终端IP及MAC地址。
以系统管理员身份登录管理页面,选择系统设置 > 网络配置 > ARP,进入ARP页面。
图3-39 ARP
点击<新增>,在打开的添加ARP窗口中输入ARP信息,点击<保存>即可。
图3-40 添加ARP
参数说明:
· IP地址:设备的IP地址。
· 物理地址:设备的MAC地址。
选择要删除的ARP记录,点击<删除>,在弹出的确认删除对话框中选择<确定>,即可删除该ARP。
图3-41 删除ARP
功能说明:将多个物理端口汇聚一起,形成一个逻辑端口,以实现负载均衡或主备。
主备模式:多个网卡聚合,只有一个网卡工作,当这个网卡出现异常停止工作时,其他网卡立刻顶上,替换其进行工作,有效防止因网卡损坏带来的损失。
负载均衡模式:实现出入流量吞吐量在各成员端口的负荷分担,增加带宽,提高网络访问速度。
要求:配置链路聚合前需要先完成部署模式的配置,且需要聚合的网卡要保证网络正常。
点击【新增】,以下图为例,选择工作模式,主备或者负载均衡,然后选择逻辑网卡和物理网卡,逻辑网卡必须是物理网卡中的一个,否则无法保存(例:若物理端口为GE0/0, GE0/1, GE0/2, GE0/3,则逻辑网卡只能选择这四个中的一个),之后点击保存,进行链路聚合配置。完成后,会在主界面生成一条记录,点击该记录所在行,即可查看此记录的详细信息、主备模式、当前活跃网卡。负载模式不显示活跃网卡信息。参与聚合的物理网卡的网关均会清除。
点击删除,会将选中记录中所有的物理网卡的ip、子网掩码、网关信息全部恢复。
功能说明:OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。OSPF简单地说就是两个相邻的路由器通过发报文的形式成为邻居关系,邻居再相互发送链路状态信息形成邻接关系,之后各自根据最短路径算法算出路由,放在OSPF路由表,OSPF路由与其他路由比较后更优的加入全局路由表。
以系统管理员身份登录管理页面,选择【系统设置 > 网络配置 > OSPF管理】,进入OSPF配置页面。
参数说明:
OSPF服务状态:表示OSPF是否开启
Zebra服务状态:表示Zebra是否开启;因为通过zebra配置,所以配置时两个都需要开启
Router-ID配置:表示OSPF网络中本设备的ID,一般选择连接网卡的IP
网口AREA配置:配置每个网卡所属的OSPF区域号,AREA值上限为4294967295。
NETWORK宣告配置:配置本机在OSPF网络中广播的网段,配置后其他接入的设备可以生成指向该网段的路由
OSPF邻居显示:显示在网络中发现的邻居。
OSPF当前配置:显示目前zebra配置文件。
配置好后,点击【保存】生效,OSPF只有在存在邻居设备时才能动态更新路由。
功能说明:接入选项页面提供特征库上传、用户key种类配置、SSL设备证书切换及日志等级设置及下载等的功能,用户可在此处进行相关配置。
以系统管理员身份登录管理页面,选择系统设置>SSLVPN设置>接入选项,进入接入选项页面。
图4-1 接入选项
参数说明:
· SSL设备证书配置:系统支持添加多套SSL设备证书,当需要切换证书时可在此处进行选择。
· 上传第三方库:当有新的国标USB KEY适配完成,可以在此处上传对应的特征库文件实现VPN对新国标USB KEY的使用。
· 用户key种类配置:此处在设备已适配的所有USB KEY中可以选择目前正在使用的USB KEY类型。
· SSL日志等级:日志等级2为正常使用时的等级,此时日志输出内容较少。
· 重试锁定时间:当用户输错密码次数到达上限后被锁定的时间。
· 密码重置提醒:当用户在设置的时间内未修改过密码,提醒用户及时修改密码。
· SSO调转配置:当使用单点登录功能时,url填写VPN与资源服务器连接的网口的IP。
· 是否使用固定虚拟IP:开启后用户每次登录都会获得同一个虚拟IP,且不能同时登录多个客户端。
· SSL日志等级默认为2 ,调试结束后需要将等级修改为2,否则设备性能会有衰退。
功能说明:用户管理页面提供SSLVPN用户的配置功能(注:该用户是指实际使用SSL功能的用户,并非管理员用户)。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 用户管理,进入用户管理页面。
图4-2 用户管理
为方便将用户与所需访问的网络资源关联并进行统一管理,综合安全网关引用用户组概念。在实际使用时,建议根据实际使用情况先进行用户组的添加操作,具体为:选择‘根’用户组(注:该用户组只是方便进行用户组的展示,并无法实际使用,切勿在‘根’用户组进行用户添加、移动和删除操作),单击<新增>并选择用户组,跳转至用户组添加页面按照提示进行操作。
图4-3 新增用户组
图4-4 新增用户组详情
参数说明:
· 名称:用户组的名称,为方便管理可以填入部门简称如:网络支持1组等。
· 描述:配合用户组名称,方便系统管理员对用户组进行识别。
· 所属组:用于展示当前用户组所在的层级。
· 所属虚卡:用户组绑定的虚卡
· 口令安全策略 长度:当前用户组下的用户使用的安全口令的长度
· 口令安全策略 复杂度:当前用户组下的用户使用的安全口令的复杂度
· 继承上级用户组关联资源:如果该用户组为二级用户组,当选择此选项时,[关联资源]选项只可选择父组分配的资源组。
· 主要认证:
¡ 用户名/密码:适用于所用的客户端,是最基本也是最普通的认证方式。
¡ UKEY认证:使用USB KEY,配合对应密码进行用户登录认证,适用于Linux和Windows客户端。
· 关联资源:指定该用户组内用户可以使用的具体资源,通过关联相应的资源组进行具体资源的关联。
选择用户组后点击<编辑>,即可对该用户组进行编辑,具体参数同用户组添加。
图4-5 用户组编辑
选择用户组后点击<删除>,即可删除该用户组及组下的所有用户。
图4-6 用户组删除
选择用户组后点击<移动>,会打开下图窗口,选择目标组后点击<确认>,即可将该用户组移动到目标组下。
图4-7 移动用户组
选择需要使用的用户组,点击绿色<新增>,在弹出的下拉条中选择用户,进行具体SSL用户的添加操作。用户添加页面如图所示:
图4-8 新增用户
参数说明:
· 名称:SSL用户名称,当用户使用用户名和密码进行登录时,名称将作为登录用户的唯一身份标识。
· 描述:便于系统操作员对不同用户进行辨别及管理,不参与任何功能的实现及管理。
· 密码:用户密码。
· 确认密码:需和用户密码保持一致。
· 手机号码:功能类似‘描述’,仅便于系统操作员对用户进行管理,不参与任何功能的实现及管理。
· 所属组:当前新建用户所属的用户组。可以通过点击‘所属组’内容框在弹出的用户组树状图上进行新建用户与其他用户组的关联。
· 认证选项:在用户‘基本属性’最下方,提供额外的选择项‘继承所属组认证和账户状态选项’,该选择项可以指定,新建用户是否继承所在用户组的认证方式。如选择继承所在用户组认证方式,即勾选该选项,认证选项将变成灰色,不允许进行更改。相反即可对当前新建用户进行额外认证操作。
· 不同认证方式的申请:SSL用户一共可选择两种认证方式(如用户组或具体用户在‘认证选项’进行限定,用户可使用的认证方式可能会有所减少),如果选择使用uKey认证可在此处进行申请。(注:系统操作员需先点击‘保存’,新建用户成功后才可)具体如下图所示:
图4-9 认证方式申请
· 创建USB-KEY:将USB KEY插入操作电脑(系统操作员正在使用的工作电脑,并非综合安全网关本身)。点击<刷新>,在选择智能密码钥匙下拉条选择需要绑定的USB KEY,并输入密码钥匙口令(新的USB KEY默认密码为12345678)。在绑定USB KEY时,综合安全网关会将USB KEY以用户名称进行重新命名,系统管理员可自行决定是否重新命名,USB KEY名称并不影响正常使用。
图4-10 创建USB-KEY
功能说明:批量新增用户功能可以根据csv文件批量导入用户,方便大量用户一次性创建。
点击<其他操作>,鼠标移动到导入,然后点击<从文件导入>
选择导入的文件类型,目前只支持csv文件格式,选择后点击下一步。
随后进入批量用户导入用户信息设定的界面。
参数说明:
l 下载示例文件:点击后会下载一个csv格式的示例文件。
l 文件选择:上传编辑好的csv文件,文件中包含了需要添加批量导入的用户名和密码信息。
l 指定导入用户的用户组:选择批量导入用户所属的组(不能选择到根目录)。
l 对本地存在用户的选择:继续导入,覆盖已经存在的用户会将已经存在同名用户进行覆盖; 选择跳过不导入该用户会跳过同名的用户。
图4-11 下载后的csv文件
l 目前只支持csv格式的文件,文件中的用户数量不超过100。
l 不需要导入的行需要在行头添加”#” 作为注释内容
l 用户名和密码会有格式的校验,需要遵守文档中的注释格式要求,不符合要求的内容在最后一步点击导入时会导入失败并返回失败的信息
点击下一步后会显示从csv文件中读取到用户的信息。
图4-12 导入用户详情
点击开始导入后,如果所有的用户都符合校验,则会成功导入。并且返回用户页面,可以查看到刚刚添加的用户信息。
如果导入用户的信息不合法,会返回失败用户的信息。
点击查看详情可以查看导入失败用户的信息,点击下载按钮后会将该导入失败的信息下载到csv文件。
功能说明:资源管理功能可以添加资源组和资源,这些资源可以分配用户组使用。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 资源管理,进入资源管理页面。
选择一个资源组,点击<新增>,在列表中选择资源组,进入资源组添加界面。
参数说明:
· 名称:资源组名称。
· 描述:备注资源组信息。
· 启用资源组:是否使用该资源组。
图4-13 新增资源组
选中要编辑的资源组,点击<编辑>,在打开的资源组编辑页面可编辑资源组属性。
图4-14 编辑资源组
选中要删除的资源组,点击<删除>,在打开的确认删除提示框中点击<确定>,即可删除资源组。
图4-15 删除资源组
图4-16 新增/编辑L3VPN应用
¡ 参数说明:
- 名称:L3VPN应用名称。
- 描述:只在管理页面进行展示方便系统管理员对该L3VPN应用进行管理。
- 协议类型:使用ipv4地址或ipv6地址
- 资源地址:具体要转发的内网资源网段。
- 资源掩码长度:具体要转发的内网资源网段的子网掩码长度。以内网资源网段为192.168.17.0/24为例,具体的配置如下图所示:
图4-17 配置L3VPN
- web资源配置:可添加服务器部署在内网资源网段的B/S架构的应用,添加后客户端可通过点击资源列表的方式在浏览器中跳转到对应的B/S应用页面。
图4-18 web资源配置
- 所属组:该L3VPN应用所属的资源组,系统管理员可以通过‘选择资源组’,指定该L3VPN应用所属的资源组。
- 启用资源:是否启用该资源。
添加完成后点击<保存>,保存成功后会跳转至资源管理页面,新建的L3VPN应用会在页面右侧列表处展示。
选中要删除的资源,点击<删除>,在确认删除提示框中点击<确定>即可删除该资源。
图4-19 资源删除
选中要移动的资源,点击<移动>,在弹出的确认框中选中要移动到的资源组,点击<确认>即可完成资源的移动。
图4-20 资源移动
功能说明:可以配置综合安全网关内部使用的用于转发的虚卡,多个虚卡可提高SSL服务性能上限,设备最多支持4个虚拟网卡,可根据需要修改虚卡的IP、掩码、端口和数量,首次配置需点击虚卡生效按钮。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 虚卡配置,进入虚卡配置页面
点击要编辑的虚拟网卡,点击<编辑>,选择对应的修改项点击<保存>,提示保存成功后点击<虚卡生效>即可使虚卡重启并生效新的配置。
图4-21 虚卡配置页面
图4-22 编辑虚卡配置
参数说明:
· 虚卡名称:虚拟网卡的名称。
· 虚拟网卡ip:虚拟网卡的IP。
· 子网掩码长度:虚拟网卡的掩码长度。
· tcp端口:客户端配置TCP连接使用的端口。
· udp端口:客户端配置UDP连接使用的端口,暂不支持配置,默认为0。
· 端口开启:开启tcp为开启tcp端口,关闭双端口为关闭该虚卡。
· UDP端口仅在开启双端口时生效。
· 客户端可在开启的虚卡中任选一个使用,客户端网络配置处的端口号需与页面配置一致。
功能说明:将综合安全网关收到的数据进行解析处理后,发送给真实的网络资源。
以系统管理员身份登录管理页面,选择SSLVPN设置 > 映射配置,进入映射配置页面。
点击<新增>,打开新增映射配置对话框。
图4-23 新增映射配置
参数说明:
· 网口:综合安全网关与L3VPN资源连接的网口,若综合安全网关通过GE0/1口与内网资源服务器所在网络连接,则此时的网口选择GE0/1。
点击<保存>即可完成新增映射配置。
选中要删除的映射配置,点击<删除>,在打开的确认对话框中点击<确认>,即可删除该映射配置
图4-24 删除映射
SSL卸载功能是将http服务映射成https服务的模块。目前认证了红莲花浏览器,分为国际和国密。
进入SSLVPN设置菜单,单击SSL卸载,进入SSL卸载管理页面。
单击【新增】按钮,弹出新增映射窗体,选择新增国密或者国际
国密:
国际:
单击编辑按钮,弹出编辑窗体,修改信息后保存即可
生效:添加映射后单击生效按钮完成服务重启生效。防火墙需要放开资源ip、本机映射端口,或者使用默认开放端口18500:18800
IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
· 数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
· 数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
· 数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。
· 防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。
配置IPSEC连接需要至少两台综合安全网关。
功能说明:该功能提供配置IPSEC的基本设置。
以系统管理员身份登录系统,选择IPSECVPN设置 > 基本设置,打开基本设置页面。
图6-1 基本配置
参数说明:
· NAT穿越:是否需要穿越网络。
· 该页面无需配置,若页面修改了配置并保存了也不会对正在使用的连接产生影响。
功能说明:连接管理提供IPSEC隧道的具体配置信息。
以系统管理员身份登录管理页面,选择IPSECVPN设置 > 连接管理,进入连接管理界面。
图6-2 组网图
切换到保护节点标签页,点击<新增>,在打开的新增保护节点填入相关配置,此处以下图中的配置为例。
图6-3 综合安全网关1新增保护节点
参数说明:
· 保护节点:
¡ 节点名称:新增节点的名字。
¡ 网络类型:IPv4协议。
¡ road warrior : 是否配置对端vpn为任意地址。
¡ 本端VPN地址:综合安全网关1接入互联网的IP。
¡ 本端内部子网:综合安全网关1与子网1的网络。
¡ 对端VPN地址:综合安全网关2接入互联网的IP。
¡ 本端内部子网:综合安全网关2与子网2的网络。
切换到SA策略标签页,点击<新增>,在打开的新增SA策略填入相关配置,此处以下图中的配置为例。
图6-4 综合安全网关1新增保护节点
参数说明:
· SA策略:
¡ SA策略名称:添加的策略名称。
¡ IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
¡ ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
¡ ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为8小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
¡ SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为2小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
¡ SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间,可参考上述图片中的取值。
¡ SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动),可参考上述图片中的取值。
¡ DPD周期:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般选择为重协商,可参考上述图片中的取值。
¡ 重试次数:失败时的重试次数。
切换到IPSEC连接标签页,点击<新增>,在打开的新增填入相关配置,此处以下图中的配置为例。
图6-5 综合安全网关1新增IPSEC连接
参数说明:
· IPSEC连接:
¡ 连接名称:添加的IPSEC连接名称。
¡ 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
¡ 保护节点:选择已添加的保护节点。
¡ SA策略:选择已添加的SA策略。
¡ 签名证书:建立隧道使用的签名证书。
¡ 加密证书:建立隧道使用的加密证书。
¡ 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
以系统管理员权限登录综合安全网关2的管理系统,选择IPSECVPN设置>连接管理页面。
切换到保护节点标签页,点击<新增>,在打开的新增保护节点填入相关配置,此处以下图中的配置为例。
图6-6 综合安全网关2新增保护节点
切换到SA策略标签页,点击<新增>,在打开的新增SA策略填入相关配置,此处以下图中的配置为例。
图6-7 综合安全网关2新增保护节点
切换到IPSEC连接标签页,点击<新增>,在打开的新增填入相关配置,此处以下图中的配置为例。
图6-8 综合安全网关2新增IPSEC连接
参数说明:
· 综合安全网关:
¡ 本端VPN地址:综合安全网关1接入互联网的IP。
¡ 本端内部子网:综合安全网关1与子网1的网络。
¡ 对端VPN地址:综合安全网关2接入互联网的IP。
¡ 本端内部子网:综合安全网关2与子网2的网络。
¡ 建立隧道方式:可选主动或被动,隧道仅能由主动端发起并进行管理。
¡ IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
¡ ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
¡ ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为8小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
¡ SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为2小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
¡ SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间,可参考上述图片中的取值。
¡ SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动),可参考上述图片中的取值。
¡ DPD周期:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般选择为重协商,可参考上述图片中的取值。
¡ 重试次数:失败时的重试次数。
点击<确定>,保存隧道配置,点击<生效>,使保存是配置生效。
点击<查看>,可以查看隧道连接情况。
要建立连接需要配置默认网关,若网络中无默认网关的话可在路由设置页面以目标网段(0.0.0.0),网络掩码(0.0.0.0),网关(如无指定可随意选择符合绑定网卡掩码规则的IP),网卡(如无指定可随意选择网卡)进行添加。
两台综合安全网关配置IPsec的子网网段不可相同,否则会出现子网间设备通信异常的问题。
配置IPsec的相关参数需要满足SA存活时间=(SA更新误差+SA更新误差*SA更新抖动)*n,n 为整数,否则隧道连接会失败。
选中要删除的连接,点击<删除>,在弹出的确认删除提示框中点击<确定>,即可删除该连接。
图6-9 删除连接
隧道信息页面可查看隧道建立状态,隧道日志页面可查看隧道的日志信息
功能说明:算法查看提供IPSEC服务支持的国密算法类型查看。
以系统管理员身份登录系统,选择IPSECVPN设置 > 算法查看,打开算法查看页面。
图6-10 算法查看
功能说明:密钥备份/恢复功能可以将加密卡中的密钥备份出来,也可以将备份的密钥恢复到加密卡中,备份和恢复需要用到5把USB KEY。
以安全管理员身份登录管理页面,选择系统维护 > 密钥备份/恢复,打开密钥备份/恢复页面。
点击<备份初始化>,在刷新出的密钥备份处同时插入5把智慧密码钥匙(任意5把),每次选择一把密码钥匙,输入PIN码值,点击导入密钥,此时会将密钥导入智慧密码钥匙中。
图7-1 密钥备份开始
上述操作进行5次后,会出现<开始备份>按钮,点击<开始备份>,即可下载备份文件。
图7-2 开始备份
备份密钥时备份了5把智慧密码钥匙,恢复时只需要其中的3把智慧密码钥匙,同时插上3把智慧密码钥匙,输入PIN码,点击导出密钥。
图7-3 密钥恢复
3把智慧密码钥匙验证通过后,会出现上传备份文件的文本框,选择备份文件后点击<开始恢复>,即可完成密钥恢复。
图7-4 上传备份文件
· 证书密钥同步无法自动进行,主备模式或集群模式下,每当证书密钥有更新时都需手动在其他设备上再进行一次同步。
功能说明:备份/恢复功能可以下载备份文件,并恢复备份文件。备份文件包括ipsec相关配置及数据库文件。
以系统管理员身份登录管理页面,选择系统维护 > 备份/恢复,打开备份/恢复页面。
点击<下载>。可以将相关服务的配置文件及数据库等文件备份成备份文件并下载到终端。
图7-5 备份配置
选择要恢复的备份文件,点击<上传>即可恢复相关配置文件及数据库。
图7-6 配置还原
功能说明:用于查看设备的运行日志及服务错误提示。运行日志包括管理日志和用户日志。选择要查看的日期, 会显示相应时间下的日志记录。
以审计管理员身份登录管理系统,选择系统维护 > 日志管理,进入日志管理页面。
图7-7 日志管理-管理日志
图7-8 日志管理-用户日志
参数说明:
· 日志类型:
¡ 管理日志:记录管理员操作的日志。
¡ 用户日志:记录用户在客户端上的操作日志。
· 日期:点击可以选择查看指定时间的日志,选择好时间后点击刷新。
· 查看全部:可以显示当前选择的日志类型下系统中所有时间的日志。
· 导出日志:导出当前选择的日志类型下在页面上显示的所有日志。
· 清除日志:清除当前选择的日志类型下一段时间内的所有日志
功能说明:重启/关机功能提供重启、关闭综合安全网关的功能。
以系统管理员身份登录管理页面,选择系统维护 > 重启/关机,进入重启/关机页面。
图7-9 重启/关机
· 不建议在这里重启综合安全网关,管理页面上的<重启设备>可能造成综合安全网关内部的加密卡出现异常,若需重启设备,可点击<关闭设备>,待设备充分放电(面板上的灯全部熄灭)后再开机。
· 恢复出厂设置会清除掉除授权以外的所有数据,包含网络配置、证书密钥、用户资源、系统配置等,请谨慎操作。
· 恢复出厂设置后所有网口IP都会恢复为默认IP,其中管理口(GE0/0)地址为192.168.0.1,可通过访问管理系统https://192.168.0.1:8181,重新进行初始化操作,完成后可继续进行其他业务的配置。
· 恢复出厂设置后重新进行初始化操作前,请使用USB KEY重置工具对已使用的管理员及用户USB KEY进行重置。
功能说明:展示授权信息以及进行更新授权文件等授权码管理操作。
以系统管理员身份登录管理系统,选择系统维护 > 授权码管理,打开授权码管理页面。
图7-10 授权信息展示
图7-11 授权码管理
可在此处上传授权文件进行授权信息的更新。
功能说明:升级更新页面提供对安全加密网关功能的升级操作。
以系统管理员身份登录管理系统,选择系统维护 > 升级更新,打开升级更新页面。
图7-12 升级更新
上传对应的更新文件后点击<更新>按钮进行升级。
图7-13 升级成功
功能说明:网络检测页面提供对IP、端口、路由追踪及网络抓包的功能。
以系统管理员身份登录管理系统,选择系统维护 > 网络检测,打开网络检测页面。
图7-14 网络检测
简单模式和高级模式对应网络抓包(TCPDUMP)功能,若抓包需求仅为指定IP和端口,可在简单模式中进行抓取;若抓包需求较复杂,可选择高级模式,此模式需要输入tcpdump命令进行更多条件下的数据包抓取。
检测网络功能可输入IP和端口,VPN会检测输入IP和端口的连通性并给出相应数据。
路由追踪功能可进行路由的追踪,需要输入正确的traceroute命令进行操作。
功能说明:应用权限管理基于RBAC (Role-based access control, 基于角色的访问控制), 对不同的业务系统进行细粒度的权限控制。此功能用于配置客户端应用以及与用户、角色的绑定关系。
图8-1 新增客户端应用
图8-2 添加用户组
图8-3 添加角色
图8-4 添加资源
图8-5 添加授权
功能说明:LDAP(Lightweight Directory Access Protocol)轻量目录访问协议可以用来管理用户、用户组等,在对接了 LDAP 服务器后,可以从 LDAP 中同步用户信息到 SSLVPN 中。
配置LDAP信息:
用户同步字段映射:
用户组配置:
自动导入配置:
功能说明:可信证书列表页面提供上传可信任证书及已吊销证书的功能,用户可在此处对其他设备的证书状态进行维护。
以安全管理员身份登录管理页面,选择证书管理>可信证书列表,进入可信证书列表页面。
图9-1 可信证书列表
图9-2 吊销证书列表
功能说明:CA管理页面可创建根证书,包括内置证书及外置证书。
以安全管理员身份登录管理页面,选择证书管理>CA管理,进入CA管理页面。
图9-3 CA管理
· 新增内置CA
¡ 名称:生成的根证书名称,长度不超过40,只能输入数字、字母、小数点。
¡ 国家、省、城市、组织、部门:可根据需要填写,长度不超过40。
¡ 有效起始日期:证书生效的起始时间,具体起始日期根据需求确定,若无特殊要求建议早于当前时间。
¡ 有效终止日期:证书生效的终止时间,具体终止日期根据需求确定,若无特殊要求建议设置尽可能久,可用的最晚终止时间为2036年12月31日。
¡ 密钥类型:SM2。
¡ 密钥长度:256。
· 导入第三方CA,选中对应证书上传即可。
功能说明:设备证书页面也创建设备证书,包含内置设备证书及外置设备证书。
以安全管理员身份登录管理页面,选择证书管理>设备证书,进入设备证书页面。因为根证书分为使用内置CA和外置CA两种情况,对应的设备证书也需随根证书类型做调整。
图9-4 设备证书
点击<新增>,当系统使用的是内置证书时,选择内置设备证书,点击<下一步>。
图9-5 新增内置设备证书
此处的配置参考根证书,CA名称选择要生成设备证书的对应根证书,填写完成没有提示格式错误后,点击<确认>完成内置设备证书的生成。
图9-6 内置设备证书生成
点击<新增>按钮,选择外置双P10,星号标识为必填项,其余选项按需填写,点击<确认>即可下载P10文件。
图9-7 生成双P10
图9-8 导入双P10后
点击<新增>按钮,选择外置单P10,星号标识为必填项,其余选项按需填写,点击<确认>即可下载P10文件。
待CA签发好签名和加密证书及加密密钥的保护结构之后在设备证书页面点击<导入证书>,完成证书的导入。
图9-9 生成单P10
图9-10 导入单P10后
功能说明:用于数据库数据同步,可实现双主复制(两台主机的任意一台有数据变化都会同步到另一台)、一主多从(主机的数据变化可以同步到从机,从机的数据变化不会同步到主机)的配置方式,实现了数据库服务器的热备,结合keepalived的动态切换,实现了自动检查,失败切换机制,实现了数据库高可用方案。
以系统管理员身份登录管理系统,选择高可用 > 双主复制,打开双主复制页面。
参数说明:
· 主机类型:master(主)或者slave(从)。
· 服务器主机ID:唯一标志服务器ID。
· IP:仅作为从机时有此选项,为主从配置中的主机的IP值。
· 二进制文件名:(1)主机端点击保存后自动生成,使用时复制后粘贴到从机的配置中。
(2)从机端粘贴自主机处生成的二进制文件名。
· 文件偏移量:(1)主机端点击保存后自动生成,使用时复制后粘贴到从机的配置中。
(2)从机端粘贴自主机处生成的文件偏移量。
(1) 主机配置操作:
1、点击<备份/恢复>,在打开的窗口中点击<下载>,将主机上的用户和资源数据备份到本地。
2、选择主机类型为master,填写服务主机ID,此处以1为例,点击<保存>稍等片刻后会生成二进制文件名和文件偏移量。
3、点击<开启服务>,在弹窗中输入从机的IP地址,点击<开启服务>,若有多台从机需配置多次。
4、将二进制文件名和文件偏移量粘贴至从机配置中。
图10-1 主机配置1
图10-2 主机配置2
(2) 从机配置操作:
1、点击<备份/恢复>,在打开的窗口中点击<选择>,将从主机上备份下来的文件上传。
1、选择主机类型为slave,填写服务器主机ID为,此处以2为例。
2、IP填写主机IP,二进制文件及文件偏移量从主机配置处粘贴,点击<保存>。
图10-3 从机配置
图10-4 状态监控面板
状态监控面板右侧区域为本端类型,左侧区域为对端主机信息。
若状态监控面板出现红色字体的错误,可点击帮助查看常见错误提示,根据提示修改配置。
图10-5 常见错误信息
· 若配置双主,先以A为主机配置B为从机配置,再以B为主机A为从机配置。
· 因防火墙默认对master-slave服务使用的端口添加了限制,若未一主多从则主机上需点击<开启服务>为每台从机的IP开启服务。
功能说明:两台综合安全网关使用同一个虚拟IP提供服务,一台为主服务器,另一台作为备服务器。当主服务器出现故障时,备服务器接管主服务器工作,保证不影响应用正常使用。在配置了主备服务器后可继续配置负载,以实现集群部署。
以系统管理员身份登录管理系统,选择高可用 > keepalived,打开keepalived页面。
参数说明:
· 实例名称:新增实例的名称,同网络中实例名称不可重复。
· 心跳检测网卡:要配置keepalived的网卡。
· VRID标识:同组主备需相同。
· 优先级:范围1~10,优先级大的设备为主机,若主备优先级相同则先配置生效的设备为主机。
· 虚拟服务器IP:与主VPN及备VPN共用的虚拟IP。
· 子网掩码:虚拟IP的子网掩码长度。
· 实例绑定网卡:同心跳检测网卡。
· 心跳包检测间隔:主备VPN检测彼此状态的时间间隔,范围5~30。
图10-6 实例配置
· 添加实例的虚拟IP不能与设备网口IP相同,否则会导致网络异常。
参数说明:
· 启用邮箱通知:是否开启邮箱通知。
· 发件人邮箱:发件邮箱地址。
· 邮箱服务器:发件邮箱服务器地址。
· 邮箱授权码:发件邮箱服务器授权信息。
· 收件人邮箱:接收邮件地址。
图10-7 故障发送邮箱配置
参数说明:
· 实时日志功能:是否开启日志。
· 记录详细信息:是否记录详细信息
· 记录配置数据:是否记录配置数据
图10-8 日志监控
参数说明:
· 虚拟ip:先前实例中添加的对外提供负载服务的IP(客户端连接使用的IP)。
· 内网虚拟ip:被负载的设备连接主负载vpn使用的IP。
· 转发端口:对外提供负载服务的端口(客户端登录时填写的端口号)。
· 调度算法:rr:轮询调度,将请求依次负载给vpn
lc:最小连接数调度,会优先将请求负载给当前连接数最小的vpn
wlc:加权最小连接数调度,会将请求优先负载给当前连接数与权值比最小的vpn。
· 转发模式:负载转发模式。
· 协议:负载使用的协议,此处选择tcp。
图10-9 Keepalived负载增加实例
图10-10 添加被负载节点
参数说明:
· 被负载VPN管理页面地址:被负载的VPN的管理页面地址。
· 端口:被负载VPN的端口。
· 权重:范围1~7,该参数只在调度算法为wlc时生效,选择其他调度算法时输入5即可。
· 检查方式:默认TCP_CHECK。
可以查看负载配置完成后的节点运行状态。
图10-11 负载节点状态
· 保证机器之间的网络畅通,配置时 被负载vpn需可以被主备vpn访问到。
· 被负载设备需将主备设备的虚拟IP设置为默认网关。
· 实例配置可添加多个网口,实例名称需不相同,主备实例VRID需一致。
用户系统及客户端是SSL服务使用的工具,只有在客户端上登录才可以访问SSL服务配置的各种资源。
功能说明:用于用户查看拥有资源,访问WEB资源以及下载各版本客户端的页面,访问路径为https://综合安全网关IP:9494,登录名密码为已添加的SSLVPN用户的用户名和密码。
图11-1 用户系统登录页面
图11-2 用户系统主页
点击<查看详细>可查看该资源的详细信息,包括资源名称,资源描述,所属资源组,以及资源的配置详情。
图11-3 资源详细信息
综合安全网关提供Windows客户端(win7及以上64位操作系统),安卓客户端(Android7.0及以上),X86平台(大部分的Linux、Ubuntu),飞腾、统信UOS平台(arm),龙芯平台(mips)。
在用户系统登录页下载客户端后,以管理员权限运行,所有操作都选则是,安装完成后在桌面打开VPN的快捷方式。
图11-4 Windows客户端快捷方式
图11-5 Windows客户端登录页
配置客户端与综合安全网关的连接详细信息,点击<设置>切换到配置窗口。
参数说明:
· 日志等级:分为FATAL、ERR、WARN、INFO、DEBUG共5个等级,日志内容依次增加,默认使用ERR。
· 服务器地址:综合安全网关的IP地址。
· 服务器端口:处于开启tcp端口状态的任意一个虚卡的tcp端口号,默认8443。
· 选择厂商:要使用的USB KEY的厂商。
· 选择key:要使用的USB KEY。
· 上传签发CA:当证书由第三方CA直接签发到USB KEY中时,需要上传CA证书。
· 查询更新:当设备适配完其他厂商的USB KEY时可在此处点击<查询更新>进行同步。
配置好后点击<保存>,会提示服务器地址配置成功!
· 安装及使用客户端的过程中需要退出杀毒和安全类软件,否则可能出现安装失败或使用出现问题。
· 使用客户端的设备上不要安装其他VPN客户端或类VPN客户端,否则会出现登录成功却无法正常访问资源的情况。
· 同步时可能会对已安装的驱动程序进行更新,当点击<查询更新>后出现卸载或安装程序的提示信息后请点击确认完成更新。
图11-6 网络配置
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图11-7 资源详情
登录成功后,通过命令行ping资源设备的IP可通,证明网络已通,SSL服务正常。
· 若客户端登录提示错误,可参考故障排除手册进行处理。
在用户系统登录页下载客户端后安装,安装VPN后打开,配置客户端与综合安全网关的连接详细信息,点击设置图标切换到配置窗口。
图11-8 配置连接
图11-9 配置详情
参数说明:
· 服务器IP:综合安全网关的IP地址。
· 服务器端口号(TCP):第一个数据框填处于开启tcp端口状态的任意一个服务端口号,默认8443、18443、28443、38443,此处以18443为例。
· 服务器端口号(UDP):此处使用默认值0。
· SSL套件:默认ECC_SM4_SM3。
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图11-10 资源详情
· 若客户端登录提示错误,可参考故障排除手册进行处理。
· UDP端口一定要修改为0,否则点击开启VPN功能后会闪退。
· 安装vpn客户端后系统耗电量会增加,若提示电量相关问题,请选择允许客户端常驻后台。
在用户系统登录页下载客户端后存放至桌面,鼠标双击安装或在终端中通过dpkg -i 客户端程序名称的方式进行安装。
安装完成后双击桌面快捷方式运行客户端,点击<设置>切换到连接配置窗口。
图11-11 运行客户端
图11-12 配置详情
参数说明:
· 日志等级:分为FATAL、ERR、WARN、INFO、DEBUG共5个等级,日志内容依次增加,默认使用ERR。
· 服务器地址:综合安全网关的IP地址。
· 服务器端口:VPN提供服务的端口号。
· 登录方式选择:可选择用户名登录和USB KEY登录的方式。
· 选择厂商:要使用的USB KEY的厂商。
· 选择key:要使用的USB KEY。
· 上传签发CA:当证书由第三方CA直接签发到USB KEY中时,需要上传CA证书。
· 查询更新:当设备适配完其他厂商的USB KEY时可在此处点击<查询更新>进行同步。
点击<保存>保存当前配置,切换至用户名登录窗口登录客户端。
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图11-13 资源详情
图11-14 在资源地址输入IP、端口(不输入端口的情况下只检测IP),点击<检测资源>可检测此IP和端口是否可以正常访问。
图11-15 资源检测
· 客户端卸载命令:dpkg -r slink。