- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-SSL VPN FAQ
本章节下载: 11-SSL VPN FAQ (128.14 KB)
用户Context相当于一个独立的虚拟的设备,需要安装证书。
访问Web资源,会对资源进行改写,目前只支持以下改写:
· text/html --> .html/htm/jsp/php。
· text/css --> .css。
· text/javascript -->.js。
· 除此之前的资源,不能显示。
手机登录网关只能访问Web资源。
SSL VPN用户可以进行以下认证:RADIUS认证、LDAP认证、证书认证、本地认证。
其中,RADIUS和LDAP认证方式通过AAA认证和授权。
更改SSL策略后,要重新使能网关,才能正常访问网关。
更改资源后,要重新登录网关,才能访问更改后的资源,因为不退出的话,访问的仍是登录时SSL实例分VPN配给用户的资源。
确定当前服务器上有没有开启相应服务(IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。);AC口是否加入安全域,AC口是个虚拟口,需要加入安全域;
AC口与address-pool地址不能冲突,一旦虚拟网卡的地址与AC口冲突,报文就不能正常发出;
确定在资源组下引用IP接入资源时,是否使用ACL或URI ACL过滤,默认不配置ACL或URI ACL过滤时禁止所有客户端访问IP接入资源;
路由是否可达,server端到AC口应是路由可达的。
访问server的出接口配VPN多实例时,SSL VPN Context下要引用相同的VPN多实例,AC接口也要引用相同的VPN多实例;
注意安全策略要允许相应VPN多实例通过。
连接网关的接口配置VPN多实例时,SSL VPN gateway下要配置相应VPN多实例;
注意安全策略要允许相应VPN多实例通过。
确认设备是否安装证书;
确认配置的SSL VPN网关的IP地址和端口号应该与设备的管理IP地址和端口号不同;
确认Client与网关设备是否路由可达;
确认是否开启了证书认证方式,并确认是否在客户端安装相应证书;
确认网关是否使能。
确认访问的server资源是否存在;
确认到server的路由是否可达;
确认TCP资源是不是类似于FTP类有双通道且前后端口号有变化的业务,目前TCP资源不支持此类资源。
更改SSL服务器端策略后,要重新使能网关,才能正常访问网关。
Web接入使用浏览器访问;
TCP接入不能事先安装TCP接入软件,只能通过浏览器登录网关后,下载客户端,需要PC上安装1.7及以上版本的Java程序;
IP接入需要安装客户端(如iNode客户端),可以提前安装或通过浏览器登录网关后下载安装。
SSLVPN证书认证:TCP接入、移动客户端不支持强认证,只支持弱认证;只有WEB登录和PC版iNode客户端支持证书强认证方式。
证书的强认证和弱认证是在SSL服务器端策略配置client-verify { enable | optional }。
执行了client-verify enable命令的情况下,则SSL客户端必须将自己的数字证书提供给服务器,以便服务器对客户端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才能访问SSL服务器。
执行了client-verify optional命令的情况下,若SSL客户端未提供数字证书给服务器,SSL客户端也能访问SSL服务器;若SSL客户端提供数字证书给服务器,只有身份验证通过后,SSL客户端才能访问SSL服务器。
不是。不安装SSL VPN License,只有特定数量的用户才能成功登录SSL VPN网关并访问内部资源(各款型设备默认支持的SSL VPN用户数不同,具体参考产品介绍)。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
