SSL VPN

特性简介

SSL VPN是以SSL（Secure Sockets Layer，安全套接字层）为基础的VPN（Virtual Private Network，虚拟专用网络）技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，能够为应用层之间的通信建立安全连接。

SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务，并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络，访问内部网络的共享资源。

SSL VPN工作机制

1. 管理员登录SSL VPN网关，在SSL VPN网关上创建与企业网内服务器对应的资源。

2. 远程接入用户与SSL VPN网关建立HTTPS连接，通过SSL提供的基于证书的身份验证功能，SSL VPN网关和远程接入用户可以验证彼此的身份。

3. 远程接入用户输入用户名、密码等身份信息，SSL VPN网关对用户的身份进行认证，并对用户可以访问的资源进行授权。

4. 用户获取到可以访问的资源，通过SSL连接将访问请求发送给SSL VPN网关。

5. SSL VPN网关将资源访问请求转发给企业网内的服务器。

6. SSL VPN网关接收到服务器的应答后，通过SSL连接将其转发给用户。

SSL VPN典型组网

SSL VPN的典型组网方式主要有两种：网关模式和单臂模式。

• 在网关模式中，SSL VPN网关直接作为网关设备连接用户和内网服务器，所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护，但是由于SSL VPN网关处在内网与外网通信的关键路径上，其性能对内外网之间的数据传输有很大的影响。

• 在单臂模式中，SSL VPN网关不作为网关设备。用户访问内网服务器时，流量将先由网关设备转发到SSL VPN网关，经SSL VPN网关处理后再转发到网关设备，由网关设备转发到内网服务器。在单臂模式中，SSL VPN网关不处在网络通信的关键路径上，其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。

SSL VPN接入方式

隧道业务方式

隧道业务方式用来实现远程主机与企业内部服务器网络层之间的安全通信，进而实现所有基于IP的远程主机与服务器的互通，如在远程主机上ping内网服务器。

用户通过隧道业务方式访问内网服务器前，需要安装专用的隧道业务客户端软件，该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。

Web代理方式

Web代理方式是指用户使用浏览器，通过HTTPS协议访问SSL VPN网关提供的Web资源。用户登录后，Web页面上会显示用户可访问的资源列表，用户选择需要访问的资源直接访问。Web代理方式中，所有数据的显示和操作均通过Web页面进行。

目前，通过Web代理方式可以访问的资源只有Web服务器。

TCP代理方式

TCP代理方式是指用户对企业内部服务器开放端口的安全访问。通过TCP代理方式，用户可以访问任意基于TCP的服务，包括远程访问服务（如Telnet）、桌面共享服务、电子邮件服务、Notes服务以及其他使用固定端口的TCP服务。

用户利用TCP代理方式访问内网服务器时，需要在SSL VPN客户端（用户使用的终端设备）上安装专用的TCP代理客户端软件，由该软件实现使用SSL连接传送应用层数据。

BYOD接入方式

BYOD接入方式用来实现移动客户端对企业内部服务器进行安全访问。

移动客户端利用BYOD接入方式访问内网服务器时，需要在客户端上安装移动客户端专用的客户端软件，并在SSL VPN网关上为客户端指定EMO（Endpoint Mobile Office，终端移动办公）服务器。移动客户端通过EMO服务器来获取可以访问的内网资源。

资源访问控制

SSL VPN采用基于用户的权限管理方法，可以根据用户的身份，限制用户可以访问的资源。

如图-1所示，SSL VPN对资源的管理方式为：同一台SSL VPN网关上可以创建多个SSL VPN访问实例（SSL VPN context）。每个SSL VPN访问实例包含多个资源组。资源组包含一系列规则，这些规则为用户定义了可访问的资源，包含Web接入资源、TCP代理资源、隧道业务资源等。

图-1 SSL VPN资源管理方式

SSL VPN用户访问网关的方式，及每种访问方式下SSL VPN网关判断该用户所属的SSL VPN访问实例的方法为：

• 直接访问：SSL VPN用户直接输入网关的IP地址和端口号访问网关。只有SSL VPN网关上仅存在一个SSL VPN访问实例时，可以采用此方式。SSL VPN用户属于该SSL VPN访问实例。

• 通过域名列表访问：为不同的SSL VPN访问实例指定不同的域名。远端用户输入网关的IP地址和端口号登录SSL VPN网关后，进入Domain List页面，在该页面上选择自己所在的域。SSL VPN网关根据用户选择的域判断该用户所属的SSL VPN访问实例。

• 通过主机名访问：为不同的SSL VPN访问实例指定不同的主机名称。远端用户访问SSL VPN网关时，输入主机名称。SSL VPN网关根据主机名称判断该用户所属的SSL VPN访问实例。

SSL VPN网关判断出用户所属的SSL VPN访问实例后，根据SSL VPN访问实例所在的ISP域对用户进行认证和授权，授权结果为资源组名称。如果某个用户被授权访问某个资源组，则该用户可以访问该资源组下的资源。如果没有为用户进行授权，则用户可访问的资源由缺省资源组决定。

SSL VPN网关对用户的认证和授权通过AAA来完成。目前，SSL VPN支持的AAA协议包括RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）协议和LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）协议。在实际应用中，RADIUS协议较为常用。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

使用限制和注意事项

SSL VPN网关使用限制和注意事项

修改SSL VPN网关引用的SSL服务器端策略，或修改该策略内的SSL相关配置后，需要重新使能网关，否则新的配置不能生效。

访问实例使用限制和注意事项

• 配置访问实例关联网关时，设备默认采用直接访问方式，即SSL VPN用户直接输入网关的IP地址和端口号访问网关。如需配置通过域列表或主机名访问网关，请到CLI管理界面下进行配置，Web管理界面暂不支持配置访问方式。

• 新建访问实例时，设备默认仅支持关联一个网关，如需关联多个网关，请在完成新建访问实例后重新编辑该访问实例，指定多个关联的网关。

TCP代理方式使用限制和注意事项

• 客户端主机地址建议配置为127.0.0.0/8网段的地址，或者配置为主机名或域名。

• 主机通过TCP代理方式访问内网资源时，可能会修改主机上的Host文件，此时需要使用该主机的用户具有管理员权限。

• 主机上要求安装Java运行环境。

隧道业务方式使用限制和注意事项

禁用IP接入接口可能会导致IP接入业务中断，请谨慎执行本操作。

为客户端地址池配置的网段需要满足以下要求：

• 不能和客户端物理网卡的IP地址在同一个网段。

• 不能包含SSL VPN网关所在设备的接口地址，否则会导致地址冲突。

• 不能和欲访问的内网地址在同一个网段。

配置SSL VPN用户绑定的IP地址必须属于用户登录的SSL VPN访问实例引用的地址池或用户被授权的资源组引用的地址池。

未关联VPN实例或在同一VPN实例中，不同SSL VPN用户不能绑定相同的IP地址。

域名使用限制和注意事项

配置域名（如配置Web接入资源中的URL、端口转发表项中的客户端主机名）时，需要由用户保证域名的合法性，SSL VPN不检查域名是否存在以及是否合法。

页面模板使用限制和注意事项

• 用户上传的自定义模板文件必须以.zip为拓展名。

• 用户上传的自定义模板文件中必须在其根路径下包含home.html和login.html两个文件。

LDAP认证使用限制与注意事项

SSL VPN用户使用LDAP认证时，必须使用LDAP授权。管理员需要使用CLI方式在设备上进行LDAP的相关配置。

单点登录使用限制和注意事项

• 自动构建登录请求方式下的单点登录，选择用户组作为登录参数时，只支持远程用户。

• 自动构建登录请求方式下的单点登录，只支持从SSL VPN资源页面单击URL链接时才会自动登录，不支持在地址栏或URL输入框中打开资源。

• 自动构建登录请求方式下的单点登录，不支持登录需要图形校验码校验的页面。

• 自动构建登录请求方式下的单点登录，不支持登录需要挑战码验证或调用脚本的页面。

企业微信认证使用限制和注意事项

若SSL VPN访问实例开启了企业微信认证功能，则该访问实例仅支持通过直接访问网关方式关联SSL VPN网关。

URI ACL使用限制和注意事项

URI ACL规则内容的格式为protocol://host:port/path，其中protocol和host必须指定。

• protocol表示协议名称，支持的取值包括：http、https、tcp、udp、icmp和ip。

• host表示主机IP地址或域名，支持的格式如下：

  • 支持的主机地址格式如下：

    • IPv4地址或IPv6地址，例如：192.168.1.1。

    • 使用字符-表示的IPv4地址或IPv6地址范围，例如：3.3.3.1-3.3.3.200。

    • 指定子网掩码长度的IPv4地址或指定前缀长度的IPv6地址，例如2.2.2.2/24。

    • 以上三种格式的组合，使用逗号分隔，例如：192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24。

  • 支持的域名格式包括精确的主机域名，例如www.domain.example.com、以及包含通配符的主机域名。其中，支持的通配符包括：

    • *：匹配零个或多个任意字符，例如：*.com。

    • ?：匹配单个任意字符，例如：www.do?main.com。

    • %：匹配本级域名为任意字符，例如：www.%.com。

• port表示主机端口。若未指定，则使用该协议的缺省端口号。支持的端口格式如下：

  • 单个端口，例如：1002。

  • 使用字符-表示的端口范围，例如：8080-8088。

  • 以上两种格式的组合，使用逗号分隔，例如：1002,90,8080-8088。

• path表示主机上的文件或目录，以一个或多个/或\分隔的路径。路径支持的通配符包括：

  • *：匹配零个或多个任意字符，例如：/path1/*。

  • ?：匹配单个任意字符，例如：/path?/。

  • %：匹配本级域名为任意字符，例如：/path1/%/。

配置指南

为方便使用，SSL VPN提供了向导式的Web配置页面。如图-2所示，进入“新建访问实例”页面后，按照Web页面提示，逐步完成如下配置后即可使用SSL VPN功能：

图-2 SSL VPN配置指导图

除了按照配置向导逐步完成SSL VPN配置外，管理员还可以进行以下操作：

• 通过“网关”、“客户端地址池”、“IP接入接口”页面创建和修改网关、客户端地址池、IP接入接口。

• 在“编辑访问实例”页面配置SSL VPN用户登录的SSL VPN网关Web页面的形式，包括页面模板、页面标题、登录页面欢迎信息、登录页面是否显示密码输入框、Logo。

• 在“编辑访问实例”的“页面配置”页面配置登录页面和资源页面的中英文页面公告信息、供用户下载的中英文页面文件、中英文页面密码复杂度提示信息以及改写服务器返回信息。

• 在“全局配置”页面，管理员可以上传自定义隧道业务客户端供用户下载使用，也可选择已上传的页面模板作为全局页面模板。

• 当使用高可靠性功能时，可以在“全局配置”页面，配置SSL VPN备份通道使用的HA端口号。设备将使用此端口号以及高可靠性模块配置的“对端IP地址”，与HA的对端设备建立SSL VPN备份通道，此通道专用于SSL VPN用户信息的备份。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准。

• 在“模板管理”页面，点击创建按钮，弹出“新建自定义模板页面”，管理员可以上传自定义页面模板。上传后，管理员可在“全局配置”或“编辑访问实例”页面引用该页面模板。

• 通过“统计信息”页面，管理员可以查看在线用户信息，以及隧道业务相关的统计信息。

• 单点登录功能支持在“全局配置”页面，配置导出用户自定义配置和导入用户自定义配置。导出用户自定义配置用于导出当前用户在SSL VPN资源页面配置的自定义用户名和密码；导入用户自定义配置用于导入用户在SSL VPN资源页面配置的自定义用户名和密码。

• 使用量子加密功能时，需要在“网关”页面开启量子加密功能，并在“全局配置”页面中的”量子密钥”页签配置交换密码机IP地址及端口号、交换密码机ID、密码服务平台软件ID和应用账户。上述量子密钥相关参数需要联系国盾量子管理员或中电信量子管理员获取。

配置准备

配置访问实例-基本配置

配置访问实例的基本属性，包括访问实例关联的网关、开启访问实例等。

配置步骤

1. 选择“网络 > VPN > SSL VPN > 访问实例”。

2. 在“访问实例”页面单击<新建>按钮，进入“新建访问实例”页面。

3. 在“基本配置”页签，配置访问实例基本配置，具体配置内容如下：

   表-1 访问实例基本配置

   参数	说明
   访问实例	访问实例名称
   关联网关	访问实例引用的网关 在关联网关下拉框中选择网关，如果未创建网关，单击<添加关联网关>按钮，可进入“新建网关”页面，创建网关 多个访问实例引用同一个网关时，可以为不同访问实例指定域名或主机名。如果不指定域名或主机名，则网关只能被一个访问实例引用
   开启访问实例	开启访问实例
   自动生成安全策略	开启自动生成安全策略功能后，设备将在创建SSL VPN访问实例时，自动生成放通SSL VPN业务报文的安全策略

4. 单击<下一步>按钮，进入“业务选择”页签。

配置访问实例-业务选择

SSL VPN支持的业务类型包括隧道业务、Web代理、TCP代理和BYOD业务。

隧道业务

隧道业务，即IP接入方式。在该业务下需要完成如下配置：

• 指定SSL VPN访问实例引用的IP接入接口，并为其配置IP地址。

• 指定SSL VPN访问实例引用的地址池，以便SSL VPN网关从该地址池中选择IP地址分配给客户端。

• 以路由列表的形式配置IP接入资源。路由表项包括包含和排除两种类型。包含路由下发给客户端后，匹配该路由的报文将通过虚拟网卡发送给SSL VPN网关；排除路由下发给客户端后，匹配该路由的报文不会发送给SSL VPN网关。

• 开启IP客户端自启动。开启此功能，SSL VPN用户通过Web方式成功登录SSL VPN网关后，设备会自动启动用户主机上的IP客户端，且会自动连接SSL VPN网关，连接成功后SSL VPN用户也可以使用隧道业务方式访问授权的资源。若用户主机上未安装IP客户端，则先提示用户下载并安装IP客户端，安装完成后IP客户端会自动启动；若已经安装IP客户端，则直接启动。为使IP客户端自启动后成功连接SSL VPN网关，需要保证设备上已创建IP接入资源。

• 开启推送资源列表。开启此功能，SSL VPN用户通过IP方式成功登录SSL VPN网关后，设备会自动推送资源列表，以便用户通过Web方式访问所授权的资源。为使设备推送的资源列表上有内容，需要保证设备上已创建Web代理资源。

• 配置流量限制后，若访问实例的IP接入速率大于设置的速率，则设备将丢弃收到的数据。

• 指定用户绑定地址。本配置可以指定用户登录SSL VPN网关时，网关分配给用户的地址。若选择自动绑定IP地址，网关会从地址池中获取指定数量的空闲IP地址，为该用户绑定。若未选择自动绑定IP地址，则优先从指定IP地址范围内分配；如果指定IP地址范围中的地址已被分配给其他用户，则断开其他用户的连接并释放其IP地址。

隧道业务配置步骤

1. 在“业务选择”页签，滑动选择隧道业务。支持同时配置IPv4和IPv6地址。

2. 在IP接入接口区域，选择指定的接口。

3. 客户端使用隧道业务方式访问SSL VPN网关时，网关需要为客户端分配IP地址。在隧道模式区域，选择隧道模式为IPv4或者IPv6，并选择相应的客户端地址池，SSL VPN网关将使用该地址池为客户端分配地址。

4. 在IPv4接入资源区域，单击<新建>按钮，进入“新建IPv4路由列表”页面，需要配置IPv4路由列表名称。

5. 在“IPv4路由列表表项”区域，单击<新建>按钮，进入“新建IPv4路由表项”页面，具体配置内容如下：

   表-2 配置IPv4路由表项

   参数	说明
   类型	类型包括包含和排除。包含表示在路由列表中添加路由，路由的目的网段需要是企业内部服务器所在的网络。排除表示客户端在本地添加这些路由表项，匹配这些路由表项的报文将不会被发送给SSL VPN网关
   子网地址	路由的目的地址
   掩码长度	路由目的地址的掩码长度

6. 单击<确定>按钮，完成配置路由表项。

7. 单击<确定>按钮，完成配置路由列表。

8. 在IPv6接入资源区域，单击<新建>按钮，进入“新建IPv6路由列表”页面，需要配置IPv6路由列表名称。

9. 在“IPv6路由列表表项”区域，单击<新建>按钮，进入“新建IPv6路由表项”页面，具体配置内容如下：

   表-3 配置IPv6路由表项

   参数	说明
   类型	类型包括包含和排除。包含表示在路由列表中添加路由，路由的目的网段需要是企业内部服务器所在的网络。排除表示客户端在本地添加这些路由表项，匹配这些路由表项的报文将不会被发送给SSL VPN网关
   子网地址	路由的目的地址
   前缀长度	路由目的地址的前缀长度

10. 单击<确定>按钮，完成配置IPv6路由表项。

11. 单击<确定>按钮，完成配置IPv6路由列表。

12. 在域名路由列表区域，单击<新建>按钮，进入“新建域名路由列表”页面，需要配置域名路由列表名称。

13. 在“域名路由列表表项”区域，单击<新建>按钮，添加域名。其中，域名不支持配置为主机IP地址格式。域名支持通配符“*”，且仅当“*”出现在开头位置时表示通配符，配置在其他位置为普通字符。

14. 单击<确定>按钮，完成配置域名路由列表表项。

15. 单击<确定>按钮，完成配置域名路由列表。

Web代理

Web代理，即Web接入方式。在该业务下需要以URL表项和列表的形式创建Web接入资源。缺省情况下SSL VPN网关会对URL进行常规改写。常规改写可能会造成URL改写遗漏和改写错误等问题，从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式尽可能的解决此问题。

以SSL VPN网关名gw（域名为https://www.gateway.com:4430，对应的IP地址为1.1.1.1），内网资源服务器URL=http://www.server.com:8080为例：

• 当不配置URL映射方式时（默认为常规改写），客户端访问内网资源服务器的URL显示为：https://www.gateway.com:4430/_proxy2/http/8080/www.server.com

• 当配置域名映射，映射的域名为www.domain.com时，www.domain.com与内网资源http://www.server.com:8080为一一映射关系。客户端访问内网资源服务器的URL显示为：https://www.domain.com:4430

• 当配置端口映射，又分为配置虚拟主机名和不配置虚拟主机名两种情况：

  • 不配置虚拟主机名，引用SSL VPN网关gw2时，客户端访问内网资源服务器的URL显示为：https://2.2.2.2:4430（网关gw2的IP地址为2.2.2.2，端口号是4430）

  • 配置虚拟主机名，虚拟主机名为vhosta，vhosta与内网资源http://www.server.com:8080为一一映射关系。引用SSL VPN网关gw时，客户端访问内网资源服务器的URL显示为：https://vhosta:4430

当内网资源为HTTPS服务器时，需要为Web代理指定SSL客户端策略，以便SSL VPN网关使用指定的SSL客户端策略与HTTPS服务器建立连接。如果没有指定SSL客户端策略，则SSL VPN网关使用缺省的SSL客户端策略，该策略支持的加密套件为rsa_rc4_128_md5。

Web代理配置步骤

1. 在“业务选择”页签，滑动选择Web代理。

2. 在SSL客户端策略区域，选择指定的SSL客户端策略，以便SSL VPN网关使用指定的SSL客户端策略与HTTPS服务器建立连接。如果没有指定SSL客户端策略，则SSL VPN网关使用缺省的SSL客户端策略，该策略支持的加密套件为rsa_rc4_128_md5。

3. 在URL表项区域，单击<新建>按钮，进入“新建URL表项”页面，具体配置内容如下：

   表-4 配置URL表项

   参数	说明
   URL表项名称	URL对应的链接名
   URL	URL表项中资源的URL
   URI ACL	过滤URL资源的URI ACL
   接入类型	接入类型包括以下三种： 常规改写 域名映射 端口映射
   开启URL伪装	开启此功能后，用户将无法看到访问的内网服务器的真实地址
   单点登录	开启此功能后，SSL VPN用户只需要完成一次登录认证，即可访问所有相互信任的应用系统
   登录方法	单点登录的登录方法包括以下两种： Basic访问请求 选择该登录方法时，需要配置登录参数获取方式 自动构建访问请求 选择该登录方法时，需要配置请求方式、编码方式、请求参数和上传加密文件
   登录参数获取方式	登录参数获取方式包括以下两种： SSL VPN网关登录用户名和密码 该获取方式表示网关使用SSL VPN网关登录用户名和密码作为登录参数 自定义用户名和密码 该获取方式表示网关使用用户自定义的用户名和密码作为登录参数，用户需要在SSL VPN登录界面输入自定义的用户名和密码
   请求方式	单点登录的请求方式包括以下两种： GET POST
   编码方式	单点登录的编码方式包括以下两种： GB18030 UTF-8
   请求参数	单击请求参数右侧的新建按钮，进入“新建请求参数”界面，在“新建请求参数”界面配置名称、类型及是否加密参数值。名称指单点登录请求参数属性名。 请求参数类型包括： 登录名、登录密码、认证标题、证书序列号、证书指纹、电话号码、用户组 登录名、登录密码、认证标题、证书序列号、证书指纹、电话号码、用户组分别表示取SSL VPN登录用户名、SSL VPN登录密码、登录SSL VPN网关使用的证书标题、登录SSL VPN网关使用的证书序列号、登录SSL VPN网关使用的证书指纹、短信认证配置的手机号码、SSL VPN用户所在的用户组作为单点登录请求参数属性名对应的属性值 自定义用户名、自定义密码 自定义用户名、自定义密码分别表示取用户在SSL VPN资源界面输入的自定义用户名和自定义密码作为单点登录请求参数属性名对应的属性值 自定义 自定义表示用户可以手动配置单点登录请求参数属性名对应的属性值
   上传加密文件	加密文件用于对请求参数的参数值进行加密。单击选择文件按钮，选择加密文件，加密文件必须为js格式，且文件大小不能超过200KB。选择文件后，单击上传按钮，上传文件。取消引用用于取消当前引用的加密文件
   当前加密文件	当前加密文件用于显示当前引用的加密文件

4. 单击<确定>按钮，完成URL表项配置。

5. 在URL列表区域，单击<新建>按钮，进入“新建URL列表”页面，具体配置内容如下：

   表-5 配置URL列表

   参数	说明
   URL列表名称	URL列表的名称
   标题	URL列表的标题
   URL表项	URL列表引用的URL表项

6. 单击<确定>按钮，完成URL列表配置。

TCP代理

TCP代理，即TCP代理接入方式。在该业务下需要以端口转发列表的形式创建TCP代理资源。端口转发列表用来将企业网内的基于TCP的服务（如Telnet、SSH、POP3）映射为SSL VPN客户端上的本地地址和本地端口，以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。例如，配置客户端主机为127.0.0.1、客户端代理端口为80、服务器地址为192.168.0.213、服务器端口为80，则表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。

在端口转发表项中，可以配置资源链接，链接内容直接显示在Web界面中，用户可以点击链接直接访问对应资源。

TCP代理配置步骤

1. 在“业务选择”页签，滑动选择TCP代理。需要配置端口转发表项和端口转发列表。

2. 在端口转发表项区域，单击<新建>按钮，进入“新建端口转发表项”页面，具体配置内容如下：

   表-6 配置端口转发表项

   参数	说明
   端口转发表项名称	端口转发表项的名称
   客户端主机	企业网内的TCP服务映射的本地地址或本地主机名称
   客户端代理端口	企业网内的TCP服务映射的本地端口号
   服务器地址	企业网内TCP服务的IP地址或完整域名
   服务器端口	企业网内TCP服务器的端口号
   描述	端口转发实例的描述信息
   资源链接	端口转发表项对应的资源链接，用户可以在Web页面上单击指定的链接访问资源

3. 单击<确定>按钮，完成端口转发表项配置。

4. 在端口转发列表区域，单击<新建>按钮，进入“新建端口转发列表”页面，具体配置内容如下：

   表-7 配置端口转发列表

   参数	说明
   端口转发列表名称	端口转发列表的名称
   端口转发表项	端口转发列表引用的端口转发表项

5. 单击<确定>按钮，完成端口转发列表配置。

BYOD业务

BYOD业务，即BYOD接入方式。在该业务下需要配置EMO服务器的地址和端口号、Message服务器的地址和端口号。

BYOD业务配置步骤

1. 在“业务选择”页签，滑动选择BYOD业务。

2. 配置EMO服务器地址、EMO服务器端口、Message服务器地址和Message服务器端口。

3. 单击<下一步>按钮，进入“资源授权”页签。

配置访问实例-资源授权

资源授权分为两个部分：配置资源组和角色授权。首先需要创建资源组，然后在角色授权页面，将用户角色与资源组进行关联，引用了某个资源组的用户角色将拥有该资源组内所有资源的访问权限。

指定访问实例引用的资源组，并在资源组中引用已经创建的访问资源，以限制用户只能访问授权的资源组中的资源。在资源组中还可以通过ACL进一步控制用户访问权限。在资源组中配置隧道业务时，可以采用以下方式配置下发给客户端的路由表项：

• 指定路由方式：既可以直接配置路由表项，将一条路由下发给客户端，也可以引用“隧道业务”中创建的路由列表，将路由列表中的多条路由同时下发给客户端。

• 强制接入方式：强制将客户端的流量转发给SSL VPN网关。SSL VPN网关在客户端上添加优先级最高的缺省路由，路由的出接口为虚拟网卡，从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端，不允许SSL VPN客户端删除此缺省路由，且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。

此外，在资源组中配置隧道业务时，还可以配置资源组引用的客户端地址池。若SSL VPN资源组下引用了地址池，则SSL VPN网关只会从该地址池中为客户端分配IP地址，当该地址池中无可用地址时，分配失败，用户无法通过隧道接入。若SSL VPN资源组下未引用地址池，则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址。

配置资源组

1. 在“资源组”区域，单击<新建>按钮，进入“新建资源组”页面，需要配置资源组名称、快速访问资源和引用的快捷方式列表。

   表-8 配置新建资源组

   参数	说明
   资源组名称	资源组的名称。SSL VPN网关通过给用户授权资源组的方式控制用户可以访问资源
   快速访问资源	用户可以快速访问的资源。SSL VPN用户登录网关后直接跳转到用户指定的页面，而不需要在SSL VPN资源页面进行选择
   快捷方式列表	选择资源组引用的快捷方式列表名称

2. 在“隧道业务”区域，具体配置内容如下：

   表-9 配置隧道业务

   参数	说明
   强制IPv4流量接入VPN	开启该功能后，设备会强制将客户端的流量转发给SSL VPN网关
   指定IPv4路由接入VPN	将指定IPv4路由列表中的IPv4路由表项下发给客户端
   客户端IPv4地址池	策略组引用的IPv4客户端地址池。客户端使用隧道业务方式访问SSL VPN网关时，网关需要为客户端分配IP地址
   强制IPv6流量接入VPN	开启该功能后，设备会强制将客户端的IPv6流量转发给SSL VPN网关
   指定IPv6路由接入VPN	将指定IPv6路由列表中的IPv6路由表项下发给客户端
   客户端IPv6地址池	策略组引用的客户端IPv6地址池。客户端使用隧道业务方式访问SSL VPN网关时，网关需要为客户端分配IP地址
   域名路由列表	将指定域名路由列表中的域名路由表项下发给客户端
   IPv4 ACL	配置对隧道业务进行IPv4高级ACL过滤规则
   IPv6 ACL	配置对隧道业务进行IPv6高级ACL过滤规则
   URI ACL	配置对隧道业务进行URI ACL过滤规则

3. 在“Web代理”区域，需要配置Web资源引用的URL列表、高级ACL和URI ACL。

4. 在“TCP代理”区域，需要配置TCP资源引用的端口转发列表、高级ACL和URI ACL。

5. 单击<确定>按钮，完成配置资源组。

配置角色授权

1. 在“角色授权”区域，单击<新建>按钮，进入“新建角色授权”页面，具体配置内容如下：

   表-10 配置新建角色授权

   参数	说明
   角色	选择引用的用户角色
   资源组	选择用户角色可以使用的资源组
   接入方式	选择用户角色可以使用的资源接入方式

配置访问实例-更多配置

基础相关

1. 选择“基础相关”页签，具体配置内容如下：

   表-11 更多配置-基本相关

   参数	说明
   VRF	访问实例关联的VPN实例
   最大用户数	同一个SSL VPN访问实例支持的最大会话数，当达到配置的最大值时，新的用户将无法登录
   每用户在线控制	配置每个用户名的最大在线数 开启强制下线功能后，当某个用户达到最大在线数，该用户再次登录时，则从该用户的在线连接中选择一个空闲时间最长的，强制其下线，新登录用户上线
   每会话最大连接限制	开启每会话最大连接限制后，SSL VPN会话收到报文时，如果收到报文的板卡上该会话的连接数超过单个会话的最大连接数，则回应客户端503 Service Unavailable，并关闭该连接
   空闲超时时间	SSL VPN会话保持空闲状态的最长时间，如果超过配置的最长时间，则断开连接
   空闲流量阈值	SSL VPN会话保持空闲状态的流量阈值。配置该功能后，在空闲超时时间范围内，若SSL VPN用户发给SSL VPN网关的流量未超过该配置的流量阈值，则SSL VPN网关将断开该会话
   每会话限速	配置每会话限速功能后，当SSL VPN会话相应方向的报文传输速率超过阈值时，该方向的报文将被丢弃。上行流量：即用户发给服务器的流量；下行流量：即服务器发给用户的流量
   登录日志	开启登录日志功能后，用户上线下线时，SSL VPN网关会生成日志信息
   资源访问日志	开启资源访问日志功能后，用户访问资源信息时，SSL VPN网关会生成日志信息
   允许在线修改密码	实现在线修改密码功能，需同时勾选访问实例视图和用户视图下的允许在线修改密码
   支持重置密码功能	开启此功能后，SSL VPN网关的登录页面将显示“重置密码？”链接。用户可点击该链接，并按照提示完成邮箱验证，随后便可修改登录密码
   支持账户解锁功能	开启此功能后，当用户账号被锁定时，SSL VPN网关的登录页面将显示“账户解锁”的链接。用户可点击该链接，并根据提示引导完成邮箱验证后，即可以自行解锁账户
   开启全局URL伪装	开启访问实例下所有WEB资源的URL伪装功能
   允许访问的客户端	客户端类型包括： 浏览器 PC版iNode客户端 移动版iNode客户端 浏览器被禁用后，所有用户均无法使用浏览器登录SSL VPN网关。其他类型客户端被禁用后，仅对新登录用户生效

业务相关

1. 选择“业务相关”页签，具体配置内容如下：

   表-12 更多配置-业务相关

   参数	说明
   隧道模式	IP地址类型，取值包括IPv4和IPv6
   主DNS服务器	企业网内主DNS服务器的地址
   备DNS服务器	企业网内备DNS服务器的地址
   主WINS服务器	企业网内主WINS服务器的地址，仅支持IPv4地址
   备WINS服务器	企业网内备WINS服务器的地址，仅支持IPv4地址
   保活周期	保活报文发送的时间间隔。保活报文由客户端发送给网关，用于维持客户端和网关之间的会话
   开启IP客户端自启动	开启此功能后，用户通过WEB方式成功登录SSL VPN网关后，设备会自动启动用户主机上的IP客户端，并自动连接SSL VPN网关
   开启推送资源列表	开启此功能后，用户通过IP方式成功登录SSL VPN网关后，设备会自动向用户主机推送资源列表
   流量限制	IP接入方式的限速功能，包括上行流量限速和下行流量限速。上行流量表示SSL VPN用户访问内网服务器的流量，下行流量表示内网服务器发给SSL VPN用户的流量
   丢包日志	开启此功能后，通过IP接入SSL VPN发生丢包时，SSL VPN网关会生成日志信息
   IP连接关闭日志	开启此功能后，通过IP接入SSL VPN时建立的连接被关闭时，SSL VPN网关会生成日志信息
   IP地址分配和释放日志	IP接入方式下，SSL VPN网关为客户端虚拟网卡分配和释放IP地址时，SSL VPN网关会生成日志信息

认证相关

配置用户登录访问实例的认证方式，包括密码认证、证书认证、短信认证等。

具体配置步骤如下：

1. 选择“认证相关”页签，配置用户认证的相关配置，具体配置内容如下：

   表-13 用户认证配置

   参数	说明
   认证服务器类型	针对用户的认证需求，可以选择不同认证服务器类型，取值包括： AAA：选择认证服务器类型为AAA时，需要配置ISP认证域 CUSTOM：选择认证服务器类型为CUSTOM时，需要通过命令行界面配置相关参数，具体参见SSL VPN配置手册 SMP：选择认证服务器类型为SMP时，需要配置安全业务平台地址、安全业务平台密钥以及认证系统类型
   安全业务平台地址	配置本地址后，SSL VPN网关将与安全业务平台进行信息交互，完成对用户的身份认证
   VRF	安全业务平台所属的VPN实例
   安全业务平台密钥	SSL VPN网关与安全业务平台建立连接时，SSL VPN网关需要向安全业务平台提供本功能配置的密钥，安全业务平台会使用该密钥验证SSL VPN网关的身份，验证通过后，才能建立连接
   认证系统类型	安全业务平台对接的第三方认证平台类型，目前仅支持派拉
   ISP认证域	访问实例将使用指定ISP域内AAA方案对SSL VPN用户进行认证、授权和计费
   SSO ISP域	配置单点登录认证所属ISP认证域
   开启证书认证	开启证书认证功能后，需要同时在SSL服务器端策略页面配置“验证客户端”。SSL VPN网关会对SSL客户端（SSL VPN用户）进行基于数字证书的身份验证，并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致
   用户名属性	配置SSL VPN用户证书中指定字段取值作为SSL VPN用户名。缺省情况，将用户证书中主题部分内的CN字段的值作为SSL VPN用户名
   开启密码认证	开启密码认证功能后，用户可以通过用户名、密码登录
   证书和密码认证	可以同时使用，也可以只使用任意一种
   开启验证码验证	开启验证码验证功能后，用户登录时需要输入验证码。只有验证码验证成功后，才允许用户登录SSL VPN页面
   iMC用户改密	实现iMC认证用户修改密码功能，需要配置iMC服务器地址、端口号及所属VPN实例，且需要开启允许在线修改密码功能
   开启短信认证-iMC	本功能需要在iMC服务器上提前配置好短信验证功能 开启iMC短信认证功能后，当用户登录SSL VPN网关进行身份验证时，可以获取短信验证码
   开启短信认证-短信网关	本功能需要在短信网关上提前配置好短信验证功能 开启短信网关认证功能后，当用户登录SSL VPN网关进行身份验证时，可以获取短信验证码
   开启企业微信认证	本功能需要在企业微信管理后台提前配置企业应用，并在各应用中配置应用主页重定向链接和SSL VPN网关的可信域名，并完成可信域名的校验（在企业微信管理后台下载校验文件，并在SSL VPN全局配置界面将文件上传至设备） 开启企业微信认证功能后，设备将从第三方企业微信获取企业用户信息，并使用该用户信息对用户进行认证和授权
   应用ID	如需使用企业微信扫码认证方式对用户进行认证和授权，则必须配置应用ID
   API服务器地址	配置API服务器地址后，当设备收到从企业微信服务器重定向而来的报文时，设备将企业微信API服务器进行信息交互，获取用户信息，并使用获取到的信息对用户进行认证和授权
   企业ID	企业微信上唯一标识一个企业
   访问密钥	企业应用中用于保障数据安全的“钥匙”，每一个应用都有一个独立的访问密钥，为了保证数据的安全，此密钥务必不能泄漏
   认证请求超时时间	SSL VPN网关向企业微信API服务器发送HTTP请求报文后，如果在超时时间内没有收到服务器的应答报文，则认为本次企业微信认证失败
   userid字段名	企业微信userid字段名，用于SSL VPN网关向内网服务器发起访问请求时，组装携带用户信息的登录参数
   授权策略组字段名	企业微信授权策略组字段名，用于SSL VPN网关从企业微信API服务器获取的应答报文中解析企业微信授权策略组名称
   微信开放平台URL	配置微信开放平台的URL后，当内网服务器需要再次认证客户端身份时，客户端将能够正常访问微信开放平台，完成后续的认证 用户可以进行如下配置： 预定义：表示预定义的URL地址，为https://open.weixin.qq.com，用户无法修改 自定义：表示自定义的URL地址，用户可以根据实际情况配置URL地址
   防止暴力破解	为了防止暴力破解攻击，可以配置如下限制： 用户在连续登录错误达到指定的次数时启用图形验证码 可限制同IP用户登录连续出错指定次数后，拒绝同IP登录，并在指定的时长后恢复正常状态

URI ACL资源

URI形式的ACL用于对SSL VPN的各种接入方式进行更精细的控制。对URL进行匹配，符合要求的URL请求可以访问对应的资源。

在SSL VPN访问实例中可以创建多个URI ACL，并且每个URI ACL下又可以配置多条URI ACL规则。若一个URI ACL中配置了多条URI ACL规则，则按照规则编号由小到大进行匹配。

在Web代理和资源组中，可以引用URI ACL进行过滤。

具体配置步骤如下：

1. 选择“URI ACL资源”页签。

2. 单击<新建>按钮，进入“新建URI ACL列表”页面，配置URI ACL列表名称。

3. 在“URI ACL资源”区域，单击<新建>按钮，进入“新建URI ACL规则”页面，具体配置内容如下：

   表-14 配置URI ACL规则

   参数	说明
   规则ID	规则编号。URI ACL在匹配过滤时会按照规则编号从小到大的顺序依次匹配报文，一旦匹配上某条规则便结束匹配过程
   动作	对匹配规则的报文的处理动作，动作包括允许报文通过和拒绝报文通过
   规则内容	格式为protocol://host:port/path，protocol和host必须指定

4. 单击<确定>按钮，完成配置URI ACL规则。

5. 单击<确定>按钮，完成配置URI ACL列表。

快捷方式

本功能通过将用户常用的URL配置为快捷方式，方便用户使用。配置后，用户可以在Web页面上单击指定的快捷方式访问资源。

具体配置步骤如下：

1. 选择“快捷方式”页签。配置快捷方式和快捷方式列表。

2. 在快捷方式区域，单击<新建>按钮，进入“新建快捷方式”页面，具体配置内容如下：

   表-15 配置快捷方式

   参数	说明
   快捷方式名称	快捷方式的名称
   描述	快捷方式的描述信息
   资源地址	资源地址包括三种类型： 资源链接：快捷方式对应的资源链接，用户可以在Web页面上单击指定的链接访问资源，需要按照url('url-value')模板配置。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成，完整格式为“协议类型://主机名称或地址:端口号/资源路径” 应用程序路径：快捷方式对应的应用程序路径，需要按照app('app-value')模板配置。程序路径可以使用绝对路径也可以使用环境变量，例如“c:\windows\system32\notepad++.exe” 自定义：SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本，实现访问特定的资源

3. 单击<确定>按钮，完成配置快捷方式。

4. 在快捷方式列表区域，单击<新建>按钮，进入“新建快捷方式列表”页面，具体配置内容如下：

   表-16 配置快捷方式列表

   参数	说明
   列表名称	快捷方式列表的名称
   选择快捷方式	在已配置的快捷方式中选择快捷方式

5. 单击<确定>按钮，完成配置快捷方式列表。

用户管理

1. 在“用户管理”页签，单击<新建>按钮，进入“新建用户管理”页面，具体配置内容如下：

   表-17 配置新建用户管理

   参数	说明
   用户名	SSL VPN的用户名称
   手机号码	SSL VPN用户绑定的手机号码
   自动绑定IPv4地址	开启自动绑定IPv4地址功能后，SSL VPN网关为客户端自动分配空闲的IPv4地址，并绑定，可以配置绑定的空闲IPv4地址的个数
   自动绑定IPv6地址	开启自动绑定IPv6地址功能后，SSL VPN网关为客户端自动分配空闲的IPv6地址，并绑定，可以配置绑定的空闲IPv6地址的个数
   绑定的IPv4地址	不能包含组播、广播、环回地址。可以包含IPv4地址和地址范围，地址或地址范围之间以“,”隔开，地址范围中的起始和结束地址用“-”隔开，结束地址必须大于或等于起始地址。例如：10.1.1.5,10.1.1.10-10.1.1.20
   绑定的IPv6地址	只能是单播或任播地址，不能是未指定、多播、环回地址。可以包含IPv6地址和IPv6地址范围，地址和地址范围之间以“,”隔开，地址范围中的起始和结束地址用“-”隔开，结束地址必须大于或等于起始地址。例如：1234::10,1234::100-1234::200

2. 单击<确定>按钮，完成配置用户管理。

3. 单击<完成>按钮，完成配置访问实例。

配置网关

配置步骤

1. 选择“网络 > VPN > SSL VPN > 网关”。

2. 在“网关”页面单击<新建>按钮，进入“新建网关”页面，具体配置内容如下：

   表-18 网关配置

   参数	说明
   网关	SSL VPN网关的名称
   IP地址选择方式	SSL VPN网关IP地址的选择方式，包括使用接口IP地址和自定义IP地址
   IP地址类型	SSL VPN网关的IP地址类型，包括IPv4和IPv6
   使用接口IP	可通过在下拉框中选择指定的接口获取相应的IP地址作为SSL VPN网关的IP地址 不可选择设备的管理地址
   IP地址	SSL VPN网关的IP地址
   HTTPS端口	SSL VPN网关的HTTPS端口号
   SSL服务器端策略	SSL VPN网关引用的SSL服务器端策略
   开启量子加密	开启量子加密功能后，用户可根据实际需求选择指定类型的量子密钥对SSL VPN报文进行加解密 本功能的支持情况与设备型号有关，请以设备实际情况为准
   加密类型	量子加密功能使用的量子密钥类型，取值包括如下： 国盾量子：SSL VPN将使用国盾量子密钥对SSL VPN报文进行加解密 中电信量子：SSL VPN将使用中电信量子密钥对SSL VPN报文进行加解密 本功能的支持情况与设备型号有关，请以设备实际情况为准
   强制加密	对于量子加密功能，用户可以根据实际需求选择是否强制使用量子加密 如果选择强制，则SSL VPN网关只能接受使用量子加密功能的iNode客户端与之进行SSL协商，其他客户端无法接入 如果选择非强制，则当iNode客户端与SSL VPN网关进行SSL协商时使用了量子加密功能，那么该协商过程会使用量子密钥；当iNode客户端没有使用量子加密功能或SSL VPN用户通过Web接入，则该协商过程会使用非量子密钥方式进行SSL 本功能的支持情况与设备型号有关，请以设备实际情况为准
   VRF	SSL VPN网关所属的VRF 本参数仅支持在编辑网关页面进行配置
   使能	开启SSL VPN网关

3. 单击<确定>按钮，完成网关配置。

客户端地址池

配置步骤

1. 选择“网络 > VPN > SSL VPN > 客户端地址池”。

2. 在“客户端IPv4地址池”页面单击<新建>按钮，进入“新建客户端IPv4地址池”页面，具体配置内容如下：

   表-19 客户端IPv4地址池配置

   参数	说明
   地址池名称	客户端IPv4地址池的名称
   起始地址	客户端IPv4地址池的起始地址
   结束地址	客户端IPv4地址池的结束地址

3. 单击<确定>按钮，完成客户端IPv4地址池配置。

4. 在“客户端IPv6地址池”页面单击<新建>按钮，进入“新建客户端IPv6地址池”页面，具体配置内容如下：

   表-20 客户端IPv6地址池配置

   参数	说明
   地址池名称	客户端IPv6地址池的名称
   起始IPv6地址	客户端IPv6地址池的起始地址
   结束IPv6地址	客户端IPv6地址池的结束地址

5. 单击<确定>按钮，完成客户端IPv6地址池配置。

IP接入接口

配置步骤

1. 选择“网络 > VPN > SSL VPN > IP接入接口”。

2. 单击<新建>按钮，进入“新建接口”页面，输入接口编号，单击<确定>按钮，进入<修改接口设置>页面，配置接口安全域和IP地址。

3. 单击<确定>按钮，完成IP接入接口配置。

全局配置

登录页面定制配置步骤

1. 选择“网络 > VPN > SSL VPN > 全局配置”。

2. 在登录页面定制区域，在下拉框中选择界面模版，SSL VPN网关登录页面将根据模版中定义的内容显示。

自定义IP接入客户端

1. 选择“网络 > VPN > SSL VPN > 全局配置”。

2. 在自定义IP接入客户端区域，针对不同的操作系统类型，用户可根据实际情况选择相应的IP接入客户端的下载方式。取值包括：

   • 设备：表示IP接入客户端下载路径为设备本地。仅Windows系统支持此方式。用户需要从官方渠道获取正版客户端文件，并上传到设备。

   • 官网：表示IP接入客户端下载路径为官网。

   • 自定义：表示IP接入客户端下载路径为指定的URL地址。

3. 单击<应用>按钮，完成配置。

单点登录

1. 选择“网络 > VPN > SSL VPN > 全局配置”。

2. 单击<导出用户自定义配置>按钮，下载单点登录数据文件，根据文件中的提示信息填写访问实例名、URL表项、登录用户名、资源用户名和资源密码。完成编辑后，将文件保存到用户本地。

3. 单击<导入用户自定义配置>按钮，进入导入用户自定义配置页面，单击<选择>按钮，选择保存的单点登录数据文件。单击<确定>按钮，完成单点登录数据文件的导入。

企业微信域名校验文件

1. 选择“网络 > VPN > SSL VPN > 全局配置”。

2. 在企业微信域名校验文件区域，单击<选择文件>按钮，选择用户在企业微信管理后台下载的域名校验文件，单击<上传>按钮，将文件上传到设备。其中，域名校验文件的获取方式如下：

   1. 在浏览器中输入地址https://work.weixin.qq.com，使用企业微信客户端扫码登录企业微信管理平台，单击<应用管理>按钮，选择应用，进入应用页面。

   2. 在应用页面的“网页授权及JS-SDK”处，单击<申请域名校验>按钮，在可信域名输入框中输入SSL VPN网关的域名和端口gateway.example.com:port。

   3. 单击<申请校验域名>按钮，按照页面提示下载文件。

   需要注意，下载域名校验文件后，不能对文件进行任何修改。

量子密钥

1. 选择“网络 > VPN > SSL VPN > 全局配置”。

2. 在量子密钥区域，根据实际需要选择国盾量子页签或中电信量子页签。具体配置内容如下：

   表-21 国盾量子密钥配置

   参数	说明
   交换密码机IP地址	国盾量子交换密码机的IP地址，用户需要根据交换密码机的实际IP地址进行配置
   交换密码机端口	国盾量子交换密码机的端口号，用户需要根据交换密码机的实际端口号进行配置
   交换密码机ID	国盾量子交换密码机ID，需要联系国盾量子管理员获取
   密码服务平台软件ID	国盾量子密码服务平台软件ID，需要联系国盾量子管理员获取
   应用账号	国盾量子应用账号，需要联系国盾量子管理员获取

   表-22 中电信量子密钥配置

   参数	说明
   交换密码机IP地址	中电信量子交换密码机的IP地址，用户需要根据交换密码机的实际IP地址进行配置
   交换密码机端口	中电信量子交换密码机的端口号，用户需要根据交换密码机的实际端口号进行配置
   应用账号	中电信量子应用账号，需要联系中电信量子管理员获取

3. 单击<应用>按钮，完成配置。

模板管理

配置步骤

1. 选择“网络 > VPN > SSL VPN > 模板管理”。

2. 单击<新建>按钮，进入“新建自定义模板”页面，管理员可以上传自定义页面模板。

3. 单击<确定>按钮，完成配置。上传后，管理员可在“全局配置”或“编辑访问实例”页面引用该页面模板。

统计信息

在“统计信息”页面，管理员可以查看在线用户统计、在线用户信息、锁定用户信息、锁定IP信息，以及IP接入相关的统计信息。

常见问题解答

某些资源的访问权限发生变化后，为什么不会立即生效？

这是因为SSL VPN不支持动态授权，权限变化的生效范围及生效时间如表-23所示。

表-23 权限变化的生效范围及时间

SSL VPN用户登录SSL VPN网关时，是否需要进行证书认证？

SSL VPN用户作为SSL客户端登录SSL VPN网关时，SSL客户端证书认证的三种方式及其区别如表-24所示。

表-24 客户端证书认证方式对比

当SSL VPN管理员认为需要对SSL VPN用户进行证书认证时，应该将SSL VPN网关引用的SSL服务器端策略配置为后两种方式，并使能SSL VPN的证书认证功能。SSL VPN证书认证功能会比较证书中的CN字段和用户名是否匹配，如果不匹配，则会禁止访问。

对于SSL VPN证书认证功能，仅在Web接入和隧道业务方式下，支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证；在TCP代理和移动客户端接入方式下，不支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证。