华盾sslVPN用户手册.docx
《华盾sslVPN用户手册.docx》由会员分享,可在线阅读,更多相关《华盾sslVPN用户手册.docx(91页珍藏版)》请在冰豆网上搜索。
华盾sslVPN用户手册
华盾SSLVPN网关
用户手册
北京东方华盾信息技术有限公司
二00五年九月
目录
1.系统简介1
1.1典型部署方式1
1.2华盾SSL网关的访问控制体系2
1.3系统硬件4
1.4系统默认参数设置6
1.5建立远程连接6
2.系统WEB界面8
2.1系统主界面8
2.2系统菜单9
3.系统配置12
3.1系统>>接口12
3.2系统>>系统信息13
3.3系统>>安全14
3.4系统>>升级16
3.5系统>>备份18
3.6系统>>工具20
3.7系统>>许可21
4.管理员帐号管理22
4.1管理员设置22
4.2锁定管理员账号27
5.证书管理28
5.1可信CA28
5.2网关证书30
5.3证书请求33
6.认证服务器35
6.1添加新的认证服务器36
6.2管理认证服务器39
7.用户管理41
7.1管理用户组41
7.2管理用户44
7.3管理锁定用户49
8.服务管理50
8.1添加新服务50
8.2服务列表53
8.3客户端应用56
9.角色管理58
9.1添加新角色58
10.日志管理61
10.1日志设置61
10.2查询日志61
11.系统管理与监控65
11.1监控>>监控对象65
11.2监控>>在线用户66
11.3监控>>设置系统时间66
11.4监控>>系统监控图表67
11.5监控>>服务监控图表69
11.6监控>>TopN70
12.客户端策略72
12.1客户端策略规则72
12.2客户端策略74
13.访问限制规则77
13.1添加新的ARL78
13.2查询ARL79
14.附录A:
终端用户远程访问80
系统简介
华盾SSL网关是一款基于SSL协议的无客户端VPN,提供了远程访问的安全解决方案。
通过华盾SSL网关,无需客户端软件,家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。
华盾SSL网关通过对用户的认证,基于角色的访问控制以及数据加密技术为用户提供了安全保障。
华盾SSL网关实现了良好的加密和认证功能,SSL/TLS协议保证了数据在传输过程中的加密和解密。
华盾SSL网关不仅能保护Web应用,而且支持广泛的基于TCP/UDP的多种应用,如FTP、TFTP、Telnet、终端服务器、VNC、文件共享、SSH、HTTPS、Oracle、Exchange/Outlook、LotusNotes和MySQL等。
华盾SSL网关还支持多端口应用。
除内部认证外,华盾SSL网关支持使用Radius、LDAP或WindowsAD服务器来认证终端用户。
通过这些认证服务器,系统管理员只需为一个企业维护一个用户认证基础设施即可。
用户认证方式包括使用用户名/口令,一次性口令,认证证书以及验证码等。
1.1典型部署方式
华盾SSL网关有两种典型部署方式:
旁路模式和在线模式。
可参见下面的华盾SSL网关典型布局结构图示。
所有来自因特网的应用数据都需要通过华盾SSL网关的保护才能够进入企业内部网络,以此来阻止消息窃听、消息重放、不合法登录等攻击。
旁路模式
在线模式
由于华盾SSL网关为管理员和终端用户均提供了基于WEB的用户界面,因此所有用户均可通过浏览器进行访问,终端用户可以有多种方式接入Internet,如直接接入因特网、通过防火墙接入、通过无线接入点接入等。
华盾SSL网关不仅能保护Web应用,还能够保护基于TCP/UDP的C/S应用,如文件共享、网络邻居、FTP、Telnet、Oracle等。
1.2华盾SSL网关的访问控制体系
华盾SSL网关采用基于角色的访问控制体系,如下图所示:
如图所示,角色是系统中用户和服务之间沟通的枢纽,用户成功登录后,系统将用户分配给角色,然后针对角色进行授权。
角色控制了用户组和用户在系统对服务或应用的访问权限。
角色、用户/用户组、服务三者之间的相互关系可以概括为:
为角色定义可以访问的一个或多个服务;
将用户/用户组分配给相应的角色,一个用户/用户组可以分配给多个角色,每个角色包含多个用户/用户组;
针对每一个服务,设定可以访问服务的角色;
关于如何在华盾SSL网关上建立起合理的访问控制体系,可参照手册第7、8、9章。
1.3系统硬件
1.3.1华盾VPN280SSL
前面板简介
接口
功能描述
监控串口
华盾SSL网关系统的CONSOLE口,用超级终端连接后可以对系统进行设置。
FE0-FE3
FE0-FE3是华盾SSL网关系统提供的四个10/100M自适应以太网接口,分别对应逻辑接口eth0-eth3。
电源指示灯
起电源指示作用:
当启动机器后,电源指示灯亮起,关闭机器后,电源指示灯关闭。
读写指示灯
起系统读写指示作用:
系统当前处于读/写数据状态时,读写灯指示闪烁。
后面板简介
接口
功能描述
交流电源输入插座
用于将交流电源引入华盾SSL网关系统,支持110~230伏电压。
电源开关
用于开启和关闭电源。
散热风扇
帮助华盾SSL网关进行散热。
1.3.2华盾VPN380SSL
前面板简介
接口
功能描述
监控串口
华盾SSL网关系统的CONSOLE口为RS-232串行口,用超级终端连接后可对系统进行设置。
默认设置:
9600波特率,1停止位,无奇偶校验位。
FE0-FE3
FE0-FE3是华盾SSL网关系统提供的四个10/100M自适应以太网接口,分别对应逻辑接口eth2-eth5。
GE0-GE1
GE0-GE1是华盾SSL网关系统提供的两个10/100M/1000M自适应以太网接口,分别对应逻辑接口eth0-eth1。
LCD显示屏
用于显示系统状态和常用信息,如IP地址,系统资源使用率,在线用户数等。
(详见附录A)
LCD控制按键
用于对LCD菜单进行导航操作
电源指示灯
起电源指示作用:
当启动机器后,电源指示灯亮起,关闭机器后,电源指示灯关闭。
读写指示灯
起系统读写指示作用:
系统当前处于读/写数据状态时,读写灯指示闪烁。
后面板简介
接口
功能描述
交流电源输入插座
用于将交流电源引入华盾SSL网关系统,支持110~230伏电压。
电源开关
用于开启和关闭电源。
散热风扇
帮助华盾SSL网关进行散热。
1.4系统默认参数设置
Type
Defaultvalue
Eth0IP地址
192.168.1.100
串行口的设置
Baudrate:
9600
StopBit:
1
Parity:
None
缺省的管理员登录用户名(用于Web界面、SSH、命令行操作)
admin
缺省的管理员登录口令(用于Web界面、SSH、命令行操作)
admin
缺省SSL协议端口
443
缺省SSL协议版本
SSL3.0/TLS1.0
1.5建立远程连接
访问管理页面:
管理员通过华盾SSL网关服务地址来访问管理Web界面,例如:
输入https:
//华盾SSL网关-IP/admin/,将会看到如下图所示的系统登录页面。
输入缺省的登录用户名、登录口令,以及如界面所示的验证码,选择“CredentialType”为“Password”,然后点击【Login】按钮登录系统。
登录成功后,即可开始对系统进行管理。
在创建系统用户、服务或相应的访问控制策略之前,需要遵照以下步骤对系统进行设置:
1.首先修改管理员登录口令(参见第4章——设置管理员);
2.设置华盾SSL网关系统的IP地址(参见第3章——系统配置);
3.设置系统路由(参见第3章——系统配置);
4.设置系统DNS服务器(参见第3章——系统配置);
5.设置系统的安全项,包括SSL协议版本等(参见第3章——系统配置);
6.设置系统网关证书(参见第5章——证书管理)。
经过上述步骤,即完成了基本的系统设置,可对华盾SSL网关的远程访问服务进行管理。
系统WEB界面
2.1系统主界面
成功登录后,进入系统欢迎页面,左边是树状的系统菜单栏,点击主菜单项可打开相应的下一级管理选项;右边是管理员执行系统配置操作的系统操作区。
如下图所示:
语言选择
修改密码
注销
帮助
管理员姓名
菜单栏
显示窗口
首次登录时将进入“监控”页面,以后每次登录则保持上一次注销时的页面。
在页面上方点击语言按钮,“English”,“简体中文”,“繁體中文”,系统将自动切换至相应的界面语言。
点击“修改密码”按钮,即可修改密码。
点击“帮助”按钮,查看软件在线帮助。
点击“注销”按钮,即可安全注销,登出系统。
2.2系统菜单
系统菜单栏包含了以下所有菜单项:
2.2.1系统
∙接口–设置IP信息和系统对外接口
∙系统信息–设置DNS信息
∙安全参数–设置系统安全参数,如加密算法强度、超时时间等
∙升级系统–升级系统文件
∙备份–“导入”、“导出”系统文件,恢复出厂设置
∙工具–使用PING工具,“重启”或“关闭”设备
∙许可–输入授权的16位许可协议号
详细说明请参见第3章——系统配置
2.2.2管理员
∙帐号–管理所有的管理员账号
∙锁定帐号–查看、解锁所有锁定帐号
详细说明请参见第4章——管理员账号
2.2.3证书
∙可信CA–管理可信CA证书列表
∙网关证书–查看、管理网关证书列表
∙证书请求–生成网关证书请求
详细说明请参见第5章——证书管理
2.2.4认证
∙服务器–添加和管理认证服务器
详细说明请参见第6章——认证服务器
2.2.5用户
∙用户组–管理用户组
∙用户–管理用户
∙锁定用户–查看、解锁所有锁定用户
详细说明请参见第7章——用户管理
2.2.6服务
∙服务–管理服务信息
∙客户端应用–管理客户端应用信息
详细说明请参见第8章——认证服务器
2.2.7角色
∙角色列表–查询、管理所有角色
详细说明请参见第9章——角色管理
2.2.8日志
∙日志设置–配置日志信息和参数
∙日志查询–查询日志
详细说明请参见第10章——日志管理
2.2.9监控
∙监控对象–监控系统运行状态和参数
∙在线用户–监控系统在线用户
∙设置系统时间–设置系统时间
∙系统监控图标–显示系统运行状态和参数图标
∙服务监控图标–显示系统服务图标
∙TopN–显示TopN信息
详细说明请参见第11章——系统监控
2.2.10客户端策略
∙规则–管理规则
∙策略–管理客户端策略
详细说明请参见第12章——客户端策略
2.2.11访问限制规则
∙ARL配置–配置访问限制规则
详细说明请参见第13章——访问限制规则
系统配置
通过系统配置选项,用户可以建立和配置华盾SSL网关系统管理环境,包括配置IP和DNS信息,系统升级等。
华盾SSL网关系统支持基于WEB的管理和基于命令行的两种管理方式,一种是通过浏览器访问WEB界面,对系统进行管理,另一种是通过串口连接到系统,使用CLI命令进行管理。
系统提供了很多重要的CLI命令,如,恢复系统的出厂设置,配置网络接口信息、设置系统运行工作模式等。
华盾SSL网关具体的CLI命令,请参见第十四章——认证服务器Shell命令。
本章将介绍通过Web界面管理系统。
在左边的系统菜单栏中点击“系统”主菜单,即可打开相应的管理选项。
3.1系统>>接口
华盾SSL网关系统拥有多个网络接口,分为两种类型:
一种是内部接口,用于连接内部网络,另一种是外部接口,用于连接外部网络。
首先应对系统的基本信息、网络信息进行配置,如:
IP地址信息、网络掩码、默认网关和静态路由等。
接口
选择接口(eth0-ethN,接口数目根据华盾SSL网关系统型号而定。
如:
华盾SSL网关502有四个接口,则可选择eth0-eth3)
IP方式
IP方式,选择“手工”或“DHCP”
类型
接口类型,选择“内部”或“外部”
IP地址
IP地址
子网掩码
子网掩码
默认网关
默认网关
点击【保存】按钮保存设置。
3.1.1添加IP地址池
当选择“接口”为“eth1”,其缺省类型为“内部”时,注意在【保存】按钮上将出现一个【地址池】按钮。
点击【地址池】按钮,为相应的接口定义IP地址池。
在三个文本框中分别输入:
起始IP地址、终止IP地址和子网掩码。
点击【添加】按钮添加当前设置,或点击【返回】按钮返回到保存前的设置。
注意:
地址池所配置的地址必须与接口地址处于同一网段,并且接口的IP不能被包括在定义的IP地址范围内,否则将添加失败。
3.1.2添加静态路由
界面下部列出了系统的静态路由表,在三个文本框中分别输入:
目的IP地址,子网掩码和网关地址,点击【添加】按钮即可添加路由信息。
3.2系统>>系统信息
在华盾SSL网关系统中使用服务器的域名,需要设置DNS服务器用于进行域名解析。
在文本框中分别输入:
主机名、域名、主DNS和备用DNS,点击【保存】按钮保存设置。
也可选择是否使用SSH和网关,前者允许管理员远程访问,后者允许终端用户访问服务,点击相应选项后的“启动”或“停止”图标即可。
注意:
在SSH和网关的“启动/停止”选项中,不可点击的状态为当前状态,如SSH服务的“停止”是可以点击的,那么当前系统已经开启了SSH服务。
3.3系统>>安全
在此可以设定系统的安全参数,如加密算法强度,各类超时时长,锁定周期等。
勾选上“使用SSLV2,V3和TLS”,系统可以接收的SSL协议版本有V2,V3和TLS;否则系统只接收SSLV3和TLS。
加密算法强度
选择不同的加密算法强度:
“高”,“中”,“低”。
详见下一小节。
SSL监听端口
SSL监听端口号
超时
系统的有效连接时长,超过该时长将自动断开用户的连接
会话超时
每个会话的超时时长
每用户会话数
每个用户的最大并发会话数
登录尝试次数
允许用户尝试的最大登录次数
锁定周期
用户的锁定时间(分钟),达到该时长后将自动解锁。
全局检查状态
选择是否激活客户端策略(详见第12章,12.2.1节)
登录验证码
具有随机性的验证码用于防止非法用户进行登录,保证用户的合法性,如图:
用户勾选上此选项,则用户登录时,必须输入当前所显示的验证码数字。
取消该设置,不勾选此选项即可。
预防'synflood攻击'
可选择是否启用预防'synflood攻击'
ARL默认动作
关于“ARL默认动作”对用户ARL(访问限制规则)设置的影响,以及关于ARL配置的详细说明,请参见第13章——ARL配置。
AACR默认动作
若服务没有设置任何AACR,则其所有命令缺省均为“允许”,无论“AACR默认动作”定义为“允许”还是“拒绝”。
若服务的部分命令设置了AACR,则其余未设定的命令将由“AACR默认动作”来决定将被容许或者拒绝。
(关于对服务设定AACR的详细说明,请参见第8章8.2.4节)
3.3.1加密算法强度
在系统中,不仅可以选择加密算法强度,也可设置与各级算法强度相应的密码算法。
如下图所示,相应强度的密码算法选择界面中分别有“未选择的算法”和“已选择的算法”两个列表框。
“未选择的算法”列表框中是系统中具备但未使用的密码算法,而“已选择的算法”则是系统当前所选用的密码算法。
风险警告:
算法的选择不正确,将会导致华盾SSL网关无法访问。
从“未选择…”列表框中选择所需的算法(可多选),点击
按钮,被选中的项目将自动添加到“已选择…”列表框中;在“已选择…”列表框中选择要去除的项目,点击
按钮,被选中的项目将自动去除,返回到“未选择…”列表框。
也可直接双击项目,项目将自动移至相对的列表框中。
选择完成后点击【保存】按钮保存设置。
3.4系统>>升级
用户可以通过FTP、HTTP传输升级文件,或从本地硬盘上载升级文件三种方式对华盾SSL网关系统进行升级。
3.4.1通过FTP升级
(匿名方式)
(非匿名方式)
匿名
选择是否以匿名方式登录到FTP服务器
账号
非匿名方式下,需要输入账号名称(用户ID)
密码
用户密码
主机
FTP服务器的IP地址,包括端口号
上传文件
要上传的文件名,应使用完整的目录路径
设置好各项信息后,点击【升级】按钮即可进行系统升级。
3.4.2通过HTTP升级
主机
HTTP服务器的IP地址
上传文件
要上传的文件名,应使用完整的目录路径
设置好各项信息后,点击【升级】按钮即可进行系统升级。
3.4.3通过本地上传升级
输入文件名(使用完整的目录路径),或点击【Browse…】按钮,从弹出的“选择文件”对话框中选择所需的文件,然后点击【升级】按钮即可进行系统升级。
3.5系统>>备份
管理员可以将系统的配置信息备份到一个文件,或用备份文件恢复一个配置备份,还可以恢复系统的出厂设置。
3.5.1导出系统配置
点击【导出】按钮,将当前配置保存为本地文件。
在打开的窗口中点击“Download”图标。
系统将弹出“文件下载”对话框,提示备份一个名为“sysbackup.bin”的文件(也可自定义文件名),即配置信息。
点击【保存】按钮保存文件,或点击【取消】按钮取消保存。
3.5.2导入系统配置
要导入原有的配置信息,先输入文件名(使用完整的目录路径),或点击【Browse…】按钮,从弹出的“选择文件”对话框中选择所需的文件,然后点击【导入】按钮,将出现提示窗口如下:
点击【OK】按钮导入配置,或点击【Cancel】按钮取消导入。
注意:
在导入配置后,设备原有的全部配置,包括地址、密码以及license信息将被导入文件中的配置所覆盖,由于不同型号的设备配置信息各异,因此不能导入其他设备的备份文件。
3.5.3恢复系统的出厂设置
恢复系统的出厂设置,点击【OK】按钮,将出现提示窗口如下:
点击【OK】按钮恢复出厂设置,或点击【Cancel】按钮取消恢复。
3.6系统>>工具
系统还提供了一些有用的管理工具,如Ping功能,重启或关闭设备等。
IP或者主机名
用于ping的IP地址或DNS主机名
Ping个数
Ping包的个数
Ping
点击【Ping】按钮,ping指定的IP地址或DNS主机名
重启设备
重启华盾SSL网关
关闭设备
关闭华盾SSL网关
3.7系统>>许可
在此,可以输入系统的许可密码:
页面上标明了系统的最大授权用户数。
输入许可密码后点击【保存】按钮即可。
管理员帐号管理
华盾SSL网关自带有一个缺省的管理员帐号,用户名和口令均为:
admin。
注意:
该管理帐号无法删除。
4.1管理员设置
在系统中可根据需要创建多个管理员账号,基于角色分配不同的管理权限。
在系统菜单栏上点击“管理员”,通过打开的管理选项可对管理员账号进行管理。
账号管理界面如下图所示:
界面显示了系统中创建的管理员账号列表,以及相关的管理功能。
列表包括“名称”、“备注”、“删除”和“编辑”图标四列,一页最多显示10个账号,可点击底部右边的分页链接进行浏览。
点击底部右边的【全部】按钮,即可选中当前页列表中的全部账号。
【反选】按钮可用于选择与当前选择相反的项目。
列表上方有【添加】和【查询】按钮。
4.1.1添加新的管理员账号
点击【添加】按钮,进入添加管理员账号界面,缺省的“凭证”为“口令”,如下图所示:
用户名:
用于登录的用户名
凭证
采用的凭证类型:
口令或证书(缺省为“口令”)
口令
用户口令
确认口令
再次输入用户口令进行确认
管理员类型
定义管理员类型
1.系统—能够管理所有系统功能
2.配置—能够管理所有配置功能
3.审计—能够管理所有审计功能
访问方法
定义该用户访问系统的方法
1.https–通过WEB界面连接
2.console–通过控制台连接
3.ssh–通过SSH连接
4.snmp–通过SNMP连接
状态
管理员账号状态:
有效无效锁定
超时t
管理员账号的登录后的超时时间,即使用管理员账号登录后若在此设定时间内没有进行任何操作,则系统将自动终止该账号的会话和授权,要求其重新登录。
单位:
分钟*(1-300)
备注
备注内容(最多128个英文字符或32个中文字符)
访问限制列表
系统内设立的访问限制列表(详见第13章——ARL配置)
可从“未选择ARL”框选择ARL添加到“已选择ARL”框中
点击【保存】按钮,即可创建一个新的口令账号。
如要创建一个证书账号,则选择“凭证”为“证书”,如下图所示:
凭证
采用的凭证类型:
口令或证书(缺省为“口令”)
管理员类型
定义管理员类型
1.系统—可管理所有系统功能
2.配置—可管理所有配置功能
3.审计—可管理所有审计功能
(参见后附表格)
访问方法
定义该用户访问系统的方法
1.https–通过WEB界面
2.console–通过控制台
3.ssh–通过SSH连接
状态
账号状态:
有效/无效/锁定
超时t
账号的有效连接时长,单位:
分钟*(1-300)
备注
备注内容(最多128个英文字符或32个中文字符)
访问限制列表
系统内设立的访问限制列表(详见第13章——ARL配置)
从“未选择ARL”框选择ARL添加到“已选择ARL”框中
Sys
Admin
Cert
Auth
User
Svc
Role
Log
Monitor
ClientPolicy
ARL
System
RW
RW
R
R
R
R
R
R
R
R
R
Config
RW
RW
RW
RW
RW
RW
R
RW
RW
RW
Audit
RW
R
Role–角色管理
Log–日志管理
Monitor–监控设置
ClientPolicy–客户端策略
升级会员 