联想网御安全网关SAG用户手册.doc

联想网御安全网关SAG用户手册.doc

《联想网御安全网关SAG用户手册.doc》由会员分享，可在线阅读，更多相关《联想网御安全网关SAG用户手册.doc（22页珍藏版）》请在冰豆网上搜索。

联想网御安全网关SAG用户手册

联想网御安全网关SAG

用户手册

联想网御科技（北京）有限公司

前言

感谢您使用联想网御安全网关SAG。

联想网御安全网关SAG系列接入网关是适用于中小型企业/大中型企业/政府机关/移动用户的综合接入网关，为用户远程访问网络服务提供安全保护，主要功能包括：

身份认证：

确保远程访问者不是恶意用户；

访问控制：

确保访问者只能访问被授权访问的服务和信息；

数据加密：

确保所有数据在网络传输过程中都是被加密的，防止被窃听；

SAG网关是在SSL协议基础上实现的远程接入安全平台，无需改变网络结构和应用模式，完全支持Web应用，以及Exchange、SMB、FTP、Telnet、CRM、ERP、Mail、Oracle和SQLServer等C/S模式的应用。

和传统SSLVPN接入网关相比，SAG网关突破了SSL的局限性，创新性地对SSLVPN网关技术进行了拓展：

SSLVPN网关到网关模式：

和IPSECVPN相比，传统SSLVPN适用于终端到网关模式的部署方式，SAG突破了这种局限，创新性地实现了网关到网关模式的SSLVPN技术；

客户端自动获取域名解析（DNS）配置：

和IPSECVPN相比，SSLVPN无需安装客户端软件，但是传统的SSLVPN客户端无法通过DHCP协议自动从接入网关获取DNS配置，因此SSLVPN无法使用企业内部DNS服务器。

SAG创新性地实现了客户端自动从接入网关获取域名解析服务。

支持网络邻居：

网络邻居是MicrosoftWindows操作系统基于NetBIOS协议实现的网络文件共享功能，网络邻居难以跨越路由器在互联网范围内实现。

SAG网关能够确保用户远程接入内网的同时正常使用内网的网络邻居功能。

安全远程桌面功能：

MicrosoftWindows提供的远程桌面功能被网络管理人员广泛采用，但是远程桌面功能无法对远程接入用户进行细颗粒的安全限制，因此存在巨大安全隐患。

SAG网关的【远程终端】服务，实现了对MicrosoftWindows远程桌面的安全拓展，用户可通过接入网关开放远程桌面的同时，限制远程用户所能访问的资源和应用程序。

灵活的用户管理：

支持大批量用户的导入/导出机制，兼容SecureID等动态口令用户，兼容标准LDAP服务器，兼容微软活动目录（AD）服务器，兼容第三方Radius服务器，支持数字证书用户，支持本地用户数据库等等。

本手册随SAG网关一起发行，是SAG网关的用户使用手册。

本手册介绍了SAG网关的使用方法。

本手册适用于使用SAG网关的一般用户，对一般用户经常用到的功能作了介绍，如果想了解更多的关于SAG配置方面的信息请参见SAG网关管理手册。

其他参考资料参见软件帮助和我们的网站：

本手册围绕SAG网关编写，疏忽和失误之处敬请广大用户批评指正，欢迎对我们的产品提出宝贵意见。

您的信赖来自于我们的严谨和努力

您的满意来源于我们优质的服务

联想网御科技（北京）有限公司

版权声明

SAG网关用户手册

本手册面向用户详细介绍了SAG的使用方法，为用户在使用本系统时提供参考。

本手册和接入网关一起发行。

作者：

联想网御科技（北京）有限公司

Copyright©2008by联想网御科技（北京）有限公司，版权所有。

联想网御科技（北京）有限公司发行。

未经发行人书面许可，不得使用任何形式或任何途径，包括使用影印、录制在内的电子或机械手段、其他信息储存和恢复系统等对该书任何部分进行复制或传播。

警告和承诺：

本手册用于提供关于“SAG网关”的操作使用信息。

尽管我们做了大量的努力使本书尽可能完备和准确，但疏漏和缺陷之处在所难免。

本手册信息是建立在“SAG网关”的基础之上，没有成为标准或规范，仅作为“SAG网关”操作使用的参考及SSLVPN接入网关和安全管理的概念普及。

本手册中表达的观点权属于联想网御科技（北京）有限公司。

本手册的解释权归联想网御科技（北京）有限公司所有。

由于本手册是基于“SAG网关”编写，产品软件的升级和更新，将导致本手册内容的相关变更，手册内容的更改恕不另行通知。

本手册将不作为联想网御科技（北京）有限公司的任何承诺，联想网御科技（北京）有限公司对本手册中可能出现的任何错误不负任何责任。

反馈信息

欢迎您对我们的产品及本手册提供宝贵的意见和建议，您的支持是我们工作的动力。

对于您的帮助，我们十分感激。

请与我们联系：

infosec@。

本系统的开发单位

联想网御科技（北京）有限公司

地址：

北京市海淀区中关村南大街6号中电信息大厦8层，100086

公司总机：

010-82166999（9：

00－18：

00）

销售热线：

010-82167583（9：

00－18：

00）

售后热线：

400-810-7766（7x24小时，原010-82167766继续有效）

传    真：

010-82166998

网址：

Http:

//

E-Mail：

  infosec@

本系统版权受到中华人民共和国国家法律保护，任何单位个人不得非法使用、拷贝、修改、扩散本软件及其文档，否则将受到法律的制裁。

本系统及其文档中使用到其他公司的有关资源，其版权归相应公司所有，同样受到法律的保护。

联想网御安全网关SAG用户手册

手册阅读方法

文本标记

表1

本文的标记形式

标记

说明

【项目】

表示导航菜单的项目名称。

用“→”表示两个连续操作的菜单项。

例如：

执行导航菜单的【网关管理】→【网络属性】

『项目』

表示Tab标签选项。

例如：

【网关管理】→【网络属性】→『网卡』。

｛项目｝

表示画面上的项目标题名称。

例如：

【网关管理】→【网络属性】→『网卡』界面中的{系统网卡}。

<项目>

表示设定的变量/参数值。

图标

表2

关于图标的说明

图标

说明

提示

注意

参照

表示所参照的相关条目。

表示注意事项。

表示提示信息。

联想网御安全网关SAG用户使用手册

目录

第1部分远程接入模式用户手册 1

1.1访问SSLVPN安全网关 1

1.2客户端登录认证 2

1.2.1匿名登录 2

1.2.2口令登录 2

1.2.3短信登录 4

1.2.4证书登录 7

1.3客户端用户主界面 7

1.3.1安装ActiveX控件 8

1.3.2客户端用户主界面 11

1.4注销登录 14

第2部分对等网关模式用户手册 15

第1部分远程接入模式用户手册

1.1访问SSLVPN安全网关

打开IE浏览器输入：

http:

//网关的IP地址或者https:

//网关的IP地址

https:

//192.168.100.1

根据管理人员的配置不同，用户看到的登录选项可能会不同。

配置选项

功能描述

1.无需认证，客户端用户可以直接访问被保护的网络服务；

2.所有传输数据被加密；

1.使用静态“用户名+口令”方式登录SSLVPN安全网关（包括：

SSLVPN安全网关本地用户帐号、第三方Radius帐号、第三方LDAP口令帐号和Microsoft域口令帐号登录）；

2.所有传输数据被加密。

1.使用手机短信SMS动态口令方式登录SSLVPN安全网关；

2.所有传输数据被加密。

1.使用数字证书方式登录SSLVPN安全网关（包括使用USBKEY存储数字证书的方式）；

2.所有传输数据加密。

用户远程登录SSLVPN安全网关时不一定能够看到所有类型的登录按钮，这和SSLVPN安全网关管理端的配置相关。

在实际应用中遇到和手册不符的问题，请和SSLVPN安全管理人员联系。

提示

1.2客户端登录认证

1.2.1匿名登录

点击，转入“1.3节客户端用户主界面”。

1.2.2口令登录

点击，弹出用户登录界面：

配置选项

功能描述

<输入名字>

输入用户的帐户信息；

<输入口令>

输入口令用户的口令信息；

安装可信证书链

在客户端计算机上安装可信证书链。

安装Java虚拟机

下载并安装Java虚拟机，使用SSLVPNRDP模式时，客户端需要下载并安装Java虚拟机；

修改用户口令

修改用户的口令信息；

安装Key驱动

当使用USBKEY实现双因子安全认证时，客户端需要安装USBKEY的驱动。

安装Key管理工具

安装USBKEY的客户端管理工具；

转到证书登录

切换到证书登录认证方式，转入“1.2.4节证书登录”。

输入正确的登录认证信息后，转入“1.3节客户端用户主界面”。

根据SSLVPN安全管理员的设置安全策略不同，客户端用户登录时有可能不需要输入动态附加码，例如：

不使用动态附加码增加了网络攻击者使用脚本（或者应用程序）暴力猜解用户口令的可能性。

提示

1.2.3短信登录

点击，弹出用户登录界面：

配置选项

功能描述

<输入名字>

输入用户的帐户信息或者手机号码；

<认证码>

输入口令用户的口令信息；

安装可信证书链

在客户端计算机上安装可信证书链。

安装Java虚拟机

下载并安装Java虚拟机，使用SSLVPNRDP模式时，客户端需要下载并安装Java虚拟机；

修改用户口令

修改用户的口令信息；

安装Key驱动

当使用USBKEY实现双因子安全认证时，客户端需要安装USBKEY的驱动。

安装Key管理工具

安装USBKEY的客户端管理工具；

转到证书登录

切换到证书登录认证方式，转入“1.2.4节证书登录”。

输入正确的认证信息后，转入“1.3节客户端用户主界面”

根据SSLVPN安全网关安全策略设置的不同，客户端用户登录时有可能不需要输入<认证码>或者<附加码>。

例如：

只需要输入帐户信息的界面：

如果不使用动态附加码，存在网络攻击者利用不停尝试登录SSLVPN安全网关的方式，导致网关系统不断给授权用户的手机发送短信的可能性。

提示

根据SSLVPN安全网关安全策略设置的不同，客户端用户登录时有可能不需要输入<认证码>。

例如：

需要输入帐户名字和<附加码>的界面：

如果不使用<认证码>，存在网络攻击者非法获取授权用户的手机后，冒充授权用户登录SSLVPN安全网关的可能性。

提示

根据SSLVPN安全网关安全策略设置的不同，客户端用户登录时有可能不需要输入<附加码>。

例如：

需要输入帐户信息和<认证码>的界面：

不使用动态附加码增加了网络攻击者使用脚本（或者应用程序）暴力猜解用户口令的可能性。

提示

1.2.4证书登录

点击，弹出用户登录界面：

用户选择授权用户登录证书，点击确定。

点击“确定”，转入“1.3节客户端用户主界面”。

1.3客户端用户主界面

如果提示安装ActiveX控件，请转入“1.3.1节安装ActiveX控件”；

如果未提示安装ActiveX控件，请转入“1.3.2节客户端用户主界面”。