深信服SSLVPN使用手册.docx
《深信服SSLVPN使用手册.docx》由会员分享,可在线阅读,更多相关《深信服SSLVPN使用手册.docx(23页珍藏版)》请在冰豆网上搜索。
深信服SSLVPN使用手册
SSL5.5用户手册
2012年3月
声明
Copyright©2012深圳市深信服电子科技有限公司及其许可者版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
SINFOR、SANGFOR及
图标为深圳市深信服电子科技有限公司的商标。
对于本手册出现的其他公司的商标、产品标识和商品名称,由各自权利人拥有。
除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。
本手册内容如发生更改,恕不另行通知。
如需要获取最新手册,请联系深信服电子科技有限公司客户服务部。
第1章控制台的使用
1.1.登录WebUI配置界面
按照前面所示方法接好线后,通过Web界面来配置VPN设备。
方法如下:
首先为本机器配置一个10.254.254.X网段的IP(如配置10.254.254.100),掩码配置为255.255.255.0,然后在IE浏览器中输入网关的默认登录IP及端口,输入http:
//10.254.254.254:
1000,页面如下:
在登录框输入『用户名』和『密码』,点击登录按钮即可登录VPN网关进行配置,默认情况下的用户名和密码均为:
Admin。
如果需要查看当前网关的版本号,可点击查看版本,即显示当前硬件的版本信息。
登录WebUI配置界面后,可以看到有以下配置内容:
如下图所示:
『运行状态』:
此处可以查看当前设备的运行状态。
『系统设置』:
此处可设置设备的序列号、网络配置及各种常见全局性配置。
『SSLVPN设置』:
设置SSLVPN相关信息。
『IPSECVPN设置』:
设置IPSECVPN互联信息。
『防火墙设置』:
设置设备内置的防火墙规则及策略。
『系统维护』:
用来查看日志、备份/恢复设备的配置信息,重启设备/服务或关闭设备。
注意:
所有配置界面中如果有[确定]、[保存]、[配置生效]按钮,则配置完毕后,必须要点击该按钮才能使设置保存并生效,后面的文档不再赘述。
1.2.运行状态
『SSLVPN运行状态』里面可以查看『系统状态』,『在线用户』,『告警日志』,『远程应用』。
界面如下图所示:
第2章系统设置
『系统设置』包含『系统配置』,『网络配置』,『时间计划』,『管理员账号』,『SSLVPN选项』五个大模块。
如下图:
第3章VPN信息设置
3.1.运行状态
此页面可以查看当前的VPN连接状态和网络流量信息。
页面如下:
点击分支NAT状态可以查看当前分支NAT状态,包括用户名、原子网网段、代理子网网段、网络类型和子网掩码。
页面如下:
点击查找用户输入用户名,可以快速找到当前用户的连接情况。
页面如下:
点击显示选项,可以对显示的列进行筛选。
页面如下:
点击停止服务可暂时停止VPN服务。
然后在『用户管理』新建用户时,在『组播服务』里选择刚定义好的组播服务。
页面如下:
3.2.RIP设置
用于设置SANGFORVPN设备通过RIPv2协议向其它路由设备通告路由信息,以实现内网路由设备RIP路由信息的动态更新。
[启用路由选择信息协议]:
是整个动态路由更新功能的开关,激活后,SANGFORVPN设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息(更新其他设备的路由表,添加到VPN对端的路由指向SANGFORVPN设备,VPN连接断开后会通告路由设备删除该路由)。
设备本身不接收RIP路由协议的动态更新,VPN设备要跟其他启用了RIP协议的内网路由器通讯,则需要在VPN设备上手动添加静态路由。
[启用密码验证]:
用于设置交换RIPv2协议信息时需要验证的密码,可视具体情况进行设置。
『IP地址』和『端口』:
用于设置主动向哪个IP(路由设备IP)发布路由更新信息。
[需要触发更新]:
勾选后,VPN设备在路由信息有变化时会触发路由更新信息过程,这时下面设置的RIP更新周期参数失效。
[记录日志]:
勾选,则VPN设备会记录RIP路由更新的日志信息。
最后点击确定保存配置。
3.3.VPN接口
VPN接口设置,用于设置VPN服务虚拟网卡IP。
页面如下:
注意:
默认情况下请设置为[使用自动分配的VPN接口IP],如果出现IP冲突的提示,可改为自定义IP并进行设置。
VPN接口是VPN硬件网关系统的虚拟接口,外观上并不存在对应的真实物理接口。
3.4.LDAP设置
SANGFORVPN设备的VPN服务支持使用第三方LDAP认证。
如需要启用第三方认证,请在『LDAP服务器设置』中正确设置第三方LDAP服务器信息(包括LDAP服务器IP、LDAP服务器端口、LDAP管理员密码),页面如下:
其中,管理员名称需使用域管理员帐号,并且填写完整的格式,例如:
“”(不包括引号)
设置好LDAP服务器信息后,请点击高级,显示【LDAP高级设置】对话框,按照实际需求设置LDAP高级信息,页面如下:
『用户过滤参数』和『登录名属性』保留默认值即可,填写好用户根目录及查询目录(用户接入校验时都是使用查询目录来查询并校验的,只有有当查询目录为空的时候才用根目录,导入用户的时候使用用户根目录来导入)。
点击测试,输入一个域用户名及密码,如果测试通过,则LDAP配置正确,页面如下:
点确定完成配置。
LDAP认证仅支持微软的AD和Novell的eDirectory两种,OpenLDAP等暂不支持。
3.5.Radius设置
设置界面如下:
填写『Radius服务器IP』、『Radius服务器端口』、『认证共享密钥』和『Radius认证协议』。
勾选[启用Radius认证]即可。
3.6.生成证书
基于硬件特性的证书认证系统是深信服公司的发明专利之一。
SANGFORSSLVPN硬件设备和SANGFORDLANVPN软件一样,都采用了该技术用于不同VPN节点之间的身份认证。
该证书提取了SSLVPN设备或安装DLANVPN软件的计算机的部分硬件特性(如网卡、硬盘等)生成加密的认证证书。
由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。
通过对该硬件特性的验证,就保障了只有指定的硬件设备才能接入授权的网络,避免了安全隐患。
页面如下:
点击生成证书,选择证书保存路径,点击保存即可。
证书保存到本地后,还需要将该证书通过某种方式(如电子邮件或U盘等)提供给需要接入的站点管理员,由该站点管理员将证书与用户名绑定(即在总部建用户时,启用硬件捆绑鉴权,详见5.4章节)。
以后该用入接入总部时,会自动验证接入的计算机身份的合法性。
3.7.第三方对接
SANGFORVPN硬件网关提供了与第三方VPN设备互联的功能,能与第三方的标准IPSECVPN设备建立VPN连接。
3.7.1.第一阶段
『第一阶段』用于设置需要与SANGFORVPN网关建立标准IPSec连接的对端VPN设备的相关信息,也就是标准IPSec协议协商的第一阶段。
页面如下:
选择线路出口,点击新增,显示『设备列表设置』对话框,页面如下:
点击高级,显示『高级选项』对话框,可进行其它高级设置,页面如下:
3.7.2.第二阶段
第二阶段主要配置VPN的『入站策略』和『出站策略』,如下图:
『入站策略』用于设置由对端发到本端的数据包规则,点击新增,显示【策略设置】对话框,页面如下:
『出站策略』用于设置从本端发往对端的数据包规则,点击新增,显示【策略设置】对话框,页面如下:
3.7.3.安全选项
『安全选项』用于设置与对端建立标准IPSec连接时所使用的安全参数。
页面如下:
在建立与第三方设备的IPSec连接前,请先确定对端设备采用何种连接策略,包括:
使用的『协议』(AH或ESP)、『认证算法』(MD5或SHA-1)、『加密算法』(DES、3DES、AES),点击新增,添加新的选项,页面如下:
SANGFORVPN网关会使用设置好的连接策略与对端协商建立IPSec连接。
『安全选项』中的『加密算法』用于设置标准IPSec连接的第二阶段所使用的数据加密算法,如果要与多个采用不同连接策略的设备互联,需要分别将各个设备使用的连接策略添加到『安全选项』中。
『出站策略』和『入站策略』中策略所对应的源IP地址是指『源IP类型』和『本/对端服务』。
注意:
『出站策略』和『入站策略』中的『出站服务』、『入站服务』和『时间设置』均为SANGFOR扩展的规则,此类规则仅在本端设备生效,在与第三方设备建立VPN连接的过程中不会协商此类规则。
第4章SSLVPN客户端使用
输入用户名密码及校验码后,点击登录,即可登陆SSLVPN。
『证书登录』连接用于数字证书认证用户登录(数字证书手动安装在IE上的用户)。
『USB-Key登录』用于使用USB-Key认证的用户登录(包括有驱USB-Key和无驱USB-Key)。
登录成功后会出现SSLVPN资源列表界面如下:
界面会显示该SSLVPN用户可用的SSLVPN内网资源列表,对于Web类型或B/S结构的资源,直接点击资源列表中的超链接即可访问,对于其它C/S结构的资源,则可直接打开Client客户端,通过连接服务器的内网IP来访问。
如果登录SSLVPN的用户需要访问总部定义好的『TCP应用』和『L3VPN应用』,则登录成功后,会自动安装控件或者需要点击启用TCP服务控件和启用L3VPN服务控件,如下图所示:
注:
若在『系统设置』→『SSLVPN选项』→『系统选项』→『客户端选项』,勾选了用户登录后,自动安装TCP、L3VPN应用组件,那么SSL客户端登陆时,会自动安装上述两个组件。
若没有勾选,则需要在上述页面手动安装。
如下图:
至此,完成了一次SSLVPN用户登陆的过程。
需要退出SSLVPN时,点击右上角的注销按钮,即可安全退出SSLVPN。
注销之后,用户将不能访问SSLVPN的资源。
资源列表上方的设置按钮,可让用户自行修改密码,界面如下:
点击[修改],如下图所示:
修改后,点击保存即可成功修改用户的登录密码。
『系统设置』下,显示的内容与SSLVPN配置有关,请以实际显示的为准。
对于使用USB-KEY的用户登录SSLVPN的过程,和普通用户登录稍有不同。
USB-KEY用户登录时,打开浏览器输入SSLVPN登录网址,在登录界面处,插入USB-Key,点击USB-KEY登录即进入USB-KEY用户的登录界面,(或前面直接取消修改PIN的操作),界面如下:
输入用户USB-Key的PIN码,设备会自动校验客户端信息,校验成功能,即远成SSLVPN客户端登陆。
USB-Key用户登录后,点击资源列表上方的设置按钮,可让用户自行修改密码和USB-Key的PIN码,界面如下:
点击修改,如下图所示:
输入[旧PIN码]和[新PIN码],点击保存即修改成功。
注意:
登录SSLVPN之后,如果相隔一段时间,没有访问SSLVPN内网资源,或者客户端这边没有任何操作,SSLVPN会超时,自动注销。
超时时间设置请参考4.5章节。
4.1.SSLVPN客户端使用说明
用户通过IE登陆了SSLVPN后,会自动在电脑上安装SSLVPN客户端组件。
在『系统设置』→『SSLVPN选项』→『系统选项』→『客户端选项』。
可选择[由用户手动安装组件]或[自动安装组件]。
若选择为手动安装,则在登陆时,会提示:
点击安装硬件特征码组件,弹出如下图提示:
点击安装,弹出如下初始化下载、安装界面:
下载并安装完成后,在开始->程序下可以找到如下目录:
在安装SSLVPN组件的过程中,请先关闭本机的防火墙及杀毒软件,否则可能会安装不成功。
选择[启动客户端],即打开SSLVPN客户端程序,如下图:
在『SSLVPN地址』中输入连接VPN的地址,点击连接,弹出【登录SSLVPN】对话框。
若为用户名密码登录,则选择【账号】,并在用户名和密码框中填入对应的“用户名”和“密码”。
如下图:
如果需要,用户可以勾选[记住密码]和[自动登陆],那么下次点开SSLVPN客户端,不需再输一次地址和用户名密码,将自动连接到SSLVPN。
该项选择需要在设备上进行相应的配置,具体可参考3.5.1.2章节。
若为证书登陆,则选择【证书】,并选择好“证书文件”和填入“证书密码”。
如下图:
若为USB-KEY登陆,则选择为【USB-KEY】,并输入USB-KEY的PIN码。
如下图:
建立SSLVPN用户,请参考4.1.2章节。
按实际情况选择上述中的一种登录方式,成功能登录后,有如下提示:
若在设备里设置了客户端启用系统托盘,则登录后在电脑桌面的右下角显示SSLVPN客户端图标,将鼠标移上去,显示SSLVPN的流速信息,如下图:
右击该图标,可查看SSLVPN状态及对SSLVPN进行相关设置,如下图:
上图中显示的项与SSLVPN配置有关,以实际应用中显示的为准。
升级会员 