深信服ipsecVPN使用手册.docx

1、深信服ipsecVPN使用手册SSL 5.5用户手册2012年3月目录SSL 5.5用户手册 1声明 3第1章 控制台的使用 41.1. 登录WebUI配置界面 41.2. 运行状态 5第2章 系统设置 6第3章 IPSEC-VPN信息设置 73.1. 运行状态 73.2. RIP设置 83.3. VPN接口 103.4. LDAP设置 103.5. Radius设置 133.6. 生成证书 133.7. 第三方对接 153.7.1. 第一阶段 153.7.2. 第二阶段 173.7.3. 安全选项 19第4章 SSL VPN客户端使用 214.1. SSL VPN客户端使用说明 25声明Co

2、pyright 2012深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。SINFOR、SANGFOR及图标为深圳市深信服电子科技有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册内容如发生更改，恕不另行通知。如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。第1章 控制台的使用1.1. 登录WebUI配置界面按照前面所示方法接好线后，通过We

3、b界面来配置VPN设备。方法如下：首先为本机器配置一个10.254.254.X网段的IP（如配置10.254.254.100），掩码配置为255.255.255.0，然后在IE浏览器中输入网关的默认登录IP及端口，输入http：/10.254.254.254:1000，页面如下：在登录框输入用户名和密码，点击登录按钮即可登录VPN网关进行配置，默认情况下的用户名和密码均为：Admin。如果需要查看当前网关的版本号，可点击查看版本，即显示当前硬件的版本信息。登录WebUI配置界面后，可以看到有以下配置内容：如下图所示：运行状态：此处可以查看当前设备的运行状态。系统设置：此处可设置设备的序列号、网

4、络配置及各种常见全局性配置。SSL VPN设置：设置SSL VPN相关信息。IPSEC VPN设置：设置IPSEC VPN互联信息。防火墙设置：设置设备内置的防火墙规则及策略。 系统维护：用来查看日志、备份/恢复设备的配置信息，重启设备/服务或关闭设备。注意：所有配置界面中如果有确定、保存、配置生效按钮，则配置完毕后，必须要点击该按钮才能使设置保存并生效，后面的文档不再赘述。1.2. 运行状态SSL VPN运行状态里面可以查看系统状态，在线用户，告警日志，远程应用。界面如下图所示：第2章 系统设置系统设置包含系统配置，网络配置，时间计划，管理员账号，SSL VPN选项五个大模块。如下图：第3章

5、 IPSEC-VPN信息设置3.1. 运行状态此页面可以查看当前的VPN连接状态和网络流量信息。页面如下：点击分支NAT状态可以查看当前分支NAT状态，包括用户名、原子网网段、代理子网网段、网络类型和子网掩码。页面如下：点击查找用户输入用户名，可以快速找到当前用户的连接情况。页面如下： 点击显示选项，可以对显示的列进行筛选。页面如下：点击停止服务可暂时停止VPN服务。然后在用户管理新建用户时，在组播服务里选择刚定义好的组播服务。页面如下：3.2. RIP设置用于设置SANGFOR VPN设备通过RIPv2协议向其它路由设备通告路由信息，以实现内网路由设备RIP路由信息的动态更新。启用路由选择信

6、息协议：是整个动态路由更新功能的开关，激活后，SANGFOR VPN设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息（更新其他设备的路由表，添加到VPN对端的路由指向SANGFOR VPN设备，VPN连接断开后会通告路由设备删除该路由）。设备本身不接收RIP路由协议的动态更新，VPN设备要跟其他启用了RIP协议的内网路由器通讯，则需要在VPN设备上手动添加静态路由。启用密码验证：用于设置交换RIPv2协议信息时需要验证的密码，可视具体情况进行设置。IP地址和端口：用于设置主动向哪个IP（路由设备IP）发布路由更新信息。需要触发更新：勾选后，VPN设备在路由信息有变化时会触

7、发路由更新信息过程，这时下面设置的RIP更新周期参数失效。记录日志：勾选，则VPN设备会记录RIP路由更新的日志信息。最后点击确定保存配置。3.3. VPN接口VPN接口设置，用于设置VPN服务虚拟网卡IP。页面如下：注意：默认情况下请设置为使用自动分配的VPN接口IP，如果出现IP冲突的提示，可改为自定义IP并进行设置。VPN接口是VPN硬件网关系统的虚拟接口，外观上并不存在对应的真实物理接口。3.4. LDAP设置SANGFOR VPN设备的VPN服务支持使用第三方LDAP认证。如需要启用第三方认证，请在LDAP服务器设置中正确设置第三方LDAP服务器信息（包括LDAP服务器IP、LDAP

8、服务器端口、LDAP管理员密码），页面如下：其中，管理员名称需使用域管理员帐号，并且填写完整的格式，例如：“Administrator”（不包括引号）设置好LDAP服务器信息后，请点击高级，显示【LDAP高级设置】对话框，按照实际需求设置LDAP高级信息，页面如下：用户过滤参数和登录名属性保留默认值即可，填写好用户根目录及查询目录（用户接入校验时都是使用查询目录来查询并校验的，只有有当查询目录为空的时候才用根目录，导入用户的时候使用用户根目录来导入）。点击测试，输入一个域用户名及密码，如果测试通过，则LDAP配置正确，页面如下：点确定完成配置。LDAP认证仅支持微软的AD和Novell的eDi

9、rectory两种，OpenLDAP等暂不支持。3.5. Radius设置设置界面如下：填写Radius服务器IP、Radius服务器端口、认证共享密钥和Radius认证协议。勾选启用Radius认证即可。3.6. 生成证书基于硬件特性的证书认证系统是深信服公司的发明专利之一。SANGFOR SSL VPN硬件设备和SANGFOR DLAN VPN软件一样，都采用了该技术用于不同VPN节点之间的身份认证。该证书提取了SSL VPN设备或安装DLAN VPN软件的计算机的部分硬件特性（如网卡、硬盘等）生成加密的认证证书。由于硬件特性的唯一性，使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验

10、证，就保障了只有指定的硬件设备才能接入授权的网络，避免了安全隐患。页面如下：点击生成证书，选择证书保存路径，点击保存即可。证书保存到本地后，还需要将该证书通过某种方式（如电子邮件或U盘等）提供给需要接入的站点管理员，由该站点管理员将证书与用户名绑定（即在总部建用户时，启用硬件捆绑鉴权，详见5.4章节）。以后该用入接入总部时，会自动验证接入的计算机身份的合法性。3.7. 第三方对接SANGFOR VPN硬件网关提供了与第三方VPN设备互联的功能，能与第三方的标准IPSEC VPN设备建立VPN连接。3.7.1. 第一阶段第一阶段用于设置需要与SANGFOR VPN网关建立标准IPSec连接的对端

11、VPN设备的相关信息，也就是标准IPSec协议协商的第一阶段。页面如下：选择线路出口，点击新增，显示设备列表设置对话框，页面如下：点击高级，显示高级选项对话框，可进行其它高级设置，页面如下：3.7.2. 第二阶段第二阶段主要配置VPN的入站策略和出站策略，如下图：入站策略用于设置由对端发到本端的数据包规则，点击新增，显示【策略设置】对话框，页面如下：出站策略用于设置从本端发往对端的数据包规则，点击新增，显示【策略设置】对话框，页面如下：3.7.3. 安全选项安全选项用于设置与对端建立标准IPSec连接时所使用的安全参数。页面如下：在建立与第三方设备的IPSec连接前，请先确定对端设备采用何种连

12、接策略，包括：使用的协议（AH或ESP）、认证算法（MD5或SHA-1）、加密算法（DES、3DES、AES），点击新增，添加新的选项，页面如下：SANGFOR VPN网关会使用设置好的连接策略与对端协商建立IPSec连接。安全选项中的加密算法用于设置标准IPSec连接的第二阶段所使用的数据加密算法，如果要与多个采用不同连接策略的设备互联，需要分别将各个设备使用的连接策略添加到安全选项中。出站策略和入站策略中策略所对应的源IP地址是指源IP类型和本/对端服务。注意：出站策略和入站策略中的出站服务、入站服务和时间设置均为SANGFOR扩展的规则，此类规则仅在本端设备生效，在与第三方设备建立VPN

13、连接的过程中不会协商此类规则。第4章 SSL VPN客户端使用输入用户名密码及校验码后，点击登录，即可登陆SSL VPN。 证书登录连接用于数字证书认证用户登录（数字证书手动安装在IE上的用户）。USB-Key登录用于使用USB-Key认证的用户登录（包括有驱USB-Key和无驱USB-Key）。登录成功后会出现SSL VPN资源列表界面如下：界面会显示该SSL VPN用户可用的SSL VPN内网资源列表，对于Web类型或B/S结构的资源，直接点击资源列表中的超链接即可访问，对于其它C/S结构的资源，则可直接打开Client客户端，通过连接服务器的内网IP来访问。如果登录SSL VPN的用户需

14、要访问总部定义好的TCP应用和L3VPN应用，则登录成功后，会自动安装控件或者需要点击启用TCP服务控件和启用L3VPN服务控件，如下图所示：注：若在系统设置SSL VPN选项系统选项客户端选项，勾选了用户登录后，自动安装TCP、L3VPN应用组件，那么SSL客户端登陆时，会自动安装上述两个组件。若没有勾选，则需要在上述页面手动安装。如下图：至此，完成了一次SSL VPN用户登陆的过程。需要退出SSL VPN时，点击右上角的注销按钮，即可安全退出SSL VPN。注销之后，用户将不能访问SSL VPN的资源。资源列表上方的设置按钮，可让用户自行修改密码，界面如下：点击 修改，如下图所示：修改后，

15、点击保存即可成功修改用户的登录密码。系统设置下，显示的内容与SSL VPN配置有关，请以实际显示的为准。对于使用USB-KEY的用户登录SSL VPN的过程，和普通用户登录稍有不同。USB-KEY用户登录时，打开浏览器输入SSL VPN登录网址，在登录界面处，插入USB-Key，点击USB-KEY登录即进入USB-KEY用户的登录界面，（或前面直接取消修改PIN的操作），界面如下：输入用户USB-Key的PIN码，设备会自动校验客户端信息，校验成功能，即远成SSL VPN客户端登陆。USB-Key用户登录后，点击资源列表上方的设置按钮，可让用户自行修改密码和USB-Key的PIN码，界面如下： 点击修改，如下图所示：