天融信sslvpn文檔

1、SSL VPN培訓(xùn)客戶(hù)服務(wù)部客戶(hù)服務(wù)部July 5, 2022目錄：目錄： VPN概述 什么是SSL VPN 天融信SSL VPN功能運(yùn)用及原理 SSL VPN部署案例 SSL VPN配置實(shí)例 SSL VPN常見(jiàn)故障排錯(cuò) 總結(jié)目錄：目錄：目錄：目錄：IETF定義了許多VPN協(xié)議，如下所示：點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP，Ponit-to-Point Tunneling Protocol第2層轉(zhuǎn)發(fā)L2F，Layer 2 Forwarding第2層隧道協(xié)議L2TP，Layer 2 Tunneling Protocol通用路由選擇封裝GRE，Generic Routing Encapsulation多協(xié)議標(biāo)

2、記交換MPLS，Multiprotocol Label Switching VPNInternet協(xié)議安全I(xiàn)PSec，Internet Protocol Security安全套接字層VPN（SSL VPN）遠(yuǎn)程訪(fǎng)問(wèn)VPN技術(shù)VPN協(xié)議可以明確的分為以下兩組： 站點(diǎn)到站點(diǎn)協(xié)議 遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議IPSec、GRE和MPLS VPN都是常用的站點(diǎn)到站點(diǎn)VPN協(xié)議。常用的遠(yuǎn)程訪(fǎng)問(wèn)VPN協(xié)議有SSL VPN、IPSec、L2TP、基于IPSec的L2TP和PPTP。IPSec既可作為站點(diǎn)到站點(diǎn)的訪(fǎng)問(wèn)協(xié)議又可作為遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議。VPN協(xié)議基于應(yīng)用的分類(lèi)IPSec介紹 IPSec能夠在ip層提供保護(hù)，可以部署IP

3、Sec來(lái)保護(hù)兩個(gè)網(wǎng)關(guān)間、兩個(gè)主機(jī)間、甚至網(wǎng)關(guān)和主機(jī)間的通信。 IPSec提供數(shù)據(jù)完整性，以確保分組在傳輸?shù)倪^(guò)程中不會(huì)被更改，分組驗(yàn)證過(guò)程能夠確保分組來(lái)自有效的源地址，而數(shù)據(jù)加密過(guò)程能夠確保內(nèi)容的機(jī)密性。IPSec兩個(gè)階段的作用（ISAKMP） 第一階段，ISAKMP在兩個(gè)對(duì)等實(shí)體間建立一個(gè)安全且可信的通信信道。通過(guò)使用這個(gè)雙向的信道，這兩個(gè)VPN對(duì)等實(shí)體能夠相互發(fā)送保護(hù)消息，從而對(duì)如何處理下一步的協(xié)商達(dá)成一致； 第二階段，通過(guò)協(xié)商再建立兩個(gè)單向信道，用于保護(hù)和驗(yàn)證實(shí)際分組。L2TP介紹 第2層隧道協(xié)議，它結(jié)合了來(lái)自第2層轉(zhuǎn)發(fā)、Cisco系統(tǒng)和PPTP以及Microsoft的特性。 此協(xié)議在點(diǎn)對(duì)

4、點(diǎn)協(xié)議下打包分組，并使用已注冊(cè)的用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP端口1701來(lái)實(shí)現(xiàn)隧道協(xié)商和數(shù)據(jù)封裝。注意：L2TP使用UDP端口1701同時(shí)進(jìn)行隧道協(xié)商和數(shù)據(jù)封裝?；贗PSec的L2TP 組織機(jī)構(gòu)更愿意使用基于Windows的、能夠使用L2TP操作系統(tǒng)中的內(nèi)置遠(yuǎn)程訪(fǎng)問(wèn)客戶(hù)端。然而，L2TP卻不能提供很強(qiáng)的數(shù)據(jù)機(jī)密性。因此，在大多數(shù)L2TP執(zhí)行中使用IPSec來(lái)提供數(shù)據(jù)安全性。這種方法通常被稱(chēng)為基于IPSec的L2TP?；贗PSec的L2TP協(xié)商過(guò)程1.用戶(hù)與服務(wù)提供商訪(fǎng)問(wèn)路由器建立一個(gè)PPP會(huì)話(huà)，并獲得一個(gè)動(dòng)態(tài)的公共ip地址。如果工作站已有一個(gè)ip地址并能夠向Internet發(fā)送流量，那么這一步是可

5、選的。2.用戶(hù)發(fā)起一個(gè)配置為使用IPSec來(lái)保護(hù)數(shù)據(jù)安全的L2TP客戶(hù)端。3.客戶(hù)端工作站發(fā)起一個(gè)會(huì)話(huà)并協(xié)商一條安全信道用于交換密鑰（IKE第1階段協(xié)商）。4.在第一階段成功建立后，客戶(hù)端再建立兩條安全信道用于數(shù)據(jù)加密和驗(yàn)證（IKE第2階段協(xié)商）。此數(shù)據(jù)信道用于加密去往UDP1701端口的L2TP流量。5.當(dāng)IPSec建立后，客戶(hù)端在IPSec內(nèi)發(fā)起一個(gè)L2TP會(huì)話(huà)。6.指定用戶(hù)的驗(yàn)證證書(shū)，用于驗(yàn)證L2TP會(huì)話(huà)。任何PPP或L2TP的屬性均在成功驗(yàn)證用戶(hù)后進(jìn)行協(xié)商。7.當(dāng)L2TP會(huì)話(huà)建立后，用戶(hù)工作站發(fā)送封裝在L2TP中的數(shù)據(jù)流量。這些L2TP分組由IPSec加密并通過(guò)Internet被發(fā)送到

6、隧道的另一端。基于IPSec的L2TP協(xié)商過(guò)程注意： 如果在基于IPSec的L2TP客戶(hù)端和網(wǎng)關(guān)之間存在一道防火墻，那么用戶(hù)應(yīng)允許IP協(xié)議50和UDP端口500能夠通過(guò)。L2TP分組（UDP1701端口）被封裝在ESP中。一些基于IPSec的L2TP提供商將流量封裝進(jìn)UDP4500端口以實(shí)現(xiàn)NAT透明度（NAT-T，NAT transparency）PPTP介紹 點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP，Point-to-Point Tunneling Protocol）是一個(gè)客戶(hù)服務(wù)器網(wǎng)絡(luò)協(xié)議，它允許遠(yuǎn)程用戶(hù)通過(guò)Internet訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。 PPTP在點(diǎn)對(duì)點(diǎn)協(xié)議（PPP，Point-to-Point Pr

7、otocol）下打包數(shù)據(jù)，并將數(shù)據(jù)封進(jìn)IP分組。PPTP將通用路由選擇封裝（GRE，Generic Routing Encapsulation）協(xié)議的擴(kuò)展版本作為封裝機(jī)制，以使得IP分組可路由。 有了PPTP，客戶(hù)端可以使用TCP端口1723來(lái)發(fā)起一個(gè)與PPTP網(wǎng)關(guān)的連接。PPTP連接協(xié)商過(guò)程 GRE是Internet協(xié)議47。如果在客戶(hù)端與服務(wù)器之間存在防火墻，用戶(hù)應(yīng)確定允許TCP 1723和GRE協(xié)議能夠通過(guò)此防火墻。 與L2TP類(lèi)似，使用Microsoft點(diǎn)對(duì)點(diǎn)加密（MPPE，Microsoft Point-to-Point Encryption）提供40128bit的加密，以實(shí)現(xiàn)數(shù)據(jù)機(jī)

8、密性。PPTP連接協(xié)商說(shuō)明遠(yuǎn)程VPN技術(shù)總結(jié)功能功能PPTPIPSecL2TP基于基于IPSec的的L2TPSSL VPNVPN客戶(hù)端內(nèi)置在多數(shù)Windows OS中需要一個(gè)第三方客戶(hù)端內(nèi)置在較新的Windows OS中內(nèi)置在較新的Windows OS中有無(wú)VPN客戶(hù)端是可選的加密MPPEDES、3DES、AESMPPEDES、3DES、AESDES、3DES、RC4-128、RC4-40、AES部署很少用廣泛地使用很少用有限地使用使用范圍正穩(wěn)步增長(zhǎng)VPNVPN歷史歷史 第一代 專(zhuān)網(wǎng) 在兩個(gè)點(diǎn)之間通過(guò)ISP租用物理鏈路。 第二代 IPSEC VPN 通過(guò)互聯(lián)網(wǎng)邏輯的在兩個(gè)點(diǎn)之間建立鏈路。 第三

9、代 SSL VPN 通過(guò)網(wǎng)頁(yè)訪(fǎng)問(wèn)的方式連接。組網(wǎng)方式組網(wǎng)方式 基于專(zhuān)網(wǎng)的組網(wǎng)方式 租用ISP物理鏈路，并封裝廣域網(wǎng)的二層協(xié)議DDN、FR、X.25、PSTN等 基于互聯(lián)網(wǎng)的組網(wǎng)方式 Ipsec、ssl、pptp、l2tp等Internet專(zhuān)線(xiàn)中心站點(diǎn)分支機(jī)構(gòu)Internet專(zhuān)線(xiàn)中心站點(diǎn)分支機(jī)構(gòu)專(zhuān)線(xiàn)方式VPN方式 費(fèi)用高 靈活性差 復(fù)雜的拓?fù)浣Y(jié)構(gòu) 費(fèi)用低 靈活性好 簡(jiǎn)單的網(wǎng)絡(luò)管理組網(wǎng)方式的對(duì)比組網(wǎng)方式的對(duì)比VPNVPN概述概述v VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸v VPN通過(guò)一個(gè)私有的通道來(lái)創(chuàng)建一個(gè)安全的私有連接v 為企業(yè)提供簡(jiǎn)便的低成本的網(wǎng)絡(luò)擴(kuò)展的解決方案遠(yuǎn)程訪(fǎng)問(wèn)Internet內(nèi)部網(wǎng)

10、合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用的典型應(yīng)用遠(yuǎn)程訪(fǎng)問(wèn)Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)關(guān)ISP接入設(shè)備端到端數(shù)據(jù)通路的典型構(gòu)成撥入段外部段（公共因特網(wǎng)）內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)VPN的安全性的安全性VPN的安全性的安全性v 撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)v 因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)v 安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)v 內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)數(shù)據(jù)在撥入段泄漏風(fēng)險(xiǎn)數(shù)據(jù)在撥入段泄漏風(fēng)險(xiǎn)遠(yuǎn)程訪(fǎng)問(wèn)ISP接入設(shè)備撥入段Internetv 撥入段用戶(hù)數(shù)據(jù)以明文方式直接傳遞到ISP：1.攻擊者可以很容易的在撥入鏈路上實(shí)施監(jiān)聽(tīng)2.ISP很容易檢查用戶(hù)的數(shù)據(jù)3.可以通過(guò)

11、鏈路加密來(lái)防止被動(dòng)的監(jiān)聽(tīng)，但無(wú)法防范惡意竊取數(shù)據(jù)的ISP。PSTN搭線(xiàn)監(jiān)聽(tīng)攻擊者ISPISP竊聽(tīng)密文傳輸?shù)搅薎SP處已解密成明文明文傳輸Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到：假冒網(wǎng)關(guān)外部段（公共因特網(wǎng)）ISP接入設(shè)備原始終點(diǎn)為：安全網(wǎng)關(guān)1.數(shù)據(jù)在到達(dá)終點(diǎn)之前要經(jīng)過(guò)許多路由器，明文傳輸?shù)膱?bào)文很容易在路由器上被查看和修改2.監(jiān)聽(tīng)者可以在其中任一段鏈路上監(jiān)聽(tīng)數(shù)據(jù)3.逐段加密不能防范在路由器上查看報(bào)文，因?yàn)槁酚善餍枰饷軋?bào)文選擇路由信息，然后再重新加密發(fā)送4.惡意的ISP可以修改通道的終點(diǎn)到一臺(tái)假冒的網(wǎng)關(guān)遠(yuǎn)程訪(fǎng)問(wèn)搭線(xiàn)監(jiān)聽(tīng)攻擊者ISPISP竊聽(tīng)正確通道數(shù)據(jù)在互聯(lián)網(wǎng)段泄漏風(fēng)險(xiǎn)數(shù)據(jù)在互聯(lián)網(wǎng)段泄漏風(fēng)險(xiǎn)In

12、ternet遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)部網(wǎng)安全網(wǎng)關(guān)ISP接入設(shè)備內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)1.內(nèi)部網(wǎng)中可能存在不信任的主機(jī)、路由器等2.內(nèi)部員工可以監(jiān)聽(tīng)、篡改、重定向企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)文3.來(lái)自企業(yè)網(wǎng)內(nèi)部員工的其他攻擊方式數(shù)據(jù)在內(nèi)部泄漏風(fēng)險(xiǎn)數(shù)據(jù)在內(nèi)部泄漏風(fēng)險(xiǎn)1.1. Host Host 對(duì)對(duì) HostHost2.2. Host Host 對(duì)對(duì) VPN VPN 網(wǎng)關(guān)網(wǎng)關(guān)3.3. VPN VPN 對(duì)對(duì) VPN VPN 網(wǎng)關(guān)網(wǎng)關(guān)遠(yuǎn)程接入需要遠(yuǎn)程接入需要VPNVPN技術(shù)技術(shù) 隨著信息時(shí)代的發(fā)展，越來(lái)越多的企業(yè)加大了對(duì)自身信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)，同時(shí)企業(yè)出差員工、分支機(jī)構(gòu)員工、合作伙伴與公司總部業(yè)務(wù)系統(tǒng)的聯(lián)系也日益緊密。企業(yè)發(fā)展

13、帶來(lái)的問(wèn)題企業(yè)發(fā)展帶來(lái)的問(wèn)題企業(yè)的需求企業(yè)的需求他們需要讓出差的員工在出差的同時(shí)也可以訪(fǎng)問(wèn)企業(yè)內(nèi)部資源。他們需要讓分支機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)與總部聯(lián)系。他們需要讓合作伙伴也能夠知道公司的動(dòng)態(tài)。VPNVPN接入方式接入方式點(diǎn)對(duì)點(diǎn)接入點(diǎn)對(duì)點(diǎn)接入(Site-to-Site)：性能高、運(yùn)行簡(jiǎn)單可靠、適于大型局域網(wǎng)的遠(yuǎn)程互聯(lián)。遠(yuǎn)程接入遠(yuǎn)程接入(Remote-Access)：接入靈活，使用方便，成本低，適于遠(yuǎn)程主機(jī)直接接入系統(tǒng)網(wǎng)絡(luò)。遠(yuǎn)程接入遠(yuǎn)程接入點(diǎn)對(duì)點(diǎn)接入點(diǎn)對(duì)點(diǎn)接入遠(yuǎn)程接入的需求遠(yuǎn)程接入的需求安全性安全性傳輸加密用戶(hù)認(rèn)證權(quán)限管理易于接入易于接入任何地點(diǎn)任何時(shí)間任何設(shè)備客戶(hù)端易于使用客戶(hù)端易于使用免安裝免維護(hù)易于

14、集成易于集成認(rèn)證集成應(yīng)用集成兩種常見(jiàn)的遠(yuǎn)程接入方式兩種常見(jiàn)的遠(yuǎn)程接入方式SSL VPNIPSEC VPNVS兩種方式的對(duì)比兩種方式的對(duì)比項(xiàng)目項(xiàng)目SSL VPNIpsec vpn工作的網(wǎng)絡(luò)層工作的網(wǎng)絡(luò)層TCP與應(yīng)用層之間IP層是否需要客戶(hù)端是否需要客戶(hù)端B/S不需要C/S需要，但是不用做配置在LAN TO LAN模式中不需要終端接入需要安裝，并且需要配置客戶(hù)端程序?qū)τ脩?hù)的認(rèn)證對(duì)用戶(hù)的認(rèn)證必須要認(rèn)證LAN TO LAN 不需要終端接入需要認(rèn)證應(yīng)用支持應(yīng)用支持所有基于IP的應(yīng)用所有基于IP的應(yīng)用資源授權(quán)資源授權(quán)采用基于用戶(hù)/組/角色的認(rèn)證機(jī)制，做到細(xì)致的對(duì)資源訪(fǎng)問(wèn)控制。LAN TO LAN 需要借助

15、防火墻，使用client時(shí)可以控制安全及認(rèn)證安全及認(rèn)證可使用U-KEY、證書(shū)認(rèn)證支持各種主流加密方式可使用U-KEY、證書(shū)認(rèn)證支持各種主流加密方式管理管理集中管理，并且只需要配置網(wǎng)關(guān)lan to lan是需要對(duì)各端點(diǎn)管理及配置。切配置復(fù)雜NATNAT穿越的支持穿越的支持不需要特殊的設(shè)置需要特殊設(shè)置才能支持NAT維護(hù)成本維護(hù)成本易于安裝、易于管理用戶(hù)或分支越多維護(hù)成本越高SSL VPNSSL VPN與與IPsecIPsec VPN VPN比比SSL VPNSSL VPN1、用戶(hù)可以從任何地點(diǎn)發(fā)起連接，請(qǐng)求接入。2、可以對(duì)客戶(hù)端的安全狀態(tài)進(jìn)行評(píng)估：當(dāng)發(fā)現(xiàn)客戶(hù)端不安全時(shí)，就拒絕接入。3、可以支持多種

16、瀏覽器(IE、Firefox)，多種終端(個(gè)人電腦、手機(jī)，PDA)4、對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限進(jìn)行有效地管理和控制：遠(yuǎn)程接入的用戶(hù)可能是公司的高級(jí)主管，也可能是普通員工，還有可能是合作伙伴，對(duì)不同身份的人應(yīng)該授予不同的訪(fǎng)問(wèn)權(quán)限，對(duì)越權(quán)的訪(fǎng)問(wèn)請(qǐng)求應(yīng)該拒絕。5、高細(xì)粒度的權(quán)限控制:URL、文件目錄、IP、TCP/UDP端口號(hào)，可以細(xì)致地限制用戶(hù)所訪(fǎng)問(wèn)的網(wǎng)絡(luò)資源。IPSEC VPNIPSEC VPN(1) 在用戶(hù)主機(jī)上部署IPsec VPN時(shí)，需要預(yù)先安裝客戶(hù)端軟件。維護(hù)IPsec VPN的客戶(hù)端對(duì)企業(yè)網(wǎng)管或運(yùn)營(yíng)商都是一件麻煩的事情。(2) 無(wú)法支持不同平臺(tái)如liunx、手機(jī)、PDA等。(3) 轉(zhuǎn)換受限。IP

17、sec報(bào)文不能透明地穿越NAT和防火墻，在組網(wǎng)時(shí)需要進(jìn)行特殊的配置。(6)IPsec VPN比較適合連接固定的網(wǎng)絡(luò)。對(duì)比結(jié)論對(duì)比結(jié)論 SSL VPN最適合于“遠(yuǎn)程接入”的場(chǎng)合，如移動(dòng)辦公和出差人員遠(yuǎn)程接入，因?yàn)槭褂谜邔?duì)網(wǎng)絡(luò)技術(shù)了解程度不同，SSL VPN不需要任何配置。 IPsec VPN比較適合“點(diǎn)對(duì)點(diǎn)接入”的場(chǎng)合，如總部和分支機(jī)構(gòu)的點(diǎn)對(duì)點(diǎn)接入。 在實(shí)際運(yùn)用中可以根據(jù)情況將兩種VPN接入方式有機(jī)結(jié)合起來(lái)。SSL和TLS的歷史 安全套接字層（SSL，Secure Socket Layer）最初是由Netscape通信公司在1990年提出的，它使得通信在萬(wàn)維網(wǎng)（WWW，World Wide We

18、b）的環(huán)境下能夠安全進(jìn)行。 此協(xié)議的設(shè)計(jì)目標(biāo)是提供機(jī)密性、消息完整性、身份認(rèn)證（服務(wù)器驗(yàn)證和可選的客戶(hù)端驗(yàn)證）和應(yīng)用透明性（使得SSL能夠用于保護(hù)其他通信協(xié)議。） 1996年，Internet工程任務(wù)組（IETF，Internet Engineering Task Force）建立了傳輸層安全（TLS，Transport Layer Security）工作組，致力于使來(lái)自不同提供商的SSL協(xié)議標(biāo)準(zhǔn)化。SSLSSL和和TLSTLSOSI層布局和TCP/IP協(xié)議支持 SSL是一個(gè)獨(dú)立于平臺(tái)并獨(dú)立于應(yīng)用的協(xié)議，用于保護(hù)基于TCP的應(yīng)用。SSL在TCP層之上應(yīng)用層之下。SSLSSL協(xié)議概述協(xié)議概述TC

19、PUDPIPSSLApplicationTCPUDPIPSSLApplication基于SSL的HTTP：保護(hù)網(wǎng)頁(yè)是最初設(shè)計(jì)SSL的主要?jiǎng)恿?，而HTTP是由SSL保護(hù)的第一個(gè)應(yīng)用層協(xié)議。HTTPS在TCP端口443上操作，而HTTP則默認(rèn)在TCP端口80上操作?；赟SL的電子郵件：與基于SSL的HTTP類(lèi)似，電子郵件協(xié)議，如SMTP、郵局協(xié)議3（POP3，Post Office Protocol 3）和Internet消息訪(fǎng)問(wèn)協(xié)議（IMAP，Internet Message Access Protocol）均可由SSL支持?；诨赟SLSSL的應(yīng)用的應(yīng)用 一個(gè)SSL連接的建立需要經(jīng)過(guò)兩個(gè)階

20、段。在握手階段（階段1）協(xié)商加密算法、驗(yàn)證服務(wù)器并建立用于數(shù)據(jù)加密和MAC的密鑰。安全數(shù)據(jù)傳輸階段（階段2）處于已建立的SSL連接的保護(hù)之下。 SSL是一個(gè)分層協(xié)議，在最低層的是SSL記錄協(xié)議，記錄協(xié)議由幾種執(zhí)行不同任務(wù)的消息類(lèi)型或協(xié)議組成。SSLSSL記錄協(xié)議和握手協(xié)議記錄協(xié)議和握手協(xié)議記 錄 協(xié) 議握手報(bào)警修改密碼規(guī)范應(yīng)用數(shù)據(jù)記錄協(xié)議記錄協(xié)議主要是一個(gè)封裝協(xié)議，用于傳輸各種高層協(xié)議和應(yīng)用數(shù)據(jù)。記錄協(xié)議主要接收來(lái)自上層客戶(hù)端協(xié)議的信息；執(zhí)行一些必須的工作，如分片、壓縮、應(yīng)用MAC和加密，并傳輸最終的數(shù)據(jù)。此協(xié)議還執(zhí)行相反的工作，對(duì)收到的數(shù)據(jù)進(jìn)行解密、驗(yàn)證、解壓縮和重組。記錄協(xié)議由4個(gè)上層客戶(hù)

21、端協(xié)議組成；握手協(xié)議、報(bào)警協(xié)議、修改密碼規(guī)范協(xié)議和應(yīng)用數(shù)據(jù)協(xié)議。握手協(xié)議握手協(xié)議負(fù)責(zé)建立和恢復(fù)SSL會(huì)話(huà)，存在如下三個(gè)子協(xié)議。1. 握手協(xié)議握手協(xié)議協(xié)商SSL會(huì)話(huà)的安全屬性。2. 報(bào)警協(xié)議報(bào)警協(xié)議是一個(gè)內(nèi)務(wù)處理協(xié)議，用于在SSL對(duì)等實(shí)體間傳送報(bào)警消息。報(bào)警消息包括錯(cuò)誤、異常情況（如一個(gè)錯(cuò)誤的MAC或解密失?。┗蛲ǜ妫ㄈ缫粋€(gè)會(huì)話(huà)的關(guān)閉）3. 應(yīng)用數(shù)據(jù)協(xié)議應(yīng)用數(shù)據(jù)協(xié)議處理上層應(yīng)用數(shù)據(jù)的傳輸。注意，TLS記錄協(xié)議設(shè)計(jì)為一個(gè)框架，因此將來(lái)很容易添加新的客戶(hù)端協(xié)議。以上所介紹的客戶(hù)端協(xié)議是用在SSL連接中的。SSL/TLSSSL/TLS中各協(xié)議的功能中各協(xié)議的功能 握手協(xié)議用于SSL客戶(hù)端和服務(wù)器以建立

22、連接。這個(gè)過(guò)程的主要任務(wù)如下：協(xié)商安全性能力：處理協(xié)議版本和密碼組。驗(yàn)證：客戶(hù)端驗(yàn)證服務(wù)器，服務(wù)器也可以驗(yàn)證客戶(hù)端。密鑰交換：兩個(gè)團(tuán)體交換用于產(chǎn)生主密鑰的密鑰或信息。密鑰導(dǎo)出：兩個(gè)團(tuán)體導(dǎo)出主密鑰，用此主密鑰產(chǎn)生的密鑰用于大量數(shù)據(jù)的加密和MAC。SSLSSL連接建立連接建立SSLVPN SSLVPN 概述概述什么是什么是SSLVPNSSLVPNSSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP協(xié)議）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。SSL VPN充分利用了SSL協(xié)議提供的基于證書(shū)的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，可以為應(yīng)用層之間的通信

23、建立安全連接。SSLVPN SSLVPN 概述概述誰(shuí)需要用誰(shuí)需要用SSL VPNSSL VPN企業(yè)的員工可以在家中、路上、網(wǎng)吧、旅館，使用自己的、別人的、公用的電腦或手機(jī)，通過(guò)ADSL網(wǎng)絡(luò)、小區(qū)寬帶網(wǎng)絡(luò)、移動(dòng)電話(huà)網(wǎng)絡(luò)、無(wú)線(xiàn)網(wǎng)絡(luò)等多種接入網(wǎng)絡(luò)，遠(yuǎn)程訪(fǎng)問(wèn)公司的信息資源。企業(yè)合作伙伴等非員工可以限制其訪(fǎng)問(wèn)某些服務(wù)器、Web頁(yè)面或文件，提高企業(yè)生產(chǎn)效率。天融信天融信SSL VPNSSL VPN的優(yōu)勢(shì)的優(yōu)勢(shì)SSL VPN利用SSL協(xié)議提供的基于證書(shū)的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，為用戶(hù)遠(yuǎn)程訪(fǎng)問(wèn)公司內(nèi)部網(wǎng)絡(luò)提供了安全保證。天融信SSL VPN具有如下優(yōu)點(diǎn)： 1 1、支持各種應(yīng)用協(xié)議、支持各種應(yīng)用

24、協(xié)議SSL VPN可提供以下三類(lèi)工作方式： Web轉(zhuǎn)發(fā)方式訪(fǎng)問(wèn)資源：是指用戶(hù)使用瀏覽器以HTTPS方式通過(guò)SSL VPN網(wǎng)關(guān)對(duì)服務(wù)器提供的資源進(jìn)行訪(fǎng)問(wèn)。Web轉(zhuǎn)發(fā)方式下的訪(fǎng)問(wèn)資源有兩種：文件共享資源和Web代理服務(wù)器資源。端口轉(zhuǎn)發(fā)方式訪(fǎng)問(wèn)資源：用于實(shí)現(xiàn)用戶(hù)應(yīng)用程序?qū)Ψ?wù)器開(kāi)放端口的安全訪(fǎng)問(wèn)，包括遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)、桌面共享服務(wù)、郵件服務(wù)和通用應(yīng)用程序服務(wù)資源。全網(wǎng)接入訪(fǎng)問(wèn)資源：用于實(shí)現(xiàn)用戶(hù)終端與服務(wù)器網(wǎng)絡(luò)層之間的安全通信，進(jìn)而實(shí)現(xiàn)所有基于IP的應(yīng)用與服務(wù)器的互通。天融信天融信SSL VPNSSL VPN的優(yōu)勢(shì)的優(yōu)勢(shì)2、部署簡(jiǎn)單、部署簡(jiǎn)單目前SSL協(xié)議已被集成到大部分的瀏覽器中，如IE、Firefox

25、等。這就意味著幾乎任意一臺(tái)裝有瀏覽器的計(jì)算機(jī)都支持SSL連接，通過(guò)Web方式訪(fǎng)問(wèn)資源（Web資源、共享文件資源等）時(shí)不需要安裝額外的客戶(hù)端軟件；訪(fǎng)問(wèn)TCP接入方式下和IP接入方式下的資源時(shí)，需要在客戶(hù)端安裝專(zhuān)用的軟件，安裝過(guò)程非常簡(jiǎn)單。幾乎不需要人為干預(yù)。3 3、個(gè)性化的用戶(hù)界面、個(gè)性化的用戶(hù)界面SSL VPN提供了虛擬門(mén)戶(hù)功能，從而使得企業(yè)及部門(mén)都可擁有自己獨(dú)立的遠(yuǎn)程接入門(mén)戶(hù)。每個(gè)虛擬門(mén)戶(hù)都可以定制不同的登錄界面、定制是否使用控件、定制使用哪些功能模塊、定制不同的認(rèn)證方式、定制不同的公告信息等。與企業(yè)門(mén)戶(hù)無(wú)縫融合4 4、支持多種用戶(hù)認(rèn)證方式、支持多種用戶(hù)認(rèn)證方式除了可以利用SSL協(xié)議本身提供

26、的證書(shū)認(rèn)證機(jī)制，對(duì)SSL客戶(hù)端進(jìn)行身份確認(rèn)外，SSL VPN還支持四種認(rèn)證方式：本地認(rèn)證、RADIUS認(rèn)證、LDAP認(rèn)證、AD認(rèn)證。天融信天融信SSL VPNSSL VPN的優(yōu)勢(shì)的優(yōu)勢(shì)6 6、對(duì)客戶(hù)端主機(jī)進(jìn)行安全評(píng)估、對(duì)客戶(hù)端主機(jī)進(jìn)行安全評(píng)估在遠(yuǎn)程主機(jī)請(qǐng)求接入時(shí)，網(wǎng)關(guān)會(huì)在客戶(hù)端下載一個(gè)小程序?qū)χ鳈C(jī)的安全狀態(tài)進(jìn)行檢查。可以檢查主機(jī)的操作系統(tǒng)版本及其補(bǔ)丁、瀏覽器版本及其補(bǔ)丁、防火墻版本、殺毒軟件版本等等。通過(guò)對(duì)主機(jī)安全狀態(tài)的評(píng)估，可以判斷遠(yuǎn)程主機(jī)是否安全，以及安全程度的高低。進(jìn)而對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限進(jìn)行限制。5 5、實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)資源的細(xì)粒度的控制訪(fǎng)問(wèn)、實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)資源的細(xì)粒度的控制訪(fǎng)問(wèn)SSL VPN采用

27、基于角色的權(quán)限管理方法，根據(jù)登錄用戶(hù)的身份，限制用戶(hù)訪(fǎng)問(wèn)的資源，從而方便靈活地控制用戶(hù)訪(fǎng)問(wèn)權(quán)限。Web轉(zhuǎn)發(fā)實(shí)現(xiàn)了在不安裝客戶(hù)端的情況下直接通過(guò)瀏覽器訪(fǎng)問(wèn)內(nèi)網(wǎng)WEB資源。但Web轉(zhuǎn)發(fā)只能支持簡(jiǎn)單的B/S架構(gòu)應(yīng)用。WEBWEB轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)WEBWEB轉(zhuǎn)發(fā)實(shí)現(xiàn)原理轉(zhuǎn)發(fā)實(shí)現(xiàn)原理以訪(fǎng)問(wèn)內(nèi)網(wǎng)WEB服務(wù)器為例：1.客戶(hù)端向內(nèi)網(wǎng)WEB服務(wù)器發(fā)起HTTPS方式請(qǐng)求，發(fā)送到VONE設(shè)備。2.VONE設(shè)備將HTTPS格式的請(qǐng)求報(bào)文轉(zhuǎn)換為標(biāo)準(zhǔn)HTTP格式。3.VONE發(fā)送標(biāo)準(zhǔn)的HTTP格式的請(qǐng)求傳給WEB服務(wù)器。4.WEB服務(wù)器接受到請(qǐng)求報(bào)文后將請(qǐng)求結(jié)果發(fā)送給VONE。5.VONE將HTTP應(yīng)答報(bào)文加密并轉(zhuǎn)。發(fā)給客戶(hù)端端

28、口轉(zhuǎn)發(fā)端口轉(zhuǎn)發(fā)天融信SSL VPN提供豐富的應(yīng)用服務(wù)：用于實(shí)現(xiàn)客戶(hù)端對(duì)C/S架構(gòu)應(yīng)用的訪(fǎng)問(wèn)。端口轉(zhuǎn)發(fā)實(shí)現(xiàn)過(guò)程端口轉(zhuǎn)發(fā)實(shí)現(xiàn)過(guò)程 彌補(bǔ)WEB轉(zhuǎn)發(fā)兼容性問(wèn)題。 解決對(duì)C/S架構(gòu)應(yīng)用的兼容。 所有數(shù)據(jù)均可統(tǒng)一認(rèn)證授權(quán)。 采用代理方式處理數(shù)據(jù)可以使服務(wù)器更加安全。 客戶(hù)端無(wú)需配置即可使用。端口轉(zhuǎn)發(fā)總結(jié)端口轉(zhuǎn)發(fā)總結(jié)可實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)復(fù)雜應(yīng)用完全訪(fǎng)問(wèn) 通過(guò)SSL vpn實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)基于IP的安全訪(fǎng)問(wèn)。 實(shí)現(xiàn)方式：ACTIVE插件。專(zhuān)用客戶(hù)端軟件，一次安裝，零配置。 訪(fǎng)問(wèn)方式：可根據(jù)網(wǎng)絡(luò)環(huán)境選擇完全隧道：只允許訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)。隧道分離：可訪(fǎng)問(wèn)子網(wǎng)資源也可以訪(fǎng)問(wèn)隧道資源。全網(wǎng)接入全網(wǎng)接入全網(wǎng)接入實(shí)現(xiàn)過(guò)程：1. 下載客戶(hù)端

29、，安裝虛擬網(wǎng)卡并可以獲取vpn網(wǎng)關(guān)分配的ip地址。2. 客戶(hù)端發(fā)起基于ip的內(nèi)網(wǎng)應(yīng)用客戶(hù)端軟件將數(shù)據(jù)加密發(fā)送到網(wǎng)關(guān)設(shè)備。3. Vpn設(shè)備解密后轉(zhuǎn)發(fā)給服務(wù)器。4. 內(nèi)網(wǎng)服務(wù)器收到請(qǐng)求后回應(yīng)vpn網(wǎng)關(guān)，網(wǎng)關(guān)再會(huì)應(yīng)給客戶(hù)端。全網(wǎng)接入工作原理全網(wǎng)接入工作原理全網(wǎng)接入之分離隧道全網(wǎng)接入之分離隧道分離隧道不光可以訪(fǎng)問(wèn)遠(yuǎn)程資源，也可以訪(fǎng)問(wèn)本地內(nèi)網(wǎng)資源。全網(wǎng)接入之完全隧道全網(wǎng)接入之完全隧道完全隧道只能夠訪(fǎng)問(wèn)遠(yuǎn)程資源不能夠訪(fǎng)問(wèn)本地資源。 全網(wǎng)接入可實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)復(fù)雜訪(fǎng)問(wèn)的需求。 分離隧道適用于內(nèi)網(wǎng)資源與遠(yuǎn)端資源無(wú)沖突的情況，并且可以訪(fǎng)問(wèn)內(nèi)網(wǎng)資源和互聯(lián)網(wǎng)絡(luò)。 完全隧道適用于內(nèi)網(wǎng)資源與遠(yuǎn)程資源沖突的情況下使用。保證數(shù)據(jù)

30、包全部進(jìn)入隧道而不經(jīng)過(guò)其他路由。 客戶(hù)端不需要任何配置。完全自動(dòng)下載安裝。全網(wǎng)接入總結(jié)全網(wǎng)接入總結(jié)SSLVPN功能總結(jié)功能總結(jié)WEB轉(zhuǎn)發(fā)文件訪(fǎng)問(wèn)telnet、ftp復(fù)雜應(yīng)用互聯(lián)網(wǎng)WEB訪(fǎng)問(wèn)端口轉(zhuǎn)發(fā)文件共享全網(wǎng)接入SSLVPNSSLVPN設(shè)備網(wǎng)絡(luò)位置設(shè)備網(wǎng)絡(luò)位置-串行串行VONE設(shè)備常部署于防火墻之后，各種應(yīng)用服務(wù)器之前。SSLVPNSSLVPN設(shè)備網(wǎng)絡(luò)位置設(shè)備網(wǎng)絡(luò)位置-單臂單臂VONE設(shè)備部署在防火墻或核心交換旁，防火墻或核心交換均通過(guò)一個(gè)網(wǎng)口通信，這種拓?fù)淠Ｊ奖环Q(chēng)為單臂。本地認(rèn)證：本地口令認(rèn)證本地證書(shū)認(rèn)證本地口令+證書(shū)認(rèn)證外部認(rèn)證：外部口令認(rèn)證外部證書(shū)認(rèn)證外部口令+證書(shū)認(rèn)證SSLVPNSSL

31、VPN認(rèn)證方式認(rèn)證方式SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地口令認(rèn)證本地口令認(rèn)證SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地證書(shū)認(rèn)證本地證書(shū)認(rèn)證SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地證書(shū)認(rèn)證本地證書(shū)認(rèn)證SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地證書(shū)認(rèn)證本地證書(shū)認(rèn)證SSLVPNSSLVPN外部認(rèn)證外部認(rèn)證SSLVPNSSLVPN外部認(rèn)證外部認(rèn)證外部口令認(rèn)證外部口令認(rèn)證SSLVPNSSLVPN外部認(rèn)證外部認(rèn)證 添加用戶(hù)及角色：添加用戶(hù)及角色：添加用戶(hù)并選擇用戶(hù)的認(rèn)證方式及隸屬于哪種角色。 資源管理資源管理 配置用戶(hù)訪(fǎng)問(wèn)的內(nèi)網(wǎng)資源，可以根據(jù)訪(fǎng)問(wèn)方式配置應(yīng)用web化、web轉(zhuǎn)發(fā)、端口轉(zhuǎn)發(fā)

32、、全網(wǎng)接入四種資源，不同的資源有不同的參數(shù)，也可以配置不同的協(xié)議類(lèi)型 ACL管理管理 為資源配置相應(yīng)的ACL規(guī)則，如每周訪(fǎng)問(wèn)時(shí)段、時(shí)間、允許或者禁止的操作方式 安全策略安全策略 定義用戶(hù)或角色開(kāi)啟的模塊，為用戶(hù)或者角色綁定ACL規(guī)則SSLVPNSSLVPN配置介紹配置介紹SSLVPNSSLVPN配置案例配置案例Web轉(zhuǎn)發(fā) 用戶(hù)的應(yīng)用系統(tǒng)為 B/S 結(jié)構(gòu)應(yīng)用，應(yīng)用系統(tǒng)中沒(méi)有復(fù)雜的javascript、flash、activex控件等頁(yè)面元素。用戶(hù)希望能夠遠(yuǎn)程訪(fǎng)問(wèn)應(yīng)用系統(tǒng)，并進(jìn)行基于URL 的訪(fǎng)問(wèn)內(nèi)容安全控制，無(wú)需安裝客戶(hù)端瀏覽器控件。使用網(wǎng)關(guān)內(nèi)置的用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證授權(quán)，用戶(hù)登錄采用用戶(hù)口令的認(rèn)

33、證方式，不需要圖形認(rèn)證碼。所有移動(dòng)用戶(hù)分為普通職員和經(jīng)理兩個(gè)角色，分別授權(quán)訪(fǎng)問(wèn)內(nèi)部不同的應(yīng)用服務(wù)器。所有用戶(hù)都不允許多點(diǎn)登錄。網(wǎng)關(guān)設(shè)備采用快速簡(jiǎn)易的安裝方式，不影響用戶(hù)原有的網(wǎng)絡(luò)環(huán)境?；拘枨蠡拘枨?采用單臂模式，將 SSL VPN 網(wǎng)關(guān)部署在網(wǎng)絡(luò)內(nèi)部。SSL VPN 網(wǎng)關(guān)的對(duì)外IP 為“”，內(nèi)網(wǎng)IP 為“37”。 采用“用戶(hù)口令”的認(rèn)證方式對(duì)用戶(hù)進(jìn)行認(rèn)證。 禁止角色“user”中的用戶(hù)“user1”多點(diǎn)登錄，只允許該用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的Web 服務(wù)器“18”。 禁止角色“manager”中的用戶(hù)“manager1”多點(diǎn)登錄，

34、并且允許該用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的Web 服務(wù)器“18”和“35”。SSL VPN 網(wǎng)關(guān)網(wǎng)關(guān)Web 轉(zhuǎn)發(fā)示意圖轉(zhuǎn)發(fā)示意圖配置要點(diǎn)配置要點(diǎn)在防火墻 A 上進(jìn)行相關(guān)配置 添加用戶(hù) 添加角色 配置授權(quán)資源 配置 ACL 規(guī)則 配置安全策略 配置虛擬門(mén)戶(hù) 驗(yàn)證：在 SSL VPN 網(wǎng)關(guān)的用戶(hù)界面中，用戶(hù)成功登錄后可以訪(fǎng)問(wèn)授權(quán)資源。防火墻防火墻 A 的配置步驟的配置步驟 為了保護(hù) SSL VPN 網(wǎng)關(guān)的安全，管理員一般將防火墻A 的eth0 口所屬區(qū)域的權(quán)限設(shè)置為“禁止訪(fǎng)問(wèn)”，然后通過(guò)配置訪(fǎng)問(wèn)控制規(guī)則，只允許遠(yuǎn)程用戶(hù)對(duì)SSL VPN 網(wǎng)關(guān)上特定端口進(jìn)行訪(fǎng)問(wèn)。1）

35、在防火墻A 上開(kāi)放TCP 443 端口，用于遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)SSL VPN 網(wǎng)關(guān)用戶(hù)界面，如下圖所示。2）定義訪(fǎng)問(wèn)控制規(guī)則，如下圖所示。3）配置主機(jī)地址，即SSL VPN 網(wǎng)關(guān)的真實(shí)地址“37”和對(duì)外地址“”，如下圖所示。4）配置雙向地址轉(zhuǎn)換（到SSL VPN 網(wǎng)關(guān)的映射），如下圖所示。WEBUI 配置步驟配置步驟1添加用戶(hù)。a）點(diǎn)擊導(dǎo)航菜單用戶(hù)認(rèn)證 用戶(hù)管理，然后激活“用戶(hù)管理”頁(yè)簽，點(diǎn)擊“添加用戶(hù)”。b）分別添加普通職員用戶(hù)user1 和經(jīng)理用戶(hù)manager1。 添加普通職員用戶(hù)user1，禁止多點(diǎn)登錄，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕

36、完成配置。 添加經(jīng)理用戶(hù)manager1，禁止多點(diǎn)登錄，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕完成配置。2添加角色，并為其添加成員。a）點(diǎn)擊導(dǎo)航菜單用戶(hù)認(rèn)證 角色管理，激活“角色管理”頁(yè)簽，然后點(diǎn)擊“添加角色”。b）分別添加普通職員級(jí)角色user 和經(jīng)理級(jí)角色manager。 添加普通職員級(jí)角色user，并為其添加成員“user1”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕完成配置。 添加經(jīng)理級(jí)角色manager，并為其添加成員“manager1”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕完成配置。3配置授權(quán)資源。a）點(diǎn)擊導(dǎo)航菜單SSLVPN 資源管理，然后點(diǎn)擊資源列表左上方的“

37、添加”，配置web 轉(zhuǎn)發(fā)資源“webforward_218”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。b）點(diǎn)擊導(dǎo)航菜單SSLVPN 資源管理，然后點(diǎn)擊資源列表左上方的“添加”，配置web 轉(zhuǎn)發(fā)資源“webforward_235”，如下圖所示。4配置ACL 規(guī)則。默認(rèn)禁止遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，然后配置兩條 ACL 規(guī)則，分別允許訪(fǎng)問(wèn)內(nèi)網(wǎng)資源“webforward_218”和“webforward_235”。a）點(diǎn)擊導(dǎo)航菜單SSLVPN ACL 管理，然后在右側(cè)界面中選中“ACL 默認(rèn)策略”右側(cè)的“禁止”，如下圖所示。設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。b）點(diǎn)

38、擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪(fǎng)問(wèn)“webforward_218”的ACL 規(guī)則，如下圖所示。c）點(diǎn)擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪(fǎng)問(wèn)“webforward_235”的ACL 規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。此時(shí)，“ACL 管理”頁(yè)面的配置如下圖所示。5配置安全策略。為用戶(hù)“user1”配置一條安全策略，允許該用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的Web 服務(wù)器“18”；為用戶(hù)“manager1”配置一條安全策略，允許該用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的Web 服務(wù)器“18”和“35”。a）為用

39、戶(hù)“user1”配置安全策略。 點(diǎn)擊導(dǎo)航菜單SSLVPN 安全策略，然后選擇“用戶(hù)安全策略”頁(yè)簽，點(diǎn)擊用戶(hù)“user1”條目右側(cè)的“安全策略設(shè)置”圖標(biāo)。 勾選“自定義模塊設(shè)置”，然后選中“啟用web 轉(zhuǎn)發(fā)”，如下圖所示。設(shè)置完成后，點(diǎn)擊“確定”按鈕。 點(diǎn)擊“添加規(guī)則”，為用戶(hù)“user1”賦予訪(fǎng)問(wèn)控制權(quán)限。由于只允許該用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)資源“webforward_218”，所以將允許訪(fǎng)問(wèn)該資源的ACL 規(guī)則“允許訪(fǎng)問(wèn)Doc”賦予該用戶(hù)，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。至此，用戶(hù)“user1”的安全策略配置完成。b）為用戶(hù)“manager1”配置安全策略。 點(diǎn)擊導(dǎo)航菜單SSLVPN 安全

40、策略，然后選擇“用戶(hù)安全策略”頁(yè)簽，點(diǎn)擊用戶(hù)“manager1”條目右側(cè)的“安全策略設(shè)置”圖標(biāo)。 勾選“自定義模塊設(shè)置”，然后選中“啟用web 轉(zhuǎn)發(fā)”，如下圖所示。設(shè)置完成后，點(diǎn)擊“確定”按鈕。 點(diǎn)擊“添加規(guī)則”，將允許訪(fǎng)問(wèn)內(nèi)網(wǎng)資源“webforward_218”的ACL 規(guī)則“允許訪(fǎng)問(wèn)Doc”賦予該用戶(hù)，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。 點(diǎn)擊“添加規(guī)則”，將允許訪(fǎng)問(wèn)內(nèi)網(wǎng)資源“webforward_235”的ACL 規(guī)則“允許訪(fǎng)問(wèn)Test”賦予該用戶(hù)，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。至此，用戶(hù)“manager 1”的安全策略配置完成。6配置虛擬門(mén)戶(hù)。a）點(diǎn)擊導(dǎo)航菜單

41、SSLVPN 虛擬門(mén)戶(hù)。b）點(diǎn)擊虛擬門(mén)戶(hù)列表左上方的“添加”，自定義遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)SSL VPN 網(wǎng)關(guān)的用戶(hù)界面。自定義虛擬門(mén)戶(hù)時(shí)，參數(shù)“地址”必須配置為遠(yuǎn)程用戶(hù)登錄SSL VPN 網(wǎng)關(guān)時(shí)的地址，即SSL VPN 網(wǎng)關(guān)的對(duì)外IP“”，參數(shù)“認(rèn)證服務(wù)器名稱(chēng)”必須配置為對(duì)遠(yuǎn)程用戶(hù)進(jìn)行認(rèn)證的服務(wù)器名稱(chēng)，此案例為本地認(rèn)證服務(wù)器“l(fā)ocaldb”，而且必須啟用web轉(zhuǎn)發(fā)開(kāi)關(guān)，具體配置頁(yè)面如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。7驗(yàn)證：在SSL VPN 網(wǎng)關(guān)的用戶(hù)界面中，用戶(hù)成功登錄后可以訪(fǎng)問(wèn)授權(quán)資源。1）在瀏覽器的URL 地址欄輸入SSL VPN 網(wǎng)關(guān)的外網(wǎng)地址“https:/1

42、”，進(jìn)入用戶(hù)登錄界面，界面如下圖所示。輸入“user1”正確的用戶(hù)名、密碼，并成功登錄后，盡管網(wǎng)關(guān)中已經(jīng)定義了多個(gè)Web轉(zhuǎn)發(fā)資源，但該用戶(hù)只能訪(fǎng)問(wèn)可用資源（即：webforward_218），如下圖所示。點(diǎn)擊“webforward_218”后，成功進(jìn)入服務(wù)器“18”的訪(fǎng)問(wèn)頁(yè)面，如下圖所示。2）角色“manager”中的用戶(hù)“manager 1”成功登錄SSL VPN 網(wǎng)關(guān)的用戶(hù)界面后，可以訪(fǎng)問(wèn)網(wǎng)關(guān)中設(shè)置的“webforward_218”和“webforward_235”，如下圖所示。點(diǎn)擊任意 Web 轉(zhuǎn)發(fā)資源后，均可以成功進(jìn)入相應(yīng)服務(wù)器的訪(fǎng)問(wèn)頁(yè)面。端口

43、轉(zhuǎn)發(fā)基本需求 采用單臂模式，將 SSL VPN 網(wǎng)關(guān)部署在網(wǎng)絡(luò)內(nèi)部。SSL VPN 網(wǎng)關(guān)的對(duì)外IP 為“”，內(nèi)網(wǎng)IP 為“37”。 采用“用戶(hù)口令”的認(rèn)證方式對(duì)用戶(hù)進(jìn)行認(rèn)證。 允許角色“test”中的用戶(hù)“test1”以域名的方式（域名為“”）訪(fǎng)問(wèn)公司內(nèi)網(wǎng)Web 服務(wù)器“192.168. 83.235”，同時(shí)允許該用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)FTP服務(wù)器“20”，禁止其它訪(fǎng)問(wèn)。SSL VPN 網(wǎng)關(guān)端口轉(zhuǎn)發(fā)示意圖網(wǎng)關(guān)端口轉(zhuǎn)發(fā)示意圖配置要點(diǎn)在防火墻 A 上進(jìn)行相關(guān)配置。在網(wǎng)關(guān)的管理員界面中，配置域名參數(shù)。在網(wǎng)關(guān)的管理員界面中，添加用戶(hù)“tes

44、t1”信息。在網(wǎng)關(guān)的管理員界面中，添加角色“test”，然后將用戶(hù)“test1”添加到該組中。在網(wǎng)關(guān)的管理員界面中，配置授權(quán)資源。在網(wǎng)關(guān)的管理員界面中，配置 ACL 規(guī)則。在網(wǎng)關(guān)的管理員界面中，配置安全策略。在網(wǎng)關(guān)的管理員界面中，配置虛擬門(mén)戶(hù)。驗(yàn)證：用戶(hù)“test1”登錄成功后，可以訪(fǎng)問(wèn)授權(quán)的端口轉(zhuǎn)發(fā)資源“web_235”和“ftp_220”。防火墻 A 的配置步驟為了保護(hù) SSL VPN 網(wǎng)關(guān)的安全，管理員一般將防火墻A 的eth0 口所屬區(qū)域的權(quán)限設(shè)置為“禁止訪(fǎng)問(wèn)”，然后通過(guò)配置訪(fǎng)問(wèn)控制規(guī)則，只允許遠(yuǎn)程用戶(hù)對(duì)SSL VPN 網(wǎng)關(guān)上特定端口進(jìn)行訪(fǎng)問(wèn)。1）在防火墻A 上開(kāi)放TCP 443 端口

45、，用于遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)SSL VPN 網(wǎng)關(guān)用戶(hù)界面，如下圖所示。2）定義訪(fǎng)問(wèn)控制規(guī)則，如下圖所示。3）配置主機(jī)地址，即SSL VPN 網(wǎng)關(guān)的真實(shí)地址“37”和對(duì)外地址“”，如下圖所示。4）配置雙向地址轉(zhuǎn)換（到SSL VPN 網(wǎng)關(guān)的映射），如下圖所示。WEBUI 配置步驟1配置域名參數(shù)1）在左側(cè)導(dǎo)航樹(shù)上，點(diǎn)擊SSL VPN 基本設(shè)置，然后激活“登錄設(shè)置”頁(yè)簽，配置域名參數(shù)，如下圖所示。2）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕即可。2添加用戶(hù)“test1”。a）點(diǎn)擊導(dǎo)航菜單用戶(hù)認(rèn)證 用戶(hù)管理，然后激活“用戶(hù)管理”頁(yè)簽，點(diǎn)擊“添加用戶(hù)”，進(jìn)入用戶(hù)的添加界面。b）設(shè)

46、置用戶(hù)“test1”的用戶(hù)信息，如下圖所示。c）參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕完成配置。3添加角色“test”，然后將用戶(hù)“test1”添加到該組中。a）在左側(cè)導(dǎo)航樹(shù)上，點(diǎn)擊用戶(hù)認(rèn)證 角色管理，激活“角色管理”頁(yè)簽，然后點(diǎn)擊“添加角色”，進(jìn)入角色配置界面。b）設(shè)置角色“test”的信息，然后將用戶(hù)“test1”添加到該組中，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕完成配置。4配置授權(quán)資源。a）點(diǎn)擊導(dǎo)航菜單SSLVPN 資源管理，然后點(diǎn)擊資源列表左上方的“添加”，配置端口轉(zhuǎn)發(fā)資源“ftp_220”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。b）點(diǎn)擊導(dǎo)航菜單SSLVPN 資源管理，然后點(diǎn)

47、擊資源列表左上方的“添加”，配置端口轉(zhuǎn)發(fā)資源“web_235”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。5配置ACL 規(guī)則。默認(rèn)禁止遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，然后配置兩條 ACL 規(guī)則，分別允許訪(fǎng)問(wèn)內(nèi)網(wǎng)資源“ftp_220”和“web_235”。a）點(diǎn)擊導(dǎo)航菜單SSLVPN ACL 管理，然后在右側(cè)界面中選中“ACL 默認(rèn)策略”右側(cè)的“禁止”，如下圖所示。設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。b）點(diǎn)擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪(fǎng)問(wèn)“ftp_220”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。c）點(diǎn)擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪(fǎng)問(wèn)“w

48、eb_235”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。此時(shí)，“ACL 管理”頁(yè)面的配置如下圖所示。6配置安全策略。為用戶(hù)“test1”配置兩條安全策略，允許該用戶(hù)以域名的方式訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的Web服務(wù)器“35”，同時(shí)允許該用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的FTP 服務(wù)器“20”。a）點(diǎn)擊導(dǎo)航菜單SSLVPN 安全策略，然后選擇“用戶(hù)安全策略”頁(yè)簽，點(diǎn)擊用戶(hù)“test1”條目右側(cè)的“安全策略設(shè)置”圖標(biāo)。b）勾選“自定義模塊設(shè)置”，然后選中“啟用端口轉(zhuǎn)發(fā)”，如下圖所示。設(shè)置完成后，點(diǎn)擊“確定”按鈕。c）點(diǎn)擊“添加規(guī)則”，將允許訪(fǎng)問(wèn)公司內(nèi)網(wǎng)Web 資

49、源的ACL 規(guī)則“web 服務(wù)器_235”賦予該用戶(hù)，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。d）點(diǎn)擊“添加規(guī)則”，將允許訪(fǎng)問(wèn)公司內(nèi)網(wǎng)ftp 資源的ACL 規(guī)則“FTP 服務(wù)器_220”賦予該用戶(hù)，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。至此，用戶(hù)“test1”的安全策略配置完成。7配置虛擬門(mén)戶(hù)。a）點(diǎn)擊導(dǎo)航菜單SSLVPN 虛擬門(mén)戶(hù)。虛擬門(mén)戶(hù)。b）點(diǎn)擊虛擬門(mén)戶(hù)列表左上方的“添加”，自定義遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)SSL VPN 網(wǎng)關(guān)的用戶(hù)界面。自定義虛擬門(mén)戶(hù)時(shí)，參數(shù)“地址”必須配置為遠(yuǎn)程用戶(hù)登錄SSL VPN 網(wǎng)關(guān)時(shí)的地址，即SSL VPN 網(wǎng)關(guān)的對(duì)外IP“”，參數(shù)“認(rèn)證服

50、務(wù)器名稱(chēng)”必須配置為對(duì)遠(yuǎn)程用戶(hù)進(jìn)行認(rèn)證的服務(wù)器名稱(chēng)，此案例為本地認(rèn)證服務(wù)器“l(fā)ocaldb”，而且必須啟用端口轉(zhuǎn)發(fā)開(kāi)關(guān)，具體配置頁(yè)面如下圖所示。c）參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。8驗(yàn)證：用戶(hù)“test1”登錄成功后，可以訪(fǎng)問(wèn)授權(quán)的端口轉(zhuǎn)發(fā)資源“web_235”和“ftp_220”。1）在瀏覽器的URL 地址欄輸入SSL VPN 網(wǎng)關(guān)的外網(wǎng)地址“”，進(jìn)入用戶(hù)登錄界面，界面如下圖所示。2）輸入“test1”正確的用戶(hù)名、密碼，并成功登錄后，用戶(hù)界面中顯示可用資源“web_235”和“ftp_220”，如下圖所示。3）點(diǎn)擊“web_235” 鏈接后，成功以域名“

51、”訪(fǎng)問(wèn)Web 服務(wù)器“35”，如下圖所示。4）點(diǎn)擊“ftp_220”條目右側(cè)的“ ”，選擇客戶(hù)端程序?yàn)椤癈uteFTP”，然后在用戶(hù)界面中點(diǎn)擊“ftp_220”鏈接，自動(dòng)彈出CutpFTP 客戶(hù)端，在客戶(hù)端界面中輸入主機(jī)地址、用戶(hù)名和密碼后點(diǎn)擊連接圖標(biāo)“ ”，如下圖所示。稍候，遠(yuǎn)程用戶(hù)通過(guò) CuteFTP 客戶(hù)端登錄到FTP 服務(wù)器“20”，如下圖所示。全網(wǎng)接入 IPSec/SSL SSL VPN 網(wǎng)關(guān)可以給遠(yuǎn)程機(jī)構(gòu)或個(gè)人使用者提供到內(nèi)部網(wǎng)絡(luò)的虛擬連接，這種連接一旦建立，遠(yuǎn)程節(jié)點(diǎn)就變成企業(yè)內(nèi)網(wǎng)的一個(gè)節(jié)點(diǎn)，在未進(jìn)行訪(fǎng)問(wèn)控制的情況下，它的接入權(quán)限與用

52、戶(hù)真正身處內(nèi)網(wǎng)使用時(shí)一樣，如果需要對(duì)遠(yuǎn)程用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制，可以通過(guò)在SSL VPN 網(wǎng)關(guān)上添加訪(fǎng)問(wèn)控制規(guī)則實(shí)現(xiàn)。 在進(jìn)行全網(wǎng)接入配置時(shí)，管理員首先要進(jìn)行虛擬網(wǎng)絡(luò)參數(shù)的配置，為遠(yuǎn)程用戶(hù)提供接入內(nèi)網(wǎng)的接口，以及為遠(yuǎn)程用戶(hù)分配IP 地址，最后，對(duì)用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制，通過(guò)設(shè)置針對(duì)用戶(hù)或角色的訪(fǎng)問(wèn)控制規(guī)則，限定只有匹配訪(fǎng)問(wèn)控制規(guī)則的用戶(hù)才能夠遠(yuǎn)程訪(fǎng)問(wèn)某資源，同時(shí)，還可針對(duì)服務(wù)進(jìn)行訪(fǎng)問(wèn)控制，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程接入用戶(hù)的更細(xì)粒度的訪(fǎng)問(wèn)控制。基本需求某企業(yè)采用雙臂模式將 SSL VPN 部署于網(wǎng)絡(luò)出口處，以便實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)中的核心業(yè)務(wù)進(jìn)行有效保障，同時(shí)為移動(dòng)客戶(hù)和分支客戶(hù)提供安全的VPN 通路。要求如下所示：采用網(wǎng)

53、絡(luò)隔離的隧道模式，以便用戶(hù)接入 VPN 后不能在訪(fǎng)問(wèn)Internet。使用內(nèi)置數(shù)據(jù)庫(kù)使用“用戶(hù)+口令”的方式對(duì)移動(dòng)用戶(hù)進(jìn)行認(rèn)證。用戶(hù)“user”和用戶(hù)“manager”同屬于角色“doc_role”，且低級(jí)用戶(hù)“user”只能訪(fǎng)問(wèn)WEB 服務(wù)器“35”，而高級(jí)用戶(hù)“manager”機(jī)既能訪(fǎng)問(wèn)該WEB 服務(wù)器，也能夠訪(fǎng)問(wèn)FTP 服務(wù)器“34”。SSL VPN 網(wǎng)關(guān)全網(wǎng)接入示意圖網(wǎng)關(guān)全網(wǎng)接入示意圖配置要點(diǎn) 在防火墻 A 上進(jìn)行相關(guān)配置。開(kāi)啟 Eth1 所屬區(qū)域的SSLVPN 服務(wù)。配置全網(wǎng)接入模塊。配置網(wǎng)關(guān)提供 DHCP 服務(wù)的接口和DHCP 地址池

54、。配置源地址轉(zhuǎn)換，將用戶(hù)的虛擬網(wǎng)卡所在網(wǎng)段轉(zhuǎn)換為SSL VPN 網(wǎng)關(guān)的接口地址。添加用戶(hù)“user”和“manager”。添加角色“doc_role”，然后將用戶(hù)“user”和“manager”添加到該組中。配置授權(quán)資源。配置 ACL 規(guī)則。配置安全策略。配置虛擬門(mén)戶(hù)。驗(yàn)證：用戶(hù)“user”登錄成功后，可以訪(fǎng)問(wèn)授權(quán)的全網(wǎng)接入資源“web_235”；用戶(hù)“manager”登錄成功后，可以訪(fǎng)問(wèn)授權(quán)的全網(wǎng)接入資源“web_235”和“ftp_220”。防火墻 A 的配置步驟為了保護(hù) SSL VPN 網(wǎng)關(guān)的安全，管理員一般將防火墻A 的eth1 口所屬區(qū)域的權(quán)限設(shè)置為“禁止訪(fǎng)問(wèn)”，然后通過(guò)配置訪(fǎng)問(wèn)控制

55、規(guī)則，只允許遠(yuǎn)程用戶(hù)對(duì)SSL VPN 網(wǎng)關(guān)上特定端口進(jìn)行訪(fǎng)問(wèn)。1）在防火墻A 上開(kāi)放TCP 443 端口，用于遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)SSL VPN 網(wǎng)關(guān)用戶(hù)界面，如下圖所示。2）定義訪(fǎng)問(wèn)控制規(guī)則，如下圖所示。3）配置主機(jī)地址，即SSL VPN 網(wǎng)關(guān)的真實(shí)地址“”和對(duì)外地址“0”，如下圖所示。4）配置雙向地址轉(zhuǎn)換（到SSL VPN 網(wǎng)關(guān)的映射），如下圖所示。WEBUI 配置步驟1開(kāi)啟Eth1 所屬區(qū)域的SSLVPN 服務(wù)。選擇 系統(tǒng)管理 配置，激活“開(kāi)放服務(wù)”頁(yè)簽，然后點(diǎn)擊“添加”，開(kāi)放Eth1 口所屬區(qū)域的SSLVPN 服務(wù)，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定

56、”按鈕即可。2配置全網(wǎng)接入模塊。1）選擇SSL VPN 模塊管理，點(diǎn)擊“全網(wǎng)接入”條目右側(cè)的“模塊設(shè)置”圖標(biāo)，配置全網(wǎng)接入?yún)?shù)，如下圖所示。本例中 DHCP 服務(wù)器為SSL VPN 網(wǎng)關(guān)本身，因此“DHCP 服務(wù)器類(lèi)型”選擇“本地”。說(shuō)明 如果 DHCP 服務(wù)器不使用SSL VPN 網(wǎng)關(guān)，則在上圖中設(shè)置“DHCP 服務(wù)器類(lèi)型”選擇“外部”，然后設(shè)置DHCP 服務(wù)器的IP 和請(qǐng)求端口。 “虛擬網(wǎng)卡接口 IP” 用于與客戶(hù)端的虛擬IP 進(jìn)行通信，管理員可以自行設(shè)置，可以不與內(nèi)網(wǎng)資源的IP 地址設(shè)定在同一個(gè)網(wǎng)段，但一定不能與其它IP 地址沖突。3配置網(wǎng)關(guān)提供DHCP 服務(wù)的接口和DHCP 地址池。1

57、）選擇網(wǎng)絡(luò)管理 DHCP，然后選擇“DHCP 服務(wù)器”頁(yè)簽，點(diǎn)擊“添加地址池”，添加作用域?yàn)椤?24”的DHCP 地址池（用于分配給全網(wǎng)接入客戶(hù)端），如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。2）將DHCP 服務(wù)器的“運(yùn)行接口”設(shè)置為“l(fā)o”，然后點(diǎn)擊“運(yùn)行”按鈕啟動(dòng)DHCP服務(wù)器進(jìn)程，如下圖所示。4配置源地址轉(zhuǎn)換，將用戶(hù)的虛擬網(wǎng)卡所在網(wǎng)段轉(zhuǎn)換為SSL VPN 網(wǎng)關(guān)的接口地址（或能與應(yīng)用服務(wù)器通信的地址）。1）選擇資源管理 地址，然后選擇“子網(wǎng)”頁(yè)簽，點(diǎn)擊“添加”，添加子網(wǎng)地址資源，子網(wǎng)地址必須與分配給遠(yuǎn)程用戶(hù)的虛擬地址所屬的地址池一致，如下圖所示。參數(shù)設(shè)置完成后，

58、點(diǎn)擊“確定”按鈕即可。2）選擇防火墻 地址轉(zhuǎn)換，點(diǎn)擊“添加”，勾選“源轉(zhuǎn)換”前的單選按鈕，然后設(shè)定源地址轉(zhuǎn)換規(guī)則的源為“sv_”，設(shè)置源地址轉(zhuǎn)換為“eth0 屬性”，最后點(diǎn)擊“確定”按鈕。配置完成的地址轉(zhuǎn)換規(guī)則如下圖所示。5添加用戶(hù)“user”和“manager”。a）點(diǎn)擊導(dǎo)航菜單用戶(hù)認(rèn)證 用戶(hù)管理，然后激活“用戶(hù)管理”頁(yè)簽。b）點(diǎn)擊“添加用戶(hù)”，設(shè)置用戶(hù)“user”的用戶(hù)信息，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕使配置生效。c）點(diǎn)擊“添加用戶(hù)”，設(shè)置用戶(hù)“manager”的用戶(hù)信息，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕使配置生效。6添加角色“doc_rol

59、e”，然后將用戶(hù)“user”和“manager”添加到該組中。a）在左側(cè)導(dǎo)航樹(shù)上，點(diǎn)擊用戶(hù)認(rèn)證 角色管理，激活“角色管理”頁(yè)簽，然后點(diǎn)擊“添加角色”，進(jìn)入角色配置界面。b）設(shè)置角色“doc_role”的信息，然后將用戶(hù)“user”和“manager”添加到該組中，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕完成配置。7配置授權(quán)資源。a）點(diǎn)擊導(dǎo)航菜單SSLVPN 資源管理，然后點(diǎn)擊資源列表左上方的“添加”，配置全網(wǎng)接入資源“ftp_220”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。b）點(diǎn)擊導(dǎo)航菜單SSLVPN 資源管理，然后點(diǎn)擊資源列表左上方的“添加”，配置全網(wǎng)接入資源“web_235”，

60、如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。8配置ACL 規(guī)則。默認(rèn)禁止遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，然后配置兩條 ACL 規(guī)則，分別允許訪(fǎng)問(wèn)內(nèi)網(wǎng)資源“ftp_220”和“web_235”。a）點(diǎn)擊導(dǎo)航菜單SSLVPN ACL 管理，然后在右側(cè)界面中選中“ACL 默認(rèn)策略”右側(cè)的“禁止”，如下圖所示。設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。b）點(diǎn)擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪(fǎng)問(wèn)“ftp_220”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕。c）點(diǎn)擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪(fǎng)問(wèn)“web_235”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確