渠道初級認證培訓(xùn)

SANGFORSSLVPN

用戶認證技術(shù)第一頁，共三十八頁。第二頁，共三十八頁。用戶認證功能介紹深信服公司簡介練練手SANGFORSSL用戶認證配置和案例學(xué)習(xí)第三頁，共三十八頁。SSL用戶和用戶組用戶：登錄SSLVPN的賬號，分為公有用戶和私有用戶。私有用戶只能同時一人登錄，公有用戶允許多人同時登錄。用戶組：由“用戶”組成，每個“用戶”必須屬于唯一的“用戶組”，root根組和默認用戶組無法刪除。第四頁，共三十八頁。SSL用戶組的添加選擇賬戶類型和認證方式填寫組名和所屬組可選關(guān)聯(lián)策略組與角色保存配置后，必須點擊“立即生效”使配置生效。第五頁，共三十八頁。SSL用戶的添加如果勾選“繼承所屬組的認證選項”，則用戶按照“support”組的認證方式填寫密碼即可。不勾選“繼承所屬組認證選項”，則用戶可以自定義認證方式。保存和生效配置第六頁，共三十八頁。SSLVPN用戶認證方式外部認證認證方式本地認證用戶名、密碼認證數(shù)字證書硬件特征碼認證短信認證LDAP認證RADIUS認證輔助認證（可選）主要認證（必須選擇一種）令牌認證（RADIUS認證）/DKEY認證（私有用戶）（私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）第七頁，共三十八頁。SSLVPN

用戶認證方式SSLVPN的用戶必須使用一種主要認證方式，也可以使用主要認證再結(jié)合多種輔助認證的方式。

如果設(shè)置了多種主要認證方式，可選擇必須通過所有的主要認證或通過其中一種主要認證方式即可。第八頁，共三十八頁。SSLVPN

用戶認證方式

本PPT介紹四種常用的主要認證和輔助認證方式：

1.用戶名密碼認證

2.數(shù)字證書認證

3.短信認證

4.硬件特征碼認證第九頁，共三十八頁。用戶名密碼認證用戶名密碼認證，即用戶通過輸入用戶名和密碼登錄SSLVPN。認證方式選擇“用戶名/密碼”用戶名密碼信息保存在設(shè)備數(shù)據(jù)庫中，屬于本地認證“同時使用”表示設(shè)置了多種主要認證方式時，所有認證都必須通過?！叭我庖环N”表示其中一種主要認證方式通過即可公有用戶和私有用戶均可設(shè)置用戶名密碼認證第十頁，共三十八頁。用戶名密碼認證

為了加強用戶名密碼認證的安全性，可啟用密碼安全策略，軟鍵盤和圖形校驗碼功能。第十一頁，共三十八頁。數(shù)字證書認證第三方CA自建CA數(shù)字證書數(shù)字證書DKEY數(shù)字證書認證DKEY

有驅(qū)DKEY無驅(qū)DKEY數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，用來標識和證明網(wǎng)絡(luò)通信雙方的身份，此認證方法更為安全可靠。SANGFOR數(shù)字證書認證支持設(shè)備自建CA認證和第三方CA認證。生成了無驅(qū)DKEY，不能再生成有驅(qū)DKEY；有驅(qū)DKEY，可再生成無驅(qū)DKEY。第十二頁，共三十八頁。數(shù)字證書認證（生成證書）設(shè)置登錄的用戶名只有私有用戶類型才能選擇數(shù)字證書/DKEY認證設(shè)置證書密碼，用戶安裝此證書時需要填入相同的密碼才允許安裝。第十三頁，共三十八頁。數(shù)字證書認證（生成有驅(qū)DKEY）生成有驅(qū)DKEY，管理員和用戶均需下載安裝DKEY驅(qū)動，管理員還需下載安裝DKEY導(dǎo)入控件如果要實現(xiàn)有驅(qū)KEY拔KEY注銷功能，必須啟用USBKeyV2創(chuàng)建DKEY之前需將DKEY插入電腦中第十四頁，共三十八頁。數(shù)字證書認證（生成無驅(qū)DKEY）生成無驅(qū)DKEY無驅(qū)DKEY，必須啟用USBKEYV2，才能實現(xiàn)DKEY接入和拔出注銷。創(chuàng)建DKEY之前請先將DKEY插入電腦中第十五頁，共三十八頁。硬件特征碼認證通過硬件特征碼認證可實現(xiàn)SSLVPN帳號和電腦硬件特征的綁定，某賬號只能通過固定的一臺或幾臺電腦登錄，確保了接入的安全性。

硬件特征碼認證讀取接入電腦的硬件信息順序:

硬盤ID->網(wǎng)卡MAC->C盤ID->D盤ID->E盤ID...

硬件特征碼認證屬于輔助認證，必須同時使用一種主要認證。一般先開啟硬件特征碼收集，待用戶全部提交硬件特征碼后，再啟用硬件特征碼認證。勾選“硬件特征碼”第十六頁，共三十八頁。SSL用戶配置案例學(xué)習(xí)管理員如何查看、審批、刪除硬件特征碼？查看硬件特征碼選擇用戶，進行硬件特征碼的審批和刪除操作第十七頁，共三十八頁。短信認證

SSL設(shè)備通過發(fā)送短信校驗碼至用戶綁定的手機號碼上,用戶正確輸入短信校驗碼后才能登錄SSL。短信認證需開通序列號才能使用。

短信認證屬于輔助認證，必須同時使用一種主要認證。開啟短信驗證碼通過設(shè)備直連短信服務(wù)器發(fā)送短信設(shè)備和短信網(wǎng)關(guān)均連到PC，PC上安裝短信服務(wù)器軟件。在機房信號不佳的情況下，建議選擇外部短信網(wǎng)關(guān)。短信貓中插入的手機卡的短信中心號碼，支持GSM和CDMA手機卡?？芍С秩缦露绦啪W(wǎng)關(guān)類型使用默認參數(shù)即可。注：新短信貓（帶有深信服LOGO）的波特率為115200第十八頁，共三十八頁。短信認證（使用內(nèi)置短信貓）1、內(nèi)置短信貓的安裝短信貓直接連接設(shè)備的接口，如下：設(shè)備發(fā)貨時會配好對應(yīng)的串行線接線注意事項：a)將一張手機SIM卡放入短信Modem內(nèi)。b)短信Modem通過發(fā)貨時自帶的串口線連接到設(shè)備的com口。第十九頁，共三十八頁。短信認證（使用內(nèi)置短信貓）2、短信認證設(shè)置短信認證必須選擇私有用戶賬號類型選擇短信認證填入用戶對應(yīng)的手機號碼第二十頁，共三十八頁。短信認證（使用外置短信網(wǎng)關(guān)）1、外置短信網(wǎng)關(guān)服務(wù)器軟件安裝接線注意事項：a)將一手機SIM卡放入短信Modem內(nèi)。b)短信Modem通過發(fā)貨時自帶的串口線連接到短信服務(wù)器（電腦）的COM口。c)確保串口線和短信Modem以及串口線和短信服務(wù)器接觸良好。系統(tǒng)要求：WindowsXP、Windows2000/2003/2008，不支持vista系統(tǒng)。在服務(wù)器上安裝短信網(wǎng)關(guān)服務(wù)器軟件第二十一頁，共三十八頁。a

雙擊短信服務(wù)軟件安裝包，按照安裝提示，點擊下一步，直到出現(xiàn)以下軟件安裝目錄選

擇頁面，請保留默認的安裝路徑，否則短信服務(wù)無法正常啟動。短信認證—外置短信網(wǎng)關(guān)1、外置短信網(wǎng)關(guān)服務(wù)器軟件安裝b

按照安裝提示操作，最后完成安裝c

軟件安裝完成后，短信服務(wù)會以系統(tǒng)服務(wù)的形式自動運行短信服務(wù)進程為SMSSP.exe在服務(wù)列表中能夠看到短信服務(wù)SMSSERVICEd

在系統(tǒng)的“開始”菜單打開短信服務(wù)軟件的控制臺，進行配置在系統(tǒng)桌面右下角的控制臺能夠看到當前短信服務(wù)的狀態(tài)，左圖為服務(wù)正常，右圖為服務(wù)異常如果軟件安裝好后，服務(wù)仍然顯示停止，一般情況下是由于軟件沒有安裝在系統(tǒng)盤下造成的，請把軟件重新安裝在默認路徑下。e

鼠標右鍵點擊控制臺，選擇【Config】在軟件服務(wù)的監(jiān)聽端口設(shè)置對話框里，設(shè)置好監(jiān)聽端口（TCP端口），如果服務(wù)器還提供其他服務(wù)，要保證設(shè)置的端口和這些服務(wù)的端口不沖突如果短信服務(wù)器上裝有防火墻軟件，必須保證防火墻有放通此處設(shè)置的短信服務(wù)監(jiān)聽端口。至此外置短信服務(wù)器設(shè)置完畢。第二十二頁，共三十八頁。短信認證（使用外置短信網(wǎng)關(guān)）3、短信認證設(shè)置填寫安裝短信網(wǎng)關(guān)服務(wù)器的IP和端口填入用戶對應(yīng)的手機號碼短信認證必須選擇私有用戶賬號類型選擇短信認證第二十三頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)第二十四頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)背景介紹：某客戶公司希望實現(xiàn)財務(wù)部用戶通過數(shù)字證書，其余用戶通過賬號密碼，且所有用戶均只能使用自己的工作電腦接入SSLVPN。配置思路：1）

開啟硬件特征碼認證2）添加2個用戶組，財務(wù)組使用數(shù)字證書和硬件特征碼認證，普通用戶組使用用戶名密碼和硬件特征碼認證。3）添加用戶關(guān)聯(lián)到組，使用組屬性。第二十五頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)1）

開啟硬件特征碼認證控制臺左樹依次展開【SSLVPN設(shè)置】->【認證設(shè)置】點擊【硬件特征碼】處的設(shè)置開啟硬件特征碼認證第二十六頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)2）

添加用戶組控制臺左樹依次展開【SSLVPN設(shè)置】->【用戶管理】，點擊【新建】->【用戶組】第二十七頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)3）

添加用戶關(guān)聯(lián)到組，使用數(shù)字證書以及硬件特征碼認證。設(shè)置用戶名選擇所屬用戶組第二十八頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)4）

添加用戶關(guān)聯(lián)到組，使用用戶名密碼以及硬件特征碼認證。設(shè)置用戶名密碼選擇所屬用戶組第二十九頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)5）設(shè)置用戶與硬件特征碼的一一對應(yīng)關(guān)系，限制用戶只能在自己電腦登錄可設(shè)置范圍為1-100設(shè)置策略組名稱第三十頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)1.數(shù)字證書和硬件特征碼認證的用戶登錄訪問SSLVPN的過程：1）

將生成的數(shù)字證書發(fā)給移動用戶2）

移動用戶雙擊數(shù)字證書進行安裝，如下圖所示：填入生成證書時管理員設(shè)置的密鑰可以通過查看瀏覽器，檢查證書是否安裝成功表示安裝和導(dǎo)入證書成功第三十一頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)1.數(shù)字證書和硬件特征碼認證的用戶登錄訪問SSLVPN的過程：3）移動用戶通過IE瀏覽器登錄SSLVPN表示用戶認證成功第三十二頁，共三十八頁。SSL用戶認證案例學(xué)習(xí)2.用戶名密碼和硬件特征碼認證的用戶登錄訪問SSLVPN的過程：移動用戶通過IE瀏覽器登錄SSLVPN表示用戶認證成功第三十三頁，共三十八頁。練練手某客戶希望實現(xiàn)用戶登錄SSLVPN時，除了輸入自己的賬號和密碼，設(shè)備還能發(fā)一條短信，把校驗碼發(fā)到用戶的手機，用戶必須輸入校驗碼才能成功登錄。您有什么樣的方案能滿足客戶的需求呢？我們的建議：1、添加用戶組，設(shè)置用戶名密碼加短信認證2、添加用戶到用戶組，設(shè)置密碼和手機號碼第三十四頁，共三十八頁。1.請問以下圖片中為什么短信和數(shù)字證書是灰色的，是否需要開通相應(yīng)授權(quán)？

2.客戶已經(jīng)購買了一臺SSLVPN設(shè)備并且購買了短信貓，請問要如何配置才能使用短信認證？3.某客戶咨詢公司監(jiān)控室有3臺PC需要接入SSLVPN，監(jiān)控室有3個人，管理員想讓這三個人的SSLVPN賬號只能在監(jiān)控室3臺電腦上登錄，請問是否可以實現(xiàn)？怎樣實現(xiàn)的？問題思考第三十五頁，共三十八頁。第三十六頁，共三十八頁。神圣的工作在每個人的日常事務(wù)里，理想的前途在于一點一滴做起。創(chuàng)造性模仿不是人云亦云，而是超越和再創(chuàng)造。逆境給人寶貴的磨練機會。只有經(jīng)得起環(huán)境考驗的人，才能算是真正的強者。2023/5/52023/5/52023/5/52023/5/5所謂天才，只不過是把別人喝咖啡的功夫都用在工作上了。強烈的欲望也是非常重要的。人需要有強大的動力才能在好的職業(yè)中獲得成功。你必須在心中有非分之想，你必須盡力抓住那個機會?；茧y可以試驗一個人的品格，非常的境遇方才可以顯出非常的氣節(jié);風(fēng)平浪靜的海面，所有的船只都可以并驅(qū)競勝。命運的鐵拳擊中要害的時候，只有大勇大智的人才能夠處之泰然。不放過任何細節(jié)。2023/5/52023/5/52023/5/52023/5/5惟一持久的競爭優(yōu)勢，就是比你的競爭對手學(xué)習(xí)得更快的能力。把你的競爭對手視為對手而非敵人，將會更有益。一旦做出決定就不要拖延。任何事情想到就去做!立即行動!如果通用公司不能在某一個領(lǐng)域坐到第一或者第二把交椅，通用公司就會把它在這個領(lǐng)域的生意買掉或退出這個領(lǐng)域。我的宗旨一向是逐步穩(wěn)健發(fā)展，既不要靠聳人聽聞的利潤，也不要在市場不景氣時，突然有資金周轉(zhuǎn)不靈的威脅。05-5月-232023/5/5在艱難時期，企業(yè)要想獲得生存下去的機會，唯一的辦法就是保持一種始終面向外界的姿態(tài)。若想長期生存，僅有的途徑就是要使人人竭盡全力，千方百計讓下一代產(chǎn)品進入用戶家中。時間是一個偉大的作者，它會給每個人寫出完美的結(jié)局來。自始自終把人放在第一位，尊重員工是成功的關(guān)鍵。讓流程說話，流程是將說轉(zhuǎn)化為做的惟一出路。2023/5/52023/5/52023/5/5在一個崇高的目的支持下，不停地工作，即使慢，也一定會獲得成功。微軟離破產(chǎn)永遠只有18個月。堅持是一種智慧，固執(zhí)是一種死板。2023/5/52023/5/5命運是一件很不可思議的東西。雖人各有志，但往往在實現(xiàn)理想時，會遭遇到許多困難，反而會使自己走向與志趣相反的路，而一舉成功。一個管理者如果不了解其下屬的工作，那他就無法有效地管理他們。人們所認識到的是成功者往往經(jīng)歷了更多的失敗，只是他們從失敗中站起來并繼續(xù)向前。2023/5/52023/5/52023/5/5等待。我將要在這三塊基石上建立我成功的金字塔。千方百計請一個高招的專家醫(yī)生，還不如請一個隨叫隨到且價格便宜的江湖郎中。是員工養(yǎng)活了公司。2023/5/5能用他人智慧去完成自己工作的人是偉大的。不滿足讓客戶滿意，要追求讓客戶感動，創(chuàng)造客戶終身價值。新經(jīng)濟時代，不是大魚吃小魚，而是快魚吃慢魚。路是腳踏出來的，歷史是人寫出來的。人的每一步行動都在書寫自己的歷史。05五月20232023/5/52023/5/5差錯發(fā)生在細節(jié)，成功取決于系統(tǒng)。速度就是一切，它是競爭不可