深信服ipsec-VPN使用手冊(cè)

SSL5.5用戶手冊(cè)2012年3月

目錄TOC\o"1-5"\h\z\uSSL5.5用戶手冊(cè) 1聲明 3第1章控制臺(tái)的使用 41.1.登錄WebUI配置界面 41.2.運(yùn)行狀態(tài) 5第2章系統(tǒng)設(shè)置 6第3章IPSEC-VPN信息設(shè)置 73.1.運(yùn)行狀態(tài) 73.2.RIP設(shè)置 83.3.VPN接口 103.4.LDAP設(shè)置 103.5.Radius設(shè)置 133.6.生成證書 133.7.第三方對(duì)接 153.7.1.第一階段 153.7.2.第二階段 173.7.3.安全選項(xiàng) 19第4章SSLVPN客戶端使用 214.1.SSLVPN客戶端使用說明 25聲明Copyright?2012深圳市深信服電子科技有限公司及其許可者版權(quán)所有，保留一切權(quán)利。未經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本書內(nèi)容的部分或全部，并不得以任何形式傳播。SINFOR、SANGFOR及圖標(biāo)為深圳市深信服電子科技有限公司的商標(biāo)。對(duì)于本手冊(cè)出現(xiàn)的其他公司的商標(biāo)、產(chǎn)品標(biāo)識(shí)和商品名稱，由各自權(quán)利人擁有。除非另有約定，本手冊(cè)僅作為使用指導(dǎo)，本手冊(cè)中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。本手冊(cè)內(nèi)容如發(fā)生更改，恕不另行通知。如需要獲取最新手冊(cè)，請(qǐng)聯(lián)系深信服電子科技有限公司客戶服務(wù)部?？刂婆_(tái)的使用登錄WebUI配置界面按照前面所示方法接好線后，通過Web界面來配置VPN設(shè)備。方法如下：首先為本機(jī)器配置一個(gè)10.254.254.X網(wǎng)段的IP（如配置00），掩碼配置為，然后在IE瀏覽器中輸入網(wǎng)關(guān)的默認(rèn)登錄IP及端口，輸入http：//54:1000，頁(yè)面如下：在登錄框輸入『用戶名』和『密碼』，點(diǎn)擊登錄按鈕即可登錄VPN網(wǎng)關(guān)進(jìn)行配置，默認(rèn)情況下的用戶名和密碼均為：Admin。如果需要查看當(dāng)前網(wǎng)關(guān)的版本號(hào)，可點(diǎn)擊查看版本，即顯示當(dāng)前硬件的版本信息。登錄WebUI配置界面后，可以看到有以下配置內(nèi)容：如下圖所示：『運(yùn)行狀態(tài)』：此處可以查看當(dāng)前設(shè)備的運(yùn)行狀態(tài)?！合到y(tǒng)設(shè)置』：此處可設(shè)置設(shè)備的序列號(hào)、網(wǎng)絡(luò)配置及各種常見全局性配置?！篠SLVPN設(shè)置』：設(shè)置SSLVPN相關(guān)信息?！篒PSECVPN設(shè)置』：設(shè)置IPSECVPN互聯(lián)信息?！悍阑饓υO(shè)置』：設(shè)置設(shè)備內(nèi)置的防火墻規(guī)則及策略。『系統(tǒng)維護(hù)』：用來查看日志、備份/恢復(fù)設(shè)備的配置信息，重啟設(shè)備/服務(wù)或關(guān)閉設(shè)備。注意：所有配置界面中如果有[確定]、[保存]、[配置生效]按鈕，則配置完畢后，必須要點(diǎn)擊該按鈕才能使設(shè)置保存并生效，后面的文檔不再贅述。運(yùn)行狀態(tài)『SSLVPN運(yùn)行狀態(tài)』里面可以查看『系統(tǒng)狀態(tài)』，『在線用戶』，『告警日志』，『遠(yuǎn)程應(yīng)用』。界面如下圖所示：系統(tǒng)設(shè)置『系統(tǒng)設(shè)置』包含『系統(tǒng)配置』，『網(wǎng)絡(luò)配置』，『時(shí)間計(jì)劃』，『管理員賬號(hào)』，『SSLVPN選項(xiàng)』五個(gè)大模塊。如下圖：IPSEC-VPN信息設(shè)置運(yùn)行狀態(tài)此頁(yè)面可以查看當(dāng)前的VPN連接狀態(tài)和網(wǎng)絡(luò)流量信息。頁(yè)面如下：點(diǎn)擊分支NAT狀態(tài)可以查看當(dāng)前分支NAT狀態(tài)，包括用戶名、原子網(wǎng)網(wǎng)段、代理子網(wǎng)網(wǎng)段、網(wǎng)絡(luò)類型和子網(wǎng)掩碼。頁(yè)面如下：點(diǎn)擊查找用戶輸入用戶名，可以快速找到當(dāng)前用戶的連接情況。頁(yè)面如下：點(diǎn)擊顯示選項(xiàng)，可以對(duì)顯示的列進(jìn)行篩選。頁(yè)面如下：點(diǎn)擊停止服務(wù)可暫時(shí)停止VPN服務(wù)。然后在『用戶管理』新建用戶時(shí)，在『組播服務(wù)』里選擇剛定義好的組播服務(wù)。頁(yè)面如下：RIP設(shè)置用于設(shè)置SANGFORVPN設(shè)備通過RIPv2協(xié)議向其它路由設(shè)備通告路由信息，以實(shí)現(xiàn)內(nèi)網(wǎng)路由設(shè)備RIP路由信息的動(dòng)態(tài)更新。[啟用路由選擇信息協(xié)議]：是整個(gè)動(dòng)態(tài)路由更新功能的開關(guān)，激活后，SANGFORVPN設(shè)備會(huì)向所設(shè)置的內(nèi)網(wǎng)路由設(shè)備通告已與本端建立VPN連接的對(duì)端網(wǎng)絡(luò)的信息（更新其他設(shè)備的路由表，添加到VPN對(duì)端的路由指向SANGFORVPN設(shè)備，VPN連接斷開后會(huì)通告路由設(shè)備刪除該路由）。設(shè)備本身不接收RIP路由協(xié)議的動(dòng)態(tài)更新，VPN設(shè)備要跟其他啟用了RIP協(xié)議的內(nèi)網(wǎng)路由器通訊，則需要在VPN設(shè)備上手動(dòng)添加靜態(tài)路由。[啟用密碼驗(yàn)證]：用于設(shè)置交換RIPv2協(xié)議信息時(shí)需要驗(yàn)證的密碼，可視具體情況進(jìn)行設(shè)置。『IP地址』和『端口』：用于設(shè)置主動(dòng)向哪個(gè)IP（路由設(shè)備IP）發(fā)布路由更新信息。[需要觸發(fā)更新]：勾選后，VPN設(shè)備在路由信息有變化時(shí)會(huì)觸發(fā)路由更新信息過程，這時(shí)下面設(shè)置的RIP更新周期參數(shù)失效。[記錄日志]：勾選，則VPN設(shè)備會(huì)記錄RIP路由更新的日志信息。最后點(diǎn)擊確定保存配置。VPN接口VPN接口設(shè)置，用于設(shè)置VPN服務(wù)虛擬網(wǎng)卡IP。頁(yè)面如下：注意：默認(rèn)情況下請(qǐng)?jiān)O(shè)置為[使用自動(dòng)分配的VPN接口IP]，如果出現(xiàn)IP沖突的提示，可改為自定義IP并進(jìn)行設(shè)置。VPN接口是VPN硬件網(wǎng)關(guān)系統(tǒng)的虛擬接口，外觀上并不存在對(duì)應(yīng)的真實(shí)物理接口。LDAP設(shè)置SANGFORVPN設(shè)備的VPN服務(wù)支持使用第三方LDAP認(rèn)證。如需要啟用第三方認(rèn)證，請(qǐng)?jiān)凇篖DAP服務(wù)器設(shè)置』中正確設(shè)置第三方LDAP服務(wù)器信息（包括LDAP服務(wù)器IP、LDAP服務(wù)器端口、LDAP管理員密碼），頁(yè)面如下：其中，管理員名稱需使用域管理員帳號(hào)，并且填寫完整的格式，例如：“Administrator@”（不包括引號(hào)）設(shè)置好LDAP服務(wù)器信息后，請(qǐng)點(diǎn)擊高級(jí)，顯示【LDAP高級(jí)設(shè)置】對(duì)話框，按照實(shí)際需求設(shè)置LDAP高級(jí)信息，頁(yè)面如下：『用戶過濾參數(shù)』和『登錄名屬性』保留默認(rèn)值即可，填寫好用戶根目錄及查詢目錄（用戶接入校驗(yàn)時(shí)都是使用查詢目錄來查詢并校驗(yàn)的，只有有當(dāng)查詢目錄為空的時(shí)候才用根目錄，導(dǎo)入用戶的時(shí)候使用用戶根目錄來導(dǎo)入）。點(diǎn)擊測(cè)試，輸入一個(gè)域用戶名及密碼，如果測(cè)試通過，則LDAP配置正確，頁(yè)面如下：點(diǎn)確定完成配置。LDAP認(rèn)證僅支持微軟的AD和Novell的eDirectory兩種，OpenLDAP等暫不支持。Radius設(shè)置設(shè)置界面如下：填寫『Radius服務(wù)器IP』、『Radius服務(wù)器端口』、『認(rèn)證共享密鑰』和『Radius認(rèn)證協(xié)議』。勾選[啟用Radius認(rèn)證]即可。生成證書基于硬件特性的證書認(rèn)證系統(tǒng)是深信服公司的發(fā)明專利之一。SANGFORSSLVPN硬件設(shè)備和SANGFORDLANVPN軟件一樣，都采用了該技術(shù)用于不同VPN節(jié)點(diǎn)之間的身份認(rèn)證。該證書提取了SSLVPN設(shè)備或安裝DLANVPN軟件的計(jì)算機(jī)的部分硬件特性（如網(wǎng)卡、硬盤等）生成加密的認(rèn)證證書。由于硬件特性的唯一性，使得該證書也是唯一的、不可偽造的。通過對(duì)該硬件特性的驗(yàn)證，就保障了只有指定的硬件設(shè)備才能接入授權(quán)的網(wǎng)絡(luò)，避免了安全隱患。頁(yè)面如下：點(diǎn)擊生成證書，選擇證書保存路徑，點(diǎn)擊保存即可。證書保存到本地后，還需要將該證書通過某種方式（如電子郵件或U盤等）提供給需要接入的站點(diǎn)管理員，由該站點(diǎn)管理員將證書與用戶名綁定（即在總部建用戶時(shí)，啟用硬件捆綁鑒權(quán)，詳見5.4章節(jié)）。以后該用入接入總部時(shí)，會(huì)自動(dòng)驗(yàn)證接入的計(jì)算機(jī)身份的合法性。第三方對(duì)接SANGFORVPN硬件網(wǎng)關(guān)提供了與第三方VPN設(shè)備互聯(lián)的功能，能與第三方的標(biāo)準(zhǔn)IPSECVPN設(shè)備建立VPN連接。第一階段『第一階段』用于設(shè)置需要與SANGFORVPN網(wǎng)關(guān)建立標(biāo)準(zhǔn)IPSec連接的對(duì)端VPN設(shè)備的相關(guān)信息，也就是標(biāo)準(zhǔn)IPSec協(xié)議協(xié)商的第一階段。頁(yè)面如下：選擇線路出口，點(diǎn)擊新增，顯示『設(shè)備列表設(shè)置』對(duì)話框，頁(yè)面如下：點(diǎn)擊高級(jí)，顯示『高級(jí)選項(xiàng)』對(duì)話框，可進(jìn)行其它高級(jí)設(shè)置，頁(yè)面如下：第二階段第二階段主要配置VPN的『入站策略』和『出站策略』，如下圖：『入站策略』用于設(shè)置由對(duì)端發(fā)到本端的數(shù)據(jù)包規(guī)則，點(diǎn)擊新增，顯示【策略設(shè)置】對(duì)話框，頁(yè)面如下：『出站策略』用于設(shè)置從本端發(fā)往對(duì)端的數(shù)據(jù)包規(guī)則，點(diǎn)擊新增，顯示【策略設(shè)置】對(duì)話框，頁(yè)面如下：安全選項(xiàng)『安全選項(xiàng)』用于設(shè)置與對(duì)端建立標(biāo)準(zhǔn)IPSec連接時(shí)所使用的安全參數(shù)。頁(yè)面如下：在建立與第三方設(shè)備的IPSec連接前，請(qǐng)先確定對(duì)端設(shè)備采用何種連接策略，包括：使用的『協(xié)議』（AH或ESP）、『認(rèn)證算法』（MD5或SHA-1）、『加密算法』（DES、3DES、AES），點(diǎn)擊新增，添加新的選項(xiàng)，頁(yè)面如下：SANGFORVPN網(wǎng)關(guān)會(huì)使用設(shè)置好的連接策略與對(duì)端協(xié)商建立IPSec連接?！喊踩x項(xiàng)』中的『加密算法』用于設(shè)置標(biāo)準(zhǔn)IPSec連接的第二階段所使用的數(shù)據(jù)加密算法，如果要與多個(gè)采用不同連接策略的設(shè)備互聯(lián)，需要分別將各個(gè)設(shè)備使用的連接策略添加到『安全選項(xiàng)』中。『出站策略』和『入站策略』中策略所對(duì)應(yīng)的源IP地址是指『源IP類型』和『本/對(duì)端服務(wù)』。注意：『出站策略』和『入站策略』中的『出站服務(wù)』、『入站服務(wù)』和『時(shí)間設(shè)置』均為SANGFOR擴(kuò)展的規(guī)則，此類規(guī)則僅在本端設(shè)備生效，在與第三方設(shè)備建立VPN連接的過程中不會(huì)協(xié)商此類規(guī)則。SSLVPN客戶端使用輸入用戶名密碼及校驗(yàn)碼后，點(diǎn)擊登錄，即可登陸SSLVPN?！鹤C書登錄』連接用于數(shù)字證書認(rèn)證用戶登錄（數(shù)字證書手動(dòng)安裝在IE上的用戶）?！篣SB-Key登錄』用于使用USB-Key認(rèn)證的用戶登錄（包括有驅(qū)USB-Key和無(wú)驅(qū)USB-Key）。登錄成功后會(huì)出現(xiàn)SSLVPN資源列表界面如下：界面會(huì)顯示該SSLVPN用戶可用的SSLVPN內(nèi)網(wǎng)資源列表，對(duì)于Web類型或B/S結(jié)構(gòu)的資源，直接點(diǎn)擊資源列表中的超鏈接即可訪問，對(duì)于其它C/S結(jié)構(gòu)的資源，則可直接打開Client客戶端，通過連接服務(wù)器的內(nèi)網(wǎng)IP來訪問。如果登錄SSLVPN的用戶需要訪問總部定義好的『TCP應(yīng)用』和『L3VPN應(yīng)用』，則登錄成功后，會(huì)自動(dòng)安裝控件或者需要點(diǎn)擊啟用TCP服務(wù)控件和啟用L3VPN服務(wù)控件，如下圖所示：注：若在『系統(tǒng)設(shè)置』→『SSLVPN選項(xiàng)』→『系統(tǒng)選項(xiàng)』→『客戶端選項(xiàng)』，勾選了用戶登錄后，自動(dòng)安裝TCP、L3VPN應(yīng)用組件，那么SSL客戶端登陸時(shí)，會(huì)自動(dòng)安裝上述兩個(gè)組件。若沒有勾選，則需要在上述頁(yè)面手動(dòng)安裝。如下圖：至此，完成了一次SSLVPN用戶登陸的過程。需要退出SSLVPN時(shí)，點(diǎn)擊右上角的注銷按鈕，即可安全退出SSLVPN。注銷之后，用戶將不能訪問SSLVPN的資源。資源列表上方的設(shè)置按鈕，可讓用戶自行修改密碼，界面如下：點(diǎn)擊[修改]，如下圖所示：修改后，點(diǎn)擊保存即可成功修改用戶的登錄密碼。『系統(tǒng)設(shè)置』下，顯示的內(nèi)容與SSLVPN配置有關(guān)，請(qǐng)以實(shí)際顯示的為準(zhǔn)。對(duì)于使用USB-KEY的用戶登錄SSLVPN的過程，和普通用戶登錄稍有不同。USB-KEY用戶登錄時(shí)，打開瀏覽器輸入SSLVPN登錄網(wǎng)址，在登錄界面處，插入U(xiǎn)SB-Key，點(diǎn)擊USB-KEY登錄即進(jìn)入U(xiǎn)SB-KEY用戶的登錄界面，（或前面直接取消修改PIN的操作），界面如下：輸入用戶USB-Key的PIN碼，設(shè)備會(huì)自動(dòng)校驗(yàn)客戶端信息，校驗(yàn)成功能，即遠(yuǎn)成SSLVPN客戶端登陸。USB-Key用戶登錄后，點(diǎn)擊資源列表上方的設(shè)置按鈕，可讓用戶自行修改密碼和USB-Key的PIN碼，界面如下：點(diǎn)擊修改，如下圖所示：輸入[舊PIN碼]和[新PIN碼]，點(diǎn)擊保存即修改成功。注意：登錄SSLVPN之后，如果相隔一段時(shí)間，沒有訪問SSLVPN內(nèi)網(wǎng)資源，或者客戶端這邊沒有任何操作，SSLVPN會(huì)超時(shí)，自動(dòng)注銷。超時(shí)時(shí)間設(shè)置請(qǐng)參考4.5章節(jié)。SSLVPN客戶端使用說明用戶通過IE登陸了SSLVPN后，會(huì)自動(dòng)在電腦上安裝SSLVPN客戶端組件。在『系統(tǒng)設(shè)置』→『SSLVPN選項(xiàng)』→『系統(tǒng)選項(xiàng)』→『客戶端選項(xiàng)』。可選擇[由用戶手動(dòng)安裝組件]或[自動(dòng)安裝組件]。若選擇為手動(dòng)安裝，則在登陸時(shí)，會(huì)提示：點(diǎn)擊安裝硬件特征碼組件，彈出如下圖提示：點(diǎn)擊安裝，彈出如下初始化下載、安裝界面：下載并安裝完成后，在開始->程序下可以找到如下目錄：在安裝SSLVPN組件的過程中，請(qǐng)先關(guān)閉本機(jī)的防火墻及殺毒軟件，否則可能會(huì)安裝不成功。選擇[啟動(dòng)客戶端]，即打開SSLVPN客戶端程序，如下圖：在『SSLVPN地址』中輸入連接VPN的地址，點(diǎn)擊連接，彈出【登錄SSLVPN】對(duì)話框。若為用戶名密碼登錄，則選擇【賬號(hào)】，并在用戶名和密碼框中填入對(duì)應(yīng)的“用戶名”和“密碼”。如下圖：如果需要，用戶可以勾選[記住密碼]和[自動(dòng)登陸]，那么下次點(diǎn)開SSLVPN客戶端，不需再輸一次地址和用戶名密碼，將自動(dòng)連接到SSLVPN。該項(xiàng)選擇需要在設(shè)備上進(jìn)行相應(yīng)的配置，具體可參考章節(jié)。若為證書登陸，則選