网神SSLVPN产品-1教程解读.pptVIP

列出该产品功能关键指标，并进行说明 * 在线模式适合应用保护解决方案，在这种模式下，所有的用户访问应用业务都需要经过VPN，这样VPN 可以对访问应用业务的用户进行认证、授权、访问控制和审计管理，对应用业务实现保护。 * 旁路模式适合远程接入解决方案，在这种模式下，内部网络用户访问应用业务无需经过VPN，可以提高访问的效率，外部用户访问应用业务则可以通过VPN 实现，这样即保护了外部用户访问应用业务的安全，避免应用业务被互联网用户直接访问带来的安全问题，同时也能够满足内部用户访问应用的便捷性。 * * SITE2SITE功能实现两个网段通过专有通道实现安全连通。 * 典型应用场景-多ISP 结合具体的国情，提供多个外网接口。可分别配置为不同运营商提供的IP地址。 方便终端用户从不同运营商线路接入系统时，由客户端组件计算选择较好的链路进行连接，保证客户端的连接速度，保证用户使用体验的质量。 产品部署模式 端到端的连接 Site to Site功能实现两个网段通过专有通道实现安全连通。比较适合于公司分支结构通过Site to Site的连接安全接入公司总部中，实现资源安全互相访问。 产品部署模式 代理（Proxy）工作模式 用户应用程序 Proxy 127.0.0.x:port :80 a.b.c.d:443 用户应用程序知道连接的是本机的端口；但是它不关心这个 Proxy自动将用户应用程序到应用服务器的连接捕获转到本地端口 Proxy直接传递的是应用层的数据，所以可以解析高层协议 Proxy需要暴露的端口信息更少，更能够支持高级协议嵌入 工作模式 产品工作模式 NC（network connect）工作模式 用户相当于在直接在本地访问内部数据 NC原理 在客户端安装虚拟网卡，添加NC路由； 通过SSL协议来承载IP报文 客户端数据流向： 客户端访问应用的IP报文通过被添加的NC路由被送向虚拟网卡； 虚拟网卡将IP报文截获并重新发向SSL层进行处理； 加入SSL头的IP报文作为一个独立的应用数据传向真实网卡； 管理端数据流向： 真实网卡获得客户端传来的数据 数据一层层解包，到SSL层解开得到客户应用数据的IP包； 该IP包被转交给管理端的虚拟网卡，并通过虚拟网卡转交给管理端上的 对应的真实接口传送出去； 工作模式 网关互联Site2Site原理 模拟IPSec的端到端; 和IPSec的区别：用SSL层而不是IP层来承载IP包； 和NC服务的异同： 都利用NC连接在SSL层承载IP包 NC服务是PC到SSL VPN设备之间的连接， 而Site2Site是在两台SSL VPN设 备之间建立NC连接。 总结：利用NC的原理，将NC客户端的PC机换成SSL VPN设备，就构成了Site2Site功能。 目 录 SSL VPN背景与基本原理介绍 网神SSL VPN的特点 网神SSL VPN部署方式，业务模式 SSL VPN的配置操作 步骤1：使用交叉网线，将管理计算机连接到管理网口。 管理网口指：网神SecSSL GE0口 步骤2：将管理计算机的IP地址设置为与管理网口IP地址同一网段。 管理网口IP地址缺省为00，所以，可设置管理计算机IP地址为“192.168.1.XXX”。例如，可设置管理计算机的IP地址为“1”，子网掩码为“”。 步骤3：在管理计算机的Web浏览器中，输入“00 /admin/”。 步骤4：在“用户名”中输入“admin”，在“密码”中输入“admin”。 步骤5：单击“登录”，系统显示SecSSL 3600主界面。 设备登录 HA配置 第一步，HA基本配置。两台设备都需要操作。 HA配置 第二步，添加业务地址。两台设备都需要操作。 第三步，启动双机，同步配置。只需主设备进行操作。 HA配置 代理模式配置 第一步，配置接口地址。注意配置接口路由。 第二步，配置应用发布。 代理模式配置 第三步，建立用户帐号。 代理模式配置 第四步，创建用户组。注意，策略只对用户组有效。 代理模式配置 第五步，建立策略，关联用户组与发布的应用。 代理模式配置 NC模式配置 第一步，配置接口地址。注意配置接口路由。 NC模式配置 第二步，发布业务，注意选择NC模式。可选择性开启虚拟安全桌面 NC模式配置 第三步，NC配置。1 设置NC地址池。2 开启ARP代理。 3 NC配置关联用户组 NC模式配置 第四步，添加用户，用户组。策略关联。此步骤与代理械无异，具体操作参照代理模式。 NC模式配置 第五步，安全桌面策略（可选项）。 NC模式配置 第六步，NAT配置。NC模式必须要有这个配置。