18-高级SCVPN配置.pptVIP

小结 ※ 在本章中讲述了以下内容： ※ 基本的SCVPN配置 ※ 配置SCVPN主机绑定限定登录主机 ※ 配置基于USB令牌认证的SCVPN ※ 结合Role策略实现SCVPN细粒度访问控制 ※ 主机检测机自动链路选择 蔗措庸姓氛嵌氏吃黄暮迪蛆蝉界嚣届务蜜竹驱唬尖写牵七肾翰瓷巢妄驭戏18-高级SCVPN配置18-高级SCVPN配置 问题 1、SCVPN使用什么协议？默认端口是什么？ 2、SCVPN和传统的基于IPSEC客户端软件方式VPN有什么区别？ 3、主机绑定功能以哪些信息确定一台主机？ 4、SCVPN实例中主机检测配置的“角色”和“访客角色”分别代表什么含意？ 5、就近性检测有哪些方式？请描述具体实现方式。 鸽秒资巧幸撰孵瘩季帆簧胖围砰地捕恭盲挽豹泊冲庚撼搀速舆贞滚兵疹级18-高级SCVPN配置18-高级SCVPN配置 THANKS! 伦芽绣汲眠诧冕仕堕王待冰刀过针砖诧怪冀捌择龟聂亢改篡听莆契纷睦横18-高级SCVPN配置18-高级SCVPN配置 SCVPN客户端程序为DigitalChina Secure Connect，用户可以通过浏览器下载该客户端。DigitalChina Secure Connect可在以下操作中运行：Windows 2000/2003/XP/Vista。通过客户端与设备端的连接，即可实现数据的机密通信。 不同型号的安全网关默认情况下支持的同时在线最大VPN客户端数目不同，如果想要增加支持的客户端数，请单独购买许可! 为安全网关配置地址池后，当客户端连接SCVPN设备端成功后，设备端会从地址池里取出一个地址分配给客户端。如果需要指定SCVPN接入客户端优先使用SCVPN所获得DNS或WINS，则需要在此指定。 Tunnel接口的IP地址必须与SCVPN地址池中的IP地址在同一个网段，且不能包括在地址池内。 Tunnel接口的IP地址必须与SCVPN地址池中的IP地址在同一个网段，且不能包括在地址池内。 主机验证功能是指SCVPN实例对运行SCVPN客户端的主机进行验证。用户在PC上通过SCVPN客户端登陆时，客户端先收集主机的主板序列号、硬盘序列号、CPU ID和BIOS序列号，然后客户端对这些信息进行MD5运算，生成一个32位的字符串，即主机ID。之后，客户端将主机ID以及用户名密码信息发送到SCVPN设备端进行认证。SCVPN设备端根据候选表和绑定表中记录表像以及主机验证配置进行验证。 默认情况下，设备端的主机验证功能处于关闭状态。 SCVPN设备端根据候选表和绑定表中记录表象以及主机验证配置进行验证。 候选表和绑定表描述如下： 候选表：金额护短首次登陆时，SCVPN设备端会记录用户名和主机ID的对应关系，并加入候选表中。 绑定表：绑定表中包含允许验证通过的主机ID与用户名对应关系的表项。用户可以通过手工操作或者首次 登陆自动批准方式把候选表中的表项移入绑定表中。客户端登陆时，SCVPN设备端会先检查绑定表中是否 有该主机ID与用户名的对应关系表项，如果有，则通过主机验证，继续进行用户名密码验证；如果没有， 则直接终端SSL通讯过程。 超级用户不受主机验证功能限制，可以通过任意主机登录。在任意模式下使用以下命令配置候选表或者绑定表中的用户为超级用户。 通过共享主机登录的用户不受主机验证功能限制。 主机检测功能是指SCVPN实例对运行SCVPN客户端主机的安全状况进行检测，通过检查客户端主机的操作系统、IE版本以及特定软件的安装情况等因素来评估客户端主机的安全级别，并根据不同安全级别为客户端分配不同的资源访问权限，保证SCVPN接入的安全性。 角色：指定用户的初级角色，该初级角色为AAA服务器中已配置的用户角色。如果哦诶之该参数，该主机安全检测Profile对该指定角色有效，如通过主机检测，登陆用户获得该角色 “缺省”表示该主机安全检测Profile对所有用户均有效，如通过主机检测，登陆用户根据角色映射规则获取到相应角色。 Profile：指定绑定的主机安全检测Profile名称。 访客角色：指定用户的次级角色，当客户端的主机检测失败时，如果配置该参数，用户将获得该次级角色；如果不配置该参数，系统将断开该客户端连接 周期检测：指定该用户的自动检测周期。单位为分钟，取值范围是为5到1440分钟，默认值为30分钟。 SCVPN设备端具备多条不同的ISP上网线路时，可以启用相应数目的设备端外网接口作为SCVPN通道出接口。当客户端使用不同的ISP上网线路访问总部资源时，如果开启了设备端检测最优通道功能，设备端安全网关会通过客户端的源接入地址通过ISP路由表判断其ISP类型，根据判断，将所有的SCVPN出接口IP地址按照优先级重新排序并下发客户端，与客户端地址同ISP