51CTO-No1_ArraySPX操作手册_基本配置.doc

Array SPX工程安装配置手册 简介和基本功能配置部分 (一)概述 2 前言 2 SSL VPN简介 2 SSL VPN 网络拓扑 2 Array SPX设备配置概述 4 (二)SPX 设备基本配置 5 Array SPX的配置管理方式 5 SPX系列产品外观指示灯介绍 5 SPX 的几种配置模式 6 webUI基本介绍 7 浏览器的版本 7 登陆webUI的过程 7 设备硬件信息、OS版本及License管理 9 SPX设备基本信息配置 10 配置主机名： 11 配置端口IP地址: 11 配置路由： 12 测试网络联通情况 14 配置域名服务器 14 时区、时间配置 15 保存配置 16 查看配置 17 清除配置 18 导入配置 19 升级系统版本 20 重新启动设备、系统关机 21 更改用户口令和enable口令 22 概述 前言 在目前各类VPN产品中，SSL VPN正以它的独特优势占据了市场中的主导位置，Array Networks公司是一家专注于开发SSL VPN的厂商。本文力图简洁明了的介绍Array Networks公司的SSL VPN产品：SPX系列的主要部署结构，建立SPX的大致流程以及它的基本配置命令。 SSL VPN简介 SSL VPN是采用SSL 技术的一种VPN产品，适用于Client to Site的安全接入方式。SSL 技术是位于TCP之上的协议，具有数字证书身份验证，数据加密等安全手段。在实现VPN访问内部应用时主要采用 Proxy 、Application Translation 、Network Extension 等技术手段实现。 用户通过SSL VPN访问内部应用系统，必须先用HTTPS协议登陆到SSL VPN网关提供的SSL VPN门户站点，我们称之为Virtual Site，Array 的SPX系列单台设备可以配置多个Virtual Site ，具体数量视license而定。 一般情况下，在数据中心的网络边缘放置SSL VPN网关，如Array Networks SPX 系列产品。客户端要访问内部应用服务器，必须通过SSL VPN网关，其过程是先用标准浏览器如IE、Netscape等登陆SSL VPN网关，登陆使用的协议是HTTPS，底层是采用了具有加密算法的SSL 协议。登陆SSL VPN是需要经过用户认证、授权、审计的。登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S还是C/S结构，都能够得到非常好的支持，访问过程中的数据传输都是经过加密处理的，同时是经过SSL VPN授权允许和审计的。 SSL VPN 网络拓扑 SSL VPN网关设备，Array 称之为SPX系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他安全产品一起为数据中心提供安全防护。 Array 的SSL VPN网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓扑结构，只需一个接口接到防火墙或交换机上，具有方便部署的特点。双臂结构，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂结构具有良好的网络吞吐量。 SSL VPN的工作流程是一个Proxy（代理）架构，所以考虑拓扑结构时，要满足两点：1) 客户端机器要能访问Virtual Site IP地址；2) SPX设备要能够访问内部各个服务器各个应用。若中间有防火墙等过滤设备，一定要打开相应端口。如在客户端和Virtual Site之间的防火墙要打开HTTPS访问，典型如TCP 443端口。SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。 上图是一个典型的双臂结构，outside 端口连接外网路由器或防火墙，端口地址为；inside接口连接内部交换机，端口地址为。在SPX设备上的Virtual Site地址为 ，为内部IP地址，在internet上的客户端要能访问，前面的防火墙或路由器还要做NAT转换，如 － 。当然，Virtual Site地址也可以直接配置成公网地址，这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。 上图是典型的单臂结构，SPX设备只需一个接口连接防火墙、路由器或者是交换机。接口IP为，Virtual Site 地址为，需要NAT设备作转换：如 － 。当然，Virtual Site地址也可以直接配置成公网地址，这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。 重复一下，无论是单臂还是双臂，无论多么复杂的拓扑结构，中间有什么样的网络设备，都需要满足两点：1) 客户端机器要能访问到Virtual Site IP地址；2) SPX设备要能够访问内部各个