华盾sslVPN用户手册.docVIP

华盾SSL VPN网关 用户手册 北京东方华盾信息技术有限公司 二00五年九月 目录 系统简介 1 1.1典型部署方式 1 1.2 华盾SSL网关的访问控制体系 2 1.3 系统硬件 4 1.4系统默认参数设置 6 1.5 建立远程连接 6 系统WEB界面 8 2.1 系统主界面 8 2.2系统菜单 9 系统配置 12 3.1 系统 接口 12 3.2 系统 系统信息 13 3.3 系统 安全 14 3.4 系统 升级 16 3.5 系统 备份 18 3.6 系统 工具 20 3.7 系统 许可 21 管理员帐号管理 22 4.1管理员设置 22 4.2锁定管理员账号 27 证书管理 28 5.1可信 CA 28 5.2网关证书 30 5.3 证书请求 33 认证服务器 35 6.1 添加新的认证服务器 36 6.2 管理认证服务器 39 用户管理 41 7.1 管理用户组 41 7.2 管理用户 44 7.3管理锁定用户 49 服务管理 50 8.1 添加新服务 50 8.2服务列表 53 8.3 客户端应用 56 角色管理 58 9.1 添加新角色 58 日志管理 61 10.1日志设置 61 10.2查询日志 61 系统管理与监控 65 11.1 监控 监控对象 65 11.2 监控 在线用户 66 11.3 监控 设置系统时间 66 11.4 监控 系统监控图表 67 11.5监控 服务监控图表 69 11.6 监控 Top N 70 客户端策略 72 12.1客户端策略规则 72 12.2 客户端策略 74 访问限制规则 77 13.1 添加新的ARL 78 13.2查询ARL 79 附录A：终端用户远程访问 80 系统简介 华盾SSL网关是一款基于SSL 协议的无客户端VPN，提供了远程访问的安全解决方案。通过华盾SSL网关，无需客户端软件，家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。华盾SSL网关数据加密提供安全实现了良好的加密和认证功能，/TLS 协议保证数据在传输过程中的加密和解密。 VNC、文件共享、SSH、HTTPS、Oracle 、Exchange/Outlook、Lotus Notes和 MySQL等。华盾SSL网关 还支持多端口应用。 除内部认证外，华盾SSL网关支持使用Radius、LDAP或Windows AD服务器来认证终端用户。通过这些认证服务器，系统管理员只需为一个企业维护一个用户认证基础设施即可。用户认证方式包括使用用户名/口令，一次性口令，认证证书以及验证码等。 1.1典型部署方式 华盾SSL网关有两种典型部署方式：旁路模式和在线模式。可参见下面的华盾SSL网关典型布局结构图示。所有来自因特网的应用数据都需要通过华盾SSL网关的保护才能够进入企业内部网络，以此来阻止消息窃听、消息重放、不合法登录等攻击。 旁路模式 在线模式 由于华盾SSL网关WEB的用户界面，因此所有用户均可通过浏览器进行访问，终端用户可以有多种方式接入Internet，如直接接入因特网、通过防火墙接入、通过无线接入点接入等。 华盾SSL网关不仅能保护Web应用，还能够保护基于TCP/UDP的C/S应用，如文件共享、网络邻居、FTP、Telnet、Oracle等。 1.2 华盾SSL网关的访问控制体系 华盾SSL网关采用基于角色的访问控制体系，如下图所示： 如图所示，角色是系统中用户和服务之间沟通的枢纽，用户成功登录后，系统将用户分配给角色，然后针对角色进行授权。 角色控制了用户组和用户在系统对服务或应用的访问权限。角色、用户/用户组、服务三者之间的相互关系可以概括为： 为角色定义可以访问的一个或多个服务； 将用户/用户组分配给相应的角色，一个用户/用户组可以分配给多个角色，每个角色包含多个用户/用户组； 针对每一个服务，设定可以访问服务的角色； 关于如何在华盾SSL网关上建立起合理的访问控制体系，可参照手册第7、8、9章。 1.3 系统硬件 1.3.1 华盾 前面板简介 接口 功能描述 监控串口 华盾SSL网关CONSOLE 口，用超级终端连接后可以对系统进行设置。 FE0 - FE3 FE0 - FE3是华盾SSL网关10/100M 自适应以太网接口，分别对应逻辑接口eth0-eth3。 电源指示灯 起电源指示作用：当启动机器后，电源指示灯亮起，关闭机器后，电源指示灯关闭。 读写指示灯 起系统读写指示作用：系统当前处于读/写数据状态时，读写灯指示闪烁。 后面板简介 接口 功能描述 交流电源输入 用于将交流电源引入华盾SSL网关110~230伏电压。 电源开关 散热风扇 华盾SSL网关 1.3.2 华盾 前面板