奕锐云接入安全系统-奕锐电子.docVIP

奕锐云安全接入系统 快速配置指南 杭州奕锐电子有限公司 2017-5-10 目 录 一、概述 3 1.1 硬件网关缺省配置 3 1.2 云端系统注意项 3 二、 系统快速配置实例 3 2.1 首次登陆WEB管理界面 3 2.2 配置安全管理员、审计员 4 2.3 进入安全管理员的管理界面 5 2.4 配置“IP/路由”（云端系统略过此步骤） 6 2.5 配置“系统设置” 7 2.6 启停VPN服务 8 2.7 配置“隧道设置-客户端” 8 2.8 配置“隧道设置-网关” 10 2.9 配置“隧道设置-访问策略” 10 三、 客户端配置 11 一、概述 1.1 硬件网关缺省配置 IP地址：33/24 WEB管理地址：33 （推荐使用谷歌浏览器） WEB登陆：系统管理员（username：admin password：etapublic） 1.2 云端系统注意项 注意：需要在华为云控制台中，在VPN虚拟主机的安全组设置中增加规则tcp 443（web管理端口）, udp 25500端口（VPN数据端口），否则在外网无法web管理系统。 系统快速配置实例 2.1 首次登陆WEB管理界面 使用一台配置机与硬件客户端网络直连或者通过交换机，配置机IP地址配置成/24，如1.2节所示。（云端系统忽略此步骤） 登陆web管理界面 33（或者ECS公网地址） 用户名：admin 缺省密码：etapublic 首次登陆界面后，需要修改缺省口令： 2.2 配置安全管理员、审计员 用新口令再次登陆系统管理员管理界面，在“用户管理”菜单中，为安全系统增加“安全管理员”与“安全审计员” 创建完成后，退出登录。 2.3 进入安全管理员的管理界面 使用安全管理员登陆管理界面 2.4 配置“IP/路由”（云端系统略过此步骤） 点击网卡编号，修改IP地址： 点击“保存”后，IP地址立即生效，需要用新的IP地址登陆web管理界面。 配置路由，下图中示例配置缺省路由地址： 2.5 配置“系统设置” 菜单“系统设置”中的必填项目： （1）服务端外网IP地址：填入映射后对外的IP地址（或者可以理解为客户端的连接地址） （2）客户端虚拟IP池：该网段地址是分配到客户端的虚拟IP池，原则上不与客户端本地网段与云端真实网段冲突（如：/) （3）系统激活文件：用户向厂商提供设备序列号（在系统状态菜单中可以查看序列号），厂商根据该序列号生成测试或者正式的license文件（文件名：licence.lic)给用户。选择该文件后，提交配置，即可激活VPN系统。 点击“提交”后，可通过查看“系统状态”菜单中的“系统激活状态”是否激活系统。 2.6 启停VPN服务 菜单“隧道设置” 修改过2.5节系统设置后，需要启停VPN服务才能生效，先关闭VPN服务，然后再开启VPN服务： 2.7 配置“隧道设置-客户端” 客户端开户过程：用户名、密码，然后在动作设置中点击“允许”，如下图所示： 在“访问策略”中，设置客户端访问策略，指定策略方向、客户端白名单、客户端访问网段等，如下图所示： 2.8 配置“隧道设置-网关” 该菜单是针对奕锐线下硬件网关设备（无硬件设备，则忽略此菜单相关设置），具体参考《奕锐云安全接入系统硬件客户端快速配置指南.pdf》手册。 2.9 配置“隧道设置-访问策略” 访问策略设置要素 详细 模式选择 软件客户端-云端VPN保护网段； 硬件网关-云端VPN保护网段； 软件客户端-硬件网关保护网段。 选择谁要通过VPN访问 （1）软件客户端 （2）硬件网关 选择需要访问什么网段 自定义网段规则，以下都是正常写法： / /55 客户端配置 下文以windows客户端为例，安装好客户端后，新建连接，如下图所示： 两种认证方式，一种是用户名、口令方式，另外一种可以捆绑机器码，如下图所示： 系统缺省是用户名、口令方式，如果需要机器码，则需要在后台web管理上调整相关配置，如下图所示： 客户端中的“接入端口”一般有两种情况： “接入端口”与“2.5节”中配置的“接入端口”保持一致； 如果在云环境中使用了负载均衡产品，“接入端口”与负载均衡的外部映射端口保持一致； 奕锐云接入系统 3