神州数码防火墙讲解PPT-18-高级SCVPN配置.pptx

高级SCVPN配置;通过完成此章节课程，您将可以： 掌握基本的SCVPN配置 配置SCVPN主机绑定限制登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现SCVPN细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道 ; 基本SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道;※ 为解决远程用户安全访问私网数据的问题，神州数码多核墙提供基于SSL的远程登录解决方案-Secure Connect VPN，简称SCVPN。;配置SCVPN，步骤包括： 第一步，配置SCVPN地址池 第二步，配置SCVPN实例 第三步，配置Tunnel接口 第四步，配置访问策略 ;※ 地址池配置 SCVPN地址池：配置分配给客户端的地址池;※ SCVPN实例配置(WebUI)：SCVPNSCVPN实例 ;※ Tunnel接口配置： 网络接口 新建隧道接口;※ 配置tunnel绑定安全域配置策略 防火墙策略 新建SCVPN访问策略 ;SCVPN状态 可以查看已登陆用户信息或者强制某用户下线 CLI： DCFW-1800# show scvpn client scvpn total user number 1 =================================================================== User Name Type State Private IP Public IP Login Time -------------------------------------------------------------------------------- zhujya CLIENT UP 2 1 Sun Jul 11 11:04:55 2010 ==================================================================;掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道;VPNSCVPN配置编辑 编辑SCVPN实例，开启“主机绑定检查”，并根据需求选择是 否启用“允许多个主机”、“允许共享主机”或“用户初次绑定自 动批准”;SCVPN主机绑定候选列表 如果启用了“主机绑定检查”功能且未开启“用户初次绑定自动批准”，则所 有未绑定过的主机在登陆时会在候选表中建立一个条目，只有管理员绑 定之后，才可以通过该主机登陆。 SCVPN主机绑定绑定列表 位于绑定表里的主机尅有登陆，如需删除绑定条目，可以点击删除按钮 删除一条绑定表或者删除某一用户绑定的所有绑定表。;SCVPN主机绑定高级配置 可以根据需要配置“超级用户”或者设置“共享主机” ;掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道;用户PKI信任域 点击新建一个信任域，选择为“手动输入”方式，并将服务器根证书导入 安全网关。 SCVPNSCVPN实例 完成基本SCVPN配置后，并开启“客户端证书认证”，同时指定“客户端信 任域”为上述新建信任域 ;导入客户端证书到USB-Key，安装USR-Key管理工具“DigitalChinaUKeyAdm.exe”，导入客户端证书 ;掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道;用户角色 新建角色，以用于策略调用，创建角色映射以来实现用户到 角色的对应。一个认证服务器对应一个角色映射规则。 ;用户AAA服务器 绑定角色映射规则到AAA服务器 防火墙策略 新建SCVPN访问策略，可通过角色实现基于用户的访问控制 ;掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道;SCVPN主机检测 点击新建创建主机检测Profile并配置检测条目 ;SCVPNSCVPN实例 编辑SCVPN实例并添加主机检测 ;掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合