No1ArraySP操作手册基本配置.docx

1 1 Array SPX 工程安装配置手册 简介和根本功能配置局部 一、(一)概述 1 前言 1 SSL VPN 简介 2 SSL VPN 网络拓扑 2 Array SPX 设备配置概述 4 二、(二)SPX 设备根本配置 5 Array SPX 的配置治理方式 5 SPX 系列产品外观指示灯介绍 5 SPX 的几种配置模式 6 webUI 根本介绍 7 扫瞄器的版本 7 登陆 webUI 的过程 7 设备硬件信息、OS 版本及 License 治理 9 SPX 设备根本信息配置 10 配置主机名： 11 配置端口 IP 地址: 11 配置路由： 12 测试网络联通状况 14 配置域名效劳器 14 时区、时间配置 15 保存配置 16 查看配置 17 去除配置 18 导入配置 19 升级系统版本 20 重启动设备、系统关机 21 更改用户口令和 enable 口令 22 (一) 概述 前言 在目前各类VPN 产品中，SSL VPN 正以它的独特优势占据了市场中的主导位置，Array Networks 公司是一家专注于开发SSL VPN 的厂商。本文力图简洁明白的介绍Array Networks 公司的SSL VPN 产品：SPX 系列的主要部署构造，建立 SPX 的大致流程以及它的根本配置命令。 SSL VPN 简介 SSL VPN 是承受SSL 技术的一种VPN 产品，适用于 Client to Site 的安全接入方式。SSL 技术是位于TCP 之上的协议，具有数字证书身份验证，数据加密等安全手段。在实现VPN 访问内部应用时主要承受 Proxy 、Application Translation 、Network Extension 等技术手段实现。 用户通过SSL VPN 访问内部应用系统，必需先用 S 协议登陆到SSL VPN 网关供给的 SSL VPN 门户站点，我们称之为Virtual Site，Array 的 SPX 系列单台设备可以配置多个 Virtual Site ，具体数量视license 而定。 一般状况下，在数据中心的网络边缘放置SSL VPN 网关，如 Array Networks SPX 系列产品。客户端要访问内部应用效劳器，必需通过SSL VPN 网关，其过程是先用标准扫瞄器如 IE、Netscape 等登陆SSL VPN 网关，登陆使用的协议是 S，底层是承受了具有加密算法的SSL 协议。登陆SSL VPN 是需要经过用户认证、授权、审计的。登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S 还是C/S 构造，都能够得到格外好的支持， 访问过程中的数据传输都是经过加密处理的，同时是经过SSL VPN 授权允许和审计的。 SSL VPN 网络拓扑 SSL VPN 网关设备，Array 称之为 SPX 系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他安全产品一起为数据中心供给安全防护。 Array 的 SSL VPN 网关支持双臂构造和单臂构造。单臂构造一般不转变企业的网络拓扑构造，只需一个接口接到防火墙或交换机上，具有便利部署的特点。双臂构造，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂构造具有良好的网络吞吐量。 SSL VPN 的工作流程是一个Proxy 架构，所以考虑拓扑构造时，要满足两点：1) 客户端机器要能访问Virtual Site IP 地址；2) SPX 设备要能够访问内部各个效劳器各个应用。假设中间有防火墙等过滤设备，肯定要翻开相应端口。如在客户端和Virtual Site 之间的防火墙 要翻开 S 访问，典型如 TCP 443 端口。SPX 和效劳器之间的防火墙要对SPX 设备的网络接口翻开各个应用的端口。 3上图是一个典型的双臂构造， outside 端口连接外网路由器或防火墙，端口地址为；inside 接口连接内部交换机，端口地址为。在SPX 设备上的Virtual Site 地址为 ，为内部IP 地址，在internet 上的客户端要能访问，前面的防火墙或路由器还要做 NAT 转换，如 － 。固然，Virtual Site 地址也可以直接配置成公网地址，这时只需客户端到Virtual Site IP 的路由可达与 S 能够访问即可。 3 4 4 上图是典型的单臂构造，SPX 设备只需一个接口连接防火墙、路由器或者是交换机。接口 IP 为 ，Virtual Site 地址为 ，需要 NAT 设备作转换：如 － 。固然，Virtual Site 地址也可以直接配置成公网地址，这时只需客户端到 Virtual Site IP 的路由可达与 S 能够访问