亚洲欧美另类激情综合区,国产+亚洲+欧洲,久久精品中文字幕一区二区三区,麻豆果冻传媒2021精品传媒一区,аⅴ天堂中文在线网

SSL遠程接入

29.2 配置SSL VPN

SSL VPN 模塊的配置主要包括以下幾部分內(nèi)容:

  1. 配置 SSL VPN 基本功能
  2. 配置 SSL VPN 用戶和用戶組
  3. 配置 SSL VPN 資源和資源組
  4. 配置 SSL VPN 準入控制
  5. 配置 SSL VPN 接口選項

29.2.1 配置SSL VPN基本功能

1) 基本配置

SSL VPN 的基本功能包括如何啟用 SSL VPN 服務,設置登錄端口,用戶超時時間等。

首先單擊左側(cè)功能欄 VPN?SSL 遠程接入,如下圖:

點擊進入 SSL VPN 基本功能配置頁面,如下圖:

  • 啟用 SSL VPN:用以啟用/關閉 SSL VPN 服務功能。
  • 登錄端口:用于設置 SSL VPN 的服務端口,是客戶端登錄 SSL VPN 頁面時采用的端口號,客戶端通過此端口和下一代安全防護平臺設備建立 SSL VPN連接。默認端口為 10443。用戶登錄地址可表述為:“https://開啟 SSL VPN服務的端口 IP 地址:登錄端口號”。
  • 客戶端認證:SSL VPN支持證書認證,目前只允許CA
  • 空閑超時時間:設置一段時間(秒)來控制用戶超時。如果用戶在登錄SSL VPN后,在設定的時間內(nèi),沒有使用SSL VPN傳輸數(shù)據(jù),用戶將自動退出。
  • 如果用戶需要再次使用SSLVPN,需要再次重新登錄、
  • 數(shù)據(jù)壓縮:是否啟用數(shù)據(jù)壓縮。
  • 用戶唯一性檢查:如果選定,檢查是否存在已登錄的同名用戶,同名禁止登錄。
  • 定制SSL登錄信息:SSL VPN添加SSL客戶端頁面信息定制功能,使管理員可以根據(jù)團隊的需要,來定制SSL客戶端頁面。包括以下配置:
  1. 聯(lián)系人:聯(lián)系人的信息
  2. 聯(lián)系電話:聯(lián)系人的電話
  3. Email:聯(lián)系人的Email。
  4. 門戶信息:用戶自定義的SSL VPN門戶信息。用戶配置門戶信息將顯示在用戶登錄后的SSLVPN POPTAL 頁面上。
  • 隧道模式配置:在用戶使用SSLVPN隧道模式時才會生效、包括以下配置:
  • 通道IP范圍:指客戶端通過隧道方式連接后分配到的IP地址范圍。指定為SSL VPN 隧道模式客戶端分配的IP地址范圍,輸入IP地址范圍的起始和結(jié)束地址即可。
  • 撥號用戶DNS:指定客戶端通過隧道方式連接后使用的域名服務器,如果訪問的資源均通過IP地址直接訪問則可不填。
  • 撥號用戶WINS:指定客戶端使用的 WINS 服務器。

  • 隧道路由/掩碼:配置隧道模式用戶可以訪問的私有網(wǎng)絡,指客戶端通過隧道方式連接后,在客戶端 PC 上設定的訪問路由,可配置多條。

2) 注意事項

在配置登錄端口時,不能與下一代安全防護平臺其他服務所占用的端口沖突。

?

29.2.2 配置SSL VPN用戶和用戶組

遠程用戶在使用 SSL VPN 服務訪問網(wǎng)絡資源之前,需要通過 HTTPS 方式進行身份認證。用戶需要使用指定的用戶賬戶和用戶組登錄,才能成功認證。下面講述了如何為遠程用戶配置SSL VPN登錄用戶和用戶組。

1) 配置用戶

配置用戶賬戶:進入對象?用戶對象?用戶,點擊“新建”。如下圖:

配置過程:

  1. ?輸入遠程用戶的用戶名(如 user_1);
  2. ?選中啟用;
  3. ?如果使用本地密碼驗證,勾選 LOCAL,并輸入密碼和確認密碼;如果使用 RADIUS認證,勾選 RADIUS,并選擇指定的 RADIUS 服務器;如果使用 LDAP 認證,勾選 LDAP,并選擇指定的 LDAP 服務器;
  4. ?提交;
  5. ?重復以上過程,可以添加多個遠程用戶。

2) 配置用戶組

配置 SSL VPN 用戶組:進入對象?用戶對象?用戶組, 點擊“新建”。如下圖:

配置過程:

1) 輸入用戶組名(如 employee_group);

2) 選擇類型為:SSL- VPN;

3) 要向該用戶組中加入用戶。從“可選”列表中選擇用戶,然后單擊右箭頭或雙擊用戶名稱,將該用戶添加到組員列表中;

4) 選擇開啟 SSL VPN 通道服務,使該組用戶可以使用 SSL VPN 隧道模式(可選);

5) 選擇開啟代理服務,使該組用戶可以使用 Web 代理模式(可選);

6) 提交。

?

29.2.3 配置SSL VPN Web訪問配置

SSLVPN Web 訪問配置功能,包括:配置要過濾的 HTTP 方法和啟用 HTML 重寫功能。

1) 配置 Web 訪問配置

配置 SSLVPN Web 訪問,進入 VPN>SSL 遠程接入>Web 訪問配置。如下圖:

  1. ?配置需要過濾的 HTTP 方法:從 HTTP 方法列表中選擇要過濾的方法,然后單擊右箭頭添加方法名到要過濾列表中。如要取消過濾只需從右側(cè)已過濾HTTP 方法列表中選擇要取消過濾的方法,然后單擊左箭頭添加方法名到要未過濾列表中。
  2. ?啟用 HTML 重寫功能:選中即啟用 HTML 重寫功能。
  3. ?特殊改寫功能:對頁面中包含非標準 HTML 元素中的鏈接進行改寫。

2) 注意事項

HTTP 方法過濾功能提供三類可以過濾的方法:基本方法、擴展方法和其他方法,如需要過濾的方法在基本方法和擴展方法中未給出,可以通過選擇其他方法中的”other”進行過濾。

?

29.2.4 配置SSL VPN資源和資源組

下一代安全防護平臺 V4.0 的 SSL VPN 支持根據(jù)用戶組配置資源組,資源組是將現(xiàn)有的資源進行按類別組合,可以根據(jù)業(yè)務類型、用戶權(quán)限級別等來對資源進行分類,如郵件訪問,WEB 服務器訪問,遠程登錄訪問等。該功能可從設備上對客戶端可訪問的資源方便的進行控制,隨時可將新建的資源加入資源組或從資源組刪除已選資源,可以限定或取消限定訪問某個資源組的用戶組,還可以選擇是否允許違反客戶端安全檢查的客戶端對資源的訪問等等。

1) 配置可用的資源

配置或新建資源:進入 VPN ?SSL 遠程接入?資源(頁面上方標簽),點擊“新建”。如下圖:

配置過程:

  1. 輸入資源名稱;
  2. 選擇訪問方式:如該資源為 WEB Server,則采用 WEB 方式,或 Ftp,F(xiàn)ileshare ,Owa方式;
  3. 輸入該資源的 IP 地址,如該資源采用 WEB 方式訪問,則可輸入域名;
  4. 輸入該資源所提供服務的對應端口號,如 WEB Server 一般為 80; Ftp 一般為 21;
  5. 輸入資源描述(可選);
  6. 點擊“啟用”,以激活該資源;
  7. 點擊“提交”;
  8. 重復以上過程,可以添加多個資源。

2) 注意事項

代理資源不支持域名;

3) 配置 SSL VPN 的資源組

配置或新建資源:進入 VPN ?SSL 遠程接入?資源組(頁面上方標簽),點擊“新建”。如下圖:

配置過程:

1) 輸入資源組名稱;

2) 輸入資源組描述(可選);

3) 在資源列表欄中選擇指定資源;

4) 如需要限定該資源組僅供某個用戶組使用,則點擊開啟“限定用戶組訪問列表”

功能(可選);

5) 點擊“提交”;

6) 重復以上過程,可以添加多個資源組。

通過新建、編輯或刪除資源組,可以很方便的將 SSL VPN 用戶組與特定的內(nèi)部資源聯(lián)

系起來。

?

29.2.5 配置SSL VPN接口選項

1) 配置 SSL VPN 選項

必須在指定的 SSL VPN 接入接口上啟用 SSL VPN 選項,才可在該接口上進行 SSL VPN認證。該接口一般為下一代安全防護平臺的外網(wǎng)口,同時該接口必須配置正確的 IP 地址。配置接口 SSL VPN 選項:進入網(wǎng)絡設置?接口, 點擊“編輯”按鈕。如下圖:

2) 注意事項

默認情況下,所有接口的 SSL VPN 選項默認沒有啟用,要使用 SSL VPN 功能,

需要在接口上啟用該選項。

隧道模式,需要配置安全策略放通隧道 IP 段到內(nèi)網(wǎng)的流量

?

29.3 SSL VPN登錄

29.3.1 登錄VPN

由于很多業(yè)務模式較為復雜,無法以單純的 WEB 方式或 TCP 單連接方式進行,因此建議 SSL VPN 采用隧道方式運行。在 WEB 登錄成功頁面中,可下載 SSL VPN 瘦客戶端以支持隧道模式登錄。

瘦客戶端(Thin Client):指無需用戶配置與管理的客戶端,它通過一些協(xié)議和服務器通信,進而接入局域網(wǎng)。

1) 客戶端的安裝

在 WEB 的登錄成功頁面中,點擊“隧道訪問”,如圖:

點擊第一行的“此處”可下載一個 SSL VPN 瘦客戶端。

第二行的“此處”是可以避免使用證書登錄或者鏈接隧道時瀏覽器彈出很多需要確認的提示信息,可以簡化使用操作。

2) 安裝客戶端

點擊“此處”后瀏覽器會彈出文件下載提示,如下圖:

1) 選擇“保存”,將 SSLVPN_Client.exe 文件下載至本機,然后雙擊運行該程序。某些瀏覽器由于捆綁了下載工具(如迅雷、FlashGet),也可用這些下載工具將 SSLVPN_Client.exe 文件下載至本地以管理員方式運行。

2) 選擇運行或雙擊該文件后,此時會出現(xiàn)安裝向?qū)Ы缑?,如下圖所示。選擇相應的語言,“下一步”。

3) 此界面會提示用戶選擇該瘦客戶端的安裝路徑。用戶可自行選擇安裝目錄,也可直接采用默認設置。選擇好安裝目錄后,點擊下一步。

4) 此界面提示用戶安裝已經(jīng)就緒,點擊“安裝”。

5) 此時安裝程序會自動進行相關設置,當程序安裝完成后,會出現(xiàn)如下圖所示界面。點擊“完成”,此時 SSL VPN 瘦客戶端即安裝完畢。

3) 登錄

瘦客戶端安裝完成后,返回到 WEB 認證界面,點擊“連接”,如下圖所示。

點擊“連接”后,會出現(xiàn)一個一閃而過的連接信息之后就會自動縮小至系統(tǒng)右下角的圖標欄內(nèi),雙擊這個小圖標可以看到具體的隧道連接信息如下。

此時,即可開啟相關軟件訪問VPN內(nèi)的相關資源。

4) 注意事項

  • 隧道客戶端安裝時,需要注意,只安裝 sslvpn 的虛擬網(wǎng)卡,其他選擇停止安裝,否則有可能會有硬件上的沖突等問題,甚至出現(xiàn)藍屏;
  • 任何終端用戶,當完成第一次的 SSL VPN 瘦客戶端安裝后,下次進行 SSL VPN連接時無需重新下載,直接點擊 “連接”即可。即,WEB 頁面登錄之后直接點擊“連接”,即完成了 SSL VPN 隧道方式的連接,可正常開展相關業(yè)務。
  • 建議保持最初的登錄頁面,當需要斷開 VPN 時,點擊退出登錄,即可完成 SSLVPN 的斷開和注銷工作,同時瘦客戶端也會自動斷開連接。
  • 隧道模式一連接就斷開,需要查看 pc 的服務中 DHCP 服務是否啟用,所有需要使用虛擬網(wǎng)卡的功能都需要 pc 開啟此服務;
  • 隧道模式正常連接后,仍不能訪問預期地址,cmd 下查看路由信息 route print,是否已經(jīng)存在訪問預期地址的完全匹配的一條默認路由,導致訪問預期地址不走隧道路由;解決方法是禁用重新啟用 pc 本地網(wǎng)卡,使舊的路由信息清除掉,或者手動刪除該條路由信息 route delete 預期地址,確保訪問預期地址走隧道路由;
  • 隧道連接下發(fā) dns 服務器,客戶端有時是無法使用下發(fā)的 dns 訪問,與 dns 本身的機制有關;

  • 在 win2000上面使用隧道模式如果不通,查看一下路由表的默認網(wǎng)關的 metric 值,如果都是 1,需要手動修改使本地網(wǎng)關的 metric 值大一些,再連接隧道模式使之能通。

  • 對于 Vista 系統(tǒng),安裝控件及瘦客戶端時需要關閉賬戶控制 UAC 功能。隧道客戶端安裝時,出現(xiàn)如圖所示,無法安裝時:

是由于網(wǎng)絡原因?qū)е掳惭b包不完整就開始安裝了,需要重新下載完整的客戶端安裝包。

  • 對于 Win 7 或者 Win2008 操作系統(tǒng),需要右鍵以管理員身份運行打開 ie 瀏覽器之后才能正常連接隧道進行訪問;
  • 使用 ie9 連接隧道時,會出現(xiàn)一連接頁面就無法顯示的問題,這是由于 ie9 老版本存在本身的問題,解決方法有兩種:1、升級 ie9 補丁到編號為 KB2586448;2、采用右鍵打開窗口的方法連接隧道。

?

29.4 SSL VPN監(jiān)控與維護

29.4.1 SSL VPN監(jiān)視器

SSL VPN 監(jiān)視器顯示所有 SSL VPN 在線的用戶信息,包括用戶名、用戶登錄 IP、隧道 IP 登錄時間、空閑時間、數(shù)據(jù)流量等。此外通關 SSL VPN 監(jiān)視器可以強制用戶下線。

要顯示在線用戶 SSL VPN 用戶信息,進入 VPN?SSL 遠程接入?監(jiān)視器。如下圖:

點擊用戶列表最右側(cè)的可以強制用戶下線。

?

29.5 WINDOWS 7 下的使用注意事項

配置過程:

1) 安裝 CloseDEP 的批處理文件并重啟(安裝時右鍵以管理員身份運行該文件)

2) 使用 IE 打開時選擇使用管理員認證的方式打開 IE,否則當使用 SSL 隧道模式時再連接后會自動斷開

輸入連接的SSL服務的地址后選擇“繼續(xù)瀏覽此網(wǎng)站”

3) 輸入用戶名和密碼、驗證碼并登陸

4) 選擇隧道模式下載安裝 SSL-VPN 客戶端

5) 連接 SSL 客戶端時注意事項,當使用 IE8 的用戶下載并安裝客戶端后選擇“連接”時的會彈出如下安全警告,此時選擇“否”

6) 出現(xiàn)下列選擇單時選擇“允許”

7)出現(xiàn)下列圖表則表明已成功連接上 SSL-VPN,可以通過 SSLVPN 隧道分到一個私網(wǎng)ip,訪問可達目標內(nèi)的內(nèi)網(wǎng)資源。

8) 對于不清楚自己IE版本的用戶可以選擇在隧道模式的界面下載一個控件用于跳過安全警告的提示,在下面的界面中選擇“點擊此處修改IE配置,簡化使用流程”。

9) 點擊后會下載一個名為“closemixtip.vbs”的控件,可以雙擊打開控件,并選擇“是”來進行控件的安裝

10) 如果需要回復默認設置則在 IE 的 internet 選項中的安全中選擇回復默認級別即可

?

29.6 SSLVPN插件、客戶端與操作系統(tǒng)兼容性問

題的FAQ

29.6.1 共性問題

現(xiàn)象描述 1:隧道一連就斷,設備配置正確的隧道 ip 和隧道路由后,pc 成功安裝了隧道客戶端,結(jié)果隧道模式一連接就自動斷開? ? ? ? ??

解決方法:需要查看 pc 的服務中 DHCP 服務是否啟用,所有需要使用虛擬網(wǎng)卡的功能都需要 pc 開啟此服務;

現(xiàn)象描述 2:隧道連接后仍無法訪問,設備配置正確,隧道模式正常連接后,pc 分配到了正確的隧道 ip,但是仍不能訪問預期地址

解決方法:cmd 下查看路由信息 route print,是否已經(jīng)存在訪問預期地址的完全匹配的一條默認路由,導致訪問預期地址不走隧道路由;需要禁用重新啟用pc本地網(wǎng)卡,使舊的路由信息清除掉,或者手動刪除該條路由信息routedelete 預期地址,確保訪問預期地址走隧道路由;

現(xiàn)象描述 3:隧道客戶端安裝出現(xiàn)藍屏,pc 在安裝隧道客戶端時,出現(xiàn)了藍屏現(xiàn)象

解決方法:隧道客戶端安裝時,需要注意,只安裝 sslvpn 的虛擬網(wǎng)卡,只有在下圖提示下選擇仍然繼續(xù),如果后續(xù)還有其他類似的提示信息出現(xiàn),要選擇停止安裝,否則有可能會有硬件上的沖突等問題,甚至出現(xiàn)藍屏,

現(xiàn)象描述 4:隧道客戶端安裝出現(xiàn)異常信息,安裝過程中出現(xiàn)如下圖的錯誤信息;

解決方法:這是由于網(wǎng)絡原因?qū)е掳惭b包不完整就開始安裝了,需要重新下載完整的客戶端安裝包。

現(xiàn)象描述 5:隧道連接后仍無法訪問,設備配置正確,隧道模式正常連接后,pc 分配到了正確的隧道 ip,但是仍不能訪問預期地址,cmd 下查看 pc 的路由信息,沒有干擾的靜態(tài)路由信息。

解決方法:使用隧道模式如果不通,可以查看一下路由表的默認網(wǎng)關的metric 值,如果都是 1,需要手動修改使原本地網(wǎng)關的 metric 值大一些,再連接隧道模式使之能通。

現(xiàn)象描述 6:隧道連接后,ftp 訪問能夠連接上,但是無法下載上傳資源。

解決方法:請關閉操作系統(tǒng)的防火墻功能。

?

29.6.2 針對Windows 2003和Windows XP-SP3操作系統(tǒng)

現(xiàn)象描述 1:無法在 IE 上安裝插件,設備配置正確,在登錄之前,已經(jīng)將訪問地址添加至 IE 瀏覽器的“受信任的站點”列表,但是仍無法安裝插件,一安裝 IE 瀏覽器就崩潰。

解決方法:修改 boot.ini(隱藏在 C 盤根目錄下,屬性去掉只讀選項), 將文件中/NoExecute…改為/execute,保存后恢復 boot.ini 屬性為只讀。然后重新啟動系統(tǒng)。

參照以下例子:

修改為:

現(xiàn)象描述 2:無法在 IE7 上安裝插件,設備配置正確,但是仍無法安裝插件,被瀏覽器認為是未識別的發(fā)行者。

解決方法:在安全級別設定中,打開自定義級別,將“下載未簽名的 ActiveX控件”選項置為提示的狀態(tài),應用確定后打開 sslvpn 登錄頁面,就能夠成功下載、安裝、運行 ActiveX 插件了。

現(xiàn)象描述 3:隧道連接后彈出提示信息,設備配置正確,pc 成功安裝客戶端之后,連接隧道時彈出提示信息,如下圖:

解決方法:到 pc 的服務中,把 Routing and Remote Access 服務停止啟用,之后再次連接隧道就能正常得到 ip 進行隧道訪問了。

?

29.6.3 針對Windows Vista、Windows 7和Windows 2008 操作系統(tǒng)

現(xiàn)象描述 1:無法在 IE 上安裝插件,設備配置正確,但是仍無法安裝插件,一安裝 IE 瀏覽器就崩潰。

解決方法:以管理員身份執(zhí)行 CloseDEP.bat 后,重新啟動系統(tǒng)。

現(xiàn)象描述 2:通過 ie9 安裝插件,無法安裝成功

解決方法:同于使用 ie8 安裝插件,必須右鍵以管理員身份運行 ie,通過 ie9 安裝插件過程中參考下圖:

成功安裝插件后,在使用的過程中當彈出以下提示時,選擇“允許”來使插件能夠正常監(jiān)聽使用:

現(xiàn)象描述 3:點擊連接隧道后彈出安全信息,設備配置正確,pc 成功安裝客戶端之后,連接隧道時彈出安全信息,如下圖:

解決方法:首先要確保以管理員的身份啟動 IE,之后在上圖的安全警告下選擇否,就會看到下面的提示信息:

?

這是再選擇允許,就能夠成功連接隧道了。另外可以選擇點擊修改 ie 配置簡化使用流程的方法來避免此對話框的出現(xiàn)。

現(xiàn)象描述 4:隧道能夠連接上,但是很快就斷,按照上述的步驟正確連接隧道后,幾秒鐘隧道就自動斷開了。

解決方法:要右鍵以管理員身份運行來打開 ie 瀏覽器,

然后登錄到 sslvpn 后連接隧道,就能保持隧道不斷,訪問資源了。

現(xiàn)象描述 5:通過 ie8 ie9 訪問 ftp 或文件共享資源時,無法上傳文件,

在 ftp 和文件共享都已經(jīng)允許上傳文件的前提下,通過 sslvpn 上傳文件時,

一點上傳就顯示該頁無法顯示,文件無法上傳成功。

解決方法:需要將瀏覽器的安全級別降到中和中以下級別;如果已經(jīng)將該sslvpn 登錄頁面的 ip 地址加入到了可信站點中,則將可信站點的安全級別降到中和中以下級別;如果不希望降低安全級別,則請在安全級別限制中,手動將“將文件上載到服務器時包含本地目錄路徑”的選項置為啟用狀態(tài)。

現(xiàn)象描述 6:通過 web 代理方式無法打開使用某公司的 erp 報銷系統(tǒng),頁面跳轉(zhuǎn)不正確或跳轉(zhuǎn)后無法登錄進去,建立報銷單時無法彈出日期選擇頁面。

解決方法:需要啟用 html 重寫,同時配置特殊改寫字段為/OA_HTML/cabo/jsps/a.jsp。(如果是其他公司特有的網(wǎng)頁或系統(tǒng)無法實現(xiàn)頁面跳轉(zhuǎn),請聯(lián)系某公司人員幫忙查看對應的特殊改寫字段需要怎樣配置)

現(xiàn)象描述 7:通過 ie8 ie9 打開 sslvpn 頁面后,點擊登錄按鈕沒有反應, 不提示任何信息,無法登錄。

解決方法:需要將瀏覽器的安全級別中的自定義項目中的活動腳本設為啟用的狀態(tài):

現(xiàn)象描述 8:通過 ie9 連接隧道,點擊連接后顯示該頁無法顯示,無法正常連接隧道。

解決方法:這是由于 ie9 老版本存在本身的問題,解決方法有兩種:1、升級 ie9 補丁到編號為 KB2586448;2、采用右鍵選擇在新窗口中打開鏈接,之后就能連上隧道進行訪問了:

?

?
?
以上信息是否解決您的問題?
?
在線客服
APP下載
APP下載