SANGFOR_SSLVPN_XXXX年度渠道培训教材(part1)_XXXX0123

SANGFORSSL产品培训SANGFORTECHNOLOGIESCO.,LTD.SSL基础介绍SANGFORSSLVPN的各种资源SANGFORSSLVPN基本部署特殊应用及部署SANGFORSSLVPN的认证方式其它功能SANGFORSSLVPN的整体框架目录SSL基础介绍什么是SSLVPNSANGFORSSLVPN支持的客户端什么是SSLVPN•SSLVPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSLVPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。SSLVPN一般采用插件系统来支持各种TCP和UDP的非Web应用系统，使得SSLVPN真正称得上是一种VPN，并相对IPSecVPN更符合应用安全的需求，成为远程安全接入主要手段和选择。IEMozilla系列SANGFORSSLVPN支持的客户端SSL基础介绍SANGFORSSLVPN的各种资源SANGFORSSLVPN基本部署特殊应用及部署SANGFORSSLVPN的认证方式其它功能SANGFORSSLVPN的整体框架Internet接内网接外网部署方法：1、配置内、外网IP信息（根据具体情况设置）2、设置SSL用到端口信息：HTTP和HTTPS端口3、填写webagent（外网为动态IP：例如ADSL）网关部署InternetLAN接内网不接线！部署方法：1、LAN口接线，配内网IP（与内网pc同网段）2、WAN口不接线，任意配置一固定IP（不能与内网网段冲突）、默认网关填：0.0.0.0、填写正确的DNS3、添加一条目标网段为：0.0.0.0，掩码为：0.0.0.0的系统路由，下一跳指向前置网关4、设置SSL用到端口信息：HTTP和HTTPS端口5、前置网关做相应的端口映射（SSL用到的HTTP和HTTPS端口）6、填写webagent（外网为拨号）我做端口映射单臂部署SSL基础介绍SANGFORSSLVPN的各种资源SANGFORSSLVPN基本部署特殊应用及部署SANGFORSSLVPN的认证方式其它功能SANGFORSSLVPN的整体框架用户资源用户组（包含用户）角色关联关联•用户：登录SSLVPN的帐号，分为公共用户和私有用户•资源：用户登录SSLVPN后拥有的权限，即可以访问的IP及其端口（详见后续章节）•用户组：由“用户”组成，每个“用户”必须属于唯一的一个“用户组”（默认用户组无法删除）用户组设置用户设置“用户”可选是否继承“用户组”相关属性（认证方式等）•公共用户与私有用户私有用户公共用户私有用户支持在线修改密码、DKey的pin码、手机号码•用户导入通过文本方式批量导入用户，节省工作量•用户导出手机号密码角色设置SSL基础介绍SANGFORSSLVPN的各种资源SANGFORSSLVPN基本部署特殊应用及部署SANGFORSSLVPN的认证方式其它功能SANGFORSSLVPN的整体框架SANGFORSSLVPN的认证方式外部认证认证方式本地认证用户名、密码数字证书（可选Dkey）硬件特征码认证短信认证LDAP认证RADIUS认证辅助认证（可选）主要认证（必须）令牌认证（RADIUS认证）用户名、密码认证最简单的用户认证方式私用用户支持在线修改密码数字证书认证使用数字登录，实现双向认证•文件方式保存数字证书1.安装证书控件2.生成数字证书3.安装数字证书，并登录•DKey保存数字证书1.【高级配置】中启用DKey功能2.安装证书控件和相应的DKey驱动3.生成数字证书，烧录到DKey中4.插入DKey，并登录选择相应的DKey类型•无驱DKey认证（特殊情况）功能背景：由于使用DKey承载数字证书，客户端登录时必须安装DKey驱动程序，有可能会出现驱动安装不上（受杀毒软件等影响），或者顺利安装后驱动由于某些原因遭到破坏。推出一种全新的“无驱DKey”认证，不含数字证书（通过控件实现认证）硬件要求V2版key与有驱同相同的keyV3版key新的一款key•无驱key不能刷为有驱key•原V3版key不支持无驱•V2版key可从有驱直接刷成无驱选择相应的DKey类型1.【高级配置】中启用DKey功能2.生成免驱DKey（需要安装控件，仅支持IE）3.插入DKey，并登录与使用有驱DKdey区别：生成key和使用key登录都无需安装证书控件和key驱动，只需安装特定的控件外部认证-LDAP认证&RADIUS认证功能背景：•登录SSLVPN的用户帐号保存在第三方服务器上，用户登录登录时，帐号信息会发往第三方服务器做校验。•能够和客户原有的业务系统用到的服务器（LDAP或RADIUS服务器）内帐号结合无需在设备用户列表上手动建立用户LDAPServerorRADIUSServerM5100-SSLInternetClient用户认证信息用户认证信息认证通过①②③LDAP认证选择标目用户所在路径必填项各参数具体含义参考备注1.设置LDAP服务器，自动生成一个对应该LDAP服务器的外部认证用户组2.成功配置后，客户端使用LDAP账号登录后，拥有对应LDAP服务器用户组的权限本地用户帐号和RADIUS帐号冲突时，本地帐号优先手动建立本地LDAP认证账号背景：同一路径下所有LDAP用户账号权限都相同（在角色关联里，要给外部认证用户分配权限，只能关联对应的外部认证用户组）根据企业实际使用情况对某个部门主管的账号（或者需要特定权利的用户），分配特有的权限，和同一LDAP路径下的用户权限区分开名字必须和LDAP服务器用户一致RADIUS认证什么是AAA协议？常用AAA安全协议RADIUS，TACACS+，KerberosAuthentication，Authorization，Accounting功能背景：InternetNAS/RadiusClientRadiusServerUsersDeliverName&PasswordDsplayResultAccess-RequestAccess-Accept/Access-RejectAuthenticationUDP:1812AccountingUDP:18131.设置RADIUS服务器，自动生成一个对应该RADIUS服务器的外部认证用户组2.成功配置后，客户端使用RADIUS账号登录后，拥有对应RADUIS服务器用户组的权限必填项本地用户帐号和RADIUS帐号冲突时，本地帐号优先各参数具体含义参考备注动态令牌认证（radius认证特例）•动态令牌认证服务器仍然是radius服务器，只是用户登录时一般可选：静态密码、动态密码（令牌）、静态密码+动态密码•动态令牌认证本质上是密码策略较为丰富的Radius认证•与SSLVPN结合时配置与普通radius认证相同短信认证•私有用户在满足主要认证方后跳转到短信认证页面，必须输入发送到手机上的短信验证码，才能登录SSLVPN1.通过序列号激活短信认证模块2.在用户编辑页面填写手机号，并勾选短信认证对移动和联通短信网关的支持，参考备注硬件特征码认证功能背景：•实现SSLVPN帐号和电脑绑定起来，防止他人盗用帐号在其他电脑上登录•该认证方式类似SANGFOR的IPsecVPN硬件信息绑定1.给用户帐号启用特征码认证,并启用特征码提交提示2.登录SSLVPN并提交硬件特征码3.审批客户端提交的硬件特征码4.全局启用硬件特征码认证(正式启用特征码认证)勾选“启用自动审批”令牌认证功能背景：•客户所有业务都是通过LDAP服务器和RADIUS服务器进行管理的，且用户帐号都一致。结合这个情况，启用LDAP认证，令牌认证做辅助认证。大大提高安全性的同时，也能够很好地结合客户原有环境。•本质上是作为辅助认证的radius认证Radius服务器