SANGFOR_SSL_v70_2016年度渠道初级认证培训07_扩展功能总结介绍

1、SANGFOR SSL VPN扩展功能总结介绍易用性功能介绍深信服公司简介安全性功能介绍问题思考SANGFOR SSL快速性功能介绍易用性管理员账号易用性管理员账号1.管理组管理组 具有相同管理权限、相同管理内容的管理员所组成的组。2.管理员管理员 管理设备的管理员，对所管理的页面和内容具有查看和编辑权限。3.访客访客 管理设备的管理员，对所管理的页面和内容只具有查看权限，不具有编辑权限。 通过设置管理员账号，达到分级分权限的管理，能够实现多达16级的管理员分级管理。易用性管理员账号易用性管理员账号应用案例 为了保障设备管理的安全性以及可监督性，某公司IT部门决定让管理员A和管理员B来共同管理

2、SSL VPN设备，管理员A能够查看和编辑设备所有页面，且只能从指定的两台电脑上（IP地址为：0和15）登录设备进行管理，管理员B能够从任何电脑登录查看设备配置，但不能对A所做的任何配置进行修改，且管理员B不能够查看IPSEC VPN的所有设置。1.能够查看和编辑所有页面2.只能从指定的电脑上登录设备1.只能够查看，不能够编辑页面2.不能够查看IPSEC VPN设置3.能从任何电脑上登录设备进行查看易用性管理员账号易用性管理员账号配置思路1.建立两个管理组并设置相应的权限，一个管理组具有所有的管理权限，一个管理组具有除IPSEC VPN设置外的所有

3、权限；2.建立管理员A和B并设置相应的管理员类型，管理员A属于管理组A，管理员类型为管理员，且只能从指定的IP地址0和15登录设备进行管理，管理员B属于管理组B，管理员类型为访客。易用性管理员账号易用性管理员账号配置截图1.建立两个管理组并设置相应的权限未勾选IPSec VPN设置易用性管理员账号易用性管理员账号配置截图2.建立两个管理员A和B并设置相应的管理员类型允许从任意IP登录管理设备管理员账号管理员账号配置截图3.测试配置是否正确管理员A使用IP地址为41的电脑登录设备输入密码后，点击登录，出现如下提示管理员A使用

4、IP地址为15的地址登录设备能够显示IPSEC VPN设置，且能够编辑页面，如新建用户、资源等等管理员B登录后，界面无法显示IPSEC VPN设置，且只能查看不能够编辑页面编辑页面时，将会出现如下提示易用性易用性SSL VPN登录客户端登录客户端 功能介绍 SSL VPN登录客户端能够实现脱离浏览器进行登录并使用SSL VPN应用。SSL VPN登录客户端支持用户名/密码、文件证书、DKEY以及匿名登录。SSL VPN登录客户端是基础控件，只要登录过SSL VPN的电脑，就会自动安装该控件，下次登录SSL VPN时，可以直接使用SSL VPN登录客户端进行登录，而不用

5、使用浏览器登录。点击“开始”，将出现SSL VPN登录客户端程序易用性SSL VPN登录客户端SSL 登录客户端是基础控件，只要访问过SSL，就会默认安装上此控件 通过在【SSL VPN选项】-【系统选项】-【客户端选项】中，可以自定义客户端的记住密码、自动登录两个选项。 填写要登录的SSLVPN地址点击连接，连接SSLVPN，获取设备对SSLVPN客户端的全局配置设备全局配置决定是否在客户端显示这两项 SSL VPN客户端可以设置支持HTTP代理环境下登录SSL VPN。易用性SSL VPN登录客户端配置截图如果上网通过IE代理，则需勾选。IE代理上网需要账号密码时，才需填写易用性系统托盘易

6、用性系统托盘 用于在关闭SSL VPN的资源列表页面后，将IE最小化到任务栏，防止误操作而关闭SSL VPN以及用系统托盘替代SSL的悬浮框。 使用系统托盘，可以实现开机后自动登录SSL VPN或者在桌面上创建一个快捷方式，点击快捷方式启用SSL VPN登录客户端。功能介绍易用性系统托盘易用性系统托盘1.客户需求 由于某些SSL用户只关联了WEB应用，用户在访问WEB应用时，容易造成误操作关闭浏览器后退出SSL。用户希望使用系统托盘功能来防止此类现象的发生。与此同时，对于那些关联了除WEB应用资源之外的用户，也可以使用系统托盘来替代桌面右上角的SSL 悬浮框。应用案例易用性系统托盘易用性系统托

7、盘配置思路1.新建一条策略组管理，启用系统托盘；2.新建一个移动用户组，使用用户名、密码认证，并关联系统托盘策略组；3.新建一个用户test1，属于移动用户组，并关联相应的资源；4.使用账号test1登录SSL VPN进行测试。易用性系统托盘易用性系统托盘配置思路（1）新建系统托盘策略组启用系统托盘功能易用性系统托盘易用性系统托盘配置思路（2）新建移动用户组，关联系统托盘组策略易用性系统托盘易用性系统托盘配置思路（3）新建用户test1，属于移动用户组强制继承了用户组的属性易用性系统托盘易用性系统托盘配置思路（4）用户test1登录SSL VPN后会在任务栏中生成系统托盘小图标系统托盘小图标易

8、用性系统托盘易用性系统托盘配置思路（5）此时，鼠标右键点击系统托盘小图标，可以查看连接状态、加速效果等等（注意：此处的界面根据用户启用的功能以及关联的资源类型不同，会有所差异。）易用性系统托盘易用性系统托盘 如何实现开机后自动连接SSL VPN？登录SSL VPN后，点击资源列表页面的“开机登录设置”或使用系统托盘的个人设置都能够到达自动登录设置界面设置开机自动登录的用户名和密码，并启用开机自动登录易用性系统托盘易用性系统托盘 除了让用户组/用户关联系统托盘策略组以外，还可以全局开启系统托盘，此时，所有的用户组及用户都默认启用了系统托盘功能，且不能修改。全局启用系统托盘功能，此时，所有用户组及

9、用户都默认启用了系统托盘功能勾选上“断线自动重试连接”，并在系统托盘处也勾上“自动重连SSL VPN”，能够在超时时间后自动重新连接SSL VPN易用性客户端组件策略易用性客户端组件策略功能介绍这里的客户端组件是指硬件特征码认证或登录前安全检查功能涉及到的相关组件选择用户手动安装或者是自动安装组件若未安装相关的组件或验证不通过，可选“禁止登录”或者“允许登录，但只能使用WEB服务”易用性客户端组件策略易用性客户端组件策略部分功能介绍客户端只有一个证书的时候是否弹出证书选择框可以实现当用户登录到SSL VPN后直接激活TCP应用和L3VPN应用的相关控件。不勾选，则首次登录需要手动安装控件，以后

10、登录不需要再次安装。在客户端登陆SSL VPN后可以显示出TCP应用和L3VPN应用的详细地址信息勾选后，登录界面显示手动安装组件的链接组件下载链接快速性流缓存快速性流缓存1.功能介绍 SSL VPN的流缓存功能是通过传输标签来代替数据包的传输。当客户端发起对SSL VPN的连接时，数据会被抓到ProxyIE控件里，然后通过流缓存控件对数据进行匹配，若存在相同的数据，则使用标签代替实际数据进行传输，当数据到达SSL VPN设备时，将标签还原成实际数据后发给服务器。 通过使用SSL VPN的流缓存功能，能够对传输过程中的重复数据进行编码压缩，以大大减少传输所需带宽和时间。注意事项：流缓存功能仅对

11、TCP应用有效快速性流缓存快速性流缓存2.配置步骤（1）开启流缓存序列号，激活流缓存模块（2）启用流缓存功能（3）设置流缓存策略组管理，让个别用户或者是用户组关联流缓存策略组，优先启用流缓存 。优先启用流缓存的目的是为了让该用户具有更高的流缓存优先级。每个设备平台的流缓存用户并发数是固定的，如果超过这个值，优先使用流缓存的用户接入后，踢掉一个已有的普通流缓存用户，自己抢占这个名额 ，则它将具有更快的访问速度。 快速性流缓存快速性流缓存3.配置截图（1）开启流缓存序列号快速性流缓存快速性流缓存3.配置截图（2）启用流缓存功能快速性流缓存快速性流缓存3.配置截图（3）设置流缓存策略组管理，针对个别

12、用户或者是用户组关联流缓存策略组用户类型必须为私有用户快速性流缓存快速性流缓存注意事项1、流缓存功能只对TCP应用有效，且只有私有用户才能优先启用流缓存。2、对于没有加速效果的资源，可以看一下系统是否有对数据进行加密或者压缩。3、启用流缓存后，当用户访问TCP应用时，会自动在用户的电脑上选择系统剩余空间最大的分区根目录下生成一个SvpnCacheData文件夹。 通过优化TCP协议，解决一些TCP协议本身的缺陷，来实现加速的效果。主要用于丢包大的情况下，效果十分明显。该功能仅针对TCP协议生效。发起访问网络丢包严重启用单边加速快速性快速性TCP单边加速单边加速快速性快速性TCP单边加速单边加速

13、配置思路：1.开启单边加速序列号；2.【系统设置】-【网络传输优化】-【传输优化】，启用TCP单边加速。安全性防中间人攻击安全性防中间人攻击1.功能介绍 中间人可以在网络上拦截SSL通信的数据，扮演服务端应答客户端，同时扮演客户端请求真实服务端，起到中间代理转发数据的功能，达到拦截所有SSL通信数据的目的，从而进行攻击。 防中间人攻击能够检测并防止SSL中间人攻击，识别当前的SSL会话是否被中间人攻击，保护数据的绝对安全。安全性防中间人攻击安全性防中间人攻击2.配置截图 启用该功能后，用户登录时强制启用图形校验码，并会强制安装控件。启用防中间人攻击使用HTTP登录时，从HTTP跳转到HTTPS的时候，进行SSLStr