SANGFOR-SSLVPN-年度渠道培训教材(part1)-0123

1、SANGFOR SSL产品培训SANGFOR TECHNOLOGIES CO.,LTD. SSL根底引见SANGFOR SSL VPN的各种资源SANGFOR SSL VPN根本部署特殊运用及部署SANGFOR SSL VPN的认证方式其它功能SANGFOR SSL VPN的整体框架目录SSL根底引见什么是SSL VPNSANGFOR SSL VPN支持的客户端 什么是SSL VPNSSL VPN是一种远程平安接入技术，由于采用SSL协议而得名。由于Web阅读器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端部署，从而使得远程平安接入的运用非常简单，而且整个系统更加易于维护。SSL

2、VPN普通采用插件系统来支持各种TCP和UDP的非Web运用系统，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合运用平安的需求，成为远程平安接入主要手段和选择。IEMozilla系列 SANGFOR SSL VPN支持的客户端SSL根底引见SANGFOR SSL VPN的各种资源SANGFOR SSL VPN根本部署特殊运用及部署SANGFOR SSL VPN的认证方式其它功能SANGFOR SSL VPN的整体框架接内网接外网放大图部署方法：1、配置内、外网IP信息根据详细情况设置2、设置SSL用到端口信息：HTTP和HTTPS端口3、填写webagent外网为动态

3、IP：例如ADSL网关部署接内网不接线！放大图部署方法：1、LAN口接线，配内网IP与内网pc同网段2、WAN口不接线，恣意配置一固定IP不能与 内网网段冲突、默许网关填：、填 写正确的DNS3、添加一条目的网段为：，掩码为： 的系统路由，下一跳指向前置网关4、设置SSL用到端口信息：HTTP和HTTPS端口5、前置网关做相应的端口映射SSL用到的 HTTP和HTTPS端口6、填写webagent外网为拨号我做端口映射单臂部署SSL根底引见SANGFOR SSL VPN的各种资源SANGFOR SSL VPN根本部署特殊运用及部署SANGFOR SSL VPN的认证方式其它功能SANGFOR

4、SSL VPN的整体框架用户资源用户组包含用户角色关联关联用户：登录SSL VPN的帐号，分为公共用户和私有用户资源：用户登录SSL VPN后拥有的权限，即可以访问的IP及其 端口详见后续章节用户组：由“用户组成，每个“用户必需属于独一的一个 “用户组默许用户组无法删除 用户组设置用户设置“用户可选能否承继“用户组相关属性认证方式等公共用户与私有用户私有用户公共用户私有用户支持在线修正密码、DKey的pin码、手机号码用户导入经过文本方式批量导入用户，节省任务量用户导出手机号密码 角色设置SSL根底引见SANGFOR SSL VPN的各种资源SANGFOR SSL VPN根本部署特殊运用及部署

5、SANGFOR SSL VPN的认证方式其它功能SANGFOR SSL VPN的整体框架SANGFOR SSL VPN的认证方式外部认证认证方式本地认证用户名、密码数字证书可选Dkey硬件特征码认证短信认证LDAP认证RADIUS认证辅助认证可选主要认证必需令牌认证RADIUS认证 用户名、密码认证最简单的用户认证方式私用用户支持在线修正密码 数字证书认证运用数字登录，实现双向认证文件方式保管数字证书1.安装证书控件2.生成数字证书3.安装数字证书，并登录DKey保管数字证书1.【高级配置】中启用DKey功能2.安装证书控件和相应的DKey驱动3.生成数字证书，烧录到DKey中4.插入DKey

6、，并登录选择相应的DKey类型无驱DKey认证特殊情况功能背景：由于运用DKey承载数字证书，客户端登录时必需安装DKey驱动程序，有能够会出现驱动安装不上受杀毒软件等影响，或者顺利安装后驱动由于某些缘由遭到破坏。推出一种全新的“无驱DKey认证，不含数字证书经过控件实现认证硬件要求V2版key与有驱同一样的keyV3版key新的一款key无驱key不能刷为有驱key原V3版key不支持无驱V2版key可从有驱直接刷成无驱选择相应的DKey类型1.【高级配置】中启用DKey功能2.生成免驱DKey需求安装控件，仅支持IE3.插入DKey，并登录与运用有驱DKdey区别：生成key和运用key登

7、录都无需安装证书控件和key驱动，只需安装特定的控件外部认证-LDAP认证&RADIUS认证功能背景：登录SSL VPN的用户帐号保管在第三方效力器上，用户登录登录时，帐号信息会发往第三方效力器做校验。可以和客户原有的业务系统用到的效力器LDAP或RADIUS效力器内帐号结合无需在设备用户列表上手动建立用户 LDAP认证选择标目用户所在途径必填项各参数详细含义参考备注1.设置LDAP效力器，自动生成一个对应该LDAP效力器的外部认证用户组2.胜利配置后，客户端运用LDAP账号登录后，拥有对应LDAP效力器用户组的权限本地用户帐号和RADIUS帐号冲突时，本地帐号优先手动建立本地LDAP认证账号

8、背景：同一途径下一切LDAP用户账号权限都一样在角色关联里，要给外部认证用户分配权限，只能关联对应的外部认证用户组根据企业实践运用情况对某个部门主管的账号或者需求特定权益的用户，分配特有的权限，和同一LDAP途径下的用户权限区分开名字必需和LDAP效力器用户一致 RADIUS认证什么是AAA协议？常用AAA平安协议RADIUS，TACACS+，KerberosAuthentication，Authorization，Accounting功能背景：1.设置RADIUS效力器，自动生成一个对应该RADIUS效力器的外部认证用户组2.胜利配置后，客户端运用RADIUS账号登录后，拥有对应RADUIS

9、效力器用户组的权限必填项本地用户帐号和RADIUS帐号冲突时，本地帐号优先各参数详细含义参考备注动态令牌认证radius认证特例动态令牌认证效力器依然是radius效力器，只是用户登录时普通可选：静态密码、动态密码令牌、静态密码+动态密码动态令牌认证明质上是密码战略较为丰富的Radius认证与SSL VPN结合时配置与普通radius认证一样 短信认证私有用户在满足主要认证方后跳转到短信认证页面，必需输入发送到手机上的短信验证码，才干登录SSL VPN1.经过序列号激活短信认证模块2.在用户编辑页面填写手机号，并勾选短信认证对挪动和联通短信网关的支持，参考备注 硬件特征码认证功能背景：实现SSL VPN帐号和电脑绑定起来，防止他人盗用帐号在其他电脑上登录该认证方式类似SANGFOR的IPsec VPN硬件信息绑定1.给用户帐号启用特征码认证,并启用特征码提交提示2.登录SSL VPN并提交硬件特征码3.审批客户端提交的硬件特征码4.全局启用硬件特征码认证(正式