29.2 配置SSL VPN
SSL VPN 模块的配置主要包括以下几部分内容:
- 配置 SSL VPN 基本功能
- 配置 SSL VPN 用户和用户组
- 配置 SSL VPN 资源和资源组
- 配置 SSL VPN 准入控制
- 配置 SSL VPN 接口选项
29.2.1 配置SSL VPN基本功能
1) 基本配置
SSL VPN 的基本功能包括如何启用 SSL VPN 服务,设置登录端口,用户超时时间等。
首先单击左侧功能栏 VPNSSL 远程接入,如下图:
点击进入 SSL VPN 基本功能配置页面,如下图:
- 启用 SSL VPN:用以启用/关闭 SSL VPN 服务功能。
- 登录端口:用于设置 SSL VPN 的服务端口,是客户端登录 SSL VPN 页面时采用的端口号,客户端通过此端口和下一代安全防护平台设备建立 SSL VPN连接。默认端口为 10443。用户登录地址可表述为:“https://开启 SSL VPN服务的端口 IP 地址:登录端口号”。
- 客户端认证:SSL VPN支持证书认证,目前只允许CA
- 空闲超时时间:设置一段时间(秒)来控制用户超时。如果用户在登录SSL VPN后,在设定的时间内,没有使用SSL VPN传输数据,用户将自动退出。
- 如果用户需要再次使用SSLVPN,需要再次重新登录、
- 数据压缩:是否启用数据压缩。
- 用户唯一性检查:如果选定,检查是否存在已登录的同名用户,同名禁止登录。
- 定制SSL登录信息:SSL VPN添加SSL客户端页面信息定制功能,使管理员可以根据团队的需要,来定制SSL客户端页面。包括以下配置:
- 联系人:联系人的信息
- 联系电话:联系人的电话
- Email:联系人的Email。
- 门户信息:用户自定义的SSL VPN门户信息。用户配置门户信息将显示在用户登录后的SSLVPN POPTAL 页面上。
- 隧道模式配置:在用户使用SSLVPN隧道模式时才会生效、包括以下配置:
- 通道IP范围:指客户端通过隧道方式连接后分配到的IP地址范围。指定为SSL VPN 隧道模式客户端分配的IP地址范围,输入IP地址范围的起始和结束地址即可。
- 拨号用户DNS:指定客户端通过隧道方式连接后使用的域名服务器,如果访问的资源均通过IP地址直接访问则可不填。
- 拨号用户WINS:指定客户端使用的 WINS 服务器。
-
隧道路由/掩码:配置隧道模式用户可以访问的私有网络,指客户端通过隧道方式连接后,在客户端 PC 上设定的访问路由,可配置多条。
2) 注意事项
在配置登录端口时,不能与下一代安全防护平台其他服务所占用的端口冲突。
29.2.2 配置SSL VPN用户和用户组
远程用户在使用 SSL VPN 服务访问网络资源之前,需要通过 HTTPS 方式进行身份认证。用户需要使用指定的用户账户和用户组登录,才能成功认证。下面讲述了如何为远程用户配置SSL VPN登录用户和用户组。
1) 配置用户
配置用户账户:进入对象用户对象用户,点击“新建”。如下图:
配置过程:
- 输入远程用户的用户名(如 user_1);
- 选中启用;
- 如果使用本地密码验证,勾选 LOCAL,并输入密码和确认密码;如果使用 RADIUS认证,勾选 RADIUS,并选择指定的 RADIUS 服务器;如果使用 LDAP 认证,勾选 LDAP,并选择指定的 LDAP 服务器;
- 提交;
- 重复以上过程,可以添加多个远程用户。
2) 配置用户组
配置 SSL VPN 用户组:进入对象用户对象用户组, 点击“新建”。如下图:
配置过程:
1) 输入用户组名(如 employee_group);
2) 选择类型为:SSL- VPN;
3) 要向该用户组中加入用户。从“可选”列表中选择用户,然后单击右箭头或双击用户名称,将该用户添加到组员列表中;
4) 选择开启 SSL VPN 通道服务,使该组用户可以使用 SSL VPN 隧道模式(可选);
5) 选择开启代理服务,使该组用户可以使用 Web 代理模式(可选);
6) 提交。
29.2.3 配置SSL VPN Web访问配置
SSLVPN Web 访问配置功能,包括:配置要过滤的 HTTP 方法和启用 HTML 重写功能。
1) 配置 Web 访问配置
配置 SSLVPN Web 访问,进入 VPN>SSL 远程接入>Web 访问配置。如下图:
- 配置需要过滤的 HTTP 方法:从 HTTP 方法列表中选择要过滤的方法,然后单击右箭头添加方法名到要过滤列表中。如要取消过滤只需从右侧已过滤HTTP 方法列表中选择要取消过滤的方法,然后单击左箭头添加方法名到要未过滤列表中。
- 启用 HTML 重写功能:选中即启用 HTML 重写功能。
- 特殊改写功能:对页面中包含非标准 HTML 元素中的链接进行改写。
2) 注意事项
HTTP 方法过滤功能提供三类可以过滤的方法:基本方法、扩展方法和其他方法,如需要过滤的方法在基本方法和扩展方法中未给出,可以通过选择其他方法中的”other”进行过滤。
29.2.4 配置SSL VPN资源和资源组
下一代安全防护平台 V4.0 的 SSL VPN 支持根据用户组配置资源组,资源组是将现有的资源进行按类别组合,可以根据业务类型、用户权限级别等来对资源进行分类,如邮件访问,WEB 服务器访问,远程登录访问等。该功能可从设备上对客户端可访问的资源方便的进行控制,随时可将新建的资源加入资源组或从资源组删除已选资源,可以限定或取消限定访问某个资源组的用户组,还可以选择是否允许违反客户端安全检查的客户端对资源的访问等等。
1) 配置可用的资源
配置或新建资源:进入 VPN SSL 远程接入资源(页面上方标签),点击“新建”。如下图:
配置过程:
- 输入资源名称;
- 选择访问方式:如该资源为 WEB Server,则采用 WEB 方式,或 Ftp,Fileshare ,Owa方式;
- 输入该资源的 IP 地址,如该资源采用 WEB 方式访问,则可输入域名;
- 输入该资源所提供服务的对应端口号,如 WEB Server 一般为 80; Ftp 一般为 21;
- 输入资源描述(可选);
- 点击“启用”,以激活该资源;
- 点击“提交”;
- 重复以上过程,可以添加多个资源。
2) 注意事项
代理资源不支持域名;
3) 配置 SSL VPN 的资源组
配置或新建资源:进入 VPN SSL 远程接入资源组(页面上方标签),点击“新建”。如下图:
配置过程:
1) 输入资源组名称;
2) 输入资源组描述(可选);
3) 在资源列表栏中选择指定资源;
4) 如需要限定该资源组仅供某个用户组使用,则点击开启“限定用户组访问列表”
功能(可选);
5) 点击“提交”;
6) 重复以上过程,可以添加多个资源组。
通过新建、编辑或删除资源组,可以很方便的将 SSL VPN 用户组与特定的内部资源联
系起来。
29.2.5 配置SSL VPN接口选项
1) 配置 SSL VPN 选项
必须在指定的 SSL VPN 接入接口上启用 SSL VPN 选项,才可在该接口上进行 SSL VPN认证。该接口一般为下一代安全防护平台的外网口,同时该接口必须配置正确的 IP 地址。配置接口 SSL VPN 选项:进入网络设置接口, 点击“编辑”按钮。如下图:
2) 注意事项
默认情况下,所有接口的 SSL VPN 选项默认没有启用,要使用 SSL VPN 功能,
需要在接口上启用该选项。
隧道模式,需要配置安全策略放通隧道 IP 段到内网的流量
29.3 SSL VPN登录
29.3.1 登录VPN
由于很多业务模式较为复杂,无法以单纯的 WEB 方式或 TCP 单连接方式进行,因此建议 SSL VPN 采用隧道方式运行。在 WEB 登录成功页面中,可下载 SSL VPN 瘦客户端以支持隧道模式登录。
瘦客户端(Thin Client):指无需用户配置与管理的客户端,它通过一些协议和服务器通信,进而接入局域网。
1) 客户端的安装
在 WEB 的登录成功页面中,点击“隧道访问”,如图:
点击第一行的“此处”可下载一个 SSL VPN 瘦客户端。
第二行的“此处”是可以避免使用证书登录或者链接隧道时浏览器弹出很多需要确认的提示信息,可以简化使用操作。
2) 安装客户端
点击“此处”后浏览器会弹出文件下载提示,如下图:
1) 选择“保存”,将 SSLVPN_Client.exe 文件下载至本机,然后双击运行该程序。某些浏览器由于捆绑了下载工具(如迅雷、FlashGet),也可用这些下载工具将 SSLVPN_Client.exe 文件下载至本地以管理员方式运行。
2) 选择运行或双击该文件后,此时会出现安装向导界面,如下图所示。选择相应的语言,“下一步”。
3) 此界面会提示用户选择该瘦客户端的安装路径。用户可自行选择安装目录,也可直接采用默认设置。选择好安装目录后,点击下一步。
4) 此界面提示用户安装已经就绪,点击“安装”。
5) 此时安装程序会自动进行相关设置,当程序安装完成后,会出现如下图所示界面。点击“完成”,此时 SSL VPN 瘦客户端即安装完毕。
3) 登录
瘦客户端安装完成后,返回到 WEB 认证界面,点击“连接”,如下图所示。
点击“连接”后,会出现一个一闪而过的连接信息之后就会自动缩小至系统右下角的图标栏内,双击这个小图标可以看到具体的隧道连接信息如下。
此时,即可开启相关软件访问VPN内的相关资源。
4) 注意事项
- 隧道客户端安装时,需要注意,只安装 sslvpn 的虚拟网卡,其他选择停止安装,否则有可能会有硬件上的冲突等问题,甚至出现蓝屏;
- 任何终端用户,当完成第一次的 SSL VPN 瘦客户端安装后,下次进行 SSL VPN连接时无需重新下载,直接点击 “连接”即可。即,WEB 页面登录之后直接点击“连接”,即完成了 SSL VPN 隧道方式的连接,可正常开展相关业务。
- 建议保持最初的登录页面,当需要断开 VPN 时,点击退出登录,即可完成 SSLVPN 的断开和注销工作,同时瘦客户端也会自动断开连接。
- 隧道模式一连接就断开,需要查看 pc 的服务中 DHCP 服务是否启用,所有需要使用虚拟网卡的功能都需要 pc 开启此服务;
- 隧道模式正常连接后,仍不能访问预期地址,cmd 下查看路由信息 route print,是否已经存在访问预期地址的完全匹配的一条默认路由,导致访问预期地址不走隧道路由;解决方法是禁用重新启用 pc 本地网卡,使旧的路由信息清除掉,或者手动删除该条路由信息 route delete 预期地址,确保访问预期地址走隧道路由;
- 隧道连接下发 dns 服务器,客户端有时是无法使用下发的 dns 访问,与 dns 本身的机制有关;
-
在 win2000上面使用隧道模式如果不通,查看一下路由表的默认网关的 metric 值,如果都是 1,需要手动修改使本地网关的 metric 值大一些,再连接隧道模式使之能通。
-
对于 Vista 系统,安装控件及瘦客户端时需要关闭账户控制 UAC 功能。隧道客户端安装时,出现如图所示,无法安装时:
是由于网络原因导致安装包不完整就开始安装了,需要重新下载完整的客户端安装包。
- 对于 Win 7 或者 Win2008 操作系统,需要右键以管理员身份运行打开 ie 浏览器之后才能正常连接隧道进行访问;
- 使用 ie9 连接隧道时,会出现一连接页面就无法显示的问题,这是由于 ie9 老版本存在本身的问题,解决方法有两种:1、升级 ie9 补丁到编号为 KB2586448;2、采用右键打开窗口的方法连接隧道。
29.4 SSL VPN监控与维护
29.4.1 SSL VPN监视器
SSL VPN 监视器显示所有 SSL VPN 在线的用户信息,包括用户名、用户登录 IP、隧道 IP 登录时间、空闲时间、数据流量等。此外通关 SSL VPN 监视器可以强制用户下线。
要显示在线用户 SSL VPN 用户信息,进入 VPNSSL 远程接入监视器。如下图:
点击用户列表最右侧的可以强制用户下线。
29.5 WINDOWS 7 下的使用注意事项
配置过程:
1) 安装 CloseDEP 的批处理文件并重启(安装时右键以管理员身份运行该文件)
2) 使用 IE 打开时选择使用管理员认证的方式打开 IE,否则当使用 SSL 隧道模式时再连接后会自动断开
输入连接的SSL服务的地址后选择“继续浏览此网站”
3) 输入用户名和密码、验证码并登陆
4) 选择隧道模式下载安装 SSL-VPN 客户端
5) 连接 SSL 客户端时注意事项,当使用 IE8 的用户下载并安装客户端后选择“连接”时的会弹出如下安全警告,此时选择“否”
6) 出现下列选择单时选择“允许”
7)出现下列图表则表明已成功连接上 SSL-VPN,可以通过 SSLVPN 隧道分到一个私网ip,访问可达目标内的内网资源。
8) 对于不清楚自己IE版本的用户可以选择在隧道模式的界面下载一个控件用于跳过安全警告的提示,在下面的界面中选择“点击此处修改IE配置,简化使用流程”。
9) 点击后会下载一个名为“closemixtip.vbs”的控件,可以双击打开控件,并选择“是”来进行控件的安装
10) 如果需要回复默认设置则在 IE 的 internet 选项中的安全中选择回复默认级别即可
29.6 SSLVPN插件、客户端与操作系统兼容性问
题的FAQ
29.6.1 共性问题
现象描述 1:隧道一连就断,设备配置正确的隧道 ip 和隧道路由后,pc 成功安装了隧道客户端,结果隧道模式一连接就自动断开
解决方法:需要查看 pc 的服务中 DHCP 服务是否启用,所有需要使用虚拟网卡的功能都需要 pc 开启此服务;
现象描述 2:隧道连接后仍无法访问,设备配置正确,隧道模式正常连接后,pc 分配到了正确的隧道 ip,但是仍不能访问预期地址
解决方法:cmd 下查看路由信息 route print,是否已经存在访问预期地址的完全匹配的一条默认路由,导致访问预期地址不走隧道路由;需要禁用重新启用pc本地网卡,使旧的路由信息清除掉,或者手动删除该条路由信息routedelete 预期地址,确保访问预期地址走隧道路由;
现象描述 3:隧道客户端安装出现蓝屏,pc 在安装隧道客户端时,出现了蓝屏现象
解决方法:隧道客户端安装时,需要注意,只安装 sslvpn 的虚拟网卡,只有在下图提示下选择仍然继续,如果后续还有其他类似的提示信息出现,要选择停止安装,否则有可能会有硬件上的冲突等问题,甚至出现蓝屏,
现象描述 4:隧道客户端安装出现异常信息,安装过程中出现如下图的错误信息;
解决方法:这是由于网络原因导致安装包不完整就开始安装了,需要重新下载完整的客户端安装包。
现象描述 5:隧道连接后仍无法访问,设备配置正确,隧道模式正常连接后,pc 分配到了正确的隧道 ip,但是仍不能访问预期地址,cmd 下查看 pc 的路由信息,没有干扰的静态路由信息。
解决方法:使用隧道模式如果不通,可以查看一下路由表的默认网关的metric 值,如果都是 1,需要手动修改使原本地网关的 metric 值大一些,再连接隧道模式使之能通。
现象描述 6:隧道连接后,ftp 访问能够连接上,但是无法下载上传资源。
解决方法:请关闭操作系统的防火墙功能。
29.6.2 针对Windows 2003和Windows XP-SP3操作系统
现象描述 1:无法在 IE 上安装插件,设备配置正确,在登录之前,已经将访问地址添加至 IE 浏览器的“受信任的站点”列表,但是仍无法安装插件,一安装 IE 浏览器就崩溃。
解决方法:修改 boot.ini(隐藏在 C 盘根目录下,属性去掉只读选项), 将文件中/NoExecute…改为/execute,保存后恢复 boot.ini 属性为只读。然后重新启动系统。
参照以下例子:
修改为:
现象描述 2:无法在 IE7 上安装插件,设备配置正确,但是仍无法安装插件,被浏览器认为是未识别的发行者。
解决方法:在安全级别设定中,打开自定义级别,将“下载未签名的 ActiveX控件”选项置为提示的状态,应用确定后打开 sslvpn 登录页面,就能够成功下载、安装、运行 ActiveX 插件了。
现象描述 3:隧道连接后弹出提示信息,设备配置正确,pc 成功安装客户端之后,连接隧道时弹出提示信息,如下图:
解决方法:到 pc 的服务中,把 Routing and Remote Access 服务停止启用,之后再次连接隧道就能正常得到 ip 进行隧道访问了。
29.6.3 针对Windows Vista、Windows 7和Windows 2008 操作系统
现象描述 1:无法在 IE 上安装插件,设备配置正确,但是仍无法安装插件,一安装 IE 浏览器就崩溃。
解决方法:以管理员身份执行 CloseDEP.bat 后,重新启动系统。
现象描述 2:通过 ie9 安装插件,无法安装成功
解决方法:同于使用 ie8 安装插件,必须右键以管理员身份运行 ie,通过 ie9 安装插件过程中参考下图:
成功安装插件后,在使用的过程中当弹出以下提示时,选择“允许”来使插件能够正常监听使用:
现象描述 3:点击连接隧道后弹出安全信息,设备配置正确,pc 成功安装客户端之后,连接隧道时弹出安全信息,如下图:
解决方法:首先要确保以管理员的身份启动 IE,之后在上图的安全警告下选择否,就会看到下面的提示信息:
这是再选择允许,就能够成功连接隧道了。另外可以选择点击修改 ie 配置简化使用流程的方法来避免此对话框的出现。
现象描述 4:隧道能够连接上,但是很快就断,按照上述的步骤正确连接隧道后,几秒钟隧道就自动断开了。
解决方法:要右键以管理员身份运行来打开 ie 浏览器,
然后登录到 sslvpn 后连接隧道,就能保持隧道不断,访问资源了。
现象描述 5:通过 ie8 或 ie9 访问 ftp 或文件共享资源时,无法上传文件,
在 ftp 和文件共享都已经允许上传文件的前提下,通过 sslvpn 上传文件时,
一点上传就显示该页无法显示,文件无法上传成功。
解决方法:需要将浏览器的安全级别降到中和中以下级别;如果已经将该sslvpn 登录页面的 ip 地址加入到了可信站点中,则将可信站点的安全级别降到中和中以下级别;如果不希望降低安全级别,则请在安全级别限制中,手动将“将文件上载到服务器时包含本地目录路径”的选项置为启用状态。
现象描述 6:通过 web 代理方式无法打开使用某公司的 erp 报销系统,页面跳转不正确或跳转后无法登录进去,建立报销单时无法弹出日期选择页面。
解决方法:需要启用 html 重写,同时配置特殊改写字段为/OA_HTML/cabo/jsps/a.jsp。(如果是其他公司特有的网页或系统无法实现页面跳转,请联系某公司人员帮忙查看对应的特殊改写字段需要怎样配置)
现象描述 7:通过 ie8 或 ie9 打开 sslvpn 页面后,点击登录按钮没有反应, 不提示任何信息,无法登录。
解决方法:需要将浏览器的安全级别中的自定义项目中的活动脚本设为启用的状态:
现象描述 8:通过 ie9 连接隧道,点击连接后显示该页无法显示,无法正常连接隧道。
解决方法:这是由于 ie9 老版本存在本身的问题,解决方法有两种:1、升级 ie9 补丁到编号为 KB2586448;2、采用右键选择在新窗口中打开链接,之后就能连上隧道进行访问了: