手册简介
本手册后续章节包括:
第1章网神SecSSL 3600 安全接入网关 简介
介绍了部署网神SecSSL 3600的典型模式。也介绍两个基本,但很重要的概念:角色和访问控制。 第2章 网络设置
在网神SecSSL 3600还没能够完全运作,您必须配置一些基本网络设置。本章将介绍这些设置参数。 第3章 使用证书
介绍网神SecSSL 3600如何使用证书来认证网神SecSSL 3600和用户。 第4章 用户和用户组管理
介绍了网神SecSSL 3600里用户和用户组的概念。 第5章 认证
网神SecSSL 3600会对所有要访问系统的用户祖做认证。本章介绍了网神SecSSL 3600所使用的认证方法和机制。 第6章 服务管理
解释什么是服务,和怎样配置和管理这些服务。 第7章 授权管理与客户端安全
详细介绍了授权和访问控制的概念,并如何配置远端访问。 第8章 配置网络连接
网络连接,或NC(Network Connection),是网神SecSSL 3600访问模式之一。本章将详细介绍此访问模式的概念,和如何配置它。 第9章 端对端的网络互连
详细介绍了端对端的网络互连的功能,和如何使用它。 第10 章 日志和审计
一个周全的系统必须有一个记录日志的功能,以及能让管理员监控和分析系统的工具。本章介绍了网神SecSSL 3600的日志和监控功能。 第11 章 高可用性
高可用性是SSL VPN不可缺少的功能。本章介绍了网神SecSSL 3600的高可用性功能。 第12 章 系统维护
介绍了网神SecSSL 3600维护系统的功能,如系统时间,系统安全设置等。
ii
第13 章 虚拟门户
虚拟门户是网神SecSSL 3600可订制的登录界面。本章介绍了如何配置虚拟门户。 第14 章 Shell命令
介绍了网神SecSSL 3600的命令行 (Shell) 命令。 第15 章 配置实例
本章给出一系列配置应用案例,以帮助您更容易配置网神SecSSL 3600。 附录A 使用LCD面板
详细描述了网神SecSSL 3600系统中LCD面板的使用; 附录B 名词解释
列举了在本手册运用的技术词汇。
手册约定
以下是手册里所用到的约定。
格式 意义 加粗 加粗的文字代表界面上的参数 【 】 用于表示按钮名称;如:单击【确定】按钮 > 用于表示多级菜单,如:“网络 > 基本设置”表示“网络”菜单下“基本设置”子菜单项。
iii
网神SecSSL 3600安全接入网关-管理手册
第1章 网神SecSSL 3600简介
网神SecSSL 3600是一款基于SSL 协议的无客户端VPN,提供了远程访问的安全解决方案。通过网神SecSSL 3600,无需客户端软件,家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。网神SecSSL 3600通过对用户的认证,基于角色的访问控制以及数据加密技术为用户提供了安全保障。网神SecSSL 3600实现了良好的加密和认证功能,SSL/TLS 协议保证了数据在传输过程中的加密和解密。
本章将介绍典型的网神SecSSL 3600部署模式。您可以采用任何一个所介绍的模式,或联系网御神州技术人员帮您计划适合的部署模式。本章也介绍了两个基本,但很关键的概念:角色和访问控制。网神SecSSL 3600有许多功能都直接或间接跟这两个概念有关。
1.1典型部署模式
网神SecSSL 3600 VPN有三种典型部署方式:单机、多出口以及HA模式。所有来自因特网的应用数据都要通过网神SecSSL 3600的保护才能进入企业内部网络,以此来阻止消息窃听、消息重放、不合法登入等攻击。下面将详细介绍网神SecSSL 3600的这三种典型布局方案和结构图示。在实际应用中可根据网络环境和客户要求进行组合来实施具体的部署,例如可以部署HA+Multiple ISP模式等。
1.1.1单机模式
利用网神SecSSL 3600可以为企业提供远程接入方案。移动用户可通过任意方式接入到Internet,然后经过网神SecSSL 3600的SSL隧道保护安全的接入到企业内部网络。网神SecSSL 3600支持各种认证服务器,如:Radius、Windows AD、LDAP等,可以方便地同企业现有的认证系统结合在一起,便于企业部署远程接入解决方案。下图为典型的远程接入解决方案的结构图示。
EmailMobile OfficerFile shareRadius/LDAPE_commercePDAsSecSSL 3600DatabaseWeb`Windows AD`SOHOPartner
安全源于管理 管理驱动安全 1
网神SecSSL 3600安全接入网关-管理手册
1.1.2 多出口模式
利用网神SecSSL 3600为企业提供的远程接入方案,可以方便移动办公用户随心所欲地访问企业内部网络;但由于移动用户接入Internet的条件不同,导致不同的用户可能从不同的运营商接入到Internet。在这种环境下,跨运营商实现对网神SecSSL 3600访问会出现网络质量不稳定的情况,尽管网神SecSSL 3600的客户端智能可以在低速和不稳定的链路上保持连接畅通,但有些应用因为对网络环境的要求比较苛刻,会导致不能使用。
在网神SecSSL 3600上可配置多个外部接口,每一个接口连接一个ISP,再结合网神SecSSL 3600客户端的智能选路功能,可以保障从不同ISP接入的客户都能得到良好的网络应用体验。
外地员工出差人员邮件1文件服务器Radius/LDAP`SOHOSecSSL 3600OA出差人员数据库Windows AD2`SOHOWeb合作伙伴`
安全源于管理 管理驱动安全 2
网神SecSSL 3600安全接入网关-管理手册
1.1.3 HA(高可用性)模式
移动办公解决方案的目的是保证移动用户可以随时接入到企业内部网络。这就要求网神SecSSL 3600提供高可靠性,同时要能对物理网络环境可能出现的故障提供足够的容错措施;网神SecSSL 3600的HA特性即可解决这个问题。
如下图所示,两台网神SecSSL 3600以双机备份模式部署,既可采取AA(主动-主动)模式,也可采取AP(主动-被动)模式。
外地员工认证服务器出差人员邮件文件服务器`SOHO双机备份OA出差人员数据库SecSSL 3600Web`SOHO合作伙伴`
在HA模式下,两台网神SecSSL 3600可以自动地实现配置的同步,并能依据网络可用性、自身状态等条件实现状态的切换和恢复;在AA模式下,结合客户端智能还可以实现负载的均衡。因此网神SecSSL 3600的HA模式使得企业的远程接入方案具备了良好的高可用性,从而保障移动用户能够随时访问企业内部网络资源。关于HA的详细配置,请参见手册第11章。
安全源于管理 管理驱动安全 3