网神SecSSL 3600安全接入网关-管理手册
2.5 IP地址池
IP Pool由一段IP地址构成。这一段IP地址可以是连续,也可以是不连续的。网神SecSSL 3600中有两个地方需要IP地址池,第一个是网络连接配置 (NC Profile,“网络连接 > NC配置”) ; 第二个是代理类型的文件共享服务。
网络连接配置中设置地址池的目的是给远程接入的客户分配IP地址;在文件共享服务中设置IP地址池的目的,是解决某些条件下Windows的共享文件只允许有限的用户同时访问。
点击“网络 > IP地址池”,管理系统中的IP地址池。
注意: 这些IP地址池不能使用当前网络中存在的地址,并且需要通过应用服务器的网关或者静态路由配置来保证应用服务器到IP地址池的路由可以到达网 神SecSSL 3600。
2.6 NAT
网神SecSSL 3600支持地址转换功能,支持源地址转换 (SNAT) 和目的地址转换 (DNAT) 。 点击“网络 > NAT”可得:
点击“源地址转换”得到源地址转换配置页面。
其中源地址字段和源子网掩码指明IP报文的来源地址和子网掩码,目的IP指明IP报文被转换之后的源地址,也就是对外表现的IP地址,接口字段指明经过转换之后的数据报文从哪个接口外出。
点击“目的地址转换”页面得到目的地址转换配置页面。
协议字段指明需要被转换的数据的协议,可选择TCP或者UDP;源IP和源端口指明了需要被转换的数据报其原始的目的IP地址和端口;目的IP和目的端口指明了被转换后的IP报文的目的IP和目的端口。
安全源于管理 管理驱动安全 9
网神SecSSL 3600安全接入网关-管理手册
第3章 使用证书
公钥证书是由公钥基础设置(PKI)中使用CA签名来绑定用户身份与其公钥的对应关系的文件。网神SecSSL 3600作为一个SSL-VPN网关,使用公钥证书向客户端浏览器标示自己的身份,同时网神SecSSL 3600可以使用证书对登入的客户进行身份认证。因此在网神SecSSL 3600中涉及到两类证书:
1. 标识网关身份的证书,称为网关证书; 2. 标识用户身份的证书,称为用户证书。
3.1配置网关证书
网神SecSSL 3600在出厂时配置了默认的网关证书,是由网神SecSSL 3600在第一次运行系统时生成的自签名的证书,因此它不会被浏览器默认信任。网神SecSSL 3600的网关证书是可以被管理员修改的,网神SecSSL 3600提供了三种修改网神SecSSL 3600网关证书的方法:
1. 由网神SecSSL 3600生成自签名证书;
2. 由网神SecSSL 3600生成自签名证书申请 (PKCS#10) ,管理员可以把该证书请求消息提交给其信任的PKI系统,由CA签发证书请求中的公钥证书;
3. 管理员可以直接从企业信任的CA申请SSL网关服务器证书,并将证书和私钥以及CA链导入到网神SecSSL 3600中即可。
使用自签名证书,网神SecSSL 3600会定期更新网关证书,使用其它两种方式的证书,需要管理员采取手动方式对证书进行更新。
网神SecSSL 3600允许管理员为网关配置多个网关证书,但是只有一个会作为当前网关的身份标识。您可以从界面的“系统 > 证书”功能来配置网关证书。
浏览器会对网关证书的有效性进行检查,包括以下内容: 1. 签名是否正确; 2. 签发者CA是否可信;
3. 证书是否在CRL (Certificate Revocation List, 证书撤销列表) 中 4. 证书有效期是否有效;
5. 证书中的网关地址与浏览器访问的网关地址是否一致。
因此在申请网关证书时,管理员要注意将证书中的IP地址信息设置为网神SecSSL 3600外网接口的IP地址。
注意: 证书是有有效期的,因此管理员需要注意配置的网神SecSSL 3600的网关证书的有效期,并注意在证书到期前更新网关证书。 安全源于管理 管理驱动安全 10
网神SecSSL 3600安全接入网关-管理手册
3.2管理用户端证书的签名CA
网神SecSSL 3600允许用户使用证书标示自己的身份,为了验证客户端的证书的有效性,需要在网神SecSSL 3600中设置为用户签发证书的CA的证书链,为用户签发证书的CA称为可信CA。网神SecSSL 3600中允许设置多个可信CA,每一个可信CA包括从用户证书签发CA的证书到该CA体系的根CA之间的整个证书链信息和相应的CRL列表。您可以点击界面的“认证 > 可信CA”以配置用户证书。
CRL (Certificate Revocation List) 是由CA签发的证书撤销列表,其中包含了那些尚在有效期内但是某些信息如用户身份、私钥等已经失效的证书,处于CRL中的证书是无效的证书。CA系统依据其策略不同,发布CRL信息的频率也不同,通常以天为单位发布CRL信息,有些CA系统服务的用户数量庞大,因此也发布一些增量CRL。网神SecSSL 3600不支持增量CRL。
网神SecSSL 3600支持3种使用CRL的方式: 1. 将CRL文件导入到系统中;
2. 网神SecSSL 3600访问CA证书中指定的CRL发布点信息地址来获取CRL信息;
3. 网神SecSSL 3600 使用指定的协议(FTP,HTTP,LDAP)从指定的URL地址定期获取CRL列表信息;
其中第2,3两种方式下网神SecSSL 3600可以定期的自动更新CRL信息。
安全源于管理 管理驱动安全 11
网神SecSSL 3600安全接入网关-管理手册
3.3使用OCSP服务器对客户端证书进行验证
OCSP(Online Certificate Status Protocol)证书应用可以实时查询接入的客户证书的有效性,而不依赖于CA发布的CRL列表和其它验证信息。网神SecSSL 3600支持OCSP协议,管理员可以为网神SecSSL 3600配置多个OCSP服务器作为对证书用户进行认证的服务器。您可以点击界面的“认证 > OCSP”以配置此证书。
在管理员配置OCSP服务器时,需要确保该OCSP服务器对网神SecSSL 3600允许接入的证书用户的证书具有判断能力。
3.4添加证书用户
网神SecSSL 3600允许用户使用证书作为认证凭证登入系统,在用户可以利用证书登入系统之前,管理员需要将用户的证书加载到系统中,以便对用户进行授权操作。管理员需要将用户的证书导入到系统中,可以单个导入,也可批量导入。在批量导入时,管理员需要将多个用户的证书压缩打包放在一个文件中。具体添加方式请参考“帐号 > 用户帐号”部分的在线帮助。
网神SecSSL 3600 还支持添加证书认证服务器,管理员可将证书用户分成不同的群组,属于同一群组的所有证书用户经由同一台认证服务器进行认证,有助于减轻管理证书用户的负担。请参见5.2.1的详细信息。
安全源于管理 管理驱动安全 12
网神SecSSL 3600安全接入网关-管理手册
第4章 用户和用户组管理
网神SecSSL 3600提供远程接入服务的第一步是对远程用户进行认证。网神SecSSL 3600支持多种认证方式:本地数据库用户认证,使用远程认证服务器,使用动态口令认证等。本章介绍在网神SecSSL 3600中管理用户的若干概念。
4.1用户的类型
网神SecSSL 3600中有两种用户:管理员帐号和普通用户;管理员帐号是用于对系统进行管理的帐号;普通用户则是通过网神SecSSL 3600实现远程访问的帐号。管理员帐号和普通用户相互独立。管理员帐号不具备普通用户的权利,普通用户也无法登入管理页面。
针对普通用户,系统分为三种:本地密码帐号,本地证书帐号和远程帐号。远程帐号包括AD、LDAP、Radius服务器上的帐号。在网神SecSSL 3600中一个用户需要使用认证服务器+用户名作为唯一的标识。因此用户在登入系统时除了需要输入用户名/密码或者选择证书之外,还需要选择使用特定的认证服务器。
网神SecSSL 3600支持使用LDAP/AD/Radius服务器作为远程认证服务器,使用远程认证服务器认证用户有三种方式:
第一种:不在系统中添加任何用户信息,当用户登入时使用远程认证服务器作为认证的服务器;此种方式不能对每一个用户进行授权,但可以对所有用户进行统一的授权;
第二种:在系统中手工添加部分用户的信息;可以指定未明确加入到系统中的用户是否需要访问企业内部资源;这种方式下可对加入网神SecSSL 3600的用户进行详细的授权;添加此种方式的用户操作请参考“帐号 > 用户帐号”相关在线帮助。
第三种:在网神SecSSL 3600中下载远程服务器(只适合LDAP、AD类型的服务器)中指定分支下的用户信息,这种方式可以对用户进行详细的授权定义。
安全源于管理 管理驱动安全 13