网神SecSSL 3600安全接入网关系统管理员手册V8.5.1.pdf

网神SecSSL 3600 安全接入网关系统 管理员手册 网神 SecSSL 3600 安全接入网关系统 本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有 SSL-VPN 管理员手册 1 网神信息技术（北京）股份有限公司 2013 年 5 月 网神SecSSL 3600 安全接入网关系统 1 目录 1. SSL-VPN 简介 3 2. 运行状态 9 3. 系统设置11 4. SSL-VPN 设置36 5. 应用安全 114 6. 防火墙（仅支持 IPv4） 118 7. 日志中心 138 8. 系统维护 154 9. Shell 命令 159 10. 附录A：名词解释 177 SSL-VPN 管理员手册 2 网神SecSSL 3600 安全接入网关系统 SSL-VPN 简介 SSL-VPN 是一款多功能 VPN 网关，其提供基于 SSL 协议的 VPN 服务，基于 IPsec 协议的 VPN 服务和网 络防火墙服务。 基于 SSL-VPN 的解决方案基于 SSL 协议实现数据传输保护，采用自主知识产权的应用层协议实现用户 应用客户端与应用业务的跨地域、跨网络互连，实现 VPN 功能，采用多种认证协议实现对用户的身份的全面 认证，并通过详细的日志信息提供全面、翔实的审计服务。 SSL-VPN 采用 SSL 协议在远端用户与网关之间建立 VPN 连接，保证数据在传输过程中不被窃听、重放、 窜扰等，针对每一个用户的接入，VPN 采用认证技术确保用户的身份为可信的。VPN 网关可以与 LDAP/AD/Radius/证书认证服务器互动，提供了灵活多样的认证解决方案。 通过 SSL-VPN，无需预先安装客户端软件，家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地 访问企业内部网。SSL-VPN 不仅能保护 Web 应用，而且支持广泛的基于 TCP/UDP 的多种应用，如FTP 、TFTP、 Telnet、终端服务器、VNC、文件共享、SSH、HTTPS、Oracle、Exchange/Outlook、Lotus Notes 和、MySQL 以及企业自定义多端口应用等。为了提高远程接入的使用范围，SSL-VPN 提供网络连接模式，它允许远程接 入的客户访问企业内部网络的任意 IP 资源，也可以实现两个局域网络之间的互联。 SSL-VPN 网关内置 IPsec 协议功能模块，网络防火墙功能模块和网络入侵检测已经应用防火墙功能模块， 在为用户提供 SSL-VPN 服务基础之上，能够为用户提供全面的网络安全防护解决方案。 作为远程接入门户，SSL-VPN 提供全面的日志、审计和监控功能，管理员可以查看用户使用系统的历史 纪录、当前系统的运行状态和当前在线用户的实时信息。 1.1 典型部署模式 SSL-VPN 有两种典型部署方式：旁路模式和在线模式。旁路模式下，数据流通过网络中的路由、访问控 制规则规划业务数据流是否经过 VPN；在线模式下，对VPN 保护的业务数据流则必须经过 VPN，否则无法访 问VPN 网络。 旁路模式适合远程接入解决方案，在这种模式下，内部网络用户访问应用业务无需经过 VPN，可以提高 SSL-VPN 管理员手册 3 网神SecSSL 3600 安全接入网关系统 访问的效率，外部用户访问应用业务则可以通过 VPN 实现，这样即保护了外部用户访问应用业务的安全，避 免应用业务被互联网用户直接访问带来的安全问题，同时也能够满足内部用户访问应用的便捷性。 在线模式适合应用保护解决方案，在这种模式下，所有的用户访问应用业务都需要经过 VPN，这样VPN 可以对访问应用业务的用户进行认证、授权、访问控制和审计管理，对应用业务实现保护。 1.1.1 旁路模式