格尔安全认证网关5.2.1使用培训.ppt

格尔安全认证网关5.2.1

使用培训内容产品外观部署网关配置网络配置证书配置安全认证服务系统管理故障诊断产品外观（E型）产品外观（G型）内容产品外观部署网关配置网络配置证书配置安全认证服务系统管理故障诊断部署安全认证网关串联部署并联部署双机热备部署负载均衡部署串联部署优点安全性高：用户必须通过网关的认证加密后才能获取服务，同时网关将服务器与外界网络隔离，避免了对服务器的直接攻击。结构清晰：串联模式在物理部署和逻辑结构上都非常简单，容易理解。性能高：相对于并联模式，串联模式的效率及带宽利用率更高。缺点需要对原有服务器进行网络改动以及进行地址改变带来的必要的应用变更。并联部署双机热备部署负载均衡部署内容产品外观部署网关配置网络配置证书配置安全认证服务系统管理故障诊断配置网络登陆管理界面使用交叉线与第三块网卡相连管理口ip：管理界面：默认密码配置网卡ip配置路由和DNS演示内容产品外观部署网关配置网络配置证书配置安全认证服务系统管理故障诊断配置证书站点证书生成证书请求上传站点证书证书链上传CA证书黑名单（可选）配置LDAP参数演示内容产品外观部署网关配置网络配置证书配置服务系统管理故障诊断配置服务-基本操作添加/删除服务启动/停止服务查看日志配置服务-基本参数配置配置服务-基本参数配置连接模式即客户端访问SSL服务的方式反向代理：访问时输入的ip地址为SSL网关的ip地址正向代理：访问时输入的ip地址为真实服务器的ip地址上面两种代理都使用了SSL协议对通讯进行保护。明文反向代理：HTTP直通服务配置服务-基本参数配置后台协议类型即SSL网关与真实服务器通讯的协议反向代理：http、https、tcp正向代理：自适应配置服务-基本参数配置本地服务IP地址和端口号对于反向代理而言，这就是客户端访问时输入的地址:端口对于正向代理而言，这是客户端软件配置的重要一项后台服务IP地址和端口号正向代理中不需要设置此项运行日志这通常设置为“错误”级别只有当网关需要调试时，才会去改变此选项访问日志两种方式：文件/syslogSSL服务-证书配置站点证书用于标识SSL网关的身份证书链用于验证用户证书SSL服务-用户策略SSL服务-用户策略客户端证书验证/不验证协议选择SSL版本，有SSLv3和TLSv1两种选择加密算法SSL通讯时使用的密码算法Session缓存大小用于保存SSLSession，开启Session有利于加快SSL连接的建立Cookie绑定将客户端信息以Cookie形式传递给后台自定义错误页面当证书认证失败时，返回给用户的页面显示统一策略下发只用于正向代理，提供客户端策略的统一下载SSL服务-用户策略以下几项只有在“强制验证”客户端证书时才能配置黑名单验证访问控制基于URL用户映射HTTP自动提交和HTTP自动认证功能的前提HTTP自动提交HTTP自动认证目前只支持HTTPBasic和Digest认证方式SSL服务-性能配置加密引擎极限阀值加密引擎初始阀值这两个参数一般使用默认值即可，无需修改配置演示-反向代理服务类型：SSL反向代理，后台为HTTP服务器服务ip/端口号：20:443后台ip/端口号：:80客户端证书：强制验证Cookie绑定：否访问控制：否用户映射：否HTTP自动提交：否HTTP自动认证：否统一策略下发：否Cookie绑定Cookie是SSL网关与后台Web服务器的一种接口方式通过Cookie可以传递：客户端IP证书的CN、有效期、DN等信息整张证书（BASE64编码格式）配置演示访问控制一条策略由以下几项组成动作：允许或者阻止资源：有URL和IP地址两种类型，URL支持正则表达式，IP地址支持类似10.1.1.*的表达式角色：根据用户证书的对应项来确定，如CN、序列号等匹配过程：逐条扫描策略，若角色和资源与当前访问匹配，则执行动作，否则继续扫描；若所有策略都不匹配，则执行动作-阻止URL类型的资源反向代理与正向代理的区别/login.php反向代理：/.*正向代理：/.*访问控制配置演示规则：允许“晏鸿敏”访问/aboutus/.*阻止“所有人”访问/supports/.*允许“所有人”访问所有资源用户映射将证书身份与传统身份信息一一对应起来用户映射表即一张三维表：应用-用户证书-用户名/密码用户映射表是HTTP自动提交/自动认