本幫助主要介紹以下內容：

·     特性簡介

○     SSL VPN工作機製

○     SSL VPN典型組網

○     SSL VPN接入方式

○     資源訪問控製

·     使用限製和注意事項

○     禁用IP接入接口可能會導致IP接入業務中斷，請謹慎執行本操作。

○     SSL VPN網關使用限製和注意事項

○     TCP接入方式使用限製和注意事項

○     IP接入方式使用限製和注意事項

○     域名使用限製和注意事項

○     頁麵模板使用限製和注意事項

○     LDAP認證使用限製與注意事項

○     高可靠性支持SSL VPN安全引擎地址池使用限製與注意事項

○     單點登錄使用限製和注意事項

·     配置指南

○     基本配置

○     認證配置

○     URI ACL

○     業務選擇

○     快捷方式

○     資源組

·     常見問題解答

特性簡介

SSL VPN是以SSL（Secure Sockets Layer，安全套接字層）為基礎的VPN（Virtual Private Network，虛擬專用網絡）技術。SSL VPN充分利用了SSL協議提供的基於證書的身份認證、數據加密和消息完整性驗證機製，能夠為應用層之間的通信建立安全連接。

SSL VPN可以為企業或機構提供安全、快捷的遠程網絡接入服務，並適合移動接入。企業員工可以使用移動客戶端在任意能夠訪問互聯網的位置安全地接入到企業內部網絡，訪問內部網絡的共享資源。

SSL VPN工作機製

1.     管理員登錄SSL VPN網關，在SSL VPN網關上創建與企業網內服務器對應的資源。

2.     遠程接入用戶與SSL VPN網關建立HTTPS連接，通過SSL提供的基於證書的身份驗證功能，SSL VPN網關和遠程接入用戶可以驗證彼此的身份。

3.     遠程接入用戶輸入用戶名、密碼等身份信息，SSL VPN網關對用戶的身份進行認證，並對用戶可以訪問的資源進行授權。

4.     用戶獲取到可以訪問的資源，通過SSL連接將訪問請求發送給SSL VPN網關。

5.     SSL VPN網關將資源訪問請求轉發給企業網內的服務器。

6.     SSL VPN網關接收到服務器的應答後，通過SSL連接將其轉發給用戶。

SSL VPN典型組網

SSL VPN的典型組網方式主要有兩種：網關模式和單臂模式。

·     在網關模式中，SSL VPN網關直接作為網關設備連接用戶和內網服務器，所有流量將通過SSL VPN網關進行轉發。網關模式可以提供對內網的完全保護，但是由於SSL VPN網關處在內網與外網通信的關鍵路徑上，其性能對內外網之間的數據傳輸有很大的影響。

·     在單臂模式中，SSL VPN網關不作為網關設備。用戶訪問內網服務器時，流量將先由網關設備轉發到SSL VPN網關，經SSL VPN網關處理後再轉發到網關設備，由網關設備轉發到內網服務器。在單臂模式中，SSL VPN網關不處在網絡通信的關鍵路徑上，其性能不會影響內外網的通信。但是這種組網使得SSL VPN網關不能全麵地保護企業內部的網絡資源。

SSL VPN接入方式

Web接入方式

Web接入方式是指用戶使用瀏覽器，通過HTTPS協議訪問SSL VPN網關提供的Web資源。用戶登錄後，Web頁麵上會顯示用戶可訪問的資源列表，用戶選擇需要訪問的資源直接訪問。Web接入方式中，所有數據的顯示和操作均通過Web頁麵進行。

目前，通過Web接入方式可以訪問的資源隻有Web服務器。

TCP接入方式

TCP接入方式是指用戶對企業內部服務器開放端口的安全訪問。通過TCP接入方式，用戶可以訪問任意基於TCP的服務，包括遠程訪問服務（如Telnet）、桌麵共享服務、電子郵件服務、Notes服務以及其他使用固定端口的TCP服務。

用戶利用TCP接入方式訪問內網服務器時，需要在SSL VPN客戶端（用戶使用的終端設備）上安裝專用的TCP接入客戶端軟件，由該軟件實現使用SSL連接傳送應用層數據。

IP接入方式

IP接入方式用來實現遠程主機與企業內部服務器網絡層之間的安全通信，進而實現所有基於IP的遠程主機與服務器的互通，如在遠程主機上ping內網服務器。

用戶通過IP接入方式訪問內網服務器前，需要安裝專用的IP接入客戶端軟件，該客戶端軟件會在SSL VPN客戶端上安裝一個虛擬網卡。

BYOD接入方式

BYOD接入方式用來實現移動客戶端對企業內部服務器進行安全訪問。

移動客戶端利用BYOD接入方式訪問內網服務器時，需要在客戶端上安裝移動客戶端專用的客戶端軟件，並在SSL VPN網關上為客戶端指定EMO（Endpoint Mobile Office，終端移動辦公）服務器。移動客戶端通過EMO服務器來獲取可以訪問的內網資源。

資源訪問控製

SSL VPN采用基於用戶的權限管理方法，可以根據用戶的身份，限製用戶可以訪問的資源。

如圖-1所示，SSL VPN對資源的管理方式為：同一台SSL VPN網關上可以創建多個SSL VPN訪問實例（SSL VPN context）。每個SSL VPN訪問實例包含多個資源組。資源組包含一係列規則，這些規則為用戶定義了可訪問的資源，包含Web接入資源、TCP接入服務資源、IP接入服務資源等。

圖-1 SSL VPN資源管理方式

 

SSL VPN用戶訪問網關的方式，及每種訪問方式下SSL VPN網關判斷該用戶所屬的SSL VPN訪問實例的方法為：

·     直接訪問：SSL VPN用戶直接輸入網關的IP地址和端口號訪問網關。隻有SSL VPN網關上僅存在一個SSL VPN訪問實例時，可以采用此方式。SSL VPN用戶屬於該SSL VPN訪問實例。

·     通過域名列表訪問：為不同的SSL VPN訪問實例指定不同的域名。遠端用戶輸入網關的IP地址和端口號登錄SSL VPN網關後，進入Domain List頁麵，在該頁麵上選擇自己所在的域。SSL VPN網關根據用戶選擇的域判斷該用戶所屬的SSL VPN訪問實例。

·     通過主機名訪問：為不同的SSL VPN訪問實例指定不同的主機名稱。遠端用戶訪問SSL VPN網關時，輸入主機名稱。SSL VPN網關根據主機名稱判斷該用戶所屬的SSL VPN訪問實例。

SSL VPN網關判斷出用戶所屬的SSL VPN訪問實例後，根據SSL VPN訪問實例所在的ISP域對用戶進行認證和授權，授權結果為資源組名稱。如果某個用戶被授權訪問某個資源組，則該用戶可以訪問該資源組下的資源。如果沒有為用戶進行授權，則用戶可訪問的資源由缺省資源組決定。

SSL VPN網關對用戶的認證和授權通過AAA來完成。目前，SSL VPN支持的AAA協議包括RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）協議和LDAP（Lightweight Directory Access Protocol，輕量級目錄訪問協議）協議。在實際應用中，RADIUS協議較為常用。

使用限製和注意事項

禁用IP接入接口可能會導致IP接入業務中斷，請謹慎執行本操作。

SSL VPN網關使用限製和注意事項

修改SSL VPN網關引用的SSL服務器端策略，或修改該策略內的SSL相關配置後，需要重新使能網關，否則新的配置不能生效。

TCP接入方式使用限製和注意事項

·     客戶端主機地址建議配置為127.0.0.0/8網段的地址，或者配置為主機名或域名。

·     主機通過TCP接入方式訪問內網資源時，可能會修改主機上的Host文件，此時需要使用該主機的用戶具有管理員權限。

·     主機上要求安裝Java運行環境。

IP接入方式使用限製和注意事項

為客戶端地址池配置的網段需要滿足以下要求：

·     不能和客戶端物理網卡的IP地址在同一個網段。

·     不能包含SSL VPN網關所在設備的接口地址，否則會導致地址衝突。

·     不能和欲訪問的內網地址在同一個網段。

配置SSL VPN用戶綁定的IP地址必須屬於用戶登錄的SSL VPN訪問實例引用的地址池或用戶被授權的資源組引用的地址池。

未關聯VPN實例或在同一VPN實例中，不同SSL VPN用戶不能綁定相同的IP地址。

域名使用限製和注意事項

配置域名（如配置Web接入資源中的URL、端口轉發表項中的客戶端主機名）時，需要由用戶保證域名的合法性，SSL VPN不檢查域名是否存在以及是否合法。

頁麵模板使用限製和注意事項

·     用戶上傳的自定義模板文件必須以.zip為拓展名。

·     用戶上傳的自定義模板文件中必須在其根路徑下包含home.html和login.html兩個文件。

LDAP認證使用限製與注意事項

SSL VPN用戶使用LDAP認證時，必須使用LDAP授權。管理員需要使用CLI方式在設備上進行LDAP的相關配置。

高可靠性支持SSL VPN安全引擎地址池使用限製與注意事項

在HA與VRRP配合的高可靠性組網環境中，當需要在HA的設備上使用安全引擎地址池功能時，必須將安全引擎地址池與VRRP備份組進行綁定，否則安全引擎地址池功能無法正常運行

單點登錄使用限製和注意事項

·     自動構建登錄請求方式下的單點登錄，選擇用戶組作為登錄參數時，隻支持遠程用戶。

·     自動構建登錄請求方式下的單點登錄，隻支持從SSL VPN資源頁麵單擊URL鏈接時才會自動登錄，不支持在地址欄或URL輸入框中打開資源。

·     自動構建登錄請求方式下的單點登錄，不支持登錄需要圖形校驗碼校驗的頁麵。

·     自動構建登錄請求方式下的單點登錄，不支持登錄需要挑戰碼驗證或調用腳本的頁麵。

配置指南

為方便使用，SSL VPN提供了向導式的Web配置頁麵。如圖-2所示，進入“新建訪問實例”頁麵後，按照Web頁麵提示，逐步完成如下配置後即可使用SSL VPN功能：

圖-2 SSL VPN配置指導圖

 

除了按照配置向導逐步完成SSL VPN配置外，管理員還可以進行以下操作：

·     通過“網關”、“客戶端地址池”、“IP接入接口”頁麵創建和修改網關、客戶端地址池、IP接入接口。

·     在“編輯訪問實例”頁麵配置SSL VPN用戶登錄的SSL VPN網關Web頁麵的形式，包括頁麵模板、頁麵標題、登錄頁麵歡迎信息、登錄頁麵是否顯示密碼輸入框、Logo。

·     在“編輯訪問實例”的“頁麵配置”頁麵配置登錄頁麵和資源頁麵的中英文頁麵公告信息、供用戶下載的中英文頁麵文件、中英文頁麵密碼複雜度提示信息以及改寫服務器返回信息。

·     在“全局配置”頁麵，管理員可以上傳自定義IP接入客戶端供用戶下載使用，也可選擇已上傳的頁麵模板作為全局頁麵模板。

·     在“模板管理”頁麵，點擊創建按鈕，彈出“新建自定義模板頁麵”，管理員可以上傳自定義頁麵模板。上傳後，管理員可在“全局配置”或“編輯訪問實例”頁麵引用該頁麵模板。

·     通過“統計信息”頁麵，管理員可以查看在線用戶信息，以及IP接入相關的統計信息。

·     單點登錄功能支持在“全局配置”頁麵，配置導出用戶自定義配置和導入用戶自定義配置。導出用戶自定義配置用於導出當前用戶在SSL VPN資源頁麵配置的自定義用戶名和密碼；導入用戶自定義配置用於導入用戶在SSL VPN資源頁麵配置的自定義用戶名和密碼。

基本配置

配置訪問實例的基本屬性，包括訪問實例關聯的網關、所屬的VRF、使用的ISP認證域等。

配置步驟

1.     選擇“網絡 > SSL VPN > 訪問實例”。

2.     在“訪問實例”頁麵單擊<新建>按鈕，進入“新建訪問實例”頁麵。

3.     在“基本配置”頁簽，配置訪問實例基本配置，具體配置內容如下：

表-1 訪問實例基本配置

參數	說明
訪問實例	訪問實例名稱
關聯網關	訪問實例引用的網關 多個訪問實例引用同一個網關時，可以為不同訪問實例指定域名或主機名。如果不指定域名或主機名，則網關隻能被一個訪問實例引用 單擊<新建>按鈕，進入新建關聯網關頁麵。在關聯網關選項中選擇網關，如果未創建網關，單擊添加關聯網關，進入“新建網關”頁麵，創建網關。在訪問方式選項中選擇訪問方式，支持的訪問方式有三種：直接訪問網關、通過域名列表訪問、通過主機名訪問
VRF	訪問實例關聯的VPN實例
最大用戶數	同一個SSL VPN訪問實例支持的最大用戶數，當達到配置的最大用戶數時，新的用戶將無法登錄
每用戶在線控製	配置每個用戶名的最大在線數 開啟強製下線功能後，當某個用戶達到最大在線數，該用戶再次登錄時，則從該用戶的在線連接中選擇一個空閑時間最長的，強製其下線，新登錄用戶上線
每會話最大連接限製	開啟每會話最大連接限製後，SSL VPN會話收到報文時，如果收到報文的板卡上該會話的連接數超過單個會話的最大連接數，則回應客戶端503 Service Unavailable，並關閉該連接
空閑超時時間	SSL VPN會話保持空閑狀態的最長時間，如果超過配置的最長時間，則斷開連接
空閑流量閾值	SSL VPN會話保持空閑狀態的流量閾值。配置該功能後，在空閑超時時間範圍內，若SSL VPN用戶發給SSL VPN網關的流量未超過該配置的流量閾值，則SSL VPN網關將斷開該會話
每會話限速	配置每會話限速功能後，當SSL VPN會話相應方向的報文傳輸速率超過閾值時，該方向的報文將被丟棄。上行流量：即用戶發給服務器的流量；下行流量：即服務器發給用戶的流量
登錄日誌	開啟登錄日誌功能後，用戶上線下線時，SSL VPN網關會生成日誌信息
資源訪問日誌	開啟資源訪問日誌功能後，用戶訪問資源信息時，SSL VPN網關會生成日誌信息
允許在線修改密碼	實現在線修改密碼功能，需同時勾選訪問實例視圖和用戶視圖下的允許在線修改密碼
開啟訪問實例	開啟訪問實例
開啟全局URL偽裝	開啟訪問實例下所有WEB資源的URL偽裝功能
自動生成安全策略	開啟自動生成安全策略功能後，設備將在創建SSL VPN訪問實例時，自動生成放通SSL VPN業務報文的安全策略

 

4.     單擊<下一步>按鈕，進入“認證配置”頁簽。

認證配置

配置用戶登錄訪問實例的認證方式，包括密碼認證、證書認證、短信認證等。

配置步驟

1.     選擇“網絡 > SSL VPN > 訪問實例”。

2.     在“訪問實例”頁麵單擊<新建>按鈕，進入“新建訪問實例”頁麵。

3.     在“認證配置”頁簽，配置用戶認證的相關配置，具體配置內容如下：

表-2 用戶認證配置

參數	說明
ISP認證域	訪問實例將使用指定ISP域內AAA方案對SSL VPN用戶進行認證、授權和計費
開啟驗證碼驗證	開啟驗證碼驗證功能後，用戶登錄時需要輸入驗證碼。隻有驗證碼驗證成功後，才允許用戶登錄SSL VPN頁麵
開啟證書認證	開啟證書認證功能後，需要同時在SSL服務器端策略頁麵配置“驗證客戶端”。SSL VPN網關會對SSL客戶端（SSL VPN用戶）進行基於數字證書的身份驗證，並檢查SSL VPN用戶的用戶名是否與SSL VPN用戶的數字證書中的用戶名信息一致
用戶名屬性	配置SSL VPN用戶證書中指定字段取值作為SSL VPN用戶名。缺省情況，將用戶證書中主題部分內的CN字段的值作為SSL VPN用戶名
開啟密碼認證	開啟密碼認證功能後，用戶可以通過用戶名、密碼登錄
證書和密碼認證	可以同時使用，也可以隻使用任意一種
iMC用戶改密	實現iMC認證用戶修改密碼功能，需要配置iMC服務器地址、端口號及所屬VPN實例，且需要開啟允許在線修改密碼功能
開啟iMC短信認證	本功能需要在iMC服務器上提前配置好短信驗證功能 開啟iMC短信認證功能後，當用戶登錄SSL VPN網關進行身份驗證時，可以獲取短信驗證碼
開啟企業微信認證	本功能需要在企業微信管理後台提前配置企業應用，並在各應用中配置應用主頁重定向鏈接和SSL VPN網關的可信域名，並完成可信域名的校驗（在企業微信管理後台下載校驗文件，並在SSL VPN全局配置界麵將文件上傳至設備） 開啟企業微信認證功能後，設備將從第三方企業微信獲取企業用戶信息，並使用該用戶信息對用戶進行認證和授權
API服務器地址	配置API服務器地址後，當設備收到從企業微信服務器重定向而來的報文時，設備將企業微信API服務器進行信息交互，獲取用戶信息，並使用獲取到的信息對用戶進行認證和授權
認證請求超時時間	SSL VPN網關向企業微信API服務器發送HTTP請求報文後，如果在超時時間內沒有收到服務器的應答報文，則認為本次企業微信認證失敗
企業ID	企業微信上唯一標識一個企業
訪問密鑰	企業應用中用於保障數據安全的“鑰匙”，每一個應用都有一個獨立的訪問密鑰，為了保證數據的安全，此密鑰務必不能泄漏
userid字段名	企業微信userid字段名，用於SSL VPN網關向內網服務器發起訪問請求時，組裝攜帶用戶信息的登錄參數
授權策略組字段名	企業微信授權策略組字段名，用於SSL VPN網關從企業微信API服務器獲取的應答報文中解析企業微信授權策略組名稱
微信開放平台URL	配置微信開放平台的URL後，當內網服務器需要再次認證客戶端身份時，客戶端將能夠正常訪問微信開放平台，完成後續的認證 用戶可以進行如下配置： ·     預定義：表示預定義的URL地址，為https://open.weixin.qq.com，用戶無法修改 ·     自定義：表示自定義的URL地址，用戶可以根據實際情況配置URL地址

 

4.     單擊<下一步>按鈕，進入“URI ACL”頁簽。

URI ACL

URI形式的ACL用於對SSL VPN的各種接入方式進行更精細的控製。對URL進行匹配，符合要求的URL請求可以訪問對應的資源。

在SSL VPN訪問實例中可以創建多個URI ACL，並且每個URI ACL下又可以配置多條URI ACL規則。若一個URI ACL中配置了多條URI ACL規則，則按照規則編號由小到大進行匹配。

在Web業務和資源組中，可以引用URI ACL進行過濾。

配置步驟

1.     在“URI ACL”頁簽中的“URI ACL資源”區段，單擊<新建>按鈕，進入“新建URI ACL列表”頁麵，配置URI ACL列表名稱。

2.     在“新建URI ACL列表”頁麵中的“URI ACL資源”區段，單擊<新建>按鈕，進入“新建URI ACL規則”頁麵，具體配置內容如下：

表-3 配置URI ACL規則

參數	說明
規則ID	規則編號。URI ACL在匹配過濾時會按照規則編號從小到大的順序依次匹配報文，一旦匹配上某條規則便結束匹配過程
動作	對匹配規則的報文的處理動作，動作包括允許報文通過和拒絕報文通過
規則內容	格式為protocol://host:port/path，protocol和host必須指定

3.     單擊<確定>按鈕，完成配置URI ACL規則，進入“新建URI ACL列表”頁麵，單擊<確定>按鈕，完成配置URI ACL列表。

4.     單擊<下一步>按鈕，進入“業務選擇”頁簽

業務選擇

SSL VPN支持的業務類型包括：

·     Web業務：即Web接入方式。在該業務下需要以URL表項和列表的形式創建Web接入資源。缺省情況下SSL VPN網關會對URL進行常規改寫。常規改寫可能會造成URL改寫遺漏和改寫錯誤等問題，從而導致SSL VPN客戶端不能訪問內網資源。因此可以通過配置域名映射或端口映射的方式盡可能的解決此問題。

以SSL VPN網關名gw（域名為https://www.gateway.com:4430，對應的IP地址為1.1.1.1），內網資源服務器URL=http://www.server.com:8080為例：

○     當不配置URL映射方式時（默認為常規改寫），客戶端訪問內網資源服務器的URL顯示為：https://www.gateway.com:4430/_proxy2/http/8080/www.server.com

○     當配置域名映射，映射的域名為www.domain.com時，www.domain.com與內網資源http://www.server.com:8080為一一映射關係。客戶端訪問內網資源服務器的URL顯示為：https://www.domain.com:4430

○     當配置端口映射，又分為配置虛擬主機名和不配置虛擬主機名兩種情況：

§     不配置虛擬主機名，引用SSL VPN網關gw2時，客戶端訪問內網資源服務器的URL顯示為：https://2.2.2.2:4430（網關gw2的IP地址為2.2.2.2，端口號是4430）

§     配置虛擬主機名，虛擬主機名為vhosta，vhosta與內網資源http://www.server.com:8080為一一映射關係。引用SSL VPN網關gw時，客戶端訪問內網資源服務器的URL顯示為：https://vhosta:4430

當內網資源為HTTPS服務器時，需要為Web業務指定SSL客戶端策略，以便SSL VPN網關使用指定的SSL客戶端策略與HTTPS服務器建立連接。如果沒有指定SSL客戶端策略，則SSL VPN網關使用缺省的SSL客戶端策略，該策略支持的加密套件為rsa_rc4_128_md5。

·     TCP業務：即TCP接入方式。在該業務下需要以端口轉發列表的形式創建TCP接入資源。端口轉發列表用來將企業網內的基於TCP的服務（如Telnet、SSH、POP3）映射為SSL VPN客戶端上的本地地址和本地端口，以便SSL VPN客戶端通過本地地址和本地端口訪問企業網內的服務器。例如，配置客戶端主機為127.0.0.1、客戶端代理端口為80、服務器地址為192.168.0.213、服務器端口為80，則表示在SSL VPN客戶端上通過127.0.0.1、端口80可以訪問企業網內的HTTP服務器192.168.0.213。

在端口轉發表項中，可以配置資源鏈接，鏈接內容直接顯示在Web界麵中，用戶可以點擊鏈接直接訪問對應資源。

·     IP業務：即IP接入方式。在該業務下需要進行以下配置：

○     指定SSL VPN訪問實例引用的IP接入接口，並為其配置IP地址。

○     指定SSL VPN訪問實例引用的地址池，以便SSL VPN網關從該地址池中選擇IP地址分配給客戶端。

○     以路由列表的形式配置IP接入資源。路由表項包括包含和排除兩種類型。包含路由下發給客戶端後，匹配該路由的報文將通過虛擬網卡發送給SSL VPN網關；排除路由下發給客戶端後，匹配該路由的報文不會發送給SSL VPN網關。

○     開啟IP客戶端自啟動。開啟此功能，SSL VPN用戶通過Web方式成功登錄SSL VPN網關後，設備會自動啟動用戶主機上的IP客戶端，且會自動連接SSL VPN網關，連接成功後SSL VPN用戶也可以使用IP接入方式訪問授權的資源。若用戶主機上未安裝IP客戶端，則先提示用戶下載並安裝IP客戶端，安裝完成後IP客戶端會自動啟動；若已經安裝IP客戶端，則直接啟動。為使IP客戶端自啟動後成功連接SSL VPN網關，需要保證設備上已創建IP接入服務資源。

○     開啟推送資源列表。開啟此功能，SSL VPN用戶通過IP方式成功登錄SSL VPN網關後，設備會自動推送資源列表，以便用戶通過Web方式訪問所授權的資源。為使設備推送的資源列表上有內容，需要保證設備上已創建Web接入服務資源。

○     配置流量限製後，若訪問實例的IP接入速率大於設置的速率，則設備將丟棄收到的數據。

○     指定用戶綁定地址。本配置可以指定用戶登錄SSL VPN網關時，網關分配給用戶的地址。若選擇自動綁定IP地址，網關會從地址池中獲取指定數量的空閑IP地址，為該用戶綁定。若未選擇自動綁定IP地址，則優先從指定IP地址範圍內分配；如果指定IP地址範圍中的地址已被分配給其他用戶，則斷開其他用戶的連接並釋放其IP地址。

·     BYOD業務：即BYOD接入方式。在該業務下需要配置EMO服務器的地址和端口號、Message服務器的地址和端口號。

配置Web接入服務

1.     在“業務選擇”頁簽，選擇WEB業務、TCP業務、IP業務和BYOD業務。

2.     單擊<下一步>按鈕，進入“WEB業務”頁簽，在“Web接入資源”區段，需要配置URL表項和URL列表。

3.     單擊URL表項下的<新建>按鈕，進入“新建URL表項”頁麵，具體配置內容如下：

表-4 配置URL表項

參數	說明
URL表項名稱	URL對應的鏈接名
URL	URL表項中資源的URL
URI ACL	過濾URL資源的URI ACL
接入類型	接入類型包括以下三種： ·     常規改寫 ·     域名映射 ·     端口映射
開啟URL偽裝	開啟此功能後，用戶將無法看到訪問的內網服務器的真實地址
單點登錄	開啟此功能後，SSL VPN用戶隻需要完成一次登錄認證，即可訪問所有相互信任的應用係統
登錄方法	單點登錄的登錄方法包括以下兩種： ·     Basic訪問請求 ·     選擇該登錄方法時，需要配置登錄參數獲取方式 ·     自動構建訪問請求 ·     選擇該登錄方法時，需要配置請求方式、編碼方式、請求參數和上傳加密文件
登錄參數獲取方式	登錄參數獲取方式包括以下兩種： ·     SSL VPN網關登錄用戶名和密碼 ·     該獲取方式表示網關使用SSL VPN網關登錄用戶名和密碼作為登錄參數 ·     自定義用戶名和密碼 ·     該獲取方式表示網關使用用戶自定義的用戶名和密碼作為登錄參數，用戶需要在SSL VPN登錄界麵輸入自定義的用戶名和密碼
請求方式	單點登錄的請求方式包括以下兩種： ·     GET ·     POST
編碼方式	單點登錄的編碼方式包括以下兩種： ·     GB18030 ·     UTF-8
請求參數	單擊請求參數右側的新建按鈕，進入“新建請求參數”界麵，在“新建請求參數”界麵配置名稱、類型及是否加密參數值。名稱指單點登錄請求參數屬性名。 請求參數類型包括： ·     登錄名、登錄密碼、認證標題、證書序列號、證書指紋、電話號碼、用戶組 登錄名、登錄密碼、認證標題、證書序列號、證書指紋、電話號碼、用戶組分別表示取SSL VPN登錄用戶名、SSL VPN登錄密碼、登錄SSL VPN網關使用的證書標題、登錄SSL VPN網關使用的證書序列號、登錄SSL VPN網關使用的證書指紋、短信認證配置的手機號碼、SSL VPN用戶所在的用戶組作為單點登錄請求參數屬性名對應的屬性值 ·     自定義用戶名、自定義密碼 自定義用戶名、自定義密碼分別表示取用戶在SSL VPN資源界麵輸入的自定義用戶名和自定義密碼作為單點登錄請求參數屬性名對應的屬性值 ·     自定義 自定義表示用戶可以手動配置單點登錄請求參數屬性名對應的屬性值
上傳加密文件	加密文件用於對請求參數的參數值進行加密。單擊選擇文件按鈕，選擇加密文件，加密文件必須為js格式，且文件大小不能超過200KB。選擇文件後，單擊上傳按鈕，上傳文件。取消引用用於取消當前引用的加密文件
當前加密文件	當前加密文件用於顯示當前引用的加密文件

 

4.     單擊<確定>按鈕，完成URL表項配置。

5.     單擊URL列表下的<新建>按鈕，進入“新建URL列表”頁麵，具體配置內容如下：

表-5 配置URL列表

參數	說明
URL列表名稱	URL列表的名稱
標題	URL列表的標題
URL表項	URL列表引用的URL表項

 

6.     單擊<確定>按鈕，完成URL列表配置。

配置TCP接入服務

1.     在“業務選擇”頁簽，選擇TCP業務、IP業務和BYOD業務。

2.     單擊<下一步>按鈕，進入“TCP業務”頁簽，在“TPC接入資源”區段，需要配置端口轉發表項和端口轉發列表。

3.     單擊端口轉發表項下的<新建>按鈕，進入“新建端口轉發表項”頁麵，具體配置內容如下：

表-6 配置端口轉發表項

參數	說明
端口轉發表項名稱	端口轉發表項的名稱
客戶端主機	企業網內的TCP服務映射的本地地址或本地主機名稱
客戶端代理端口	企業網內的TCP服務映射的本地端口號
服務器地址	企業網內TCP服務的IP地址或完整域名
服務器端口	企業網內TCP服務器的端口號
描述	端口轉發實例的描述信息
資源鏈接	端口轉發表項對應的資源鏈接，用戶可以在Web頁麵上單擊指定的鏈接訪問資源

 

4.     單擊<確定>按鈕，完成端口轉發表項配置。

5.     單擊端口轉發列表下的<新建>按鈕，進入“新建端口轉發列表”頁麵，具體配置內容如下：

表-7 配置端口轉發列表

參數	說明
端口轉發列表名稱	端口轉發列表的名稱
端口轉發表項	端口轉發列表引用的端口轉發表項

 

6.     單擊<確定>按鈕，完成端口轉發列表配置。

配置IP接入服務

1.     在“業務選擇”頁簽，選擇IP業務和BYOD業務。

2.     單擊<下一步>按鈕，進入“IP業務”頁簽，具體配置內容如下：

表-8 配置IP業務

參數	說明
IP接入接口	IP接入接口的名稱
客戶端地址池	客戶端使用IP接入方式訪問SSL VPN網關時，網關需要為客戶端分配IP地址。SSL VPN網關使用該地址池為客戶端分配地址
客戶端地址池掩碼	引用的客戶端地址池的掩碼
主DNS服務器	企業網內主DNS服務器的地址
備DNS服務器	企業網內備DNS服務器的地址
主WINS服務器	企業網內主WINS服務器的地址
備WINS服務器	企業網內備WINS服務器的地址
保活周期	保活報文發送的時間間隔。保活報文由客戶端發送給網關，用於維持客戶端和網關之間的會話
開啟IP客戶端自啟動	開啟此功能後，用戶通過WEB方式成功登錄SSL VPN網關後，設備會自動啟動用戶主機上的IP客戶端，並自動連接SSL VPN網關
開啟推送資源列表	開啟此功能後，用戶通過IP方式成功登錄SSL VPN網關後，設備會自動向用戶主機推送資源列表
流量限製	IP接入方式的限速功能，包括上行流量限速和下行流量限速。上行流量表示SSL VPN用戶訪問內網服務器的流量，下行流量表示內網服務器發給SSL VPN用戶的流量
丟包日誌	開啟此功能後，通過IP接入SSL VPN發生丟包時，SSL VPN網關會生成日誌信息
IP連接關閉日誌	開啟此功能後，通過IP接入SSL VPN時建立的連接被關閉時，SSL VPN網關會生成日誌信息
IP地址分配和釋放日誌	IP接入方式下，SSL VPN網關為客戶端虛擬網卡分配和釋放IP地址時，SSL VPN網關會生成日誌信息

 

3.     在“IP業務”頁簽中的“IP接入資源”區段，需要配置IP接入資源和用戶綁定地址。

4.     單擊IP接入資源下的<新建>按鈕，進入“新建路由列表”頁麵，需要配置路由列表名稱。

5.     在“新建路由列表”頁麵中的“路由列表表項”區段，單擊<新建>按鈕，進入“新建路由表項”頁麵，具體配置內容如下：

表-9 配置路由表項

參數	說明
類型	類型包括包含和排除。包含表示在路由列表中添加路由，路由的目的網段需要是企業內部服務器所在的網絡。排除表示客戶端在本地添加這些路由表項，匹配這些路由表項的報文將不會被發送給SSL VPN網關
子網地址	路由的目的地址
掩碼長度	路由目的地址的掩碼長度

 

6.     單擊<確定>按鈕，完成配置路由表項。

7.     單擊<確定>按鈕，完成配置路由列表。

8.     單擊用戶綁定地址下的<新建>按鈕，進入“新建用戶綁定IP地址”頁麵，具體配置內容如下：

表-10 配置用戶綁定IP地址

參數	說明
用戶名	SSL VPN用戶名
自動綁定IP地址	開啟自動綁定IP地址功能後，SSL VPN網關為客戶端自動分配空閑的IP地址，並綁定，可以配置綁定的空閑IP地址的個數
起始IP地址	用戶綁定的IP地址範圍的起始IP地址
結束IP地址	用戶綁定的IP地址範圍的結束IP地址

 

9.     單擊<確定>按鈕，完成配置用戶綁定IP地址。

配置BYOD接入服務

1.     在“業務選擇”頁簽，選擇BYOD業務。

2.     單擊<下一步>按鈕，進入“BYOD業務”頁簽，需要配置EMO服務器地址、EMO服務器端口、Message服務器地址和Message服務器端口。

3.     單擊<下一步>按鈕，進入“快捷方式”頁簽。

快捷方式

本功能通過將用戶常用的URL配置為快捷方式，方便用戶使用。配置後，用戶可以在Web頁麵上單擊指定的快捷方式訪問資源。

配置步驟

1.     在“快捷方式”頁簽中的“快捷方式”區段，需要配置快捷方式和快捷方式列表。

2.     單擊快捷方式下<新建>按鈕，進入“新建快捷方式”頁麵，具體配置內容如下：

表-11 配置快捷方式

參數	說明
快捷方式名稱	快捷方式的名稱
描述	快捷方式的描述信息
資源地址	資源地址包括三種類型： ·     資源鏈接：快捷方式對應的資源鏈接，用戶可以在Web頁麵上單擊指定的鏈接訪問資源，需要按照url('url-value')模板配置。url-value由協議類型、主機名稱或地址、端口號、資源路徑四部分組成，完整格式為“協議類型://主機名稱或地址:端口號/資源路徑” ·     應用程序路徑：快捷方式對應的應用程序路徑，需要按照app('app-value')模板配置。程序路徑可以使用絕對路徑也可以使用環境變量，例如“c:\windows\system32\notepad++.exe” ·     自定義：SSL VPN網關管理員可以自己編寫任意一個可執行的JavaScript腳本，實現訪問特定的資源

 

3.     單擊<確定>按鈕，完成配置快捷方式。

4.     單擊快捷方式列表下<新建>按鈕，進入“新建快捷方式列表”頁麵，具體配置內容如下：

表-12 配置快捷方式列表

參數	說明
列表名稱	快捷方式列表的名稱
選擇快捷方式	在已配置的快捷方式中選擇快捷方式

 

5.     單擊<確定>按鈕，完成配置快捷方式列表。

6.     單擊<下一步>按鈕，進入“資源組”頁簽。

資源組

指定訪問實例引用的資源組，並在資源組中引用已經創建的訪問資源，以限製用戶隻能訪問授權的資源組中的資源。在資源組中還可以通過ACL進一步控製用戶訪問權限。在資源組中配置IP接入時，可以采用以下方式配置下發給客戶端的路由表項：

·     指定路由方式：既可以直接配置路由表項，將一條路由下發給客戶端，也可以引用“IP業務”中創建的路由列表，將路由列表中的多條路由同時下發給客戶端。

·     強製接入方式：強製將客戶端的流量轉發給SSL VPN網關。SSL VPN網關在客戶端上添加優先級最高的缺省路由，路由的出接口為虛擬網卡，從而使得所有沒有匹配到路由表項的流量都通過虛擬網卡發送給SSL VPN網關。SSL VPN網關還會實時監控SSL VPN客戶端，不允許SSL VPN客戶端刪除此缺省路由，且不允許SSL VPN客戶端添加優先級高於此路由的缺省路由。

此外，在資源組中配置IP接入時，還可以配置資源組引用的客戶端地址池。若SSL VPN資源組下引用了地址池，則SSL VPN網關隻會從該地址池中為客戶端分配IP地址，當該地址池中無可用地址時，分配失敗，用戶無法通過IP接入。若SSL VPN資源組下未引用地址池，則SSL VPN網關將使用SSL VPN訪問實例中引用的地址池為客戶端分配IP地址。

配置步驟

1.     在“資源組”頁簽中的“資源組”區段，單擊<新建>按鈕，進入“新建資源組”頁麵，需要配置資源組名稱和引用的快捷方式列表。

表-13 配置新建資源組

參數	說明
資源組名稱	資源組的名稱。SSL VPN網關通過給用戶授權資源組的方式控製用戶可以訪問資源
快速訪問資源	用戶可以快速訪問的資源。SSL VPN用戶登錄網關後直接跳轉到用戶指定的頁麵，而不需要在SSL VPN資源頁麵進行選擇
快捷方式列表	選擇資源組引用的快捷方式列表名稱

 

2.     在“WEB接入”區段，需要配置WEB資源引用的URL列表、高級ACL和URI ACL。

3.     在“TCP接入”區段，需要配置TCP資源引用的端口轉發列表、高級ACL和URI ACL。

4.     在“IP接入”區段，具體配置內容如下：

表-14 配置IP接入

參數	說明
強製接入VPN	開啟該功能後，設備會強製將客戶端的流量轉發給SSL VPN網關
指定路由接入VPN	將指定路由列表中的路由表項下發給客戶端
客戶端地址池	策略組引用的客戶端地址池。客戶端使用IP接入方式訪問SSL VPN網關時，網關需要為客戶端分配IP地址
IPv4 ACL	配置對IP接入進行IPv4高級ACL過濾規則
IPv6 ACL	配置對IP接入進行IPv6高級ACL過濾規則
URI ACL	配置對IP接入進行URI ACL過濾規則

 

5.     單擊<確定>按鈕，完成配置資源組。

6.     單擊<完成>按鈕，完成配置訪問實例。

常見問題解答

某些資源的訪問權限發生變化後，為什麼不會立即生效？

這是因為SSL VPN不支持動態授權，權限變化的生效範圍及生效時間如表-15所示。

表-15 權限變化的生效範圍及時間

權限變化方式	生效範圍及時間
遠程服務器授權變化	對已經登錄用戶不生效，僅對新登錄的用戶生效
資源組引用的ACL變化或ACL內的規則變化	IP接入方式、TCP接入方式和Web接入方式，均立即生效
Web接入資源變化	SSL VPN用戶刷新頁麵後，可以看到資源變化
TCP接入資源變化	SSL VPN用戶重新啟動客戶端軟件後，變化生效
IP接入方式中的路由表項、DNS服務器地址、WINS服務器地址變化	立即生效

 

SSL VPN用戶登錄SSL VPN網關時，是否需要進行證書認證？

SSL VPN用戶作為SSL客戶端登錄SSL VPN網關時，SSL客戶端證書認證的三種方式及其區別如表-16所示。

表-16 客戶端證書認證方式對比

認證方式	說明
關閉客戶端證書認證	在使用瀏覽器訪問SSL VPN網關時，不會提示用戶選擇證書，不對客戶端進行證書認證
開啟客戶端證書認證	在使用瀏覽器訪問SSL VPN網關時，會提示用戶選擇證書。如果用戶沒有證書，則會斷開SSL連接
不強製要求客戶端證書認證	在使用瀏覽器訪問SSL VPN網關時，會提示用戶選擇證書。如果用戶不使用證書，則SSL連接依然有效，此時並不會斷開SSL連接。如果用戶選擇證書，但是服務器檢查客戶端證書未通過，則會斷開SSL連接

 

當SSL VPN管理員認為需要對SSL VPN用戶進行證書認證時，應該將SSL VPN網關引用的SSL服務器端策略配置為後兩種方式，並使能SSL VPN的證書認證功能。SSL VPN證書認證功能會比較證書中的CN字段和用戶名是否匹配，如果不匹配，則會禁止訪問。

對於SSL VPN證書認證功能，僅在Web接入和IP接入方式下，支持SSL服務器端強製要求對SSL客戶端進行基於數字證書的身份驗證；在TCP接入和移動客戶端接入方式下，不支持SSL服務器端強製要求對SSL客戶端進行基於數字證書的身份驗證。