<B6ABC8ED4E ECDF8B9D8D3C3BBA7CAB9D3C3D6B8C4CF2E626F6F6B>

Transcription

1 东软 NetEye VPN 网关 V3.0 用户使用指南

2 版权所有 本软件和相关文档的版权归沈阳东软系统集成工程有限公司所有, 任何侵犯版权的行为都将被追究法律责任 未经版权所有者的书面许可, 不得将本软件的任何部分或全部及其用户手册以任何形式 采用任何手段 ( 电子的或机械的, 包括照相复制或录制 ) 为任何目的, 进行复制或传播 版权所有 2018 沈阳东软系统集成工程有限公司 所有权利保留, 侵权必究 沈阳东软系统集成工程有限公司不对因使用本软件及其用户手册所造成的任何损失承担任何责任 东软联系信息 网站 : 电子信箱 :servicedesk@neusoft.com 服务电话 :

3 目录 前言 文档约定 相关手册 系统概述 产品概述 功能特性 典型部署场景 典型配置步骤 系统主页 登录 WebUI WebUI 界面布局 查看系统主页 VPN 基础功能 全局配置 资源 资源组 用户 用户组 VPN 策略 超时策略 Web 模式 SSL VPN 隧道模式 SSL VPN IPSec VPN 监控 系统监控 在线用户 历史监控 东软 NetEye VPN 网关用户使用指南 1

4 5 日志管理 日志配置 管理日志 访问日志 调试 网络 / 策略配置 接口 路由 访问策略 IP-MAC 绑定 地址转换 攻击防御 系统管理 管理员 系统时间 证书 认证服务器 邮件服务器 SNMP 配置 高可用性 备份 / 恢复 系统升级 License 版权信息 配置范例 基本网络配置 VPN 部署模式 Web 模式 SSL VPN 隧道模式 SSL VPN 网关到网关 IPSec VPN 远程访问 IPSec VPN 使用 LDAP 认证 邀请用户注册 找回密码 东软 NetEye VPN 网关用户使用指南 2

5 文档约定 前言 本文档介绍如何配置东软 NetEye VPN 网关 ( 以下简称 VPN 网关 ), 以使授权用户可以访问受 VPN 网关保护的资源 目标读者为 VPN 网关的管理用户 文档内容包括 : 第 1 章, 系统概述 第 2 章, 系统主页 第 3 章, VPN 基础功能 第 4 章, 监控 第 5 章, 日志管理 第 6 章, 网络 / 策略配置 第 7 章, 系统管理 第 8 章, 配置范例 文档约定 VPN 网关普通服务器 Web 服务器桌面 PC 笔记本 远程用户平板电脑智能手机路由器交换机 通信链路防火墙公网 东软 NetEye VPN 网关用户使用指南 1

6 相关手册 除了本手册, 管理员还可获得产品附带的以下文档 : 东软 NetEye VPN 网关硬件安装向导.pdf 东软 NetEye VPN 网关快速向导.pdf 东软 NetEye SSL VPN 用户操作指南.pdf 2 东软 NetEye VPN 网关用户使用指南

7 产品概述 1 系统概述 本章介绍 VPN 网关的概要信息, 包含以下内容 : 1.1 产品概述 1.2 功能特性 1.3 典型部署场景 1.4 典型配置步骤 1.1 产品概述 东软 NetEye VPN 网关是一款专业的 VPN 设备, 采用标准 SSL TLS 协议, 支持两种 VPN 技术 : IPSec VPN: 支持网关到网关和远程访问两种类型的 IPSec VPN 隧道 网关到网关类型的 IPSec VPN 隧道可用于公司总部与分支机构或合作伙伴 分支机构与分机构之间的安全互连 ; 远程访问类型的 IPSec VPN 隧道帮助移动用户安全接入公司总部, 以实现移动办公 SSL VPN: 允许出差员工或分支机构员工访问公司资源 VPN 网关支持两种 SSL VPN 接入方式 : Web 方式通过浏览器访问 SSL VPN 资源 通过此种方式, 用户无需安装任何插件即可在各主流系统上使用标准浏览器来访问资源 支持的浏览器包括 IE 7 Firefox 10 Google Chrome 9 Safari 5 Opera 12 及以上版本 如果用户要访问的资源都是 Web 应用 ( 包括 HTTP 和 HTTPS), 推荐使用 Web 模式 SSL VPN 客户端方式使用客户端访问 SSL VPN 资源 此种方式需要用户先下载 安装东软 NetEye SSL VPN 客户端, 请在 SSL VPN Portal 登录页面下载相应操作系统的客户端软件, 解压缩后安装使用 如果用户要访问的资源除了 Web 应用, 还有其他类型的应用 ( 如 FTP SSH Telnet RDP 等 ), 推荐使用隧道模式 SSL VPN 东软 NetEye VPN 网关用户使用指南 1

8 功能特性 1.2 功能特性 表 1 VPN 网关功能特性 功能模块 SSL VPN IPSec VPN 其他 功能特性 支持隧道模式 SSL VPN, 对客户端到网关的网络传输数据进行加密 支持 Web 模式 SSL VPN, 对 HTTP HTTPS FTP RDP SSH Telnet 等协议基于流式的 html 替换以及缓存压缩提升了替换的准确率和速度 支持 AES DES 3DES MD5 RC4 RSA 等加密算法, 支持加载扩展安全算法模块 支持与现有用户数据库的快速结合, 支持 RADIUS LDAP Active Directory edirectory 等第三方认证方式以及组合认证 支持 LDAP 动态组和安全组, 直接复用 LDAP 服务器的安全策略, 减轻管理员配置负担 支持 SSO 单点登录, 简化用户登录步骤 支持用户访问记录 审计和报表功能, 支持站点资源访问统计和历史查询 可限制用户在线时间, 支持超时检测和自动离线功能 支持管理员设定邀请码邀请用户自行注册, 节省了管理员的工作量, 方便了用户的接入 支持 VPN 访问策略, 结合时间进行访问控制, 可设定局域网用户访问 VPN 资源的权限 支持实时监控, 可实时监控用户接入情况或在线中断用户访问, 实时监控系统运行状况 支持网关到网关和远程访问两种隧道模式, 满足用户多种使用场景需求 支持 3DES AES TWOFISH SERPENT BLOWFISH CAST 等高强度加密算法以及国密办加密算法, 使用 MD5 SHA1 SHA2 算法保证数据的完整性 软加密支持国密办 SM3 SM4 算法, 同时支持国密办加密卡 支持 IKEv2 IKEv2 改进了加密打包的方式并优化了部分细节, 所以数据的压缩比率更高, 失真的可能更小 而且, 由于二代的优化策略, 其压缩 传输 解压的过程更加快捷方便 客户端 : 支持 Windows 7-10 ios MacOS Android 等主流操作系统 CA 中心 : 内置 CA 服务器, 可本地生成 CA 和用户证书 防火墙 : 附带基本的包过滤防火墙功能, 支持 NAT, 可基于 IP 协议和端口制定访问控制策略 攻击防御 : 可检测各种常见的 DDoS 攻击, 执行 IP 选项校验 流量监控 : 可实时监控 VPN 设备各网络接口流量 内网单机实时流量, 对流量进行排名, 查看移动拨入用户流量, 统计站点访问量 管理方式 : 支持流行的 Web 管理方式, 简单明了的配置界面, 使管理员无需花费太多精力就可以得心应手地进行配置 升级 : 系统软件更新周期为 3 个月, 使用逐步迭代的方式增强系统稳定性和功能 此部分软件更新完全免费 东软 NetEye VPN 网关用户使用指南 2

9 典型部署场景 1.3 典型部署场景 请在使用本产品前, 对网络进行必要的规划, 确定产品部署的位置 如不是全新网络, 需考虑部署本产品对原有网络规划及编址的影响 VPN 网关的典型部署场景如下所示 : 远程访问 IPSec VPN/SSL VPN 网关到网关 IPSec VPN 东软 NetEye VPN 网关用户使用指南 3

10 典型配置步骤 1.4 典型配置步骤 表 2 VPN 网关配置步骤 配置对象配置步骤操作路径 初始配置 1. 浏览器登录 在浏览器中输入缺省管理地址 使用缺省用户名 / 密码 (root/neteye) 登录 2. 修改密码管理员初始用户名和密码为 root 和 neteye 为保证系统安全, 请及时修改管理员密码 管理员密码分为两部分 : Web 管理密码 : 点击界面右上角的登录账号, 选择修改密码, 修改 Web 登录密码 后台 SSH 密码 : 可以在后台 SSH 中使用 passwd 命令进行修改 3. 上载 License 系统管理 > License 4. 设置系统时间系统管理 > 系统时间 5. 配置网络接口网络 / 策略 > 接口 > 接口配置 6. 配置路由网络 / 策略 > 路由 > 静态路由 7. 添加访问策略网络 / 策略 > 访问策略 8. 添加 NAT 规则网络 / 策略 > 地址转换 SSL VPN& 远程访问 IPSec VPN 1. 导入证书系统管理 > 证书 ( 使用自定义证书认证时, 需导入证书 ) 2. 配置认证服务器系统管理 > 认证服务器 ( 使用外部认证服务器认证 SSL VPN 用户时, 需添加外部认证服务器 ) 3. 配置邮件服务器系统管理 > 邮件服务器 (Web 模式 SSL VPN 开启邀请注册功能时用于发送邀请码和验证码 ) 4. 全局配置基础功能 > 全局配置 ( 设置认证服务器 Web 页面缓存 / 压缩策略和 LDAP 安全组 ) 5. 配置资源及资源组基础功能 > 资源 ( 添加允许 / 拒绝访问指定资源的用户 ) 基础功能 > 资源组 6. 配置用户及用户组基础功能 > 用户 ( 指定允许 / 拒绝访问资源的用户 ) 基础功能 > 用户组 7. 配置 VPN 策略基础功能 > VPN 策略 ( 限制指定用户组的资源访问权限 ) 8. 配置超时策略基础功能 > 超时策略 9. 配置 Web 模式 SSL VPN 基础功能 > Web 模式 SSL VPN 10. 配置隧道模式 SSL VPN 基础功能 > 隧道模式 SSL VPN 11. 配置远程访问 IPSec VPN 隧道 基础功能 > IPSec VPN ( 系统默认提供一条 Remote Access 隧道, 仅能查看和编辑, 不能修改或创建 ) 网关到网关 IPSec VPN 1. 导入证书系统管理 > 证书 2. 创建网关到网关 IPSec VPN 隧道 基础功能 > IPSec VPN 东软 NetEye VPN 网关用户使用指南 4

11 典型配置步骤 表 2 VPN 网关配置步骤 ( 续 ) 配置对象配置步骤操作路径 监控和日志 1. 监控流量和系统状态 监控 > 系统监控 > 接口流量统计监控 > 在线用户 > 实时并发用户监控 > 在线用户 > Web 模式在线用户监控 > 在线用户 > 隧道模式在线用户监控 > 在线用户 > IPSec VPN 在线用户监控 > 历史监控 > 并发用户趋势图监控 > 历史监控 > 接口流量趋势图监控 > 历史监控 > CPU 使用趋势图监控 > 历史监控 > 磁盘使用率趋势图监控 > 历史监控 > 内存使用趋势图监控 > 历史监控 > 应用排行监控 > 历史监控 > 用户排行 2. 查看日志信息日志 > 日志配置 ( 可配置 Syslog 服务器和本地日志存储策略 ) 日志 > 管理日志日志 > 访问日志 > Web 模式访问日志日志 > 访问日志 > 隧道模式访问日志日志 > 访问日志 > IPSec VPN 访问日志日志 > 调试 > 隧道模式调试日志日志 > 调试 > IPSec VPN 协商日志 其他 1. 添加管理用户系统管理 > 管理员 ( 可添加管理员 审计员或 HA 用户 ) 2. 配置高可用性系统管理 > 高可用性 ( 包括配置同步和集群配置 ) 3. 配置 SNMP 系统管理 > SNMP 配置 4. 备份系统配置系统管理 > 备份 / 恢复 5. 升级系统系统管理 > 升级 6. 查看版权信息系统管理 > 版权 东软 NetEye VPN 网关用户使用指南 5

12 登录 WebUI 2 系统主页 2.1 登录 WebUI 本章介绍系统登录 WebUI 布局以及系统主页的相关信息 2.1 登录 WebUI 2.2 WebUI 界面布局 2.3 查看系统主页 安装好硬件设备后, 首次登录请执行以下操作 : 1. 连接设备的管理接口至管理 PC, 或直接连接设备的管理接口到 LAN 请使用带有 RJ- 45 接头的超 5 类或 6 类的非屏蔽双绞线或屏蔽双绞线连接设备 2. 在管理 PC 上添加 IP 地址 , 掩码为 打开管理 PC 中的浏览器, 输入 出现一个证书错误提示页面, 点击 继续浏览此网站 ( 不推荐 ) 4. 在登录页面输入缺省用户名 / 密码 :root/neteye, 点击登录按钮, 登录 WebUI 东软 NetEye VPN 网关用户使用指南 6

13 WebUI 界面布局 2.2 WebUI 界面布局 VPN 网关提供简单易用的 Web 管理界面, 界面布局如下图所示 : 产品 Logo 和产品名称 快捷菜单 导航菜单 查看和配置区域 点击隐藏或展开界面左侧导航菜单 用于显示当前登录用户名称, 点击右侧的向下箭头, 可以选择更多菜单 : 点击测试用户, 输入用户名和密码并选择授权资源类型, 测试 VPN 用户名和密码是否匹配 点击修改密码, 修改当前登录用户的密码 点击退出, 退出系统 东软 NetEye VPN 网关用户使用指南 7

14 查看系统主页 2.3 查看系统主页 登录 WebUI 后将进入系统主页, 通过主页可查看系统信息 资源使用情况 接口状态 系统日志 隧道模式在线用户和 Web 模式在线用户等信息 用鼠标按住并拖拽主页各显示区域, 可自定义主页布局 查看系统信息 在系统信息区域, 可以查看以下信息 : 产品型号 软件名称 软件版本 释放时间 序列号 内存大小 系统运行时间和 License 激活状态 申请或更新 License 时, 需要提供序列号信息 点击系统运行时间后的图标, 重启或关闭 VPN 网关 如果 License 未激活, 可以点击图标跳转到 License 配置页面上传 License 点击右上角的图标可以刷新系统信息 查看资源使用情况 在资源使用情况区域, 可以查看 CPU 内存和磁盘利用率 东软 NetEye VPN 网关用户使用指南 8

15 查看系统主页 查看接口状态 在接口状态区域, 可以查看所有以太网接口的链路状态和配置信息 绿色表示接口链路处于连通状态, 灰色表示链路断开 鼠标指向接口时, 系统会弹出接口的 IP 地址信息 点击详细链接, 可以跳转到接口监控页面查看接口详细信息 点击右上角的图标可以刷新接口状态 查看实时并发用户 在实时并发用户区域, 可以查看所有用户的实时信息 例如下图中, 当前没有在线 Web 模式 SSL VPN 用户, 在线隧道模式 SSL VPN 用户数和 IPSec VPN 用户数为 之间 东软 NetEye VPN 网关用户使用指南 9

16 查看系统主页 查看系统日志 在系统日志区域, 可以查看最近的 10 条系统管理日志 点击详细链接, 可以跳转到管理日志页面查看全部管理日志信息 东软 NetEye VPN 网关用户使用指南 10

17 3 VPN 基础功能 本章介绍如何配置 VPN 基础功能, 内容包括 : VPN 基本配置 : 3.1 全局配置 3.2 资源 3.3 资源组 3.4 用户 3.5 用户组 3.6 VPN 策略 3.7 超时策略 3.8 Web 模式 SSL VPN 3.9 隧道模式 SSL VPN 3.10 IPSec VPN VPN 基本配置主要用于指定允许哪些 VPN 用户访问哪些资源, 还可以设置认证方式 超时时间 Web 缓存压缩等全局配置信息 其中, 资源被资源组引用, 用户被用户组引用, 资源组和用户组被 VPN 策略引用 VPN 网关支持网关到网关和远程访问两种类型的 IPSec VPN 要使用远程访问 IPSec VPN Web 模式 SSL VPN 以及隧道模式 SSL VPN, 必须配置 VPN 基本信息 东软 NetEye VPN 网关用户使用指南 11

18 全局配置 3.1 全局配置 全局配置中可以对 VPN 用户使用的认证服务器进行统一配置 如果使用外部认证服务器, 需要提前配置, 详细步骤请参见 7.4 认证服务器 如果配置了 LDAP 外部认证服务器, 还可以配置 LDAP 安全组, 从而可以通过 LDAP 安全组添加 VPN 用户, 减轻管理员配置负担 针对 Web 模式 SSL VPN, 还可以对资源的缓存和压缩策略进行统一配置 1. 选择基础功能 > 全局设置 2. 选择缺省认证服务器, 设置资源缓存 / 压缩全局策略以及会话超时提醒时机 如果系统已经关联 LDAP 服务器, 还可根据需要配置 LDAP 安全组 参数缺省认证服务器 Gzip 压缩 HTML/JS/CSS 缓存 说明 对 SSL VPN 用户身份进行认证的本地或外部认证服务器 如果添加了外部认证服务器, 此处可以选择其中一种认证服务器或多服务器组合认证, 但是 LDAP adirectory 和 Active Directory 服务器只能选择其中一种 是否对资源文件进行 Gzip 压缩传送 是否缓存 HTML/JS/CSS 文件, 以提升访问速度 如果启用, 还可以指定要缓存的 HTML/JS/CSS 文件后缀, 后缀名之间用逗号分隔 非 HTML/JS/CSS 快速代理对于非 HTML/JS/CSS 文件, 是否进入快速代理模式 非 HTML/JS/CSS 缓存 LDAP 安全组配置会话超时提醒 3. 点击提交 是否缓存非 HTML/JS/CSS 文件 如果启用, 还可以指定要缓存的非 HTML/ JS/CSS 文件后缀, 后缀名之间用逗号分隔 请根据要使用的 LDAP 服务器上的配置填写安全组根识别名称 (Base DN) 和安全组成员属性, 可在 VPN 策略中引用 VPN 会话超时前多长时间进行提醒 东软 NetEye VPN 网关用户使用指南 12

19 资源 3.2 资源 配置 SSL VPN 隧道之前, 需要事先指定用户可以访问的资源, 包括 HTTP/HTTPS 子网 远程桌面 远程 Web 应用 FTP SSH TELNET 等类型 查看资源 配置 HTTP/HTTPS 资源 配置子网资源 配置远程桌面 / 远程 Web 应用 /FTP/SSH/TELNET 资源 查看资源 1. 选择基础功能 > 资源 2. 查看已配置资源 : 3. 在页面右上角的查看下拉列表中, 可以选择要查看的资源类型, 包括以下选项 : 全 部 HTTP HTTPS 子网 远程桌面 FTP SSH 和 TELNET 4. 如果资源被资源组引用, 引用列会出现一个 图标 点击该图标, 可查看资源被哪 些资源组引用了 点击 Go To 链接, 可跳转到资源组页面 东软 NetEye VPN 网关用户使用指南 13

20 资源 配置 HTTP/HTTPS 资源 1. 选择基础功能 > 资源, 点击添加 2. 在基础配置页签的类型下拉框中选择 HTTP 或 HTTPS, 设置资源的基本参数, 点击 确定 参数名称显示名称备注使用源地址地址首次访问路径 说明 资源名称 Web 页面显示的资源名称, 配置后将显示在资源列表中 资源的备注信息 勾选表示用户访问资源时不走 VPN 网关代理, 系统返回用户的地址为内部服务器的真实地址, 否则为通过系统代理转换后的地址 推荐不勾选此选项 勾选后不能进行自动登录和缓存 / 压缩配置 资源的内部 IP 地址 / 域名和端口号 如果资源地址填写域名, 点击查看页面的更新 Hosts 文件按钮可将域名对应的 IP 关系更新到 hosts 文件中, 以提高访问性能 不填表示根路径 上传文件大小限制限制 SSL VPN 用户上传文件的大小 自动登录 勾选表示启用自动登录, 用户访问该资源时无需输入用户名和密码等参数即可登录 勾选后出现认证配置和高级设置页签, 需要根据实际情况配置自动登录所需参数信息 东软 NetEye VPN 网关用户使用指南 14

21 资源 3. 点击缓存 / 压缩页签, 配置资源的缓存和压缩策略, 点击确定 勾选全局设置, 表示使用全局设置中的缓存 / 压缩策略设置 ; 不勾选则需自定义缓存 / 压缩策略, 参数含义同全局设置 东软 NetEye VPN 网关用户使用指南 15

22 资源 4. 如果在基础配置页签勾选了自动登录, 则需要点击认证配置页签, 进行认证相关的配置, 然后点击确定 参数 说明 SSO 即单点登录 (Single Sign On) 如果勾选, 在多个相互信任 ( 使用同一个认证服务器或使用相互信任的认证服务器 ) 的应用资源中, 用户只需要登录一次, 就可以访问其他应用资源 目前仅支持 Web 模式 SSL VPN, SSL VPN 用户登录 Portal 后, 无需再次登录即可访问资源列表中的应用资源 使用资源系统账号 认证地址 参数列表 勾选后允许用户使用目标资源系统的账号登录 资源服务器上存储用户认证信息的 URL 地址 用户自动登录所需参数, 缺省为 username 和 password, 需要设置键值, 即用户名和密码 如果勾选 SSO, 则无需设置此两项参数, 其键值将被 Portal 登录时提供的值所替代 Header 列表有些站点需要特定的 Header 字段才能完成登录, 请填入所需字段 东软 NetEye VPN 网关用户使用指南 16

23 资源 5. 如果在基础配置页签勾选了自动登录, 必要时可以点击高级设置页签, 对必要内容进行相关配置, 然后点击确定 参数重定向地址登录页面地址动态参数动态参数列表 说明 登录成功后重定向到的网页地址 有些网站登录后需要重定向才能继续访问 用于输入认证信息的登录网页地址 有些网站需要先访问登录页面才能完成认证 如果认证参数中包含动态变化的内容, 可以通过指定动态参数来完成认证 勾选后需要设置动态参数列表 包括键值和正则表达式 定义完动态参数后, 可以在认证配置的参数列表中通过 ${ 键值 } 的方式来引用 Cookie 列表进行后续访问时的必要 Cookie 东软 NetEye VPN 网关用户使用指南 17

24 资源 配置子网资源 1. 选择基础功能 > 资源, 点击添加 2. 在基础配置页签的类型下拉框中选择子网, 设置资源的基本参数 3. 点击确定 东软 NetEye VPN 网关用户使用指南 18

25 资源 配置远程桌面 / 远程 Web 应用 /FTP/SSH/TELNET 资源 1. 选择基础功能 > 资源, 点击添加 2. 在基础配置页签的类型下拉框中选择远程桌面 远程 Web 应用 FTP SSH 或 TELNET, 设置资源的基本参数 如果添加远程桌面 资源, 需要填写连接的远程主机地址和端口号, 以及远程登录使用的账号和密码 如果添加远程 Web 应用资源, 需要指定 Web 应用基于的远程桌面资源和应用服务器地址 访问远程 Web 应用时, 需要先登录远程桌面 如果添加 FTP 资源, 还可以填写根路径 3. 点击确定 东软 NetEye VPN 网关用户使用指南 19

26 资源组 3.3 资源组 SSL VPN 用户可访问的资源可以划分为不同的组, 并在 VPN 策略中引用 1. 选择基础功能 > 资源组 2. 点击添加, 添加资源组, 选择允许访问的资源 添加资源时可以通过列表表头的搜索功能查找要选定或取消选定的资源条目 3. 点击确定 东软 NetEye VPN 网关用户使用指南 20

27 用户 3.4 用户 配置 SSL VPN 隧道之前, 需要事先添加 SSL VPN 用户 1. 选择基础功能 > 用户 2. 点击添加, 在弹出的对话框中输入用户信息 3. 点击确定 以同样方式创建更多用户 4. 查看已创建的 SSL VPN 用户 如果用户被用户组引用, 引用列将出现一个些用户组引用了 图标 点击该图标, 可查看用户被哪 点击 Go To 链接, 可跳转到用户组页面 5. 点击列表上方的配置 OTP 按钮, 跳转到 OTP 全局配置页面, 设置 OTP 认证信息 东软 NetEye VPN 网关用户使用指南 21

28 用户 a. 点击全局配置区域的编辑图标, 设置 OTP 认证允许的误差时间以及是否强制用户使用 OTP 认证登录, 点击确定 VPN 网关基于系统时钟与 OTP 令牌种子, 通过特定算法计算出一个密码, 然后与 OTP 设备端的密码进行匹配 : 如果一致, 则认证通过 ; 否则, 认证失败 然而, OTP 设备和 VPN 网关之间通常存在时间误差 为了解决时间误差导致的 OTP 认证失败的问题, VPN 网关允许管理员设置误差时间 OTP 认证缺省误差时间为 10 分钟, 表示 OTP 认证过程中, VPN 网关将计算当前系统时间前后 5 分钟内的所有密码, 与 OTP 设备上的密码进行匹配 勾选强制使用 OTP 后, 所有 SSL VPN 用户必须通过 OTP 认证后才能登录 不勾选强制使用 OTP 的话, 只有绑定了 OTP 设备的 SSL VPN 用户才必须通过 OTP 认证 b. 点击添加按钮, 添加管理用户与 OTP 令牌的绑定关系, 点击确定 OTP 令牌密钥用于计算 OTP 口令, 为 OTP 设备出厂自带的一个唯一标识字符串, 如 :ll037b4ece09a5c9c4696a d16f37fad0f8d24cd38c0 c. 查看添加的 OTP 令牌绑定条目 d. 点击设备同步, 输入 OTP 设备上连续两次出现的口令, 点击确定, 可以同步 VPN 网关和 OTP 设备的时间 东软 NetEye VPN 网关用户使用指南 22

29 用户组 3.5 用户组 为了方便管理, 可将具有相同属性或访问需求的用户划分为一个用户组 用户组分为静态和 LDAP 两种类型 : 静态用户组用于精确控制具体用户权限的情况 LDAP 用户组用于通过某些条件控制一类用户权限的情况, 还可以结合筛选条件进行进一步的权限控制 添加静态用户组 1. 选择基础功能 > 用户组 2. 点击添加, 输入用户组名称, 在类型下拉框中选择静态, 并通过编辑或选择的方式 将用户添加到用户组中 为用户组指定用户时, 可以指定要包含的用户, 也可以指定不包含的用户 使用编辑模式时, 需要手动输入用户名称, 多个用户名称之间用逗号分隔 使用选择模式时, 可以通过列表表头的搜索功能查找要选定或取消选定的用户 3. 点击确定 东软 NetEye VPN 网关用户使用指南 23

30 用户组 添加 LDAP 动态用户组 1. 选择基础功能 > 用户组 2. 点击添加, 输入用户组名称, 在类型下拉框中选择 LDAP 提示 : 需要提前添加 LDAP 认证服务器, 并保证 VPN 网关与 LDAP 服务器可以通信 3. 点击预览, 输入查询条件并点击搜索, 可以查看符合条件的用户信息 4. 在打开的页面依次点击确定 东软 NetEye VPN 网关用户使用指南 24

31 VPN 策略 3.6 VPN 策略 配置 SSL VPN 隧道之前, 可事先配置 VPN 策略 通过配置 VPN 策略, 可限制用户对资源的访问权限 VPN 策略遵从拒绝优先原则 例如, 如果策略 A 中用户组 1 可以访问资源组 1 和资源组 2, 但策略 B 中用户组 1 不可以访问资源组 2 和资源组 3, 则用户组 1 中的用户不能访问资源组 2 1. 选择基础功能 > VPN 策略 2. 点击添加, 在基础配置页签进行相关配置 勾选时间表时, 需要设置策略生效时间, 包括单次生效和循环生效两种 东软 NetEye VPN 网关用户使用指南 25

32 VPN 策略 3. 点击用户组页签, 选择允许访问资源的静态用户组 4. 点击 LDAP 安全组页签, 通过选择事先配置的 LDAP 安全组来添加授权用户 如果选择安全组, VPN 网关将使用 LDAP 服务器上已配置的安全组控制用户访问, 而无需管理员事先添加用户和用户组 要使用安全组, 需要具备两个前提条件 : 系统管理 > 认证服务器 : 已正确配置 LDAP 服务器 基础功能 > 全局设置 : 已选 LDAP 认证服务器, 已正确配置 LDAP 安全组信息 东软 NetEye VPN 网关用户使用指南 26

33 VPN 策略 5. 点击资源组页签, 选择允许用户访问的资源组 6. 点击确定 7. 查看创建的 VPN 策略 8. 点击列表上方的测试用户匹配按钮, 可测试 VPN 策略是否生效 具备 Web 资源访问权限时 : 用户不存在或没有资源访问权限时 : 东软 NetEye VPN 网关用户使用指南 27

34 超时策略 3.7 超时策略 配置 SSL VPN 隧道之前, 可针对不同的用户配置不同的超时策略, 包括 Web 模式超时时间 隧道模式超时时间和会话超时时间 系统自带一条 Default 策略, 如果对用户没有配置其他超时策略, 系统将对所有 SSL VPN 用户执行此缺省策略 1. 选择基础功能 > 超时策略 2. 查看缺省超时策略 3. 点击添加, 在弹出对话框中设置策略名称 超时时间和要应用该超时策略的用户 参数 说明 Web 模式超时时间 Web 模式下, SSL VPN 用户不进行操作后, 连接能够保持的时间 0 表示永不超时 系统会在超时前 5 分钟进行提醒, 用户可以通过刷新页面等操作刷新超时时间 隧道模式超时时间会话超时时间模式包含的用户 4. 点击确定 隧道模式下, SSL VPN 用户不进行操作后, 连接能够保持的时间 0 表示永不超时 达到超时时间后, 连接直接断开, 客户端用户可以重新连接或开启自动重连功能 VPN 连接能够保持的时长 0 表示永不超时 不管 SSL VPN 用户是否进行操作, 达到会话超时时间后, 连接都会断开 可以通过编辑模式或选择模式指定要应用超时策略的用户 要应用超时策略的用户 多个用户名称之间用逗号分隔 东软 NetEye VPN 网关用户使用指南 28

35 Web 模式 SSL VPN 3.8 Web 模式 SSL VPN 如果用户要访问的资源都是 Web 应用, 推荐使用 Web 模式 SSL VPN 通过配置 Web 模式 SSL VPN, SSL VPN 用户无需安装任何软件即可在 Windows Linux Mac OS Android ios 等主流操作系统登录 SSL VPN Portal 来访问 HTTP 或 HTTPS 资源 提示 :Web 模式 SSL VPN 可以代理仅使用 HTML CSS Javascript 开发的网站 对于采用其他技术 ( 如 flash activex VBScript) 开发的网站, 并且网站涉及到 URL, 不推荐使用 Web 模式 SSL VPN 1. 选择基础功能 > Web 模式 SSL VPN 2. 启用 Web 模式 SSL VPN 以及访问日志功能, 设置服务 IP 及端口, 选择本地证书 参数 IP 地址 本机域名 HTTP 重定向到 HTTPS 本地证书页面模板登录验证码邀请码 说明 SSL VPN Web 入口页面的 IP 地址及端口号, 缺省为 :443, 表示所有接口的所有 IP 地址都可做为用户访问地址 如果设置 SSL VPN 服务对应的域名, 用户也可通过域名访问该服务 勾选表示开启重定向, SSL VPN 用户访问 Portal 时发起的 HTTP 访问会重定向为 HTTPS 访问 SSL VPN 服务器向客户端浏览器证明自身身份的数字证书 可选择缺省的 Web 页面模板, 也可点击配置模板按钮, 自行创建新的模板 用户登录时, 在 Web 上是否需要填写验证码 点击配置邀请码按钮配置邀请码, 用于邀请用户注册成为 SSL VPN 系统的网络用户 需要事先创建用户组和 VPN 策略, 控制被邀请人的资源访问权限 东软 NetEye VPN 网关用户使用指南 29

36 Web 模式 SSL VPN 3. 点击页面模板后面的配置模板按钮, 进入页面模板配置页面 点击 Default 对应的图标, 编辑缺省页面模板的配置信息 点击添加, 创建新的页面模板 提示 : 点击风格下拉框后面的 图标, 可预览页面模板的界面风格 东软 NetEye VPN 网关用户使用指南 30

37 Web 模式 SSL VPN 4. 点击邀请码后面的配置邀请码按钮, 配置邀请码相关选项 邀请码用于系统管理员或 SSL VPN 用户邀请他人注册成为本地认证 SSL VPN 用户 a. 启用邀请功能, 设置可邀请用户数以及默认用户组 ( 需提前创建 ), 点击提交 b. 在邀请码列表中点击创建, 创建邀请码 c. 点击电子邮件列中邀请码对应的图标, 输入被邀请人用于接收邀请码的邮件地址, 然后点击确定, 可将该邀请码发送给指定的被邀请人 点击表头的图标, 可批量发送邀请码 提示 : 需要事先在系统管理中设置发送邮件使用的邮件服务器地址和发件人信息, 同时保证 VPN 网关与被邀请人使用的邮件服务器可以通信 东软 NetEye VPN 网关用户使用指南 31

38 Web 模式 SSL VPN d. 点击邮件模板区域的, 编辑发送邮件邀请码时使用的邮件正文, 点击提交 需改为 SSL VPN Portal 访问地址 5. 点击左侧目录树 Web 模式 SSL VPN, 返回主配置页面, 点击提交并点击重启服务 提示 : 仅当启用或禁用 Web 模式 SSL VPN 服务时, 才需点击重启服务 6. SSL VPN 用户可在浏览器中输入 ( 如 portal.neusoft.com:443), 登录 Portal 后访问授权资源 如果配置了邀请码, 还可点击邀请注册按钮邀请他人注册成为 VPN 用户 7. 被邀请人收到邀请码后, 可在 Portal 登录页面点击注册用户按钮完成注册 东软 NetEye VPN 网关用户使用指南 32

39 隧道模式 SSL VPN 3.9 隧道模式 SSL VPN 如果用户要访问的资源除了 Web 应用, 还有其他如 FTP SSH Telnet RDP 等协议类型的应用, 推荐使用隧道模式 SSL VPN 隧道模式 SSL VPN 需要用户安装客户端软件, 但操作简单 使用方便 1. 选择基础功能 > 隧道模式 SSL VPN, 启用隧道模式 SSL VPN 并进行相关配置 参数调试访问日志 CA 证书本地证书 DNS 说明开启调试功能后, 可在日志 > 调试 > 隧道模式调试信息页面查看隧道调试信息 开启 SSL VPN 访问日志记录功能 用于验证客户端身份的数字证书 VPN 网关向客户端证明自身身份的数字证书 推送给客户端的 DNS 服务器 IP 地址 服务列表 添加要提供的 SSL VPN 服务 如果用户网络出口有端口限制, 建议添加一条 TCP 443 服务 当服务端口被阻断时, 保证用户可以通过 443 端口访问服务 2. 点击高级, 配置以下信息 : 双向认证推送网关数据压缩摘要算法加密算法 勾选启用双向认证 仅 E-Key 版 Windows SSL VPN 客户端支持双向认证 勾选后, 客户端所有流量都走 SSL VPN 隧道 对隧道数据进行压缩 管理员可以根据需要选择摘要算法 管理员可以根据需要选择加密算法 东软 NetEye VPN 网关用户使用指南 33

40 隧道模式 SSL VPN 3. 在服务列表中点击添加, 添加服务和虚拟子网, 点击确定 参数 IP 地址端口协议子网隧道接入客户端互联隧道专享 说明 提供 SSL VPN 服务的接口 IP 地址 提供 SSL VPN 服务的端口 提供 SSL VPN 服务的协议 用于为客户端分配虚拟 IP 地址的地址池, 可以是任意网段, 但是不能和真实子网相同 发布给 SSL VPN 用户的最终访问地址 当 VPN 网关工作在单臂路由模式且映射到出口防火墙的服务端口有变化时, 需要填写隧道接入地址, 即 SSL VPN 服务映射后的 IP 地址和端口号 勾选后, 所有 VPN 客户端都可以互相访问 仅访问同一服务的 VPN 客户端之间可以互相访问 勾选后, 该隧道仅供指定的专享用户使用 不勾选, 则允许任意用户使用 专享用户 指定专享隧道的 SSL VPN 用户 4. 点击提交 如果遇到问题, 可点击重启服务, 重启 SSL VPN 服务 5. 东软 NetEye SSL VPN 客户端支持 Windows MacOS ios 和 Android 四种操作系统 如需使用 SSL VPN 客户端访问 VPN 资源, 请在 SSL VPN Portal 登录页面下载相应操作系统的客户端软件, 解压后安装使用 东软 NetEye VPN 网关用户使用指南 34

41 IPSec VPN 3.10 IPSec VPN 系统支持以下两种模式的 IPSec VPN: 网关到网关 : 用于公司总部与分支机构 / 合作伙伴以及分支机构之间的安全互连 远程访问 : 用于远程用户 ( 移动用户 ) 安全移动办公 需要用户在设备上配置 IPSec VPN 连接 远程访问 IPSec VPN 适用于 Windows 7 以上 Android 和 ios 系统 IPSec VPN 连接的设置信息为如下 : Windows 7 及以上系统 : 属性 > 安全 VPN 类型 配置 IKEv2 数据加密需要加密 ( 如果服务器拒绝将断开连接 ) 身份验证 使用可扩展的身份验证协议 (EAP)(E) > Microsoft : 安全密码 (EAP-MSCHAP v2) ( 启用加密 ) Android 系统 更多 > 添加 VPN 网络 类型 服务器地址 配置 Xauth RSA 要连接的 VPN 服务器地址 IPSec 用户证书远程用户的个人证书 ( 需事先导入到 Android 设备中 ) 如果需要验证服务器证书有效性还需要导入 CA 证书 ios 系统请事先将 CA 证书导入到 ios 设备中 通用 > VPN > 添加 VPN 配置 类型 服务器 / 远程 ID 用户鉴定 用户名 密码 配置 IKEv2 要连接的 VPN 服务器地址用户名远程用户的用户名远程用户的密码 提示 : 如需使用自己申请或制作的证书认证, 请选择系统管理 > 证书 > 导入, 事先导入相关 CA 证书和本地证书 如需在 VPN 网关上制作本地证书 ( 远程用户的个人证书 ), 请选择系统管理 > 证书 > 添加 如果是 Android 用户, 本地证书的公共名需要为用户名 ; 如果是 Windows 和 ios 用户, 本地证书的公共名需要为 VPN 服务器的 IP 地址 东软 NetEye VPN 网关用户使用指南 35

42 IPSec VPN 添加网关到网关 IPSec VPN 隧道 1. 选择基础功能 > IPSec VPN, 点击添加 2. 在基础配置页签配置隧道名称 启用 / 禁用隧道 启用 / 禁用记录日志功能并配置相关 信息 参数 主动协商 IKE 版本 说明 勾选表示 VPN 网关主动发起隧道协商 本端和对端网关只允许一端启用此功能 由于在一端网关启用主动协商功能后, 网关会立即向对端发起协商, 因此, 请先完成不启用主动协商功能网关端的配置, 然后再设置启用主动协商功能的网关端, 以保证隧道成功建立 支持 ikev1 和 ikev2 两个版本, 推荐使用 ikev2 版本 ikev2 对 ikev1 进行了优化, 兼容 NAT 设备, 即使在 VPN 网关之间存在 NAT 设备时也可以协商成功 认证方式支持证书认证和预共享密钥认证两种模式 : 选择证书认证模式时, 需要指定本端使用的本地证书 选择预共享密钥认证模式时, 需要指定预共享密钥 用鼠标点住后面的眼睛图标可以明文显示预共享密钥 加速卡 插入硬件加速卡时, 可以选择是否开启硬件加速 ; 未插卡时, 则提示未发现加速卡 东软 NetEye VPN 网关用户使用指南 36

43 IPSec VPN 3. 点击本地配置页签, 配置本端 IP 地址 ID 类型 本端 ID 和本地子网 本端网关的本地配置和对端网关的对端配置需要一一对应 例如, 本端网关的本地地址选择指定的 IP 地址时, 则对端网关的对端地址也要输入该指定 IP 地址 参数 本地地址 说明 本端出口接口的 IP 地址, 可以为指定 IP 地址, 也可以为任意 类型本端认证类型 当选择预共享密钥认证方式时, ID 类型建议选择 IPv4 地址 域名或字符串 ; 当选择证书认证方式时, ID 类型建议选择域名 邮件地址或证书主题 IPv4 地址 : 指本端网关的出口接口 IP 当出口接口配置了多个 IP 地址时, 可以指定为任意, 表示可以使用任意出口接口的任意 IP 地址和对端网关协商隧道 域名 : 主要用于出口接口有多个 IP 或 IP 不固定时的场景 使用证书认证时, 域名需要与本地证书中的公共名 CN 字段保持一致 邮件地址 : 主要用于证书认证方式, 需要与本地证书中的 address 字段保持一致 证书主题 : 即本地证书的证书主题, 主要用于证书认证方式 字符串 : 当以上方式都不适用时, 可以使用字符串认证, 即随机输入的一串字符串, 长度 字节, UTF-8 字符, 不能包含空格和以下字符 :?, " ' \ < > & 需要注意两端网关的字符串必须保持一致 本地子网即本端网关连接的子网, 要与对端子网通过隧道进行通信的子网 当 IKE 版本设置为 ike1 时, 允许添加一个子网 当 IKE 版本设置为 ike2 时, 允许添加多个子网 ; 最多支持 32 个子网 东软 NetEye VPN 网关用户使用指南 37

44 IPSec VPN 4. 点击对端配置页签进行相关配置 参数 IP 地址 / 域名 类型 说明 可以填写对端出口接口的 IP 地址, 也可以填写其对应的域名 对端认证类型 相关参数信息同本地配置页签 对端子网 即对端网关连接的子网, 要与本端子网通过隧道进行通信的子网 当 IKE 版本设置为 ike1 时, 允许添加一个子网 当 IKE 版本设置为 ike2 时, 允许添加多个子网 ; 最多支持 32 个子网 5. ( 可选 ) 点击 IKE 页签并选择第一阶段提议集 东软 NetEye VPN 网关用户使用指南 38

45 IPSec VPN 6. ( 可选 ) 点击 ESP 页签并选择第二阶段提议集 7. 点击确定 8. 点击重启服务 提示 : 两端网关都要重启服务, 隧道才能协商成功 9. 刷新页面后, 如果查看隧道状态为已连接, 则说明隧道协商成功 点击远程访问连接对应的图标, 可跳转到 IPSec VPN 在线用户监控页面 网关到网关的 IPSec VPN 连接名称后面如果有图标, 表示启用了主动协商 如果网关到网关的 IPSec VPN 连接状态是连接中, 鼠标指向连接中时, 界面会提示当前连接信息 10. 如果隧道显示未连接, 可以选择日志 > 调试 > IPSecVPN 协商日志, 查看调试信息, 查找协商失败的原因 东软 NetEye VPN 网关用户使用指南 39

46 IPSec VPN 配置远程访问 IPSec VPN 隧道 1. 选择基础功能 > IPSec VPN 在隧道列表中, 可以看到系统默认提供的远程访问 IPSec VPN 隧道 (RemoteAccess) 点击配置隧道和远程用户信息 2. 在基础配置页签, 启用 / 禁用隧道 启用 / 禁用记录日志功能 填写备注信息并配置认证方式 参数 说明 认证方式支持证书认证和预共享密钥认证两种模式 : 选择证书认证模式时, 需要指定本端使用的本地证书 选择预共享密钥认证模式时, 需要指定预共享密钥 用鼠标点住后面的眼睛图标可以明文显示预共享密钥 3. 点击本地配置页签, 配置本端 IP 地址 ID 类型和本端 ID 提示 : 类型选择证书主题时, ID 应与所使用的本地证书的主题信息一致 ; 对于 ios 用户, 类型应选择 IPv4 地址, ID 应与本地地址一致 东软 NetEye VPN 网关用户使用指南 40

47 IPSec VPN 参数 本地地址 说明 本端出口接口的 IP 地址, 可以为指定 IP 地址, 也可以为任意 类型本端认证类型 当选择预共享密钥认证方式时, ID 类型建议选择 IPv4 地址 域名或字符串 ; 当选择证书认证方式时, ID 类型建议选择域名 邮件地址或证书主题 IPv4 地址 : 指本端网关的出口接口 IP 当出口接口配置了多个 IP 地址时, 可以指定为任意, 表示可以使用任意出口接口的任意 IP 地址和对端网关协商隧道 域名 : 主要用于出口接口有多个 IP 或 IP 不固定时的场景 使用证书认证时, 域名需要与本地证书中的公共名 CN 字段保持一致 邮件地址 : 主要用于证书认证方式, 需要与本地证书中的 address 字段保持一致 证书主题 : 即本地证书的证书主题, 主要用于证书认证方式 字符串 : 当以上方式都不适用时, 可以使用字符串认证, 即随机输入的一串字符串, 长度 字节, UTF-8 字符, 不能包含空格和以下字符 :?, " ' \ < > & 需要注意两端网关的字符串必须保持一致 4. 点击对端配置页签, 配置客户端虚拟地址池 VPN 网关从地址池中选取 IP 地址并将其分配给 VPN 客户端 5. 点击确定 东软 NetEye VPN 网关用户使用指南 41

48 系统监控 4 监控 4.1 系统监控 本章介绍 VPN 网关的监控功能, 内容包括 : 4.1 系统监控 4.2 在线用户 4.3 历史监控 系统提供以太网接口的实时流量统计信息, 并以折线图的形式直观地显示出来 1. 选择监控 > 系统监控 > 接口流量统计 2. 点击接口名称, 查看接口实时流量信息 纵坐标轴表示接口流量大小, 单位为 B/s KB/s MB/s 或 GB/s, 系统可根据实际流量的大小进行自适应调节 例如, 缺省情况下为字节 (B/s), 当达到 1024 字节时则变为 KB/s, 以此类推 可通过折线图右上方的复选框设置要显示的内容, 包括接收流量和发送流量 鼠标指向折线图时, 可以查看到具体时间点的接收和发送速率 东软 NetEye VPN 网关用户使用指南 42

49 在线用户 4.2 在线用户 实时并发用户 实时并发用户 Web 模式在线用户 隧道模式在线用户 IPSec VPN 在线用户 1. 选择监控 > 在线用户 > 实时并发用户 2. 查看实时并发用户信息, 包括 Web 模式 SSL VPN 用户 隧道模式 SSL VPN 用户和 IPSec VPN 用户 Web 模式在线用户 1. 选择监控 > 在线用户 > Web 模式在线用户 2. 查看 Web 模式 SSL VPN 在线用户信息, 包括用户名 客户端地址 登录时间 访问流 量 客户端信息和会话 ID 3. 可勾选用户, 点击离线按钮, 强制其离线 隧道模式在线用户 1. 选择监控 > 在线用户 > 隧道模式在线用户 2. 查看隧道模式 SSL VPN 在线用户信息, 包括用户名 服务 客户端 IP 地址 连接时 间 发送字节数和接收字节数 可勾选用户, 点击离线按钮, 强制其离线 东软 NetEye VPN 网关用户使用指南 43

50 历史监控 IPSec VPN 在线用户 1. 选择监控 > 在线用户 > IPSec VPN 在线用户 点击流量左侧的开按钮 2. 查看 IPSec VPN 在线用户信息, 包括用户名 IKE 版本 源 IP 地址 在线时间 发送 字节数和接收字节数 3. 可勾选用户, 点击离线按钮, 强制其离线 4.3 历史监控 并发用户趋势图 接口流量趋势图 CPU 使用率趋势图 磁盘使用率趋势图 内存使用率趋势图 应用排行 用户排行 并发用户趋势图 1. 选择监控 > 历史监控 > 并发用户趋势图 2. 查看最近一段时间内并发在线用户的统计数据 可在折线图右上角选择显示时间区间, 包括今天 昨天 最近一周 最近一月 可通过折线图右上方的复选框设置要显示的内容, 包括 Web 模式 SSL VPN 用户和隧道模式 SSL VPN 用户 东软 NetEye VPN 网关用户使用指南 44

51 历史监控 接口流量趋势图 1. 选择监控 > 历史监控 > 接口流量趋势图 2. 点击接口名称, 查看该接口最近一段时间内接收和发送流量的统计数据 可在折线图右上角选择显示时间区间, 包括今天 昨天 最近一周 最近一月 可通过折线图右上方的复选框设置要显示的内容, 包括接收和发送流量 将鼠标放置坐标图上时, 可显示鼠标所在位置的具体流量值 CPU 使用率趋势图 1. 选择监控 > 历史监控 > CPU 使用率趋势图 2. 查看最近一段时间内的 CPU 使用情况 点击左侧 CPU 编号, 可查看各个 CPU 的使用情况 无编号 CPU 表示所有 CPU 的综合使用情况 在折线图的右上角可选择显示时间区间, 包括今天 昨天 最近一周 最近一月 将鼠标放置坐标图上时, 可显示鼠标所指位置的具体使用率数值 东软 NetEye VPN 网关用户使用指南 45

52 历史监控 磁盘使用率趋势图 1. 选择监控 > 历史监控 > 磁盘使用率趋势图 2. 查看最近一段时间内磁盘的使用情况 在折线图的右上角可选择显示时间区间, 包括今天 昨天 最近一周 最近一月 将鼠标放置坐标图上时, 可显示鼠标所指位置的具体磁盘使用率数值 内存使用率趋势图 1. 选择监控 > 历史监控 > 内存使用率趋势图 2. 查看最近一段时间内的内存使用情况 在折线图的右上角可选择显示时间区间, 包括今天 昨天 最近一周 最近一月 将鼠标放置坐标图上时, 可显示鼠标所指位置的具体内存使用率数值 东软 NetEye VPN 网关用户使用指南 46

53 历史监控 应用排行 1. 选择监控 > 历史监控 > 应用排行 2. 查看用户访问流量或点击率排名靠前的应用 可在页面右上角选择显示时间区间和 显示条目数, 查询指定日期区间的 Top 或 100 个应用 东软 NetEye VPN 网关用户使用指南 47

54 历史监控 3. 点击左侧流量和点击率, 可切换显示内容, 按照流量或点击率显示排名 东软 NetEye VPN 网关用户使用指南 48

55 历史监控 用户排行 1. 选择监控 > 历史监控 > 用户排行 2. 查看流量或者点击率排名靠前的用户 可在页面右上角选择显示时间区间和显示条 目数, 查询指定日期区间的 Top 或 100 个用户 3. 点击左侧流量和点击率, 可切换显示内容, 按照流量或者点击率显示排名 东软 NetEye VPN 网关用户使用指南 49

56 日志配置 5 日志管理 本章介绍 VPN 网关的日志管理功能, 内容包括 : 5.1 日志配置 5.2 管理日志 5.3 访问日志 5.4 调试 5.1 日志配置 VPN 网关支持本地查看日志和将日志发送到 Syslog 日志服务器 如果配置了日志报警策略, 当有事件发生时, VPN 网关将根据策略配置将日志发送到对应的日志服务器 1. 选择日志 > 日志配置 2. 配置 Syslog 日志服务器 点击添加, 添加 Syslog 日志策略, 点击确定 3. 设置本地日志存储策略 本地日志策略默认启用, 不可禁用 日志存储于磁盘上, 管理员可根据实际情况调整磁盘剩余空间 当剩余磁盘空间小于设置的限值时, 较早生成的日志会被删除 4. 点击提交 东软 NetEye VPN 网关用户使用指南 50

57 管理日志 5.2 管理日志 管理日志默认开启, 记录系统管理相关的日志信息 1. 选择日志 > 管理日志 2. 查看系统管理日志 参数日期时间级别用户名 说明 执行操作的具体时间 日志的级别, 有 Info 和 Error 两种, 分别以红色和绿色方框表示 Info 表示执行操作成功, Error 表示执行操作失败 执行操作的管理用户名称 用户类型用户类型, 包括 Root Administrator Auditor 和 High Availablity 日志信息 记录用户名 操作内容和执行结果的详细日志信息 3. 点击清空按钮, 可以清空管理日志 4. 日志超过 100 条时会分页显示, 通过列表下方的页码可翻页查看日志信息 东软 NetEye VPN 网关用户使用指南 51

58 访问日志 5.3 访问日志 Web 模式访问日志 隧道模式访问日志 IPSec VPN 访问日志 Web 模式访问日志 Web 模式 SSL VPN 访问日志分为调试日志和审计日志 : 调试日志按从新到旧的顺序显示最近 1000 条, 审计日志按日志产生时间 ( 从旧到新 ) 显示所有日志 1. 选择日志 > 访问日志 > Web 模式访问日志 2. 查看用户通过 Web 模式访问 SSL VPN 资源的调试日志信息 参数 用户 连接时间 客户端地址 资源 响应流量 ( 字节 ) 状态码 请求信息 说明 SSL VPN 用户名称 建立 SSL VPN 连接的具体时间 用户访问 SSL VPN 资源使用的客户端 IP 地址 用户访问的资源名称 服务器端响应流量的大小 单位是 bps HTTP 状态码 客户端发送的 HTTP 请求信息 会话客户端与服务器端建立连接的会话 ID 客户端信息 客户端浏览器的相关信息 可通过用户名 连接时间 客户端地址 状态码 请求信息和会话等参数筛选日志信息 东软 NetEye VPN 网关用户使用指南 52

59 访问日志 3. 点击列表上方的审计, 查看用户通过隧道模式访问 SSL VPN 资源的审计日志信息 4. 点击统计用户资源, 查看用户访问的资源以及登录次数 5. 点击删除按钮, 可设置时间区间, 删除指定时间范围内的日志信息 6. 日志超过 100 条时会分页显示, 通过列表下方的页码可翻页查看日志信息 东软 NetEye VPN 网关用户使用指南 53

60 访问日志 隧道模式访问日志 隧道模式 SSL VPN 访问日志分为调试日志和审计日志 : 调试日志按从新到旧的顺序显示最近 1000 条, 审计日志按日志产生时间 ( 从旧到新 ) 显示所有日志 1. 选择日志 > 访问日志 > 隧道模式访问日志 2. 查看用户通过隧道模式访问 SSL VPN 资源的调试日志信息 参数用户名连接时间源地址目的地址协议源端口目的端口 说明 SSL VPN 用户名称 用户访问 SSL VPN 资源的时间 SSL VPN 用户访问 SSL VPN 资源时发起连接的客户端源 IP 地址 SSL VPN 用户访问 SSL VPN 资源时访问的 SSL VPN 服务器地址 协议类型 源端口号 目的端口号 动作系统对于 SSL VPN 用户访问的处理动作, 包括 allow 和 deny 可通过用户名 日期时间 源地址 目的地址和动作等参数筛选日志信息 3. 点击列表上方的审计, 查看用户通过隧道模式访问 SSL VPN 资源的审计日志信息 东软 NetEye VPN 网关用户使用指南 54

61 访问日志 4. 点击统计用户资源, 查看用户访问的资源以及登录次数 5. 点击删除按钮, 可设置时间区间, 删除指定时间范围内的日志信息 6. 日志超过 100 条时会分页显示, 通过列表下方的页码可翻页查看日志信息 IPSec VPN 访问日志 IPSec VPN 访问日志分为调试日志和审计日志 : 调试日志按从新到旧的顺序显示最近 1000 条, 审计日志按日志产生时间 ( 从旧到新 ) 显示所有日志 1. 选择日志 > 访问日志 > IPSec VPN 访问日志 2. 查看用户通过 IPSec VPN 访问 VPN 资源的调试日志信息 参数用户名连接时间类型源地址目的地址协议 说明 IPSec VPN 远程用户名称 用户访问 IPSec VPN 资源的时间 IPSec VPN 连接类型, 包括 Remote Access 和 Site-to-Site 两种类型 IPSec VPN 远程用户访问 IPSec VPN 资源时发起连接的客户端源 IP 地址 IPSec VPN 远程用户访问 IPSec VPN 资源时访问的 VPN 服务器地址 协议类型 东软 NetEye VPN 网关用户使用指南 55

62 访问日志 参数 源端口 说明 源端口号 目的端口 目的端口号 动作 对于网关到网关的 IPSec VPN 隧道, 动作包括 connect 和 disconnect 对于远程访问 IPSec VPN, 动作包括 login logout 和 allow 可通过用户名 日期时间 源地址 目的地址和动作等参数筛选日志信息 3. 点击列表上方的审计, 查看用户通过隧道模式访问 SSL VPN 资源的审计日志信息 4. 点击统计用户资源, 查看用户访问的资源以及登录次数 5. 点击删除按钮, 可设置时间区间, 删除指定时间范围内的日志信息 6. 日志超过 100 条时会分页显示, 通过列表下方的页码可翻页查看日志信息 东软 NetEye VPN 网关用户使用指南 56

63 调试 5.4 调试 隧道模式调试日志 IPSec VPN 协商日志 隧道模式调试日志 如果在配置隧道模式 SSL VPN 时开启了调试功能, 则此处可查看 SSL VPN 调试信息, 帮助用户定位问题 1. 选择日志 > 调试 > 隧道模式调试信息 2. 查看隧道模式 SSL VPN 的调试信息 3. 点击清空按钮, 可清空调试日志 IPSec VPN 协商日志 系统默认开启 IPSec VPN 日志功能, 记录隧道协商过程 当 IPSec VPN 隧道协商失败时, 可查看协商日志查找原因 1. 选择日志 > 调试 > IPSec VPN 协商日志 2. 查看 IPSec VPN 的协商日志 3. 点击清空按钮, 可清空协商日志 东软 NetEye VPN 网关用户使用指南 57

64 接口 6 网络 / 策略配置 本章介绍 VPN 网关的网络和策略功能, 内容包括 : 6.1 接口 6.2 路由 6.3 访问策略 6.4 IP-MAC 绑定 6.5 地址转换 6.6 攻击防御 6.1 接口 VPN 网关的管理接口缺省为以太网接口 eth0, 缺省管理 IP 地址为 /24 除了以太网接口, VPN 网关还提供以下两类逻辑接口 ( 各 4 个 ), 以满足不同用户的需求 : Bond 接口 : 两个二层以太网接口作为一个逻辑接口使用, 实现接口级的高可靠性 主接口 : 承担所有流量 备接口 : 没有流量通过 当主接口发生故障时, 备接口自动成为主接口并接管流量 Bridge 接口 : 多个以太网接口被划分到一个 Bridge 接口中, 以实现 VLAN( 虚拟局域网 ) 的作用 可以节省交换机资源 管理员可以进行以下配置 : 配置以太网接口 配置 Bond 接口 配置 Bridge 接口 东软 NetEye VPN 网关用户使用指南 58

65 接口 配置以太网接口 1. 选择网络 / 策略 > 接口 2. 在接口监控列表中, 可以查看接口的概要信息 3. 点击接口配置, 点击需要配置的接口对应的图标, 进行相关配置 参数 说明 属于将接口划分给 Bond 接口 ( 冗余接口 ) 或 Bridge 接口 (VLAN 接口 ) 模式 接口支持通过静态和 DHCP 两种方式获取 IP 地址 当选择静态时, 需要为接口手动添加 IP 地址 对于已添加的 IP 地址, 可点击编辑或点击删除 当选择 DHCP 时, DHCP 服务器会为接口分配 IP 地址 进行 网关 如果配置接口网关, 系统会自动生成一条带网关信息的缺省路由 缺省路由信息以最后配置的那个接口信息为准 首选 / 备选 DNS 如果 VPN 网关需要解析域名, 需要为接口配置 DNS 服务器地址 例如, 当管理员添加的认证服务器地址或用于发送邀请码 / 验证码的邮件服务器地址是域名时, 需要在连接认证服务器 / 邮件服务器的接口上配置用于解析域名的 DNS 地址 4. 点击确定 5. 点击重启网络服务按钮, 使配置生效 提示 : 点击重启网络服务按钮后, 网络服务会暂停一段时间 东软 NetEye VPN 网关用户使用指南 59

66 接口 配置 Bond 接口 1. 选择网络 / 策略 > 接口 2. 点击接口配置, 点击需要配置的接口对应的 图标, 进行相关配置 3. 在属于下拉框中选取一个 Bond 接口 bond0, 将以太网接口 eth1 和 eth2 划分给此 bond0 接口 4. 点击确定 在接口配置列表中, 可以看到 bond0 接口 5. 点击对应的图标, 配置 bond0 的相关信息 6. 点击确定 点击重启网络服务按钮, 使配置生效 东软 NetEye VPN 网关用户使用指南 60

67 接口 配置 Bridge 接口 1. 选择网络 / 策略 > 接口 2. 点击接口配置, 点击需要配置的接口对应的 图标, 进行相关配置 3. 在属于下拉框中选取一个 Bridge 接口 br0, 将以太网接口 eth1 eth2 和 eth3 划分给此 br0 接口 4. 点击确定 在接口配置列表中, 可以看到 br0 接口 5. 点击对应的图标, 配置 br0 的相关信息 6. 点击确定 点击重启网络服务按钮, 使配置生效 东软 NetEye VPN 网关用户使用指南 61

68 路由 6.2 路由 管理员可以在 VPN 网关上配置静态路由和策略路由 配置静态路由 配置策略路由 配置静态路由 1. 选择网络 / 策略 > 路由 > 静态路由 2. 查看系统自动探测到的路由信息, 包括三类 : VPN 隧道的路由 : 目标地址为 VPN 隧道连接的虚拟子网的地址, 出口接口为隧道出口接口 物理网络的直连路由 : 目标地址为 VPN 网关连接的物理网络的子网地址, 出口接口为连接目标网络的以太网接口 缺省路由 : 配置接口时, 如果配置了网关, 系统会自动生成目标地址为 /0 的缺省路由, 出口接口为最后配置的接口, 网关为最后配置的接口的网关 点击查看路由信息 点击删除路由条目 3. 点击添加按钮, 手动添加路由条目 如果添加的路由信息与系统学习的路由信息不一致, 系统将以新添加的路由信息为准 4. 点击确定 东软 NetEye VPN 网关用户使用指南 62

69 路由 配置策略路由 1. 选择网络 / 策略 > 路由 > 策略路由 2. 点击添加按钮, 手动添加路由的匹配策略 3. 在策略路由列表中, 点击策略对应的 4. 在 policy 路由表中, 点击添加, 添加匹配策略的路由条目, 点击确定 当数据包匹配以上策略时, VPN 网关会根据下面的路由将其转发出去 5. 点击确定 6. 点击返回, 返回到策略路由页面 点击 查看路由信息 ; 点击 删除路由条目 东软 NetEye VPN 网关用户使用指南 63

70 访问策略 6.3 访问策略 访问策略根据数据包的源 目的 IP 地址等特征限制数据包的转发, 从而达到控制用户访问的目的 1. 选择网络 / 策略 > 访问策略 2. 查看访问策略配置 在页面上方缺省访问控制区域, 查看缺省访问控制动作, 包括允许和拒绝 缺省访问控制表示当数据包未匹配到已配置的访问策略时, 系统如何处理该数据包 缺省情况下, 系统会拒绝未匹配策略的数据包通过 在访问策略列表中查看系统中已经配置的访问策略 如果开启了隧道模式 SSL VPN 服务且隧道协商成功, 系统会自动生成一条隧道访问策略 tun0 3. 点击添加, 手动添加访问策略 访问策略的动作包括允许和拒绝 允许 : 表示系统将转发符合策略条件的数据包, 并更新会话表 拒绝 : 表示系统将丢弃符合策略条件的数据包 4. 点击确定 东软 NetEye VPN 网关用户使用指南 64

71 访问策略 当 IPSec VPN 隧道建立成功后, 系统会自动生成动作为 允许 的 IPSec VPN 访问策略 管理员可以根据需要手动添加动作为 拒绝 的策略, 以限制特定隧道的数据包转发 1. 选择网络 / 策略 > 访问策略 2. 点击配置 IPSec VPN 访问策略 点击添加, 手动添加 IPSec VPN 访问策略 点击获取 ReqID, 系统会自动获取 ID 信息, 选择隧道对应的 ID 信息, 已限制数据包转发 3. 点击确定 东软 NetEye VPN 网关用户使用指南 65

72 IP-MAC 绑定 6.4 IP-MAC 绑定 VPN 网关可以将主机的 IP 地址及其网卡的 MAC 地址绑定到一起, 防止非法主机冒用合法主机的 IP 地址 1. 选择网络 / 策略 > IP-MAC 绑定 2. 点击添加, 添加 IP-MAC 绑定策略 3. 查看已添加的 IP-MAC 绑定策略 6.5 地址转换 VPN 网关支持源地址转换和目的地址转换, 作用如下 : 源地址转换能够帮助网络用户通过很少的公网 IP 地址接入到互联网中 目的地址转换能够隐藏内部主机的 IP 地址及网络拓扑, 一定程度上避免遭受外部攻击, 保证内部网络安全 以下两种情况也需要配置源地址转换规则, 使返回的数据包可以送达目的地 : SSL VPN 用户从外网访问内网服务器, 内网服务器和 VPN 网关之间存在路由设备, 内网服务器的网关指向路由设备 SSL VPN 用户从内网访问 Internet, 用户客户端和 VPN 网关之间存在路由设备, 用户客户端的网关指向路由设备 SNAT /24 => eth2 SNAT /24 => eth1 eth1 eth2 eth1 eth2 SSL VPN /24 VPN VPN SSL VPN /24 东软 NetEye VPN 网关用户使用指南 66

73 地址转换 1. 选择网络 / 策略 > 地址转换 2. 在源地址转换页签点击添加, 在弹出的对话框中填入所需内容, 点击确定 参数 源地址 说明 一般是允许访问外网的内网子网的 IP 地址 使用隧道模式 SSL VPN 服务时添加的源地址转换规则中, 源地址为系统分配给 SSL VPN 客户端的虚拟子网 IP 地址 转换后地址一般是外网接口或其公网 IP 地址 使用此接口 IP 地址 : 适用于拨号网络或是使用 DHCP 获取 IP 地址的情况 只需选择接口而无需设置固定 IP 地址, 此接口动态获取的 IP 地址将作为转换后的 IP 地址 VPN 网关对数据包的处理动作可以设置为 MASQUERADE ( 将地址转换后继续与策略进行匹配 ) 或 ACCEPT ( 直接允许数据包通过 ) IP 地址 : 将源 IP 转换为该指定 IP 地址 使用隧道模式 SSL VPN 服务时添加的源地址转换规则中 : 如果 SSL VPN 用户从外网访问内网, 转换后地址为连接目标服务器的内网接口 IP 地址 如果 SSL VPN 用户从内网访问外网, 转换后地址为 VPN 网关外网接口的 IP 地址 高级设置 可以指定过滤条件, 只有符合过滤条件的数据包才进行地址转换 东软 NetEye VPN 网关用户使用指南 67

74 地址转换 3. 点击目的地址转换页签, 点击添加, 在弹出的对话框中输入所需内容, 点击确定 参数入口接口目的地址转换后地址高级设置 说明连接外网的接口 外网用户访问的服务器公网 IP 地址和端口号 外网用户访问的内网服务器的真实 IP 地址和端口号 可以指定过滤条件, 只有符合过滤条件的数据包才进行地址转换 东软 NetEye VPN 网关用户使用指南 68

75 攻击防御 6.6 攻击防御 管理员可以配置 DDoS 攻击防御和 IP 选项校验策略, 以防止 VPN 网关系统或 VPN 网关后面的服务器资源遭受 DoS/DDoS 攻击 1. 选择策略 > 攻击防御 2. 在 DDoS 防御页签中, 选择当前系统或后台服务器对其进行保护 当前系统 : 指 VPN 网关自身的系统 后台服务器 : 指 VPN 网关后的内部服务器 3. 配置每类攻击数据包的阈值并勾选丢弃, 当数据包数量达到阈值时 VPN 网关丢弃后续数据包 4. 点击提交 5. 点击 IP 校验选项, 勾选丢弃 当 VPN 网关收到相应的攻击包会丢弃后续数据包 IP 校验选项适用于对后台服务器的保护 6. 点击提交 东软 NetEye VPN 网关用户使用指南 69

76 7 系统管理 本章介绍 VPN 网关的系统管理功能, 内容包括 : 7.1 管理员 7.2 系统时间 7.3 证书 7.4 认证服务器 7.5 邮件服务器 7.6 SNMP 配置 7.7 高可用性 7.8 备份 / 恢复 7.9 系统升级 7.10 License 7.11 版权信息 东软 NetEye VPN 网关用户使用指南 70

77 管理员 7.1 管理员 系统默认存在一个超级管理员 root, 可以添加管理员 审计员和 HA 用户 管理用户角色和权限划分如下表所示 : 表 3 管理用户角色和权限 用户角色 Root 管理员 权限 系统缺省管理用户, 用户名 / 密码为 root/neteye 全局唯一, 不可删除 具有系统配置的所有权限以及添加和管理其他角色用户的权限 由 root 添加 能进行除管理员 认证服务器 高可用性 备份 / 恢复 系统升级 时间修改 管理日志清除之外的系统配置 审计员由 root 添加 仅具有查看以下页面的权限 : 主页 监控 : 所有页面 日志 : 所有页面 网络 / 策略 : 所有页面 系统管理 : 系统时间 ( 仅能查看当前系统时间 ) 证书 Licenses 版权 HA 用户 由 root 添加 仅用于 HA 同步认证 为了方便用户使用, 系统默认提供一个 HA 用户, 缺省用户名 / 密码为 ha/neteye 1. 选择系统管理 > 管理员 2. 查看系统默认的管理用户信息 点击 图标可修改用户密码 3. 点击添加, 添加所需角色 ( 管理员 审计员 HA 用户 ) 管理用户 4. 点击确定 东软 NetEye VPN 网关用户使用指南 71

78 系统时间 7.2 系统时间 为了能准确记录系统日志, 必须保证系统时间正确 系统支持手动修改时间和通过 NTP 服务器自动同步时间 1. 选择系统管理 > 系统时间 2. 点击当前时间对应的, 手动修改系统时间 在弹出的对话框中点击日期和时间文本框, 选择日期和时间, 或根据原有格式输入日期和时间, 点击确定 3. 点击自动同步对应的 在弹出的对话框中勾选自动同步, 填写 NTP 服务器域名或 IP 地址, 点击确定 4. 点击立即同步按钮, 可立即同步系统时间 东软 NetEye VPN 网关用户使用指南 72

79 证书 7.3 证书 查看证书 VPN 网关内置 CA 服务器, 可本地生成 CA 证书 服务器证书和个人证书 系统默认提供一组 Test 证书用于测试 : 一个 CA 证书 Test 一个服务器证书 Test 两个用户证书 Test_a 和 Test_b 测试 Web 模式 SSL VPN 隧道时, 可以使用服务器证书 Test 作为 SSL VPN 服务器的本地证书进行隧道协商 测试隧道模式 SSL VPN 隧道时, 可以使用 CA 证书 Test 来验证客户端证书 使用服务器证书 Test 作为 SSL VPN 服务器的本地证书进行隧道协商 测试网关到网关的 IPSec VPN 隧道时, 可以使用 Test_a 和 Test_b 作为两端的本地证书进行隧道协商 系统自带的证书仅供测试使用 企业用户请自行申请或制作证书, 并导入系统供使用 本节介绍以下内容 : 查看证书 添加证书 导入证书 邮件发送证书 1. 选择系统管理 > 证书, 查看系统自带的证书信息 2. 通过右上角的查看下拉菜单, 可选择要查看的证书类型 点击查看证书详细信息, 点击下载证书到本地, 点击邮件发送证书, 点击删除证书 下载本地证书时需要输入证书访问密码 东软 NetEye VPN 网关用户使用指南 73

80 证书 添加证书 1. 选择系统管理 > 证书 2. 点击添加, 选择根 CA 证书 本地证书或本地证书 ( 批量 ) 添加根 CA 证书 : 添加本地证书 : 东软 NetEye VPN 网关用户使用指南 74

81 证书 提示 : 创建服务器证书时, 公共名必须填写真实服务器的 IP 地址或域名, 且生成的证书会带有服务器属性 ; 创建个人证书时, 公共名一般填写用户名 批量添加本地证书 : 参数 说明 证书请求名称长度 1 ~ 63 字节, UTF-8 字符 不能包含空格和以下字符 :?, " ' \ < > & # 证书名称前缀批量证书请求名称有效期哈希算法证书类别 设置要批量生成的证书的名称前缀 设置要批量生成的证书的名称, 两个名字之间用逗号隔开 证书的有效期 支持 SHA-1 和 MD5 算法 支持服务器证书和个人证书 东软 NetEye VPN 网关用户使用指南 75

82 证书 参数 说明 密钥对选项密钥对选项包括 : 类型 : 包括 RSA DSA 和 ECDSA, 自动注册证书只能选择 RSA 算法 密钥对长度 : 密钥越长, 越安全, 但加密和解密速度越慢 密钥对长度可以为 和 2048 证书主题信息证书主题信息包括 : 国家代码 (2 字母 ): 代表 VPN 网关设备所在的国家 省份 :UTF-8 字符 不能输入以下字符 :` ^?, = ' " \ / < > & 城市 :UTF-8 字符 不能输入以下字符 :` ^?, = ' " \ / < > & 公司 :UTF-8 字符 不能输入以下字符 :` ^?, = ' " \ / < > & 部门 :UTF-8 字符 不能输入以下字符 :` ^?, = ' " \ / < > & 公共名 :UTF-8 字符 不能输入以下字符 :` ^?, = ' " \ / < > & 服务器证书的公共名为使用证书的 VPN 网关的 IP 地址或完全合格域名 个人证书的公共名为用户的名称 邮件地址 : 对证书负责的联系人的邮件地址 3. 点击确定 导入证书 导入证书时, 先导入 CA 证书再导入本地证书, 导入的 CA 证书必须是授权颁发对应本地证书的 CA 机构的 CA 证书 1. 选择系统管理 > 证书 2. 点击导入, 选择 CA 证书 / 本地证书, 导入证书 导入本地证书时需输入证书访问密码 东软 NetEye VPN 网关用户使用指南 76

83 证书 邮件发送证书 管理员可以将已生成的证书通过邮件发送给用户 使用的邮件地址是证书主题信息中的电子邮件地址 如需发送邮件, 请先选择系统管理 > 邮件服务器, 设置邮件服务器信息, 然后再选择证书进行发送 邮件附件包含.pfx 格式的本地证书和关联的 CA 证书, 邮件内容包含.pfx 格式本地证书的导出密码 1. 选择系统管理 > 证书 2. 在证书列表中选择指定的证书进行发送 如需发送单个证书, 点击证书条目对应的 确认邮件地址后, 点击确定 如需发送多个证书, 选中证书条目后, 点击批量发送证书 东软 NetEye VPN 网关用户使用指南 77

84 认证服务器 7.4 认证服务器 VPN 网关可以与网络中现有的用户数据库快速结合, 实现用户认证, 大大节省系统管理员的负担 系统支持 RADIUS LDAP Active Directory edirectory 等第三方认证服务器以及组合认证 1. 选择系统管理 > 认证服务器 2. 点击新建, 在下拉列表中选择要添加的服务器类型, 设置相关信息, 点击确定 添加 RADIUS 服务器时, 填写如下信息 : 添加其余三种服务器时, 填写如下信息 : 如果认证过程需要使用 SSL 加密, 则需启用安全连接, 包括 SSL/TLS 和 STARTTLS 启用安全连接时, 需指定用于安全连接的 SSL 证书, 推荐使用系统自带的本地证书 Test 如果填写公共名标识符 识别名称 管理员识别名称和密码, 需要与添加的外部认证服务器保持一致 3. 选择基础功能 > 全局设置, 在缺省认证服务器下拉列表中选择一种外部认证服务器或多服务器认证 如果选择了 LDAP 服务器, 可设置 LDAP 安全组, 方便添加用户 4. 选择基础功能 > 用户组, 点击添加, 在类型下拉列表中选择 LDAP 动态组, 添加 LDAP 用户组 5. 选择基础功能 > VPN 策略, 添加 VPN 策略, 选择用户组 如果设置了 LDAP 安全组, 则添加 VPN 策略时, 也可以通过安全组选择用户 东软 NetEye VPN 网关用户使用指南 78

85 邮件服务器 7.5 邮件服务器 如果在设置 Web 模式 SSL VPN 服务时启用了邀请注册功能, 则需要配置邮件服务器, 用于发送邀请码和验证码邮件 验证码和邀请码为注册 SSL VPN 用户时必须使用的两个字符串 1. 选择系统管理 > 邮件服务器 2. 设置邮件服务器和发件人信息 参数 服务器地址 端口 安全连接 发件人 测试邮件服务器配置 说明 用于发送邀请码和验证码邮件的邮件服务器域名或 IP 地址 填写域名时, 还需在配置接口时设置 DNS 服务器地址 邮件服务器端口号, 必须和服务器端设置保持一致 是否使用安全连接, 包括 SSL/TLS 和 STARTTLS, 必须和服务器端设置保持一致 指管理员发送邀请码时所使用的邮箱账号 测试上面配置的邮件服务器是否可达 提示 : 使用邀请码注册的 SSL VPN 用户则通过注册时使用的邮箱账号发送邀请码 3. 点击提交 4. 点击测试邮件服务器配置, 测试邮件服务器配置是否正确 东软 NetEye VPN 网关用户使用指南 79

86 SNMP 配置 7.6 SNMP 配置 VPN 网关支持 SNMP 管理, 支持 SNMPv1 v2 和 v3 版本 网络管理员可以通过 SNMP 管理站查询 VPN 网关的配置信息, 但是不能修改其配置 在 SNMPv1 和 SNMPv2 中, 管理站和 VPN 网关设备之间通过团体字符串进行认证, 数据通过明文传输 在 SNMPv3 中, 管理站和 VPN 网关之间通过 SNMP 用户信息进行认证 VPN 网关接受管理站的访问时, 会根据保存的 SNMP 用户信息对管理站进行认证 1. 选择系统管理 > SNMP 配置 2. 勾选启用启用 SNMP 服务 SNMP 的通信端口号为 通过 SNMPv1 和 SNMPv2 通信时, 填写团体字符串及必要信息 提示 :VPN 网关上配置的团体字符串必须与管理站配置的团体字符串一致 4. 当使用 SNMPv3 通信时, 需要配置 SNMP 用户 a. 在用户列表中, 点击添加, 在弹出对话框中输入所需内容 提示 : 如果配置了 SNMP 用户认证或加密, 则管理站上也要进行相应设置 b. 点击确定 5. 点击提交 东软 NetEye VPN 网关用户使用指南 80

87 高可用性 7.7 高可用性 配置同步 高可用性可以防止设备单点故障导致的网络中断 VPN 网关可以在多台设备间实现高可用性 要使用高可用性功能, 需要配置对端信息, 用于在 HA 设备之间同步配置文件, 保证配置一致, 进行故障切换时服务不中断 两台 VPN 网关设备之间可以同步配置信息和运行信息 1. 选择系统管理 > 高可用性 > 配置同步 2. 查看添加的条目 3. 点击添加, 添加要同步配置的对端设备 用户名和密码为对端设备的 HA 用户的用户名和密码, 缺省为 ha/neteye 在配置本端高可用性之前, 可参照 7.1 管理员在对端设备上添加 HA 用户 4. 点击确定 5. 点击提交 提示 : 高可用性功能需在两端设备上分别配置, 以便配置有修改时, 能够相互同步 东软 NetEye VPN 网关用户使用指南 81

88 高可用性 集群 集群 ( 虚拟路由器 ) 由两台 VPN 网关设备组成 一台为主设备, 负责转发数据包 ; 另一台为备用设备, 不转发数据包, 仅负责监听主设备状态 两台 VPN 网关上运行虚拟路由冗余协议并通过此协议选举主设备 当主设备故障时, 备用设备被选举为新的主设备, 接替原主设备的工作 因此, 集群可以有效保障企业业务的可靠性 集群可适应于以下两种场景 : 场景一 ID: 51 IP eth eth1 VPN VPN 2 eth eth2 ID: 52 IP /24 配置信息为如下 : 1. 在 VPN 网关 1 和 VPN 网关 2 上, 选择系统管理 > 高可用性 > 集群 2. 系统默认提供一个虚拟路由器 ID 为 51 的虚拟路由器配置条目 3. 点击对其进行修改 参数启用虚拟路由器 ID 虚拟 IP 地址接口优先级密钥 4. 点击确定 说明勾选表示启用虚拟路由器 虚拟路由器的唯一标识, 取值范围是 1 ~ 255 的整数 指虚拟路由器的备份 IP 地址 此 IP 地址用于网络通信 指转发流量的接口 虚拟路由器的优先级, 取值范围是 1 ~ 254 的整数 数值越大, 优先级越高 指对虚拟路由器内成员之间 VRRP 报文和通讯数据采用简单的明文方式的认证 认证信息为 1 ~ 8 字节 UTF-8 字符, 不包含问号和空格 两台成员设备之间需要配置相同的认证信息 东软 NetEye VPN 网关用户使用指南 82

89 高可用性 5. 点击添加, 添加虚拟路由器 ID 为 52 的条目 6. 点击确定 7. 点击提交 场景二 ID: 51 IP VPN 1 eth eth eth eth /24 VPN 2 配置信息为如下 : 1. 在 VPN 网关 1 和 VPN 网关 2 上, 选择系统管理 > 高可用性 > 集群 2. 系统默认提供一个虚拟路由器 ID 为 51 的虚拟路由器配置条目 3. 点击对其进行修改 4. 点击确定 5. 点击提交 东软 NetEye VPN 网关用户使用指南 83

90 备份 / 恢复 7.8 备份 / 恢复 通过备份 / 恢复功能, 用户可以备份系统配置信息, 并通过备份文件恢复系统配置 系统支持手动备份和自动备份, 备份文件可下载到管理 PC, 也可由管理 PC 上传到系统 1. 选择系统管理 > 备份 / 恢复 2. 点击备份按钮, 输入备份文件名, 点击确定 3. 点击自动备份按钮, 设置备份方式, 点击确定 备份方式包括本地和 FTP 如果选择 FTP 备份, 还需设置 FTP 服务器信息 4. 点击上传备份文件按钮, 可上传本地备份文件到系统 5. 查看生成的备份文件 6. 点击 图标可编辑备份文件的备注信息 7. 点击 图标, 可设置要恢复的内容, 使用当前选中的备份文件恢复系统配置 8. 点击图标, 可下载备份文件到本地 东软 NetEye VPN 网关用户使用指南 84

91 系统升级 7.9 系统升级 系统升级用于修复系统缺陷或增强系统功能 1. 选择系统管理 > 升级 2. 查看系统版本信息和系统升级历史信息 3. 点击上载升级包按钮, 上传升级包并完成升级 4. 点击升级包下载地址, 可跳转到东软 NetEye 官方网站升级包下载页面 提示 : 系统升级后, 当登录管理页面时, 如果页面提示为无效请求, 可以通过串口或 SSH 方式连到后台, 执行以下命令解决问题 : service redis restart service rsyslog restart 东软 NetEye VPN 网关用户使用指南 85

92 License 7.10 License 系统在无 License 的状态下, 可支持 5 个并发连接数和 10 个用户, 允许 5 个用户同时在线使用 VPN 网关全部功能 导入 License 之后, 可支持更多用户和并发连接 1. 点击系统管理 > License, 查看 License 信息 此处显示 License 字符串 2. 点击导入按钮, 在弹出的对话框中输入 License 字符串, 点击确定 7.11 版权信息 1. 选择系统管理 > 版权 2. 查看版权信息 东软 NetEye VPN 网关用户使用指南 86

93 8 配置范例 本章给出以下常见功能的配置范例 : 8.1 基本网络配置 8.2 VPN 部署模式 8.3 Web 模式 SSL VPN 8.4 隧道模式 SSL VPN 8.5 网关到网关 IPSec VPN 8.6 远程访问 IPSec VPN 8.7 使用 LDAP 认证 8.8 邀请用户注册 8.9 找回密码 东软 NetEye VPN 网关用户使用指南 87

94 基本网络配置 8.1 基本网络配置 基本需求某公司购买一台东软 NetEye VPN 网关设备, 现需完成基本的网络配置, 使内网客户端可以访问外网资源, 外网用户可以访问内网服务器, 同时保护内网 Web 服务器免受 IP 欺骗攻击 网络规划如下图所示 组网拓扑 DNS /24 S /24 eth1 eth2 VPN eth eth Web S /24 (2C:41:38:8B:3C:11) /24 配置要点 配置接口 配置路由 配置访问策略 配置 IP-MAC 绑定策略 配置地址转换规则 东软 NetEye VPN 网关用户使用指南 88

95 基本网络配置 配置步骤 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置, 点击 eth1 对应的, 将 IP 地址和网关分别设置为 /24 和 , 点击确定 2. 以同样方式配置接口 eth2 将 IP 地址设置和首选 DNS 分别设置为 /24 和 配置完成后, 点击重启网络服务按钮, 使接口配置生效 配置路由 如果配置 eth1 之后又配置了其他接口网关, 系统会更新自学习的缺省路由, 此时需要手动添加一条新的缺省路由 1. 选择网络 / 策略 > 路由 > 静态路由 2. 点击添加, 添加一条缺省路由, 将出口接口设置为 eth1 网关设置为 点击确定 东软 NetEye VPN 网关用户使用指南 89

96 基本网络配置 配置访问策略 1. 选择网络 / 策略 > 访问策略 2. 添加访问策略, 以允许内网主机访问外网资源 外网主机访问内网服务器 配置 IP-MAC 绑定策略 1. 选择网络 / 策略 > IP-MAC 绑定 2. 添加 IP-MAC 绑定策略 配置地址转换规则 1. 选择网络 / 策略 > 地址转换 2. 在源地址转换页签点击添加, 添加源地址转换规则, 以使内网主机可以访问外网 3. 点击确定 东软 NetEye VPN 网关用户使用指南 90

97 基本网络配置 4. 点击目的地址转换页签, 点击添加, 添加目的地址转换规则, 以使外网主机可以访问内网服务器 5. 点击确定 东软 NetEye VPN 网关用户使用指南 91

98 VPN 部署模式 8.2 VPN 部署模式 VPN 网关的部署模式可以为单臂模式或路由模式, 请根据实际需求选择相应的模式 单臂模式 路由模式 提示 : 推荐将 VPN 网关的以太网接口 eth0( 缺省 IP 地址为 ) 作为管理接口 管理员可以在管理 PC 上通过 eth0 接口对 VPN 网关进行管理和配置 本节介绍两种模式的基本配置信息, 关于 SSL VPN 和 IPSec VPN 的详细配置信息, 请参见以下范例 : 8.3 Web 模式 SSL VPN 8.4 隧道模式 SSL VPN 8.5 网关到网关 IPSec VPN 8.6 远程访问 IPSec VPN 东软 NetEye VPN 网关用户使用指南 92

99 VPN 部署模式 单臂模式 VPN eth eth eth /24 PC 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置, 点击 eth0 接口对应的, 根据实际环境进行设置 2. 点击确定 提示 : 配置完接口后, 需要点击重启网络服务使配置生效 东软 NetEye VPN 网关用户使用指南 93

100 VPN 部署模式 路由模式 VPN eth eth /24 PC 推荐 eth0 接口为内网口 (LAN), 连接内网服务器 ; eth1 为外网口 (WAN), 连接公网 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置, 点击接口 eth0 和 eth1 对应的, 根据实际环境进行 设置 提示 : 配置完接口后, 需要点击重启网络服务使配置生效 配置路由 选择网络 / 策略 > 路由 > 静态路由, 查看自动学习到的路由信息, 可根据需要添加路由 东软 NetEye VPN 网关用户使用指南 94

101 VPN 部署模式 配置地址转换 1. 选择网络 / 策略 > 地址转换, 根据需要添加地址转换规则 在源地址转换页签点击添加, 添加源地址转换规则, 允许内网用户访问外网 点击确定 点击目的地址转换, 点击添加, 添加目的地址转换规则, 允许外网用户访问内网服务 点击确定 2. 点击提交 东软 NetEye VPN 网关用户使用指南 95

102 Web 模式 SSL VPN 8.3 Web 模式 SSL VPN 基本需求在外出差员工需要访问公司办公系统, 实现远程办公 为防止企业机密数据泄露, 公司计划部署东软 NetEye VPN 网关, 让在外员工能够安全地访问公司内部资源, 并且能够为用户设置访问资源的权限 由于办公系统多为 Web 服务器, 管理员需在 VPN 网关上配置 Web 模式的 SSL VPN, 使出差员工无需安装客户端软件即可通过浏览器登录公司办公系统办公 组网拓扑 Portal eth1 eth VPN eth eth Web /24 配置要点 配置接口 配置全局设置 配置资源和资源组 配置用户和用户组 配置 VPN 策略 配置 Web 模式 SSL VPN 东软 NetEye VPN 网关用户使用指南 96

103 Web 模式 SSL VPN 配置步骤 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置 2. 点击 eth1 对应的, 将 IP 地址和网关分别设置为 /24 和 , 点击确 定 3. 以同样方式将接口 eth2 的 IP 地址设置为 /24 4. 配置完成后, 点击重启网络服务按钮, 使接口配置生效 配置全局设置 1. 选择基础功能 > 全局设置 2. 选择本地认证服务器, 使用缺省的缓存 / 压缩设置, 设置会话超时提醒 3. 点击提交 东软 NetEye VPN 网关用户使用指南 97

104 Web 模式 SSL VPN 配置资源和资源组 1. 选择基础功能 > 资源 2. 点击添加, 填写资源相关信息, 使用全局的缓存 / 压缩设置 3. 点击确定 4. 以同样方式添加其他资源 5. 选择基础功能 > 资源组 6. 点击添加, 设置资源组名称并选择要加入资源组的资源 7. 点击确定 东软 NetEye VPN 网关用户使用指南 98

105 Web 模式 SSL VPN 配置用户和用户组 1. 选择基础功能 > 用户 2. 点击添加, 新建本地认证用户 3. 点击确定 4. 选择基础功能 > 用户组 5. 点击添加, 设置用户组名称, 并将新建的用户添加到用户组中 6. 点击确定 东软 NetEye VPN 网关用户使用指南 99

106 Web 模式 SSL VPN 配置 VPN 策略 1. 选择基础功能 > VPN 策略 2. 点击添加, 在弹出的对话框中设置相关信息 a. 在基础配置页签, 设置策略名称, 勾选启用和 Web 模式 SSL VPN, 动作设置为允许 b. 在用户组页签选择策略应用于的用户组 c. 在资源组页签选择策略应用于的资源组 3. 点击确定 东软 NetEye VPN 网关用户使用指南 100

107 Web 模式 SSL VPN 配置 Web 模式 SSL VPN 1. 选择基础功能 > Web 模式 SSL VPN 2. 启用 Web 模式 SSL VPN 功能, 配置服务器地址和本地证书, 勾选重定向和登录验证码 复选框 3. 点击提交 结果验证 1. 配置结束后, 用户 test 可以在浏览器中输入 访问后端服务器资源 2. 当 SSL VPN 用户连接成功后, 您可在监控 > 在线用户 > Web 模式在线用户页面查看到用户在线信息 3. 如有需要, 可以通过离线按钮强制用户下线 东软 NetEye VPN 网关用户使用指南 101

108 隧道模式 SSL VPN 8.4 隧道模式 SSL VPN 基本需求在外出差员工需要访问公司内部 Web 服务器资源, 为保护敏感信息不泄露, 公司计划部署东软 NetEye VPN 网关, 通过建立隧道模式 SSL VPN, 让出差员工能够安全地访问公司内部 Web 资源, 同时能够对用户的访问权限进行严格限制和实时监控 组网拓扑 DNS /24 eth1 eth VPN eth eth /24 系统为 SSL VPN 客户端分配的虚拟子网地址池是 /24 如果内网服务器和 VPN 网关之间存在路由器或 WAF 等路由设备, 服务器网关应指向该路由器或 WAF 为了让使用 SSL VPN 客户端的用户能够访问内网服务器, 需要将 /24 转换成 eth2 的内网 IP 地址 为了让 SSL VPN 用户能够通过域名访问内网服务器, 需要为 SSL VPN 客户端推送内网 DNS 服务器的地址 配置要点 配置接口 配置全局设置 配置资源和资源组 配置用户和用户组 配置 VPN 策略 添加 CA 证书和本地证书 配置隧道模式 SSL VPN 配置源地址转换 东软 NetEye VPN 网关用户使用指南 102

109 隧道模式 SSL VPN 配置步骤 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置 2. 点击 eth1 对应的, 将 IP 地址和网关分别设置为 /24 和 , 点击确 定 3. 以同样方式将接口 eth2 的 IP 地址设置为 /24 4. 配置完成后, 点击重启网络服务按钮, 使接口配置生效 配置全局设置 1. 选择基础功能 > 全局设置 2. 配置认证服务器, 使用本地认证服务器 Local 认证 SSL VPN 用户 3. 点击提交 东软 NetEye VPN 网关用户使用指南 103

110 隧道模式 SSL VPN 配置资源和资源组 1. 选择基础功能 > 资源 2. 点击添加, 添加允许 SSL VPN 用户访问的子网资源 3. 点击确定 4. 选择基础功能 > 资源组 5. 点击添加, 添加资源组, 对资源组命名并选择要加入资源组的资源 6. 点击确定 东软 NetEye VPN 网关用户使用指南 104

111 隧道模式 SSL VPN 配置用户和用户组 1. 选择基础功能 > 用户 2. 点击添加, 新建本地用户 user1 3. 点击确定 4. 以同样方式添加其他 SSL VPN 用户 5. 选择基础功能 > 用户组 6. 点击添加, 添加用户组 设置用户组名称, 将允许访问资源的用户添加到用户组中 7. 点击确定 东软 NetEye VPN 网关用户使用指南 105

112 隧道模式 SSL VPN 配置 VPN 策略 1. 选择基础功能 > VPN 策略 2. 点击添加, 在弹出的对话框中进行相关配置 a. 在基础配置页签配置策略基本信息 b. 在用户组页签选择策略应用于的用户组 c. 在资源组页签选择策略应用于的资源组 3. 点击确定 东软 NetEye VPN 网关用户使用指南 106

113 隧道模式 SSL VPN 添加 CA 证书和本地证书 1. 选择系统管理 > 证书 2. 点击添加, 选择根 CA 证书添加 CA 证书 3. 点击确定 东软 NetEye VPN 网关用户使用指南 107

114 隧道模式 SSL VPN 4. 点击添加, 选择本地证书添加个人证书 5. 点击确定 提示 : 如需导入其他 CA 证书和本地证书, 请选择网络管理 > 证书 > 导入 先导入 CA 证书, 再导入本地证书 东软 NetEye VPN 网关用户使用指南 108

115 隧道模式 SSL VPN 配置隧道模式 SSL VPN 1. 选择基础功能 > 隧道模式 SSL VPN 2. 启用策略, 开启调试和日志开关, 选择系统自带的 CA 证书 Test 和本地证书 Test_a, 设 置推送的 DNS 服务器地址 , 添加服务 test 提示 : 添加的虚拟子网不能与真实子网的网段相同, 如上面的虚拟子网不能设为 /24 3. 点击提交 东软 NetEye VPN 网关用户使用指南 109

116 隧道模式 SSL VPN 配置源地址转换 1. 选择网络 / 策略 > 地址转换 2. 在源地址转换页签点击添加, 添加一条源地址转换规则, 将 SSL VPN 客户端使用的 虚拟子网地址 /24 转换为内网接口 eth2 的 IP 地址 3. 点击确定 结果验证 1. 网络用户通过东软 SSL VPN 客户端连接之后, 能够访问公司后端服务器 a. 访问公司 SSL VPN Portal 登录页面, 下载并安装客户端软件 b. 使用客户端软件建立 SSL VPN 连接 ( 以 Windows 版客户端为例 ) c. 访问服务器资源 东软 NetEye VPN 网关用户使用指南 110

117 隧道模式 SSL VPN 2. 管理员选择监控 > 在线用户 > 隧道模式在线用户, 能够查看到用户在线信息 3. 如有需要, 可以通过离线按钮强制用户下线 东软 NetEye VPN 网关用户使用指南 111

118 网关到网关 IPSec VPN 8.5 网关到网关 IPSec VPN 基本需求某客户网络如下图所示, 要求在公司总部和分公司之间建立一条 VPN 隧道, 使总部和分公司的员工可以互相通信 互访资源 为安全起见, 要求隧道两端使用证书认证 组网拓扑 eth2 eth1 eth1 eth2 VPN A eth eth VPN B eth eth /24 配置要点 配置接口 导入证书 配置访问策略 创建 IPSec VPN 隧道 /24 东软 NetEye VPN 网关用户使用指南 112

119 网关到网关 IPSec VPN 配置步骤 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置 2. 点击 eth1 对应的图标, 设置 IP 地址和网关, 点击确定 VPN 网关 A: 将 IP 地址和网关分别设置为 /24 和 VPN 网关 B: 将 IP 地址和网关分别设置为 /24 和 点击 eth2 对应的图标, 设置 IP 地址, 点击确定 VPN 网关 A:IP 地址设置为 /24 VPN 网关 B: 将 IP 地址设置为 /24 4. 配置完成后, 点击重启网络服务按钮, 使接口配置生效 东软 NetEye VPN 网关用户使用指南 113

120 网关到网关 IPSec VPN 导入证书 导入证书时, 先导入 CA 证书再导入本地证书, 导入的 CA 证书必须是授权颁发对应本地证书的 CA 机构的 CA 证书 1. 选择系统管理 > 证书 2. 点击导入, 选择 CA 证书, 导入 CA 证书 3. 点击导入, 选择本地证书, 导入本地证书 VPN 网关 A: VPN 网关 B: 提示 : 如需制作服务器证书, 可以选择系统管理 > 证书, 点击添加并点击本地证书 请参见添加 CA 证书和本地证书 配置访问策略 1. 选择网络 / 策略 > 访问策略 2. 添加两条访问策略, 允许公司总部子网和分公司子网之间的访问 VPN 网关 A: 东软 NetEye VPN 网关用户使用指南 114

121 网关到网关 IPSec VPN VPN 网关 B: 创建 IPSec VPN 隧道 1. 选择基础功能 > IPSec VPN 2. 点击添加, 在基础配置页签设置隧道基础配置 VPN 网关 A: VPN 网关 B: 东软 NetEye VPN 网关用户使用指南 115

122 网关到网关 IPSec VPN 提示 : 为了适应 VPN 网关之间存在 NAT 设备的情况, 这里推荐使用 ikev2 版本 基于安全目的, 这里推荐使用证书认证模式 ; 两端网关的本地证书和对应的 CA 证书需要提前导入 3. 点击本地配置, 设置本端地址 认证类型和本地子网 VPN 网关 A: VPN 网关 B: 本地地址选择本端网关的外网接口 IP, 认证类型选择证书主题, ID 为基础配置页签所选本地证书的证书主题 东软 NetEye VPN 网关用户使用指南 116

123 网关到网关 IPSec VPN 4. 点击对端配置, 设置对端地址 认证类型和对端子网 VPN 网关 A: VPN 网关 B: 对端的 IP 地址 / 域名请填写对端网关的外网接口 IP 本端和对端的配置信息应该是相对应的 5. 点击确定 6. 在两端设备上都点击重启服务 稍后刷新页面 东软 NetEye VPN 网关用户使用指南 117

124 网关到网关 IPSec VPN 结果验证 1. 当隧道状态变为已连接时, 说明隧道协商成功 VPN 网关 A: VPN 网关 B: 2. 此时, 在两端子网的客户端上应该可以成功访问对端服务资源 3. 如果隧道状态显示为未连接, 则可以选择日志 > 调试 > IPSec VPN 协商日志, 查看隧 道协商信息, 查找协商失败的原因 东软 NetEye VPN 网关用户使用指南 118

125 远程访问 IPSec VPN 8.6 远程访问 IPSec VPN 基本需求出差员工需要访问公司内部服务器资源 ( 如 Web 应用 FTP 资源 邮件等 ), 为保护敏感信息不泄露, 公司计划部署东软 NetEye VPN 网关, 通过建立 IPSec VPN 隧道, 让出差员工能够安全地访问公司内部资源, 同时能够对用户的访问权限进行严格限制和实时监控 组网拓扑 eth1 eth /21 配置要点 配置接口 配置全局设置 配置资源和资源组 配置用户和用户组 配置 VPN 策略 添加 CA 证书和本地证书 配置 IPSec VPN 远程访问 配置远程 VPN 客户端 VPN eth eth /24 东软 NetEye VPN 网关用户使用指南 119

126 远程访问 IPSec VPN 配置步骤 配置接口 1. 选择网络 / 策略 > 接口 > 接口配置 2. 点击 eth1 对应的图标, 设置 IP 地址和网关, 点击确定 3. 点击 eth2 对应的图标, 设置 IP 地址, 点击确定 4. 配置完成后, 点击重启网络服务按钮, 使接口配置生效 5. 点击确定 东软 NetEye VPN 网关用户使用指南 120

127 远程访问 IPSec VPN 配置全局设置 1. 选择基础功能 > 全局设置 2. 配置认证服务器, 使用本地认证服务器 Local 认证 SSL VPN 用户 3. 点击提交 配置资源和资源组 1. 选择基础功能 > 资源 2. 点击添加, 添加允许 IPSec VPN 用户访问的子网资源 3. 点击确定 东软 NetEye VPN 网关用户使用指南 121

128 远程访问 IPSec VPN 4. 选择基础功能 > 资源组 5. 点击添加, 添加资源组, 对资源组命名并选择要加入资源组的资源 6. 点击确定 配置用户和用户组 1. 选择基础功能 > 用户 2. 点击添加, 创建名为 Bob 的用户并将密码设置 点击确定 东软 NetEye VPN 网关用户使用指南 122

129 远程访问 IPSec VPN 4. 选择基础功能 > 用户组 5. 点击添加, 添加用户组 设置用户组名称, 将允许访问资源的用户添加到用户组中 6. 点击确定 配置 VPN 策略 1. 选择基础功能 > VPN 策略 2. 点击添加 3. 在基础配置页签配置策略基本信息 东软 NetEye VPN 网关用户使用指南 123

130 远程访问 IPSec VPN 4. 在用户组页签选择策略应用于的用户组 5. 在资源组页签选择策略应用于的资源组 6. 点击确定 添加 CA 证书和本地证书 1. 选择系统管理 > 证书 2. 点击添加, 选择根 CA 证书添加 CA 证书 3. 点击确定 4. 选择系统管理 > 证书 东软 NetEye VPN 网关用户使用指南 124

131 远程访问 IPSec VPN 5. 点击添加, 选择本地证书添加服务器证书 6. 点击确定 提示 : 如需导入其他 CA 证书和本地证书, 请选择网络管理 > 证书 > 导入 先导入 CA 证书, 再导入本地证书 配置 IPSec VPN 远程访问 1. 选择基础功能 > IPSec VPN 在隧道列表中, 可以看到系统默认提供的远程访问 IPSec VPN 隧道 (RemoteAccess) 2. 点击配置隧道和远程用户信息 在基础配置页签, 启用隧道, 启用记录日志功能, 配置证书认证方式 东软 NetEye VPN 网关用户使用指南 125

132 远程访问 IPSec VPN 3. 点击本地配置页签, 配置本端 IP 地址 ID 类型和本端 ID 提示 : 输入的 ID 信息与前面创建本地证书时输入的证书主题信息应保持一致 4. 点击对端配置页签, 配置客户端虚拟地址池 VPN 网关从地址池中选取 IP 地址并将其分配给 VPN 客户端 5. 点击确定 6. 点击重启服务 配置远程 VPN 客户端 IPSec VPN 远程访问用户可以使用 Windows 7 系统内置的 VPN 客户端连接到 VPN 网关 请预先从 VPN 网关上下载 CA 证书并将证书导入到远程用户的 PC 上 导入 CA 证书 : 1. 点击开始 > 运行, 输入 mmc 命令 2. 选择文件 > 添加 / 删除管理单元 点击证书, 点击添加, 选择计算机帐户, 点击下一步 3. 点击本地计算机, 点击完成, 点击确定 东软 NetEye VPN 网关用户使用指南 126

133 远程访问 IPSec VPN 4. 在左侧控制台根节点, 展开证书节点, 选择受信任的根证书颁发机构 > 所有任务 > 导入, 根据提示导入 CA 证书 创建 VPN 连接 : 1. 打开网络和共享中心, 点击设置新的连接或网络 2. 点击连接到工作区, 点击下一步 东软 NetEye VPN 网关用户使用指南 127

134 远程访问 IPSec VPN 3. 点击使用我的 Internet 额连接 (VPN) 4. 点击我将稍后设置 Internet 连接 5. 在 Internet 地址文本框中, 填写 VPN 网关的 IP 地址 在目标名称文本框中, 添加 VPN 连接的名称 点击下一步 东软 NetEye VPN 网关用户使用指南 128

135 远程访问 IPSec VPN 6. 输入远程用户的名称和密码 (Bob 和 ) 点击创建 7. 点击关闭, 继续配置 VPN 连接的详细信息 8. 找到已创建的 VPN 连接, 双击打开连接窗口, 输入用户名和密码 9. 点击属性, 点击安全, 配置安全选项 10. 点击确定 待成功连接到 VPN 网关后, 即可访问内网资源 东软 NetEye VPN 网关用户使用指南 129

136 使用 LDAP 认证 8.7 使用 LDAP 认证 基本需求某公司部署东软 NetEye VPN 网关后, 想配合已有的 LDAP 服务器进行用户认证 LDAP 服务器上配置的安全组结构如下 : dc=com dc=example ou=people cn=admin cn=user1 cn=user2 cn=user3... ou=groups cn=depart1 (member=[cn=user1]) cn=depart2 (member=[cn=user2, cn=user3,...]) 其中, user1 可以访问整个内网资源, 其他用户仅允许访问内网 Web 资源 组网拓扑 LDAP eth1 eth3 eth2 user1, user2,... VPN eth eth eth /24 配置要点 配置 LDAP 外部认证服务器 配置 VPN 全局设置 配置用户组 配置资源和资源组 配置 VPN 策略 配置 SSL VPN 服务 东软 NetEye VPN 网关用户使用指南 130

137 使用 LDAP 认证 配置步骤 配置 LDAP 外部认证服务器 1. 选择系统管理 > 认证服务器 2. 点击新建, 在下拉菜单中选择 LDAP, 添加 LDAP 认证服务器 3. 点击确定 配置 VPN 全局设置 1. 选择基础功能 > 全局设置 2. 认证服务器勾选 LDAP, 配置 LDAP 安全组信息 3. 点击提交 东软 NetEye VPN 网关用户使用指南 131

138 使用 LDAP 认证 配置用户组 1. 选择基础功能 > 用户组 2. 点击添加, 添加静态用户组, 包含 user1 3. 点击确定 4. 点击添加, 添加 LDAP 动态组, 包含所有 LDAP 用户 5. 点击确定 配置资源和资源组参考 3.2 资源添加内网资源, 参考 3.3 资源组添加资源组 HTTP_HTTPS 和 All_resources HTTP_HTTPS 包含所有 HTTP 和 HTTPS 资源, All_resources 包含所有内网资源 东软 NetEye VPN 网关用户使用指南 132

139 使用 LDAP 认证 配置 VPN 策略 1. 选择基础功能 > VPN 策略 2. 点击添加, 添加一条隧道 SSL VPN 策略, 允许 user1 访问所有内网资源 a. 在基础配置页签进行相关配置 b. 点击用户组页签, 选择 StaticGroup 也可以点击 LDAP 安全组页签, 通过选择安全组添加用户 东软 NetEye VPN 网关用户使用指南 133

140 使用 LDAP 认证 c. 点击资源组页签, 选择资源组 All_resources d. 点击确定 3. 点击添加, 添加一条 Web SSL VPN 策略, 允许其他用户访问 HTTP 和 HTTPS 资源 a. 在基础配置页签进行相关配置 东软 NetEye VPN 网关用户使用指南 134

141 使用 LDAP 认证 b. 点击用户组页签, 选择 LDAPGroup 也可以点击 LDAP 安全组页签, 通过选择安全组添加用户 c. 点击资源组页签, 选择允许用户访问的资源组 HTTP_HTTPS d. 点击确定 配置 SSL VPN 服务 参考 3.8 Web 模式 SSL VPN 和 3.9 隧道模式 SSL VPN 配置 SSL VPN 服务 东软 NetEye VPN 网关用户使用指南 135

142 邀请用户注册 8.8 邀请用户注册 基本需求为方便来宾快速接入公司内网, 在 VPN 网关上开启邀请用户注册功能, 使系统管理员和 SSL VPN 用户都可以邀请来宾注册成为 SSL VPN 用户, 使用内网资源 配置要点 创建资源组 创建被邀请人用户组 创建 VPN 策略 配置邮件服务器 配置 DNS 配置邀请注册功能 管理员发送邀请码 SSL VPN 用户发送邀请码 注册成为 SSL VPN 用户配置步骤配置 Web 模式 SSL VPN 的步骤请参考 8.3 Web 模式 SSL VPN 创建资源组 创建资源组, 设置允许被邀请用户访问的资源 1. 选择基础功能 > 资源组 2. 点击添加, 添加资源组, 对资源组命名并选择允许被邀请用户访问的资源 3. 点击确定 东软 NetEye VPN 网关用户使用指南 136

143 邀请用户注册 创建被邀请人用户组 创建用户组, 方便统一管理被邀请用户 1. 选择基础功能 > 用户组 2. 点击添加, 输入被邀请人要加入的用户组名称, 在类型下拉框中选择静态 留空 提示 : 创建被邀请人用户组时, 包含用户应该为空 3. 点击确定 创建 VPN 策略 添加 VPN 策略, 用于控制被邀请用户的访问权限 1. 选择基础功能 > VPN 策略 2. 点击添加, 在基础配置页签进行相关配置 东软 NetEye VPN 网关用户使用指南 137

144 邀请用户注册 3. 点击用户组页签, 选择已创建的被邀请人用户组 4. 点击资源组页签, 选择允许被邀请用户访问的资源组 5. 点击确定 东软 NetEye VPN 网关用户使用指南 138

145 邀请用户注册 配置邮件服务器 配置邮件服务器, 使系统可以对外发送包含验证码或邀请码的邮件 1. 选择系统管理 > 邮件服务器 2. 配置邮件服务器和发件人信息 3. 点击提交 配置 DNS 配置 DNS 服务器地址, 使系统可以解析用于发送邀请码 / 验证码邮件的邮件服务器的域 名 1. 选择网络 / 策略 > 接口 > 接口配置 2. 点击连接 DNS 服务器的接口对应的, 设置 DNS 服务器地址 3. 点击确定 4. 点击重启网络服务按钮, 使配置生效 东软 NetEye VPN 网关用户使用指南 139

146 邀请用户注册 配置邀请注册功能 1. 选择基础功能 > Web 模式 SSL VPN 2. 点击配置邀请码按钮, 配置邀请码相关选项 a. 启用邀请功能, 设置可邀请用户数以及默认用户组, 点击提交 b. 在邀请码列表中点击创建, 创建邀请码 管理员发送邀请码 1. 选择基础功能 > Web 模式 SSL VPN 2. 点击配置邀请码按钮, 进入邀请码配置页面 3. 点击电子邮件列的邮件图标, 输入被邀请人用于接收邀请码的邮件地址, 然后点击确定 东软 NetEye VPN 网关用户使用指南 140

147 邀请用户注册 SSL VPN 用户发送邀请码 1. SSL VPN 用户可在浏览器中输入 ( 如 :443), 登录 SSL VPN Portal 2. 点击邀请注册按钮, 输入被邀请人邮件地址, 邀请他人注册 注册成为 SSL VPN 用户 被邀请人收到邀请码后, 可在 Portal 登录页面点击注册用户按钮完成注册 1. 在 Portal 登录页面点击注册用户 2. 输入注册使用的邮箱地址, 点击获取验证码 东软 NetEye VPN 网关用户使用指南 141

148 邀请用户注册 3. 在新出现的文本框中输入邮箱验证码 新注册用户的账号和密码, 以及之前收到的邀请码, 点击注册, 完成用户注册的操作 4. 完成注册后, 即可使用新注册的用户名和密码访问 SSL VPN 资源 东软 NetEye VPN 网关用户使用指南 142

149 找回密码 8.9 找回密码 基本需求允许 SSL VPN 用户在忘记密码的情况下重置密码 配置要点 配置邮件服务器 找回密码配置步骤配置 Web 模式 SSL VPN 的步骤请参考 8.3 Web 模式 SSL VPN 以下步骤默认已建立 Web 模式 SSL VPN 隧道 配置邮件服务器 1. 选择系统管理 > 邮件服务器 2. 设置邮件服务器和发件人信息 3. 点击提交 4. 点击测试邮件服务器配置, 确保已连通邮件服务器 东软 NetEye VPN 网关用户使用指南 143

150 找回密码 找回密码 1. 登录 Portal 页面, 点击忘记密码 2. 输入找回密码使用的邮箱账号, 点击获取验证码 东软 NetEye VPN 网关用户使用指南 144

151 找回密码 3. 点击确定, 在新出现的文本框中输入邮箱验证码和新密码, 点击修改, 完成重置密码的操作 东软 NetEye VPN 网关用户使用指南 145