收藏
下载资源

SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍

上传人:n**** 文档编号:43259933 上传时间:2018-06-05 格式:PDF 页数:36 大小:3.28MB
返回 下载 相关 举报
SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍_第1页
第1页 / 共36页
SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍_第2页
第2页 / 共36页
SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍_第3页
第3页 / 共36页
SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍_第4页
第4页 / 共36页
SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍》由会员分享,可在线阅读,更多相关《SANGFOR_SSL_v6.8_2015年度渠道初级认证培训07_扩展功能总结介绍(36页珍藏版)》请在金锄头文库上搜索。

1、SANGFOR SSL VPN 扩展功能总结介绍扩展功能总结介绍培训内容培训目标易用性功能介绍1、掌握账号如何设置分级分权限管理的管 理员2、掌握SSL VPN登录客户端的使用方法3、掌握系统托盘的应用场景及配置步骤4、了解客户端组件策略和客户端自定义中 各功能选项的含义快速性功能介绍1、掌握启用流缓存的配置步骤2、了解TCP单边加速的应用场景安全性功能介绍1、了解如何配置实现防中间人攻击易用性功能介绍深信服公司简介安全性功能介绍问题思考SANGFOR SSL快速性功能介绍易用性管理员账号1.管理组具有相同管理权限、相同管理内容的管理员所组成的组。2.管理员管理设备的管理员,对所管理的页面和内

2、容具有查看和编辑权限。3.访客管理设备的管理员,对所管理的页面和内容只具有查看权限,不具有编辑权限。通过设置管理员账号,达到分级分权限的管理,能够实现多达16级的管理员分级管理。易用性管理员账号应用案例为了保障设备管理的安全性以及可监督性,某公司IT部门决定让管理员A和管理员B来共同管理SSL VPN设备,管理员A能够查看和编辑设备所有页面,且只能从指定的两台电脑上(IP地址为:172.16.1.10和192.200.200.215)登录设备进行管理,管理员B能够从任何电脑登录查看设备配置,但不能对A所做的任何配置进行修改,且管理员B不能够查看IPSEC VPN的所有设置。1.能够查看和编辑所

3、 有页面 2.只能从指定的电脑上 登录设备1.只能够查看,不能 够编辑页面 2.不能够查看IPSEC VPN设置 3.能从任何电脑上登 录设备进行查看易用性管理员账号配置思路1.建立两个管理组并设置相应的权限,一个管理组具有所有的管理权限,一个管理组具有除IPSEC VPN设置外的所有权限;2.建立管理员A和B并设置相应的管理员类型,管理员A属于管理组A,管理员类型为管理员,且只能从指定的IP地址172.16.1.10和192.200.200.215登录设备进行管理,管理员B属于管理组B,管理员类型为访客。易用性管理员账号配置截图1.建立两个管理组并设置相应的权限未勾选IPSec VPN设置易

4、用性管理员账号配置截图2.建立两个管理员A和B并设置相应的管理员类型允许从任意IP登 录管理设备管理员账号配置截图3.测试配置是否正确管理员A使用 IP地址为 192.200.254.2 41的电脑登录 设备输入密码后, 点击登录,出 现如下提示管理员A使用IP地址为192.200.200.215的地址登录设备能够显示IPSEC VPN 设置,且能够编辑页 面,如新建用户、资 源等等管理员B登录后,界面 无法显示IPSEC VPN设 置,且只能查看不能够 编辑页面编辑页面时,将 会出现如下提示易用性SSL VPN登录客户端功能介绍SSL VPN登录客户端能够实现脱离浏览器进行登录并使用SSL

5、VPN应用。SSL VPN登录客户端支持用户名/密码、文件证书、DKEY以及匿名登录。SSL VPN登录客户端是基础控件,只要登录过SSL VPN的电脑,就会自动安装该控件,下次登录SSL VPN时,可以直接使用SSL VPN登录客户端进行登录,而不用使用浏览器登录。点击“开始”,将 出现SSL VPN登 录客户端程序易用性SSL VPN登录客户端SSL 登录客户端是基础控件, 只要访问过SSL,就会默认 安装上此控件通过在【SSL VPN选项】-【系统选项】-【客户端选项】中,可以自定义客 户端的记住密码、自动登录两个选项。 填写要登录 的SSLVPN 地址点击连接,连接 SSLVPN,获取

6、设备 对SSLVPN客户端的 全局配置设备全局配置决 定是否在客户端 显示这两项SSL VPN客户端可以设置支持HTTP代理环境下登录SSL VPN。易用性SSL VPN登录客户端配置截图如果上网通过 IE代理,则需 勾选。IE代理上网需要 账号密码时, 才需填写易用性系统托盘用于在关闭SSL VPN的资源列表页面后,将IE最小化到任务栏,防止误操作而关闭SSL VPN以及用系统托盘替代SSL的悬浮框。使用系统托盘,可以实现开机后自动登录SSL VPN或者在桌面上创建一个快捷方式,点击快捷方式启用SSL VPN登录客户端。功能介绍易用性系统托盘1.客户需求由于某些SSL用户只关联了WEB应用,

7、用户在访问WEB应用时,容易造成误操作关闭浏览器后退出SSL。用户希望使用系统托盘功能来防止此类现象的发生。与此同时,对于那些关联了除WEB应用资源之外的用户,也可以使用系统托盘来替代桌面右上角的SSL 悬浮框。应用案例易用性系统托盘配置思路1.新建一条策略组管理,启用系统托盘;2.新建一个移动用户组,使用用户名、密码认证,并关联系统托盘策略组;3.新建一个用户test1,属于移动用户组,并关联相应的资源;4.使用账号test1登录SSL VPN进行测试。易用性系统托盘配置思路(1)新建系统托盘策略组启用系统 托盘功能易用性系统托盘配置思路(2)新建移动用户组,关联系统托盘组策略易用性系统托盘

8、配置思路(3)新建用户test1,属于移动用户组强制继承了用 户组的属性易用性系统托盘配置思路(4)用户test1登录SSL VPN后会在任务栏中生成系统托盘小图标系统托 盘小图 标易用性系统托盘配置思路(5)此时,鼠标右键点击系统托盘小图标,可以查看连接状态、加速效果等等(注 意:此处的界面根据用户启用的功能以及关联的资源类型不同,会有所差异。)易用性系统托盘如何实现开机后自动连接SSL VPN?登录SSL VPN后,点 击资源列表页面的“开 机登录设置”或使用系 统托盘的个人设置都 能够到达自动登录设 置界面设置开机自 动登录的用 户名和密码, 并启用开机 自动登录易用性系统托盘除了让用户

9、组/用户关联系统托盘策略组以外,还可以全局开启系统托盘,此时,所有的用户组及用户都默认启用了系统托盘功能,且不能修改。全局启用系统 托盘功能,此时,所 有用户组及用户都默 认启用了系统托盘功 能勾选上“断线自动重试 连接”,并在系统托盘 处也勾上“自动重连 SSL VPN”,能够在超 时时间后自动重新连 接SSL VPN易用性客户端组件策略功能介绍这里的客户端组件是指 硬件特征码认证或登录 前安全检查功能涉及到 的相关组件选择用户手动 安装或者是自 动安装组件若未安装相关的组件或验 证不通过,可选“禁止登 录”或者“允许登录,但 只能使用WEB服务”易用性客户端组件策略部分功能介绍客户端只有

10、一个证书的 时候是否弹 出证书选择 框可以实现当用户登录到 SSL VPN后直接激活TCP 应用和L3VPN应用的相关 控件。不勾选,则首次登 录需要手动安装控件,以 后登录不需要再次安装。在客户端登陆 SSL VPN后可以 显示出TCP应用 和L3VPN应用的 详细地址信息勾选后,登 录界面显示 手动安装组 件的链接组件下载链接快速性流缓存1.功能介绍SSL VPN的流缓存功能是通过传输标签来代替数据包的传输。当客户端发起对SSL VPN的连接时,数据会被抓到ProxyIE控件里,然后通过流缓存控件对数据进行匹配,若存在相同的数据,则使用标签代替实际数据进行传输,当数据到达SSL VPN设备

11、时,将标签还原成实际数据后发给服务器。通过使用SSL VPN的流缓存功能,能够对传输过程中的重复数据进行编码压缩,以大大减少传输所需带宽和时间。注意事项:流缓存功能仅对TCP应用有效快速性流缓存2.配置步骤(1)开启流缓存序列号,激活流缓存模块(2)启用流缓存功能(3)设置流缓存策略组管理,让个别用户或者是用户组关联流缓存策略组,优先启用流缓存 。优先启用流缓存的目的是为了让该用户具有更高的流缓存优先级。每个设备平台的流缓存用户并发数是固定的,如果超过这个值,优先使用流缓存的用户接入后,踢掉一个已有的普通流缓存用户,自己抢占这个名额 ,则它将具有更快的访问速度。 快速性流缓存3.配置截图(1)

12、开启流缓存序列号快速性流缓存3.配置截图(2)启用流缓存功能快速性流缓存3.配置截图(3)设置流缓存策略组管理,针对个别用户或者是用户组关联流缓存策略组用户类型必 须为私有用 户快速性流缓存注意事项1、流缓存功能只对TCP应用有效,且只有私有用户才能优先启用流缓存。2、对于没有加速效果的资源,可以看一下系统是否有对数据进行加密或者压缩。3、启用流缓存后,当用户访问TCP应用时,会自动在用户的电脑上选择系统剩余空间最大的分区根目录下生成一个SvpnCacheData文件夹。通过优化TCP协议,解决一些TCP协议本身的缺陷,来实现加速的效果。主要用于丢包大的情况下,效果十分明显。该功能仅针对TCP

13、协议生效。发起访问网络丢包 严重启用单 边加速快速性TCP单边加速快速性TCP单边加速配置思路:1.开启单边加速序列号;2.【系统设置】-【网络传输优化】-【传输优化】,启用TCP单边加速。安全性防中间人攻击1.功能介绍中间人可以在网络上拦截SSL通信的数据,扮演服务端应答客户端,同时扮演客户端请求真实服务端,起到中间代理转发数据的功能,达到拦截所有SSL通信数据的目的,从而进行攻击。防中间人攻击能够检测并防止SSL中间人攻击,识别当前的SSL会话是否被中间人攻击,保护数据的绝对安全。安全性防中间人攻击2.配置截图启用该功能后,用户登录时强制启用图形校验码,并会强制安装控件。启用防中间 人攻击使用HTTP登录时, 从HTTP跳转到 HTTPS的时候, 进行SSLStrip攻 击检查存在攻击时的提示, 若不存在攻击,将 直接跳转到HTTPS 登录界面启用图形 校验码若存在中间人 攻击,提示存 在中间人攻击, 并中断SSL会话1.管理员A登录设备控制台后,创建了管理员B,请问管理员B对管理员A所做的配置是否具有编辑权限?2. 请说出启用系统托盘的两种方法并配置实现开机后自动登录SSL VPN。3. 在客户端选项中,存在客户端组件策略的相关配置,请问这里所指的客户端组件是什么组件?问题思考

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 咨询培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号