聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG用戶手冊

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG用戶手冊聯(lián)想網(wǎng)御科技〔北京〕前言感謝您使用聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG。聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG系列接入網(wǎng)關(guān)是適用于中小型企業(yè)/大中型企業(yè)/政府機關(guān)/移動用戶的綜合接入網(wǎng)關(guān)，為用戶遠程訪問網(wǎng)絡效勞供給安全保護，主要功能包括：身份認證：確保遠程訪問者不是惡意用戶；訪問把握：確保訪問者只能訪問被授權(quán)訪問的效勞和信息；數(shù)據(jù)加密：確保全部數(shù)據(jù)在網(wǎng)絡傳輸過程中都是被加密的，防止被竊聽；SAG網(wǎng)關(guān)是在SSL式，完全支持Web應用，以及Exchange、SMB、CRM、ERP、Mail、Oracle和SQLServerC/S模式的應用。和傳統(tǒng)SSLVPN接入網(wǎng)關(guān)相比，SAGSSL的局限性，創(chuàng)SSLVPN網(wǎng)關(guān)技術(shù)進展了拓展：SSLVPN和IPSECVPNSSLVPN適用于終端到網(wǎng)關(guān)模式的部署方式，SAG突破了這種局限，創(chuàng)性地實現(xiàn)了網(wǎng)關(guān)到網(wǎng)關(guān)模式的SSLVPN技術(shù)；客戶端自動獵取域名解析(DNS)配置：和IPSECVPN相比，SSLVPN無需安裝客戶端軟件，但是傳統(tǒng)的SSLVPN客戶端無法通過DHCP協(xié)議自動從接入網(wǎng)關(guān)獵取DNS配置，因此SSLVPN無法使用企業(yè)內(nèi)部DNS效勞器。SAG創(chuàng)性地實現(xiàn)了客戶端自動從接入網(wǎng)關(guān)獵取域名解析效勞。支持網(wǎng)絡鄰居：網(wǎng)絡鄰居是MicrosoftWindows操作系統(tǒng)基于NetBIOS協(xié)議實現(xiàn)的網(wǎng)絡文件共享功能，網(wǎng)絡鄰居難以跨越路由器在互聯(lián)網(wǎng)范圍內(nèi)實現(xiàn)。SAG網(wǎng)關(guān)能夠確保用戶遠程接入內(nèi)網(wǎng)的同時正常使用內(nèi)網(wǎng)的網(wǎng)絡鄰居功能。MicrosoftWindows供給的遠程桌面功能被網(wǎng)絡治理人員廣泛承受，但是遠程桌面功能無法對遠程接入用戶進展細顆粒的安全限制，因此存在巨大安全隱患。SAG網(wǎng)關(guān)的【遠程終端】效勞，實現(xiàn)了對MicrosoftWindows遠程桌面的安全拓展，用戶可通過接入網(wǎng)關(guān)開放遠程桌面的同時，限制遠程用戶所能訪問的資源和應用程序。靈敏的用戶治理：支持大批量用戶的導入/導出機制，兼容SecureID等動態(tài)口令用戶，兼容標準LDAP效勞器，兼容微軟活動名目〔AD〕效勞器，兼容第三方Radius效勞器，支持數(shù)字證書用戶，支持本地用戶數(shù)據(jù)庫等等。本手冊隨SAG網(wǎng)關(guān)一起發(fā)行，是SAG網(wǎng)關(guān)的用戶使用手冊。SAG網(wǎng)關(guān)的使用方法。本手冊適用于使用SAG網(wǎng)關(guān)的一般用戶，對一般用戶常常用到的功能作了介紹，假設想了解更多的關(guān)于SAG配置方面的信息請參見SAG網(wǎng)關(guān)治理手冊。i/22其他參考資料參見軟件幫助和我們的網(wǎng)站：本手冊圍繞SAG品提出貴重意見。您的信任來自于我們的嚴謹和努力您的滿足來源于我們優(yōu)質(zhì)的效勞聯(lián)想網(wǎng)御科技〔北京〕/22版權(quán)聲明SAG網(wǎng)關(guān)用戶手冊本手冊面對用戶具體介紹了SAG的使用方法，為用戶在使用本系統(tǒng)時供給參考。本手冊和接入網(wǎng)關(guān)一起發(fā)行。聯(lián)想網(wǎng)御科技〔北京〕Copyright?2023by聯(lián)想網(wǎng)御科技〔北京〕，版權(quán)全部。聯(lián)想網(wǎng)御科技〔北京〕發(fā)行。未經(jīng)發(fā)行人書面許可，不得使用任何形式或任何途徑，包括使用影印、錄制在內(nèi)的電子或機械手段、其他信息儲存和恢復系統(tǒng)等對該書任何局部進展復制或傳播。警告和承諾：本手冊用于供給關(guān)于“SAG網(wǎng)關(guān)”的操作使用信息。盡管我們做了大量的努力使本書盡可能完備和準確，但疏漏和缺陷之處在所難免。本手冊信息是建立在“SAG網(wǎng)關(guān)”的根底之上，沒有成為標準或標準，僅作為“SAGSSLVPN接入網(wǎng)關(guān)和安全治理的概念普及。本手冊中表達的觀點權(quán)屬于聯(lián)想網(wǎng)御科技〔北京〕。本手冊的解釋權(quán)歸聯(lián)想網(wǎng)御科技〔北京〕全部。由于本手冊是基于“SAG網(wǎng)關(guān)”編寫，產(chǎn)品軟件的升級和更，將導致本手冊內(nèi)容的相關(guān)變更，手冊內(nèi)容的更改恕不另行通知。本手冊將不作為聯(lián)想網(wǎng)御科技〔北京〕的任何承諾，聯(lián)想網(wǎng)御科技〔北京〕對本手冊中可能消滅的任何錯誤不負任何責任。反響信息歡送您對我們的產(chǎn)品及本手冊供給貴重的意見和建議，您的支持是我們工作的動力。本系統(tǒng)的開發(fā)單位聯(lián)想網(wǎng)御科技〔北京〕地址：68層，100086900－1800〕900－1800〕售后熱線：400-810-7766〔7x24小時，原連續(xù)有效〕傳真：E-Mail：/22本系統(tǒng)版權(quán)受到中華人民共和國國家法律保護，任何單位個人不得非法使用、拷貝、修改、集中本軟件及其文檔，否則將受到法律的制裁。本系統(tǒng)及其文檔中使用到其他公司的有關(guān)資源，其版權(quán)歸相應公司全部，同樣受到法律的保護。/22手冊閱讀方法文本標記1本文的標記形式

標記 說明表示導航菜單的工程名稱。用“→”表示兩個連續(xù)操作的菜單項。【工程】『工程』｛工程｝<工程>

例如：執(zhí)行導航菜單的【網(wǎng)關(guān)治理】→【網(wǎng)絡屬性】表示Tab標簽選項。→【網(wǎng)絡屬性】→表示畫面上的工程標題名稱。→【網(wǎng)絡屬性】→『網(wǎng)卡』界面中的{系統(tǒng)網(wǎng)卡}。表示設定的變量/參數(shù)值。圖標圖標說明參照圖標說明參照表示所參照的相關(guān)條目。留意表示留意事項。提示表示提示信息。關(guān)于圖標的說明v/22目錄\l“_TOC_250011“第1局部遠程接入模式用戶手冊 1\l“_TOC_250010“訪問SSLVPN安全網(wǎng)關(guān) 1\l“_TOC_250009“客戶端登錄認證 2\l“_TOC_250008“匿名登錄 2\l“_TOC_250007“口令登錄 2\l“_TOC_250006“短信登錄 4\l“_TOC_250005“證書登錄 7\l“_TOC_250004“客戶端用戶主界面 7\l“_TOC_250003“安裝ActiveX控件 8\l“_TOC_250002“客戶端用戶主界面 11\l“_TOC_250001“注銷登錄 14\l“_TOC_250000“第2局部對等網(wǎng)關(guān)模式用戶手冊 156/221局部遠程接入模式用戶手冊SSLVPN安全網(wǎng)關(guān)IE掃瞄器輸入：“://網(wǎng)關(guān)的/“://網(wǎng)關(guān)的IP地址或者 s://網(wǎng)關(guān)的IP地址配置選項功能描述1.2.務；全部傳輸數(shù)據(jù)被加密；1.使用靜態(tài)“用戶名+口令”方式登錄SSLVPN安全網(wǎng)關(guān)〔包括：SSLVPN安全網(wǎng)關(guān)本地用戶帳號、第三方Radius帳號、第三方LDAP口令帳號和Microsoft域1/22口令帳號登錄；2. 全部傳輸數(shù)據(jù)被加密。使用手機短信SMS動態(tài)口令方式登錄SSLVPN安全網(wǎng)關(guān)；全部傳輸數(shù)據(jù)被加密。使用數(shù)字證書方式登錄SSLVPN〔包括使用USBKEY存儲數(shù)字證書的方式；全部傳輸數(shù)據(jù)加密。提示 用戶遠程登錄SSLVPN安全網(wǎng)關(guān)時不愿定能夠看到全部類型的登錄按鈕，這和SSLVPN安全網(wǎng)關(guān)治理端的配置相關(guān)。在實際應用中遇到和手冊不符的問題，請和SSLVPN安全治理人員聯(lián)系?？蛻舳说卿浾J證匿名登錄點擊 ，轉(zhuǎn)入“1.3節(jié)客戶端用戶主界面?？诹畹卿淈c擊 ，彈出用戶登錄界面：2/22配置選項<輸入名字>

輸入用戶的帳戶信息；

功能描述<輸入口令>安裝可信證書鏈安裝Java虛擬機修改用戶口令Key驅(qū)動

輸入口令用戶的口令信息；在客戶端計算機上安裝可信證書鏈。下載并安裝Java虛擬機，使用SSL VPNRDP模式時，客戶端需要下載并安裝Java虛擬機；修改用戶的口令信息；當使用USBKEY實現(xiàn)雙因子安全認證時，客戶端需要安USBKEY的驅(qū)動。安裝Key治理工具安裝USBKEY的客戶端治理工具；轉(zhuǎn)到證書登錄 切換到證書登錄認證方式，轉(zhuǎn)入“1.2.4節(jié)證書登錄。輸入正確的登錄認證信息后，轉(zhuǎn)入“1.3節(jié)客戶端用戶主界面。3/22提示 依據(jù)SSLVPN安全治理員的設置安全策略不同客戶端用戶登錄時有可能不需要輸入動態(tài)附加碼，例如：不使用動態(tài)附加碼增加了網(wǎng)絡攻擊者使用腳本〔或者應用程序〕暴力猜解用戶口令的可能性。短信登錄點擊 ，彈出用戶登錄界面：配置選項<輸入名字>

功能描述輸入用戶的帳戶信息或者手機號碼；4/22<認證碼>安裝可信證書鏈安裝Java虛擬機修改用戶口令Key驅(qū)動

輸入口令用戶的口令信息；在客戶端計算機上安裝可信證書鏈。下載并安裝Java虛擬機，使用SSLVPNRDP模式時，客戶端需要下載并安裝Java虛擬機；修改用戶的口令信息；當使用USBKEY實現(xiàn)雙因子安全認證時，客戶端需要安USBKEY的驅(qū)動。安裝Key治理工具安裝USBKEY的客戶端治理工具；轉(zhuǎn)到證書登錄 切換到證書登錄認證方式，轉(zhuǎn)入“1.2.4節(jié)證書登錄。輸入正確的認證信息后，轉(zhuǎn)入“1.3節(jié)客戶端用戶主界面”提示 依據(jù)SSLVPN安全網(wǎng)關(guān)安全策略設置的不同客戶端用戶登錄時有可能不需要輸入<認證碼>或者<附加碼>。例如：只需要輸入帳戶信息的界面：SSLVPN安全網(wǎng)關(guān)的方式，導致網(wǎng)關(guān)系統(tǒng)不斷給授權(quán)用戶的手機發(fā)送短信的可能性。5/22提示 依據(jù)SSLVPN安全網(wǎng)關(guān)安全策略設置的不同客戶端用戶登錄時有可能不需要輸入<認證碼>。例如：需要輸入帳戶名字和<附加碼>的界面：SSLVPN提示 依據(jù)SSLVPN安全網(wǎng)關(guān)安全策略設置的不同客戶端用戶登錄時有可能不需要輸入<附加碼>。例如：需要輸入帳戶信息和<認證碼>的界面：不使用動態(tài)附加碼增加了網(wǎng)絡攻擊者使用腳本〔或者應用程序〕暴力猜解用戶口令的可能性。6/22證書登錄點擊 ，彈出用戶登錄界面：用戶選擇授權(quán)用戶登錄證書，點擊確定。1.3節(jié)客戶端用戶主界面假設提示安裝ActiveX1.3.1節(jié)安裝ActiveX假設未提示安裝ActiveX控件，請轉(zhuǎn)入“1.3.2節(jié)客戶端用戶主界面7/22ActiveX控件假設客戶端用戶需要訪問被保護的C/S網(wǎng)絡效勞，需要安裝ActiveX控件。ActiveXActiveX8/22控件(C)…”選項，如以以下圖所示。彈出ActiveX控件簽名信息。9/22提示 在微軟WindowsXP以后版本的操作系統(tǒng)中考慮到安全問題，不允許安裝未簽名的ActiveX控件。配置選項<名稱><發(fā)行者>點擊

功能描述顯示控件的名稱和版本信息。ActiveX控件發(fā)行者的信息。點擊運行，顯示簽名公司證書信息，如以以下圖所示：按鈕，安裝ActiveX控件。10/22客戶端用戶主界面戶信息。戶信息。裝可信證書鏈。裝可信證書鏈。ActiveXSSLVPN了SSLVPN托盤程序，用戶才能夠通過VPN安全訪問C/S效勞、網(wǎng)絡和終端應用。訪問“授權(quán)的Web效勞”直接點擊鏈接，訪問被保護的WWW效勞。例如，訪問辦公自動化系統(tǒng)11/22C/S效勞”和在企業(yè)局域網(wǎng)內(nèi)部一樣的方式正常訪問C/S效勞。例如，授權(quán)用戶登錄SSLVPN安全網(wǎng)關(guān)之后，期望能在互聯(lián)網(wǎng)中使用企業(yè)內(nèi)網(wǎng)的SMTP/POP3(00)效勞器收發(fā)電子郵件。在OutLook中可以如下配置：12/22授權(quán)用戶登錄SSLVPN安全網(wǎng)關(guān)之后，可以象在企業(yè)內(nèi)網(wǎng)中一樣使用企業(yè)內(nèi)網(wǎng)的SMTP/POP3〔00〕效勞器。訪問“授權(quán)網(wǎng)段”直接訪問被保護的網(wǎng)段〔用