联想网御安全网关SAG管理员手册V3.1.1.5
联想网御安全网关SAG管理手册联想网御科技(北京)有限公司 ,联想网御安全网关SAG 管理手册前 言感谢您购买并使用联想网御安全网关SAG 。联想网御安全网关SAG 系列
联想网御安全网关SAG
管理手册
联想网御科技(北京)有限公司
,
联想网御安全网关SAG 管理手册
前 言
感谢您购买并使用联想网御安全网关SAG 。
联想网御安全网关SAG 系列接入网关是适用于中小型企业/大中型企业/政府机关/移动用户的综合接入网关,为用户远程访问网络服务提供安全保护,主要功能包括:
身份认证:确保远程访问者不是恶意用户;
访问控制:确保访问者只能访问被授权访问的服务和信息;
数据加密:确保所有数据在网络传输过程中都是被加密的,防止被窃听;
SAG 网关是在SSL 协议基础上实现的远程接入安全平台,无需改变网络结构和应用模式,完全支持Web 应用,以及Exchange 、SMB 、FTP 、Telnet 、CRM 、ERP 、Mail 、Oracle 和SQL Server等C/S模式的应用。和传统SSL VPN接入网关相比,SAG 网关突破了SSL 的局限性,创新性地对SSL VPN网关技术进行了拓展:
SSL VPN网关到网关模式:和IPSEC VPN相比,传统SSL VPN适用于终端到网关模式的部署方式,SAG 突破了这种局限,创新性地实现了网关到网关模式的SSL VPN技术;
客户端自动获取域名解析(DNS)配置:和IPSEC VPN相比,SSL VPN无需安装客户端软件,但是传统的SSL VPN客户端无法通过DHCP 协议自动从接入网关获取DNS 配置,因此SSL VPN无法使用企业内部DNS 服务器。SAG 创新性地实现了客户端自动从接入网关获取域名解析服务。
支持网络邻居:网络邻居是Microsoft Windows操作系统基于NetBIOS 协议实现的网络文件共享功能,网络邻居难以跨越路由器在互联网范围内实现。SAG 网关能够确保用户远程接入内网的同时正常使用内网的网络邻居功能。
安全远程桌面功能:Microsoft Windows提供的远程桌面功能被网络管理人员广泛采用,但是远程桌面功能无法对远程接入用户进行细颗粒的安全限制,因此存在巨大安全隐患。SAG 网关的【远程终端】服务,实现了对Microsoft Windows远程桌面的安全拓展,用户可通过接入网关开放远程桌面的同时,限制远程用户所能访问的资源和应用程序。
灵活的用户管理:支持大批量用户的导入/导出机制,兼容SecureID 等动态口令用户,兼容标准LDAP 服务器,兼容微软活动目录(AD )服务器,兼容第三方Radius 服务器,支持数字证书用户,支持本地用户数据库等等。
本手册随SAG 网关一起发行,是SAG 网关的安装、操作和应用手册。
本手册由浅入深的介绍SAG 网关的安装、操作、应用技巧等方面的信息,以及相关功能的详细使用资料。
本手册适用于使用SAG 网关的网管人员和对企业内部网络管理、安全管理有兴趣、有
,
联想网御安全网关SAG 管理手册
责任的管理人员。是操作和管理SAG 网关的主要参考资料,请在安装使用之前通读相关部分资料。
其他参考资料参见软件帮助和我们的网站:
本手册围绕SAG 网关编写,疏忽和失误之处敬请广大用户批评指正,欢迎对我们的产品提出宝贵意见。
您的信赖来自于我们的严谨和努力
您的满意来源于我们优质的服务
联想网御科技(北京)有限公司
,
联想网御安全网关SAG 管理手册
版权声明
SAG 网关管理手册
本手册详细介绍SAG 网关的安装、操作、应用方法和技巧,为用户在使用本系统时提供参考。
本手册和接入网关一起发行。
作者:联想网御科技(北京)有限公司
Copyright©2009 by联想网御科技(北京)有限公司,版权所有。联想网御科技(北京)有限公司发行。
未经发行人书面许可,不得使用任何形式或任何途径,包括使用影印、录制在内的电子或机械手段、其他信息储存和恢复系统等对该书任何部分进行复制或传播。
警告和承诺:
本手册用于提供关于“SAG 网关”的操作使用信息。尽管我们做了大量的努力使本书尽可能完备和准确,但疏漏和缺陷之处在所难免。
本手册信息是建立在“SAG 网关”的基础之上,没有成为标准或规范,仅作为“SAG 网关”操作使用的参考及SSL VPN接入网关和安全管理的概念普及。
本手册中表达的观点权属于联想网御科技(北京)有限公司。
本手册的解释权归联想网御科技(北京)有限公司所有。
由于本手册是基于“SAG 网关”编写,产品软件的升级和更新,将导致本手册内容的相关变更,手册内容的更改恕不另行通知。
本手册将不作为联想网御科技(北京)有限公司的任何承诺,联想网御科技(北京)有限公司对本手册中可能出现的任何错误不负任何责任。
反馈信息
欢迎您对我们的产品及本手册提供宝贵的意见和建议,您的支持是我们工作的动力。对于您的帮助,我们十分感激。请与我们联系:SSL VPN@leadsec.com.cn 。
本系统的开发单位
联想网御科技(北京)有限公司
地址:北京市海淀区中关村南大街6号 中电信息大厦8层,100086
公司总机:010-82166999(9:00-18:00)
销售热线:010-82167583(9:00-18:00)
售后热线:400-810-7766 (7x24小时,原010-82167766继续有效)
传 真:010-82166998
,
联想网御安全网关SAG 管理手册
网址:
E-Mail :
本系统版权受到中华人民共和国国家法律保护,任何单位个人不得非法使用、拷贝、修改、扩散本软件及其文档,否则将受到法律的制裁。
本系统及其文档中使用到其他公司的有关资源,其版权归相应公司所有,同样受到法律的保护。
,
联想网御安全网关SAG 管理手册
手册阅读方法
文本标记
表1
本文的标记形式 标记 说 明 表示导航菜单的项目名称。用“→”表示两个连
续操作的菜单项。
例如:执行导航菜单的【网关管理】→【网络
属性】
表示Tab 标签选项。
例如:【网关管理】→【网络属性】→『网卡』。
表示画面上的项目标题名称。
例如:【网关管理】→【网络属性】
→『网卡』
界面中的{系统网卡}。
表示设定的变量/参数值。
【项目】 『项目』 {项目} <项目>
图标
表2
关于图标的说明
,
联想网御安全网关SAG 管理手册
目录
前 言.................................................................................................................... i 版权声明.............................................................................................................. iii 手册阅读方法........................................................................................................v
警告:....................................................................................................................1
快速上手................................................................................................................1
第1章 网关监控..................................................................................................6
1.1 资源状态.................................................................................................................. 6
1.1.1 当前状态....................................................................................................... 6
1.2 在线用户.................................................................................................................. 8
第2章 网关管理..................................................................................................9
2.1 网络属性.................................................................................................................. 9
2.1.1 网卡............................................................................................................. 10
2.1.2 网关............................................................................................................. 11
2.1.3 路由............................................................................................................. 12
2.1.4多条线路...................................................................................................... 13
2.1.5 DNS..............................................................................................................15
2.1.6 ICMP............................................................................................................16
2.2线路优化................................................................................................................. 17
2.3 负载均衡................................................................................................................ 19
2.3.1 添加............................................................................................................. 20
2.3.2 编辑............................................................................................................. 21
2.3.3 删除............................................................................................................. 21
2.4 系统时间................................................................................................................ 22
2.5 动态域名................................................................................................................ 23
2.6 双机热备................................................................................................................ 24
2.6.1 热备属性..................................................................................................... 25
2.6.2 数据同步..................................................................................................... 26
2.7 出厂设置................................................................................................................ 27
2.7.1 恢复初始设置............................................................................................. 28
2.7.2 恢复出厂设置............................................................................................. 29
,
联想网御安全网关SAG 管理手册
2.8 网络工具................................................................................................................ 30
2.8.1 PING测试..................................................................................................... 31
2.8.2 ARPPING.....................................................................................................32
2.8.3 ARP工具....................................................................................................... 33
2.8.4 TCP测试....................................................................................................... 33
2.8.5 HTTP测试.................................................................................................... 34
2.9 硬件关机................................................................................................................ 36
2.9.1 重启............................................................................................................. 36
2.9.2 关机............................................................................................................. 37
第3章 系统管理................................................................................................38
3.1 系统管理................................................................................................................ 38
3.1.1 系统服务..................................................................................................... 39
3.1.2 监听端口..................................................................................................... 39
3.1.3 SSH服务....................................................................................................... 40
3.1.4 对外RADIUS 服务...................................................................................... 41
3.2 系统邮箱................................................................................................................ 42
3.2.1系统邮箱...................................................................................................... 43
3.2.2邮箱测试...................................................................................................... 43
3.3 系统备份................................................................................................................ 44
3.4 系统调试................................................................................................................ 45
3.4.1 属性............................................................................................................. 46
3.4.2 内容............................................................................................................. 46
3.5 管理员口令............................................................................................................ 47
3.6 管理员管理............................................................................................................ 49
3.6.1 证书管理员................................................................................................. 50
3.6.2 口令管理员................................................................................................. 52
3.7 管理员安全............................................................................................................ 55
3.7.1 首次登录强制修改..................................................................................... 55
3.7.2 口令复杂度要求......................................................................................... 56
3.7.3 登录超时控制............................................................................................. 57
3.8 自动保存................................................................................................................ 57
第4章 接入管理................................................................................................59
4.1 服务管理................................................................................................................ 59
4.1.1 B/S服务........................................................................................................ 60
4.1.2 C/S服务........................................................................................................ 74
4.1.3 网段保护..................................................................................................... 80
,
联想网御安全网关SAG 管理手册
4.1.4 终端服务..................................................................................................... 85
4.1.5 端口映射..................................................................................................... 90
4.2 角色管理................................................................................................................ 93
4.2.1 增加角色..................................................................................................... 94
4.2.2 管理角色..................................................................................................... 96
4.2.3 客户端安全策略......................................................................................... 97
4.2.4 Hash计算.................................................................................................... 101
4.2.5 内部网段设置........................................................................................... 102
4.3 用户管理.............................................................................................................. 103
4.3.1 用户列表................................................................................................... 103
4.3.2 用户导出................................................................................................... 110
4.3.3 用户导入-数据上传.................................................................................. 110
4.3.4 用户导入-CSV 上传.................................................................................. 111
4.3.5 用户导入-CSV 处理.................................................................................. 113
4.4 对等网关.............................................................................................................. 114
4.4.1 管理........................................................................................................... 115
4.4.2 状态........................................................................................................... 117
4.4.3 可信证书链............................................................................................... 118
4.4.4证书&私钥................................................................................................. 118
4.4.5证书请求.................................................................................................... 119
4.4.6证书应答.................................................................................................... 119
第5章 应用安全..............................................................................................121
5.1 WEB防火墙.......................................................................................................... 121
5.1.1 增加策略................................................................................................... 122
5.2 DoS控制................................................................................................................ 123
5.2.1 Dos控制-地址............................................................................................ 123
5.2.2 Dos控制-用户............................................................................................ 124
5.3 地址黑名单.......................................................................................................... 125
第6章 用户属性..............................................................................................127
6.1 登录选项.............................................................................................................. 127
6.1.1 HTTP缺省登录.......................................................................................... 128
6.1.2 HTTPS缺省登录........................................................................................ 130
6.1.3 文字定制................................................................................................... 131
6.1.4 图片定制................................................................................................... 133
6.1.5 驱动定制................................................................................................... 134
6.1.6 IE升级........................................................................................................ 135
,
联想网御安全网关SAG 管理手册
6.2 文件定制.............................................................................................................. 138
6.3 短信认证.............................................................................................................. 140
6.3.1短信设备.................................................................................................... 140
6.3.2短信属性.................................................................................................... 141
6.3.3 短信测试................................................................................................... 143
6.4 口令安全策略...................................................................................................... 145
6.4.1 首次登录强制修改................................................................................... 145
6.4.2 口令复杂度要求....................................................................................... 146
6.4.3 登录超时控制..................................................................................... 148
6.4.4 动态附加码............................................................................................... 149
6.4.5 用户口令修改策略................................................................................... 151
6.4.6 用户软键盘策略....................................................................................... 152
6.5 帐户安全策略...................................................................................................... 152
6.5.1 帐户锁定阈值........................................................................................... 153
6.5.2 手动解锁帐户........................................................................................... 154
第7章 认证支持..............................................................................................155
7.1 RADIUS................................................................................................................155
7.2 LDAP.....................................................................................................................157
7.3 AD.........................................................................................................................159
7.4 TACACS .............................................................................................................161
7.5 认证顺序.............................................................................................................. 162
第8章 证书管理..............................................................................................164
8.1 CA属性................................................................................................................. 164
8.1.1 CA属性....................................................................................................... 165
8.2 本地CA................................................................................................................. 166
8.2.1 网关数字证书........................................................................................... 167
8.2.2 网关可信证书链....................................................................................... 168
8.3 第三方证书.......................................................................................................... 169
8.3.1 可信证书链............................................................................................... 169
8.3.2证书&私钥................................................................................................. 170
8.3.3 证书请求................................................................................................... 171
8.3.4 证书应答................................................................................................... 172
8.3.5 证书验证................................................................................................... 173
8.3.6 CRL文件.................................................................................................... 174
8.4第三方服务器....................................................................................................... 175
8.4.1 LDAP证书发布服务器.............................................................................. 175