打开浏览器输入用户名:Admin密码Admin登陆到主界面,进入系统菜单/系统设置:配置网络接口:首先选择设备工作模式(网关或单臂模式)配置系统时间:系统路由设置:『系统路由设置』主要用于实现两种功能:1、代理多网段上网时添加回包路由。2、访问VPN内部多子网时需要设置路由。案例目标:网关模式部署下,代理多网段上网,添加回包路由案例描述:公司内网有两个网段192.200.100.X和192.200.200.X,两个网段通过三层交换机互连互通,各网段内电脑网关指向三层交换机各自网段的网关192.200.X.254,硬件设备M5100的LAN口IP为192.200.200.200,放在192.200.200.X网段,并配置WAN口连接第3章系统设置3.4路由设置SANGFORSSLVPNv4.3Manual18Internet。现192.200.100.X和192.200.200.X网段都想通过M5100作为公网出口,共享上网。由于192.200.100.X网段和M5100的LAN口(192.200.200.X)不在同一网段,则M5100需要添加『系统路由』,把192.200.100.X的数据包发回给内网三层交换机192.200.200.254才能出来,最终才能回到192.200.100.X网段的电脑上。配置如下:第一步:添加多个『代理网段』:包括192.200.100.0/24和192.200.200.0/24。(具体设置参照『防火墙』中的『代理上网设置』)第二步:添加『系统路由』:192.200.100.0/24-192.200.200.254,页面如下:本地子网列表:『本地子网列表』用于硬件网关有多个子网的情况下,VPN接入用户需要与总部内网的其它子网互访。例如,总部有两个子网(192.200.100.x、192.200.200.x),通过配置“本地子网列表”,可实现分支、移动与总部内网各网段相互访问。系统host设置:『系统host设置』用于定义SSLVPN硬件设备内置的host表,以解决SSLVPN用户需要通过域名或机器名来访问内网资源的问题,常用于SSLVPN设备内网有“域”的情况下。这里可以定义“域名”或“机器名”所对应的“host主机IP”。SSLVPN配置基础设置:Webagent设置:『Webagent设置』SSLVPN网关设备如果在没有固定公网IP的时候,可以使用WebAgent动态寻址。硬件特征码:『硬件特征码』根据计算机的硬件特性按一定有算法生成的一个序列号,由于硬件特性的唯一性,使得该硬件特征码也是唯一的、不可伪造的,所以对于不同的计算机,此序列号必然不同。SangforSSLVPN可以把SSLVPN用户账号和硬件特征码一一绑定,一个用户可以拥有多个硬件特征码,即在同一个账号下,多台符合条件的电脑可以登录。也可以配置成只能拥有1个特征码。通过对该硬件特征码的验证,就保障了只有指定的硬件设备才能接入授权的网络,避免了安全隐患。『硬件特征码配置』即对用户的硬件特征码权限进行设置。WEBUI路径:『系统菜单』→『SSLVPN设置』→『基础配置』→『硬件特征码配置』。『启用硬件特征码收集』选择此项,则设备只收集用户登陆的硬件特征码,但不会启用硬件特征码认证。『启用硬件特征码认证』选择此项,则开启硬件特征码认证。『限制用户最多可拥有*个硬件特征码』可以限制某一个用户所能绑定的硬件特征码个数。范围为1-100。『自定义提示信息』提示用户提交硬件特征码时的用语。『对所有用户启用自动审批』勾选此项后,用户提交的硬件特征码不需要管理员手工审批,可自动通过审批。『自动审批已提交过硬件特征码的可信公用终端』勾选此项后,如果某一用户此用此计算机提交了硬件特征码并通过了审批,则其他用户用此计算机登陆所提交的硬件特征码可自动通过审批。点击确定使配置生效。高级配置:常规设置:『超时选项』用于定义系统没有检测到用户有任何的动作时达多长时间或者未登录多长时间,则自动的注销或者禁用该用户。『用户超时时间』是用来定义没有检测到用户有任何的动作达多长时间,默认是5分钟。『用户失效时间』是用来定义用户未登录多长时间,默认是0天(即没限制)。用户可以根据自己的需要来设定SSLVPN超时和失效时间。『USBKEY选项』根据实际情况设定是否启用USB-Key支持,如通过USB-Key登录,请『启用USB-KeyV2』或『启用USB-KeyV3』(USB-Key版本请根据实际情况勾选)。『其它选项』可根据需要来设定,其中:『启用多线路自动选路』及『启用前置多线路设置』用于SSLVPN网关接两条或两条以上外网线路,智能选路的功能。具体配置请参考多线路智能选路配置章节。『没有证书或只有一个证书的时候不弹出证书选择框』通过修改IE浏览器中相应的安全选项实现该功能。注意:该功能只有通过IE浏览器访问SSLVPN才可以使用(不支持其他浏览器)。勾选『自动安装APP和IP服务』可以当用户登录到SSLVPN后直接激活APP服务和IP服务的相关控件。不勾选,则首次登录需要手动安装控件,以后登录不需要再次安装。『APP/IP服务显示主机地址』在客户端登录SSLVPN后可以显示出APP服务和IP服务的详细地址信息。『显示手动安装组件链接』可在欢迎页面上显示所有组建的下载链接。『断线自动重连SSLVPN』客户端与SSLVPN连接断开之后,可以自动重连SSLVPN。注意:此功能仅在启用系统托盘之后才生效。安全设置:『用户登陆时校验选项』可设置是否启用『软键盘』或『图形校验码』,若启用则在SSLVPN登录页面上会出现相应的软键盘或校验码。勾选『启用软键盘』并勾选『数字顺序变化』或『字母顺序变化』则每次登陆时数字顺序或字母顺序都会改变。『启用密码安全策略』勾选后可设置用户的一些密码策略。资源管理:SSLVPN设置主要分为三大部分,分别是『资源管理』、『用户管理』、和『角色管理』。三者间的关系是:通过“角色”把“用户组”(或“用户”)和“资源”关联起来,“用户组”内的“用户”获得相应“资源”的访问权限。『资源管理』主要用户定义SSLVPN内网的可用资源,包括『WEB资源』、『APP资源』和『IP资源』。资源组:为了更好地对资源进行管理、更符合用户使用习惯,以及SSLVPN客户端可以更有条条理地显示,可以把多个“资源”添加到“资源组”。在资源列表,点击不同的“资源组”显示出对应“资源”。WEBUI路径:『系统菜单』→『SSLVPN设置』→『资源管理』→『资源组』。『默认资源组』是默认存在的“资源组”,只能够修改,但不允许删除。『外部资源组』是默认存在的“资源组”,只能够修改,但不允许删除。点击新建资源:APP资源:『APP资源』主要用于定义、配置和管理各种类型的SSLVPN内网资源,以适应各种各样C/S结构、基于TCP协议的应用程序访问SSLVPN内网资源和内网服务器。WEBUI路径:『系统菜单』→『SSLVPN设置』→『资源管理』→『APP资源』。『名称』和『描述』可随意填写便于理解记忆的文字,『名称』填写的文字会显示在SSL用户成功登录SSLVPN后,出现的“资源列表”中。『类型』选择所建立『APP资源』的服务类型,SANGFORSSLVPN内置了常用应用服务的定义(如右上图),直接选择即会自动填写下面的『端口范围』,如无所需的类型,可选择底部的『Other』,然后自定义该服务所使用的『端口范围』。『主机地址』填写提供APP资源的服务器地址,支持『单IP或域名』和『IP段』的形式。填写“域名”形式时,必须在前面『系统配置』的『系统HOST管理』中设置“域名”或“主机名”对应的“IP地址”,也可以通过『域名解析设置』中设置内网DNS服务器解析。『端口范围』定义该『APP资源』提供服务所使用的端口,已预定义好的资源类型一般不需修改,如果『类型』选择了『Other』,则填写该服务所使用的端口。勾选『隐藏(在用户页面上不显示)』选项,则登录SSLVPN后,在“APP服务列表”中不显示该资源的信息,但实际上该资源是可用的。『隐藏』有利于保护内网资源服务器的信息,避免暴露IP等信息,或者需要添加“后台资源”等情况要用到。『启用单点登录』勾上后,可以使用“单点登录”方式访问该资源。『其他属性』中可以设置对该资源『启用关键文件保护』和『启用APP智能递推』。『启用关键文件保护』可以通过锁定使用Socket上网的进程所需关键文件,保护用户在访问SSLVPN时,所需的关键文件不被改动。如果用户修改过收保护的进程和关键文件,则将无法访问该资源。勾选『启用关键文件保护』后,点击关键文件配置进入关键文件保护配置界面。用户管理:新建用户配置案例案例目标1:建立一个采用用户名密码认证的用户。案例实现配置步骤:第一步:打开『用户管理』,新建用户点击新建用户弹出『用户信息』的编辑页面。第二步:设置用户的账号和密码。在用户信息编辑页面,输入用户名和密码。本例中用户名为ww,密码为123设置好之后,就可以用这个账号登陆SSLVPN了。角色管理:『角色管理』是“用户”(或“用户组”)和“资源”的中介,SANGFORSSLVPN正是通过『角色管理』把SSLVPN登录用户组和SSLVPN内网资源“关联”起来的。通过角色把多个“用户”(或“用户组”)、多个资源进行关联,可以更加有效管理资源和用户组的权限。设置界面如下:WEBUI路径:『系统菜单』→『SSLVPN设置』→『角色管理』。