神州数码防火墙180018-高级scvpn配置.pdf

高级SCVPN配置 讲解人：朱建英 2010、07 • 通过完成此章节课程，您将可以： – 掌握基本的SCVPN配置 – 配置SCVPN主机绑定限制登录主机 – 配置基于USB令牌认证的SCVPN – 结合Role策略实现SCVPN细粒度访问控制 – 配置主机检测动态分配权限 – 多链路环境实现自动选择最优通道 章节目标 基本SCVPN配置 • 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道 议程：高级SCVPN配置 ※ 为解决远程用户安全访问私网数据的问题，神州数码多核 墙提供基于SSL的远程登录解决方案-Secure Connect VPN， 简称SCVPN SCVPN概念回顾 Internet 家庭办公 出差 移动办公 公司总部 多核墙 • 配置SCVPN，步骤包括： – 第一步，配置SCVPN地址池 – 第二步，配置SCVPN实例 – 第三步，配置Tunnel接口 – 第四步，配置访问策略 SCVPN基本配置步骤 ※ 地址池配置 SCVPN地址池：配置分配给客户端的地址池 SCVPN基本配置 ※ SCVPN实例配置(WebUI)：SCVPNSCVPN实例 SCVPN基本配置 SCVPN实例名称 SCVPN登陆端口 SCVPN绑定接口 SCVPN客户端地址池 通过SCVPN访问网段 SCVPN认证服务器 ※ Tunnel接口配置： 网络网络接口接口 新建隧道接口 SCVPN基本配置 隧道接口名称 绑定3层安全域 选择绑定安全域 与SCVPN地址池同网段ip 绑定SCVPN隧道 ※ 配置tunnel绑定安全域配置策略 防火墙策略 新建SCVPN访问策略 SCVPN基本配置 SCVPN状态 可以查看已登陆用户信息或者强制某用户下线 CLI： •DCFW-1800# show scvpn client scvpn •total user number 1 •=================================================================== •User Name Type State Private IP Public IP Login Time •-------------------------------------------------------------------------------- •zhujya CLIENT UP 172.16.1.12 61.51.191.21 Sun Jul 11 11:04:55 2010 •================================================================== SCVPN登陆用户状态查询管理 • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道 议程：高级SCVPN配置 VPNSCVPN配置编辑 编辑SCVPN实例，开启“主机绑定检查”，并根据需求选择 是 否启用“允许多个主机”、“允许共享主机”或“用户初次 绑定自 动批准” 开启主机绑定功能 SCVPN主机绑定候选列表 如果启用了“主机绑定检查”功能且未开启“用户初次绑定自动批准” ，则所 有未绑定过的主机在登陆时会在候选表中建立一个条目，只有管理员绑 定之后，才可以通过该主机登陆。

SCVPN主机绑定绑定列表 位于绑定表里的主机尅有登陆，如需删除绑定条目，可以点击删除按钮 删除一条绑定表或者删除某一用户绑定的所有绑定表 开启主机绑定功能 绑定该主机 删除该绑定 删除该用户所有绑定 SCVPN主机绑定高级配置 可以根据需要配置“超级用户”或者设置“共享主机” 开启主机高级配置 设置为超级用户 编辑用户 编辑主机 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道 议程：高级SCVPN配置 用户PKI信任域 点击新建一个信任域，选择为“手动输入”方式，并将服务器根证书导 入 安全网关 SCVPNSCVPN实例 完成基本SCVPN配置后，并开启“客户端证书认证”，同时指定“客户 端信 任域”为上述新建信任域 配置基于USB令牌认证的SCVPN 启用客户端证书认证 选择客户端信任域 导入客户端证书到USB-Key，安装USR-Key管理工具 “DigitalChinaUKeyAdm.exe”，导入客户端证书 配置基于USB令牌认证的SCVPN 选择客户端证书 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道 议程：高级SCVPN配置 用户角色 新建角色，以用于策略调用，创建角色映射以来实现用户到 角色的对应。

一个认证服务器对应一个角色映射规则 基于Role实现SCVPN访问控制 用户AAA服务器 绑定角色映射规则到AAA服务器 防火墙策略 新建SCVPN访问策略，可通过角色实现基于用户的访问控制 基于Role实现SCVPN访问控制 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制  配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道 议程：高级SCVPN配置 SCVPN主机检测 点击新建创建主机检测Profile并配置检测条目 基于主机检测动态分配权限 拨入端系统检测 SCVPNSCVPN实例 编辑SCVPN实例并添加主机检测 基于主机检测动态分配权限 对何种角色启用主机检测 启用何种主机检测 未通过检测所分配角色 定期更新检测状态 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 多链路环境实现自动选择最优通道 议程：高级SCVPN配置 安全网关多出口链路情况下，支持SCVPN自动选择最优通 道接入功能，该功能能够使不同ISP线路接入的客户端自动 选择最快线路连接到SCVPN设备端，从而提高访问总部资 源时的速度。

SCVPN自动选择最优通道 ※SCVPN就近行检测配置（前端无DNAT） 1、绑定SCVPN实例到多个出接口，在SCVPN实例中 2、配置客户端自动检测最优通道功能，在SCVPN实例配置模 式：hostname(config-tunnel-scvpn)# link-select 或配置服务器端自动检测最优通道功能，在SCVPN实例配 置模式： hostname(config-tunnel-scvpn)# link-select server-detect 启用就近性检测，需勾选启用就近性检测，需勾选 客户端软件的“最优通道”客户端软件的“最优通道” SCVPN自动选择最优通道 开启客户端最优通道检测功能 ※SCVPN就近行检测配置（前端有DNAT） 对于安全网关有NAT设备的情况，需要指定DNAT钱的公网 IP地址，以便安全网关下发给客户端，最多支持指定4个IP 地址除以下命令，其他配置与无DNAT环境一致： hostname(config-tunnel-scvpn)# link-select [server-detect] [A.B.C.D] [https- port port-number] [A.B.C.D] [https-port port-number] hostname(config-tunnel-scvpn)# link-select 202.2.3.1 https-port 2234 196.1.2.3 https-port 3367 SCVPN自动选择最优通道 调试与维护（一） • Show – 显示SCVPN实例信息 – Show tunnel scvpn[scvpn-instance-name] – 显示指定SCVPN实例当前的客户端信息： – Show scvpn client scvpn-instance-name [user user-name] – 显示通过浏览器访问SCVPN的HTTP会话信息： – Show scvpn session scvpn-instance-name[user user-name] – 显示所有SCVPN实例当前的客户端信息: – Show auth-user scvpn 调试与维护（二） • debug – Debug scvpn error – Debug scvpn event – Debug scvpn filter – Debug scvpn packet – Debug scvpn per-ip – Debug scvpn timers 小结 ※ 在本章中讲述了以下内容： ※ 基本的SCVPN配置 ※ 配置SCVPN主机绑定限定登录主机 ※ 配置基于USB令牌认证的SCVPN ※ 结合Role策略实现SCVPN细粒度访问控制 ※ 主机检测机自动链路选择 问题 • 1、SCVPN使用什么协议？默认端口是什么？ • 2、SCVPN和传统的基于IPSEC客户端软件方式VPN有什么区 别？ • 3、主机绑定功能以哪些信息确定一台主机？ • 4、SCVPN实例中主机检测配置的“角色”和“访客角色” 分别代表什么含意？ • 5、就近性检测有哪些方式？请描述具体实现方式。