文档介绍：该【SSL VPN用户手册】是由【鼠标】上传分享，文档一共【30】页，该文档可以免费在线阅读，需要了解更多关于【SSL VPN用户手册】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..SSLVPN用户手册:..SSLVPN用户手册目录1前言.....................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................32用户登录/退出...........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................163内网资源应用....................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................21i:..SSLVPN用户手册1前言本手册主要介绍华盾SSLVPN网关的普通用户操作。主要内容包括:用户登录和内网资源的使用。通过阅读本文档,用户可以根据访问权限在远程使用系统设置的各种资源。,普通用户可以在本文档的指导下远程登录网关,并进行各种资源的应用。,通过阅读本文档,可以独自完成以下应用操作:?登录SSLVPN网关?使用Web转发资源?使用端口转发资源?使用全网接入资源?:z第一章“前言”。介绍文档目的、读者对象、文档基本内容、文档中的文字及图片的约定、相关文档,以及如何获取技术支持的信息。z第二章“用户登录/退出”。介绍了用户登录/退出SSLVPN网关时所进行的基本操作,并对用户界面进行了简要的介绍。z第三章“内网资源应用”。介绍了各种内网资源的使用方法,包括Web转发、端口转发、全网接入和文件共享应用,该部分的应用与管理员的设置有关,需要管理员为用户授权。2:..:按钮用“”表示,菜单项用宋体加粗字体表示。点击(选择)一个菜单项采用如下约定:点击(选择)高级管理>特殊对象>用户。文档中出现的提示、警告、说明、示例等,是关于用户在安装和配置过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置。《华盾UTM管理手册——基础配置》《华盾管理手册——SSLVPN配置》3:..SSLVPN用户手册2用户登录/退出SSLVPN网关目前支持的操作系统平台包括Windows2000、WindowsXP、Windows2003、vista和Windows2008,,然后访问可用资源。用户初次登录时可能进行的操作顺序如下所示:(1)在IE浏览器的地址输入框中输入登录URL;(2)选择中英文用户界面;(3)安装端点安全控件;(4)对于允许登录的客户机,如果管理员启用并配置了智能选路功能,将弹出智能选路对话框,进行自动或手动选路;(5)成功连接到所选链路后,将跳转到用户登录页面,用户需要输入认证信息进行用户认证;(6)如果管理员启动了全网接入模块,则用户通过认证后,进入用户界面安装全网接入控件;(7)用户可以访问可用资源。本章以下小节主要对普通用户的登录操作和使用界面进行介绍。,建议提前进行以下操作:1)确认终端浏览器的版本:。2)用户浏览器必须支持SSLVPN网关使用的SSL协议(),请向管理员咨询待接入网关支持哪种SSLVPN协议类型。在用户浏览器中选择SSL协议的操作如下所示:在IE浏览器中,点击工具>选项,然后选择“高级”页签,在“安全”项中勾选“”或“”,建议两种都选择。3)双击证书文件,按照提示导入网关及其CA证书。普通用户初次登录的具体操作步骤如下所示():。打开IE浏览器,然后在地址输入框中输入形如(该地址由管理员提供给用户)。4:..SSLVPN用户手册如果浏览器中未导入正确的网关CA证书,则弹出“安全警报”对话框,形如下图所示。该窗口是用户对网关的证书进行验证的结果,由用户确定是否继续。为了用户和网关的安全,建议用户在浏览器中安装网关及其CA证书文件,否则必须忽略警告,点击“是”按钮,才能进入站点。说明由于管理员在SSLVPN网关上可以设置的不同的“页面风格(”包括SSLVPN网关中的缺省图片,以及管理员上传的自定义图片,)因此不同时间登录的用户可能会看到不同的登录界面和使用界面。本文档的用户登录页面中主要使用SSLVPN网关中缺省的“默认图片”,用户使用页面中的LOGO图片主要使用SSLVPN网关中缺省的“LOGO图片”。进入站点后,通过点击界面右上方的“English”或“中文”链接,可以在中英文用户界面之间进行切换。。1)在上图所示对话框中点击“是(Y)”按钮后,开始自动安装端点安全控件,如下图所示。5:..SSLVPN用户手册2)点击红色链接“这里”,可以将该端点安全控件的安装程序“”e下载到客户机中,以便后续手动安装。说明用户登录前必须安装端点安全控件,否则无法登录并访问内网资源。如果由于用户主机的安全级别设置较高而导致不允许用户安装端点安全控件登,录界面会禁止用户登录。用户可以根据界面提示信息修改安全级别,然后重新打开浏览器进行连接即可。。1)如果管理员启动并配置了智能选路功能,则跳转到智能选路对话框,如下图所示。2)点击对话框右上方的“手动测速”,可以实时显示链路延时信息。3)如果管理员启用的是自动选路,则5秒钟后自动跳转到用户登录页面。如果管理员配置的是手动选路,则用户可以点击某个链路名称以便连接到相应的链路;或者点击对6:..SSLVPN用户手册话框右上角的“关闭”连接到默认链路(即地址输入框中输入的链路),进入用户登录页面。。一般情况下,普通用户登录SSLVPN网关时,可以通过口令、证书、口令+证书的方式进行身份认证。但是,当管理员在SSLVPN网关上启用了“强制双因子认证”功能后,用户必须使用口令+证书的认证方式,并且本地数据库中必须有一个采用口令+证书认证的同名用户,否则用户无法通过SSLVPN网关访问可用资源。说明管理员在SSLVPN网关上启用了“强制双因子认证”功能后,普通用户进行认证时,必须首先进行证书认证,然后再进行口令认证。根据管理员在SSLVPN网关上设置的“用户登录认证方式”的不同,普通用户登录界面分别有三种形式,如下所示:1)如果管理员设置的“用户登录认证方式”为“口令”,则用户登录界面如下图所示。在该登录界面中,输入管理员设置的用户名和密码,并选择是否进行单点登录后,点击“确定”按钮进入用户界面。a)SSLVPN网关用户界面提供了单点登录功能,实现了身份认证的整合。如果用户启用了单点登录功能,则口令认证成功后,系统可以保存该用户名和密码,使用户在访问其他需要HTTP基本认证的主机时,不必重复输入用户名和密码。说明有些网站使用了“HTTP基本验证”,要求访问者在浏览网站之前输入用户名和密码,从而获得保护。7:..SSLVPN用户手册b)SSLVPN网关用户界面中提供了使用软键盘输入密码的功能,用于防止木马盗取密码,极大地提高了用户密码的安全性。使用软件盘输入密码的方法如下所示:①点击“使用软键盘”按钮,打开软件盘,如下图所示。②通过软键盘输入密码后,点击“确定”按钮即可完成。点击“切换大/小写”按钮,可以转换软键盘上字符的大小写;点击“退格”按钮,可以删除软键盘输入的字符;点击“禁用键盘输入”按钮,可以退出软键盘输入方式。2)如果管理员设置的“用户登录认证方式”为“证书”,则用户登录界面如下图所示。在该登录界面中,点击“证书认证”链接,选择正确的用户证书进入用户界面(既可以使用浏览器中安装的用户证书,也可以使用USBKey中保存的用户证书)。a)当使用浏览器中安装的证书文件进行登录时,用户需要由管理员处获得证书文件,并把证书安装到浏览器中,证书安装过程如下(以IE浏览器为例):①用户获得证书后,双击证书文件或选中证书文件,单击鼠标右键,选择“PFX安装”,用户可以按照提示安装证书。如下图所示。8:..SSLVPN用户手册②点击“下一步”按钮,在下图所示对话框中填写证书存放路径,或点击“浏览…”进行查找。③点击“下一步”按钮,在下图对话框中输入证书导出时设置的保护密码。如果管理员在导出证书时设置了密码则此处必须输入该密码。没有获得证书导出密码的用户可向管理员索取。9:..SSLVPN用户手册④点击“下一步”按钮,在下图所示对话框中选择存储区域。⑤点击“下一步”按钮,完成用户证书的导入,如下图所示。10:..SSLVPN用户手册⑥点击“完成”按钮,弹出证书导入成功的提示框,如下图所示。⑦在用户登录页面中,点击“证书认证”链接后,弹出“选择数字证书”对话框,如下图所示。11:..SSLVPN用户手册⑧点击“确定”按钮,即可成功登录用户界面。b)当使用USBKEY保存的用户证书进行登录时,用户需要由管理员处获得保存证书的USBKey(目前仅支持epass1000)及相应的驱动程序(如果用户使用华盾公司的KEY产品,则可以从网关的随机光盘上找到相应的驱动程序)。具体操作过程如下所示:①安装epass1000的驱动程序。②将装有证书的epass1000插入主机的USB接口。③在用户登录页面中,点击“证书认证”链接后,弹出选择证书界面,如下图所示。④选择用户证书后,点击“确定”按钮,弹出验证用户PIN码的对话框,如下图所示。⑤输入用户PIN后(PIN码可由管理员处获得),点击“登录”按钮即可成功登录到用户界面中。12:..SSLVPN用户手册3)如果管理员设置的“用户登录认证方式”为“用户选择”,并且需要设置“图形认证码”时,用户登录界面如下图所示。在该登录界面中,用户需要设置正确的认证信息和正确的“验证码”后进入用户界面。说明根据管理员对图形认证码显示方式的设置,上述登录界面中将总显示、不显示或登录失败三次后显示图形认证码的输入框。。1)进入用户界面后,如果管理员启动了全网接入模块,还需要进行全网接入控件的安装,否则无法使用全网接入模块访问可用资源,如下图所示。根据提示直接安装全网接入控件即可。2)点击红色链接“这里”,可以将该全网接入控件的安装程序“”e下载到客户机中,以便后续手动安装。,就会进入客户端主界面。用户主界面的显示内容和显示风格根据VPN网关管理员的相应设置而定。。13:..SSLVPN用户手册页面最上方显示了SSLVPN网关当前的LOGO图片,管理员可以为用户配置不同风格的LOGO图片,因此不同时间登录的用户可能会看到不同的LOGO。LOGO图片的左下方显示了用户的登录信息,包括登录的时间,以及登录的用户名,右下方显示了用户界面的辅助功能,包括帮助链接、修改密码链接和退出链接。登录信息下方显示了用户界面的欢迎信息(上图中为“欢迎登录SSLVPN网关”),欢迎信息由右向左缓慢移动。说明如果页面中显示的用户名称以“...”结尾,说明该用户名称太长而无法全部显示。此时,只需将鼠标置于用户名上即可显示完整的用户名称。单击“帮助”链接可以查看用户界面的帮助信息;单击“修改密码”链接,可以修改该用户自己的密码,;单击“退出”链接,可以退出用户界面,同时关闭浏览器,。“web转发”一栏显示了管理员配置并授权该用户使用的web转发资源,用户可在项目栏下直接点击相应链接进行远程访问,。14:..SSLVPN用户手册“端口转发”一栏显示了管理员配置并授权该用户使用的端口转发资源,用户可在项目栏下直接点击相应链接进行远程访问,。“全网接入”一栏显示了管理员配置并授权该用户使用的全网接入资源,用户可在项目栏下直接点击相应链接进行远程访问,。“文件共享”一栏显示了管理员配置并授权该用户使用的文件共享应用服务器资源,用户可在项目栏下直接点击相应链接进行远程访问,。说明用户在进行正常的内网访问时,不要关闭或退出主页面,主页面一旦被关闭或者退出,远程用户与VPN网关之间的SSL隧道连接将自动清除,用户后续的访问将被拒绝。如果用户在管理员设定的超时时间内没有任何资源访问动作那,么在超时时间之后用户所做的任何访问请求将被拒绝,并跳转到超时提示界面提示用户,用户需要重新登录网关。。登录后,用户可以修改密码,具体操作步骤如下所示:1)用户成功登录进入用户界面后,点击LOGO图片右下方的“修改密码”,进入“修改密码”页面,如下图所示。15:..SSLVPN用户手册2)输入该用户的旧密码,然后设置新密码。3)参数设置完成后,点击“确认”按钮,完成用户密码的修改操作。,为了安全起见,建议立即退出与SSLVPN网关的连接。主动安全的退出操作如下所示:1)在用户界面中,点击LOGO图片右下方的“退出”链接,弹出退出提示框,如下图所示。2)点击“确定”按钮后,浏览器自动关闭,用户安全退出用户界面,同时客户端的端点安全控件自动为用户清理主机上残留的各种不安全的缓存信息。当用户超时或被管理员强制退出时,可以导致用户当前的会话无效,只能被动的退出界面,然后重新登录。此时,点击资源书签后将会弹出如下所示的提示信息。16:..SSLVPN用户手册点击页面中的“关闭”,然后在用户界面中点击“退出”,退出页面重新登录即可。17:..SSLVPN用户手册3内网资源应用SSLVPN网关支持用户以多种方式远程访问内网资源,不同的用户可以被授予不同的访问权限。用户登录后,可在主界面列表中查看可访问的资源书签。本章主要介绍各种内网资源的使用方法,包括:zWeb转发z端口转发z全网接入z文件共享用户根据授权可能只具有一种或几种资源的使用权限,如果需要更改权限,建议联系管理员进行相应的资源配置和授权。说明只有管理员启动了某功能模块,用户才能够使用相应模块访问授权资源。,无需安装任何客户端控件,就可通过WEB转发方式安全的访问公司内部B/S结构应用。管理员已经建立了内部Web转发的HTTP代理,并授权给用户,用户登录进入主页面后,可以通过如下两种方式访问内部应用服务器:“web转发”一栏中的资源书签,可以以安全加密的方式访问被授权的Web页面,如下图中的“bugzilla”和“WEB服务器_234”书签。书签由管理员设置,用户不能对其进行添加、删除和修改操作。“web转发”一栏右上方的“用户自定义”后,书签下方显示地址输入框,如下图所示。18:..SSLVPN用户手册在地址输入框中输入希望访问的URL(如:)后,点击“”跳转按钮,即可直接访问内网授权资源。此时,如果用户所访问的资源是管理员授权许可访问的,则在新打开的窗口中,网关将会返回访问结果;如果所访问的资源未被授权,则会在新窗口中返回错误提示。,用户才能通过端口转发模块访问内部网络资源。使用端口转发模块访问授权资源的具体操作如下所示:1)查看端口转发控件的加载和运行状态。书签左下方文字显示了端口转发控件是否已经正确安装和成功加载。在用户通过端口转发访问内网资源的过程中,点击书签右下方的“状态显示”链接,可以随时查看传输流量和连接时间的相关信息,如下图所示:2)关闭/启动端口转发功能。端口转发模块默认为启动状态,用户可以点击书签右下方的“关闭”,中断端口转发;或者点击“启动”,启动端口转发模块。3)访问授权资源。端口转发控件正确运行后,可以通过两种方式访问授权资源:a)直接点击主界面“端口转发”一栏中的书签,以访问内网资源。b)在用户主页面打开的情况下,通过其他的客户端程序(例如CVS)直接访问管理员授权的内网资源(如果关闭了用户主页面,则无法继续访问)。19:..SSLVPN用户手册“端口转发”一栏显示的资源书签由管理员设置,用户不能对其进行添加、删除和修改操作。说明“端口转发”一栏中,日志级别的设置主要用于开发、维护人员定位问题,用户无需关注。,用户才能通过全网接入模块访问内网中被授权的B/S和C/S应用。使用全网接入模块访问授权资源的具体操作如下所示:1)查看SSLVPN隧道的建立情况和全网接入模块的运行状态。书签左下方文字显示了SSLVPN隧道的建立情况,显示了隧道建立过程中的状态变化。在用户通过全网接入访问内网资源的过程中,点击书签右下方的“状态显示”链接,可以随时查看传输流量、隧道连接方式、连接时间、网关和虚拟网卡的相关信息,如下图所示:说明“连接方式”由管理员设定,决定用户可访问资源。若“连接方式”为“完全隧道,”表明用户端设备完全作为内网设备,远程主机的默认网关设置为虚拟网卡IP,则原来需要经过默认网关转发的应用都要经过SSLVPN网关;若“连接方式”为“分离隧道”,表明用户访问访问内网资源时通过网关转发,不影响用户访问原有的外网资源。2)启动/关闭全网接入功能。20:..SSLVPN用户手册全网接入模块的启动方式由管理员设置。如果管理员设置为自动运行,则用户登录后进入主界面后全网接入控件将自行启动并完成SSL隧道的协商过程。如果管理员设置为手动运行,则需要用户手动开启全网接入功能。用户可以点击书签右下方的“启动”,启动全网接入模块,建立与网关设备的SSLVPN隧道;或者点击“关闭”,中断全网接入。说明如果管理员开启了自动重连功能,则当全网接入服务异常中断后,可以自动地连续重连。但是当用户点击“停止”主动停止全网接入功能时,全网接入服务将不会进行重连。3)访问授权资源。SSLVPN隧道建立成功后,用户可以直接点击主界面“全网接入”一栏中的书签,以访问内网资源;或者在用户主页面打开的前提下,通过其他的B/S或者C/S客户端程序直接访问管理员授权的内网资源。“全网接入”一栏显示的资源书签由管理员设置,用户不能对其进行添加、删除和修改操作。说明“全网接入”一栏中,日志级别的设置主要用于开发、维护人员定位问题,用户无需关注。,即可使用文件共享功能,通过SSL安全地访问企业内部文件共享服务器。用户登录进入主页面后,可以通过如下两种方式访问内部文件共享服务器:“文件共享”一栏中的资源书签,可以以安全加密的方式访问授权资源,如下图中的“共享文档服务器”书签。21:..SSLVPN用户手册书签由管理员设置,用户不能对其进行添加、删除和修改操作。“文件共享”一栏右上方的“用户自定义”后,书签下方显示地址输入框,如下图所示。在地址输入框中输入希望访问的文件共享服务器的IP地址(如:)后,点击“”跳转按钮,即可直接访问内网授权资源。此时,如果用户所访问的资源是管理员授权许可访问的,则在新打开的窗口中,网关将会返回访问结果;如果所访问的资源未被授权,则会在新窗口中返回错误提示。下面以“用户自定义”访问文件共享服务器的方式为例,介绍访问授权资源的具体操作:1)点击“文件共享”一栏右上方的“用户自定义”,然后在地址输入框中输入共享服务器的IP地址,如下图所示。2)点击跳转按钮“”后,如果用户在当前登录中第一次访问该文件共享服务器,则首先进入文件共享服务器的登录界面,如下图所示。3)输入文件共享服务器的用户名和密码,然后点击“确定”按钮,界面中显示文件共享服务器中根目录下的所有共享文件夹,如下图所示。22:..SSLVPN用户手册说明根目录下不允许进行文件和文件夹的添加、删除。4)点击根目录下的文件夹名称,如果该文件夹允许所有用户访问,则界面中将显示该文件夹下的共享内容;否则,将跳转到认证页面,需要输入该文件夹允许的用户名和密码才能够查看或编辑其中的内容,如下图所示。说明用户对内网共享文件的操作权限取决于两个因素:首先管理员在VPN网关上为用户指定的访问控制规则,其次是文件共享主机上对用户的访问权限控制。在上述的授权控制下,用户可以对共享文件和文件夹进行添加、删除、移动、重命名等操作。23:..SSLVPN用户手册5)输入该文件夹允许访问的用户名和密码后,可以查看或编辑该文件夹中的内容,如下图所示。界面中从上往下依次为:(1)SSLVPN网关的LOGO图片(由管理员设定);(2)当前路径和“退出”操作链接;(3)各种操作的链接,包括返回上级目录、新建目录、上传文件、移动文件、复制文件和删除文件;(4)显示该文件夹下的内容,包括文件或文件夹的名称、类型(文件或文件夹)、文件大小、修改时间和“重命名”操作链接;(5)各种操作的链接,与(3)相同不再赘述。下面分类介绍一下用户的各种操作(假设管理员设定的文件共享规则和文件共享服务器上的共享权限均允许用户进行所有操作),包括查看/下载文件、返回上级目录、新建目录、上传文件、移动文件、复制文件、删除文件、修改文件/文件夹的名称、删除空目录和退出文件共享服务器的访问页面查看/下载文件查看/下载文件。a)查看/下载文件。①点击待查看/下载的文件名称,弹出“文件下载”对话框,如下图所示。24:..SSLVPN用户手册②点击“打开”按钮,可以浏览该文件;点击“保存”按钮,然后选择保存路径,可以将该文件保存到本地。b)返回上级目录。点击“返回上级目录”链接,可以返回上一级文件夹。c)新建目录。①点击“新建目录”链接,可以在当前目录下添加新目录,如下图所示。②输入新建目录名称。③点击“提交”按钮即可。d)上传文件。①点击“上传文件