网络配置

网关名称

SSL VPN虚拟网关名称。

[示例]

gateway1

网关类型

●      独占型：系统内独占IP地址和域名，用户可通过IP+端口号或域名+端口号访问SSL VPN网关登录页面。

●      共享型：系统内共享IP地址和域名，用户只能通过域名+端口号访问SSL VPN网关登录页面。

[示例]

独占型

网关地址

SSL VPN网关的访问地址。可以选择接口地址或手动配置。一个网关最多可配置3个地址，每个地址都可以访问登录页面。

选择接口时，注意接口需要配置源进源出属性。若接口为桥接口，需手动为桥接口配置一个安全域，流量才能正常转发。

●    支持IPv4地址或IPv6地址。

●    选择接口后，将自动显示接口地址。

[示例]

1.1.1.1

端口号

虚拟网关上提供SSL VPN服务的端口号。

[示例]

8443

域名

SSL VPN网关的域名地址。共享型网关必须配置域名地址。支持多个域名共享一个网关地址/端口

[示例]

www.abc.com

内网DNS

内网DNS服务器IP地址，用于解析内网域名，存在内网域名资源时必须配置。

[示例]

192.168.0.1

DNS优先

访问内网资源时优先查询的DNS服务器，可指定优先使用内网DNS服务器进行域名解析，若存在不能解析的域名，再使用客户端自身的DNS服务器解析。

[示例]

内网NDS优先

高级

协议版本

虚拟网关与SSL VPN客户端建立SSL连接时使用的协议版本，两端需保持一致。

[示例]

TSL1.2

算法套件

虚拟网关与SSL VPN客户端建立SSL连接时使用的加密算法，两端需保持一致。

-

网关证书

虚拟网关与SSL VPN客户端建立SSL连接时，客户端通过网关证书验证虚拟网关是否可信。默认证书default为不受信证书，可通过本地证书模块导入可信证书。

有关证书导入的详细介绍请参见“导入本地证书”。

-

并发控制

最大并发用户数

允许同时登录虚拟网关的最大用户数，超过最大并发用户数后，新用户无法再登录虚拟网关。

[示例]

20

认证

用户认证域

对所选认证域中的用户执行本页面配置的登录控制策略。一个虚拟网关只能绑定一个认证域。引用认证域时，确认认证域配置正确且处于启用状态。

[示例]

default

双因子认证

是否开启双因子认证，即在用户密码认证通过的情况下增加额外一层身份认证（短信认证或者OTP认证），加强SSL VPN用户认证的安全性。

[示例]

启用

●    短信认证：在用户密码认证通过的情况下，再进行短信认证。

●    OTP（One-Time Password，一次性密码）认证：在用户密码认证通过后，需额外输入由认证工具（微软认证器Microsoft Authenticator）动态生成的一次性密码，以提升安全性。用户需确认网关系统时间与使用的认证工具系统时间一致且正确，以保证OTP认证正常工作。

     说明

认证工具需用户自己下载安装在手机上。

用户首次登录SSL VPN网关时，SSL VPN客户端会弹窗提示OTP认证密钥。用户需复制该密钥，绑定认证工具后即可获取一次性密码。

用户再次登录SSL VPN网关时，无需再次绑定OTP密钥即可查看认证工具生成的一次性密码。

用户若想重置OTP密钥，可在[用户管理]页签下重置密钥。重置密钥后，该用户已绑定的密钥将失效，下次登录SSL VPN网关时需重新绑定。

[示例]

短信认证服务器

选择或者新增进行双因子认证的短信认证服务器。

-

短信自助绑定

若用户没有硬件特征码通过审批，允许用户自己提交硬件特征码。为防止用户被恶意绑定硬件特征码，需对该用户进行短信双因子认证。

[示例]

启用

短信自助解绑

允许用户自行解绑终端硬件特征码，在启用短信双因子认证的情况下解绑硬件特征码用户需进行短信验证码认证。

[示例]

启用

用户自助提交手机号码

当本地用户不存在手机号时，允许用户自助提交手机号。提交手机号后，先进行短信验证码发送和认证，认证成功后才修改用户信息。

[示例]

启用

短信发送上限

限制每个用户每天的短信验证码请求次数，0代表不限制。

[示例]

1

防爆破

启用用户锁定

启用后，达到最大连续登录失败次数后锁定用户，锁定期间，用户不能再登录虚拟网关。

[示例]

启用

用户最多尝试

允许用户最多连续登录失败的次数，达到设置的次数后锁定用户。

[示例]

5次

锁定时长

锁定期间，用户不能登录虚拟网关。

[示例]

300秒

启用单个IP锁定

启用后，通过同一个IP登录虚拟网关且达到最大连续登录失败次数后锁定该IP，锁定期间，用户不能通过该IP登录虚拟网关。

[示例]

启用

单个IP最多尝试

通过同一个IP登录虚拟网关的最大连续登录失败的次数，达到设置的次数后锁定该IP。

[示例]

5次

锁定时长

锁定期间，用户不能通过该IP登录虚拟网关。

[示例]

300秒

登陆校验

启用图形验证

连续输错指定次数后，虚拟网关登录页面会出现图形验证码，防止机器暴力破解。

[示例]

启用

启用硬件特征码认证

对用户使用的终端硬件特征码进行人工/自动审批，只允许审批通过的终端设备可以登录虚拟网关，并支持限制单个用户使用的终端数量。

说明：硬件特征码认证仅在通过客户端登录虚拟网关时生效，Web方式登录无限制。

[示例]

启用

启用硬件特征码自动审批

对用户使用的终端硬件特征码进行自动审批。

[示例]

禁用

允许用户自动解绑

允许用户自行解绑终端硬件特征码，在启用硬件特征码认证的情况下解绑硬件特征码，下次登录时需要重新审批，否则无法登录虚拟网关。

[示例]

禁用

自动审批可信公共终端

启用后，若硬件特征码已导入防火墙，则该特征码绑定的任何用户都可以通过自动审批登录虚拟网关。

-

空闲超时

空闲…分钟后超时

设置SSL VPN会话保持空闲状态的最长时间，超时后用户将被强制下线。

[示例]

30分钟

客户端版本控制

允许接入的客户端版本

设置与虚拟网关建立连接的SSL VPN客户端的软件版本号。目前仅支持锐捷SSL VPN客户端。

●      任意版本：不限制客户端版本。

●      安全云最新版本：锐捷安全云平台上发布的最新版本。

●      自定义配置：自行指定各类系统限制的客户端版本。

[示例]

任意版本

可分配IP网段

分配给客户端的IP网段，客户端使用分配的IP地址与虚拟网关建立隧道。可分配IP地址用完后，新用户不能登录，用户下线后释放IP地址。

[示例]

1.1.1.0/255.255.255.0

隧道模式

支持以下两种模式：

●      分离隧道：只有访问授权资源的流量进入SSL VPN隧道。

●      全隧道：所有用户流量都进入SSL VPN隧道（包括用户上网流量和本地通信流量）。

[示例]

分离隧道

隧道接入保活

SSL VPN客户端向虚拟网关发送保活报文的间隔时间。

[示例]

30秒

失联最大时间

超过失联最大时间，SSL VPN客户端仍未向虚拟网关发送保活报文，虚拟网关将关闭隧道，用户被踢下线。建议失联最大时间   ≥ 3倍隧道接入保活时间。

[示例]

180秒

启用SSL VPN专线

启用后，只有授权给用户的资源流量和本地通信流量进入SSL VPN隧道，用户上网流量无法进入隧道。

[示例]

禁用

隧道资源名称

隧道可以提供的资源名称。

[示例]

IP资源

描述

隧道资源的描述信息。合理的描述信息可让管理员快速了解该资源的作用。

-

隧道资源名称

隧道可以提供的资源名称。

[示例]

IP资源

资源类型

支持以下几种类型：

●      IP：仅支持输入单个IP地址，如192.168.1.1。

●      网段：支持输入IP/掩码长度，如192.168.1.0/24。

●      域名：支持输入域名，如www.abc.com。

●      URI：支持输入URI，如<proto://ip[:port]>。

-

资源

根据所选的资源类型输入对应资源，如资源类型选择“IP”，此处需输入单个IP地址。

-

协议

授权的用户登录虚拟网关后，可以访问指定资源类型对外提供的指定协议的服务。例如，资源类型设置为单个IP，协议设置any，则用户可以访问该IP对外提供的所有服务；若协议设置为TCP，则用户只能访问该IP对外提供的基于TCP协议的服务。

[示例]

TCP

授权策略名称

授权策略的名称。

[示例]

Policy_1

用户/用户组

对所选用户或用户组进行授权。

[示例]

用户组_1

IP隧道资源

指定用户或用户组可以访问的资源组。

[示例]

资源组_1

描述

授权策略的描述信息，合理的描述信息可让管理员快速了解该策略的作用。

-