聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG用戶手冊(cè)聯(lián)想網(wǎng)御科技〔北京〕前言感謝您使用聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG。聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG系列接入網(wǎng)關(guān)是適用于中小型企業(yè)/大中型企業(yè)/政府機(jī)關(guān)/移動(dòng)用戶的綜合接入網(wǎng)關(guān)，為用戶遠(yuǎn)程訪問網(wǎng)絡(luò)效勞供給安全保護(hù)，主要功能包括：身份認(rèn)證：確保遠(yuǎn)程訪問者不是惡意用戶；訪問把握：確保訪問者只能訪問被授權(quán)訪問的效勞和信息；數(shù)據(jù)加密：確保全部數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中都是被加密的，防止被竊聽；SAG網(wǎng)關(guān)是在SSL式，完全支持Web應(yīng)用，以及Exchange、SMB、CRM、ERP、Mail、Oracle和SQLServerC/S模式的應(yīng)用。和傳統(tǒng)SSLVPN接入網(wǎng)關(guān)相比，SAGSSL的局限性，創(chuàng)SSLVPN網(wǎng)關(guān)技術(shù)進(jìn)展了拓展：SSLVPN和IPSECVPNSSLVPN適用于終端到網(wǎng)關(guān)模式的部署方式，SAG突破了這種局限，創(chuàng)性地實(shí)現(xiàn)了網(wǎng)關(guān)到網(wǎng)關(guān)模式的SSLVPN技術(shù)；客戶端自動(dòng)獵取域名解析(DNS)配置：和IPSECVPN相比，SSLVPN無(wú)需安裝客戶端軟件，但是傳統(tǒng)的SSLVPN客戶端無(wú)法通過DHCP協(xié)議自動(dòng)從接入網(wǎng)關(guān)獵取DNS配置，因此SSLVPN無(wú)法使用企業(yè)內(nèi)部DNS效勞器。SAG創(chuàng)性地實(shí)現(xiàn)了客戶端自動(dòng)從接入網(wǎng)關(guān)獵取域名解析效勞。支持網(wǎng)絡(luò)鄰居：網(wǎng)絡(luò)鄰居是MicrosoftWindows操作系統(tǒng)基于NetBIOS協(xié)議實(shí)現(xiàn)的網(wǎng)絡(luò)文件共享功能，網(wǎng)絡(luò)鄰居難以跨越路由器在互聯(lián)網(wǎng)范圍內(nèi)實(shí)現(xiàn)。SAG網(wǎng)關(guān)能夠確保用戶遠(yuǎn)程接入內(nèi)網(wǎng)的同時(shí)正常使用內(nèi)網(wǎng)的網(wǎng)絡(luò)鄰居功能。MicrosoftWindows供給的遠(yuǎn)程桌面功能被網(wǎng)絡(luò)治理人員廣泛承受，但是遠(yuǎn)程桌面功能無(wú)法對(duì)遠(yuǎn)程接入用戶進(jìn)展細(xì)顆粒的安全限制，因此存在巨大安全隱患。SAG網(wǎng)關(guān)的【遠(yuǎn)程終端】效勞，實(shí)現(xiàn)了對(duì)MicrosoftWindows遠(yuǎn)程桌面的安全拓展，用戶可通過接入網(wǎng)關(guān)開放遠(yuǎn)程桌面的同時(shí)，限制遠(yuǎn)程用戶所能訪問的資源和應(yīng)用程序。靈敏的用戶治理：支持大批量用戶的導(dǎo)入/導(dǎo)出機(jī)制，兼容SecureID等動(dòng)態(tài)口令用戶，兼容標(biāo)準(zhǔn)LDAP效勞器，兼容微軟活動(dòng)名目〔AD〕效勞器，兼容第三方Radius效勞器，支持?jǐn)?shù)字證書用戶，支持本地用戶數(shù)據(jù)庫(kù)等等。本手冊(cè)隨SAG網(wǎng)關(guān)一起發(fā)行，是SAG網(wǎng)關(guān)的用戶使用手冊(cè)。SAG網(wǎng)關(guān)的使用方法。本手冊(cè)適用于使用SAG網(wǎng)關(guān)的一般用戶，對(duì)一般用戶常常用到的功能作了介紹，假設(shè)想了解更多的關(guān)于SAG配置方面的信息請(qǐng)參見SAG網(wǎng)關(guān)治理手冊(cè)。i/22其他參考資料參見軟件幫助和我們的網(wǎng)站：本手冊(cè)圍繞SAG品提出貴重意見。您的信任來自于我們的嚴(yán)謹(jǐn)和努力您的滿足來源于我們優(yōu)質(zhì)的效勞聯(lián)想網(wǎng)御科技〔北京〕/22版權(quán)聲明SAG網(wǎng)關(guān)用戶手冊(cè)本手冊(cè)面對(duì)用戶具體介紹了SAG的使用方法，為用戶在使用本系統(tǒng)時(shí)供給參考。本手冊(cè)和接入網(wǎng)關(guān)一起發(fā)行。聯(lián)想網(wǎng)御科技〔北京〕Copyright?2023by聯(lián)想網(wǎng)御科技〔北京〕，版權(quán)全部。聯(lián)想網(wǎng)御科技〔北京〕發(fā)行。未經(jīng)發(fā)行人書面許可，不得使用任何形式或任何途徑，包括使用影印、錄制在內(nèi)的電子或機(jī)械手段、其他信息儲(chǔ)存和恢復(fù)系統(tǒng)等對(duì)該書任何局部進(jìn)展復(fù)制或傳播。警告和承諾：本手冊(cè)用于供給關(guān)于“SAG網(wǎng)關(guān)”的操作使用信息。盡管我們做了大量的努力使本書盡可能完備和準(zhǔn)確，但疏漏和缺陷之處在所難免。本手冊(cè)信息是建立在“SAG網(wǎng)關(guān)”的根底之上，沒有成為標(biāo)準(zhǔn)或標(biāo)準(zhǔn)，僅作為“SAGSSLVPN接入網(wǎng)關(guān)和安全治理的概念普及。本手冊(cè)中表達(dá)的觀點(diǎn)權(quán)屬于聯(lián)想網(wǎng)御科技〔北京〕。本手冊(cè)的解釋權(quán)歸聯(lián)想網(wǎng)御科技〔北京〕全部。由于本手冊(cè)是基于“SAG網(wǎng)關(guān)”編寫，產(chǎn)品軟件的升級(jí)和更，將導(dǎo)致本手冊(cè)內(nèi)容的相關(guān)變更，手冊(cè)內(nèi)容的更改恕不另行通知。本手冊(cè)將不作為聯(lián)想網(wǎng)御科技〔北京〕的任何承諾，聯(lián)想網(wǎng)御科技〔北京〕對(duì)本手冊(cè)中可能消滅的任何錯(cuò)誤不負(fù)任何責(zé)任。反響信息歡送您對(duì)我們的產(chǎn)品及本手冊(cè)供給貴重的意見和建議，您的支持是我們工作的動(dòng)力。本系統(tǒng)的開發(fā)單位聯(lián)想網(wǎng)御科技〔北京〕地址：68層，100086900－1800〕900－1800〕售后熱線：400-810-7766〔7x24小時(shí)，原連續(xù)有效〕傳真：E-Mail：/22本系統(tǒng)版權(quán)受到中華人民共和國(guó)國(guó)家法律保護(hù)，任何單位個(gè)人不得非法使用、拷貝、修改、集中本軟件及其文檔，否則將受到法律的制裁。本系統(tǒng)及其文檔中使用到其他公司的有關(guān)資源，其版權(quán)歸相應(yīng)公司全部，同樣受到法律的保護(hù)。/22手冊(cè)閱讀方法文本標(biāo)記1本文的標(biāo)記形式

標(biāo)記 說明表示導(dǎo)航菜單的工程名稱。用“→”表示兩個(gè)連續(xù)操作的菜單項(xiàng)。【工程】『工程』｛工程｝<工程>

例如：執(zhí)行導(dǎo)航菜單的【網(wǎng)關(guān)治理】→【網(wǎng)絡(luò)屬性】表示Tab標(biāo)簽選項(xiàng)。→【網(wǎng)絡(luò)屬性】→表示畫面上的工程標(biāo)題名稱?！揪W(wǎng)絡(luò)屬性】→『網(wǎng)卡』界面中的{系統(tǒng)網(wǎng)卡}。表示設(shè)定的變量/參數(shù)值。圖標(biāo)圖標(biāo)說明參照?qǐng)D標(biāo)說明參照表示所參照的相關(guān)條目。留意表示留意事項(xiàng)。提示表示提示信息。關(guān)于圖標(biāo)的說明v/22目錄\l“_TOC_250011“第1局部遠(yuǎn)程接入模式用戶手冊(cè) 1\l“_TOC_250010“訪問SSLVPN安全網(wǎng)關(guān) 1\l“_TOC_250009“客戶端登錄認(rèn)證 2\l“_TOC_250008“匿名登錄 2\l“_TOC_250007“口令登錄 2\l“_TOC_250006“短信登錄 4\l“_TOC_250005“證書登錄 7\l“_TOC_250004“客戶端用戶主界面 7\l“_TOC_250003“安裝ActiveX控件 8\l“_TOC_250002“客戶端用戶主界面 11\l“_TOC_250001“注銷登錄 14\l“_TOC_250000“第2局部對(duì)等網(wǎng)關(guān)模式用戶手冊(cè) 156/221局部遠(yuǎn)程接入模式用戶手冊(cè)SSLVPN安全網(wǎng)關(guān)IE掃瞄器輸入：“://網(wǎng)關(guān)的/“://網(wǎng)關(guān)的IP地址或者 s://網(wǎng)關(guān)的IP地址配置選項(xiàng)功能描述1.2.務(wù)；全部傳輸數(shù)據(jù)被加密；1.使用靜態(tài)“用戶名+口令”方式登錄SSLVPN安全網(wǎng)關(guān)〔包括：SSLVPN安全網(wǎng)關(guān)本地用戶帳號(hào)、第三方Radius帳號(hào)、第三方LDAP口令帳號(hào)和Microsoft域1/22口令帳號(hào)登錄；2. 全部傳輸數(shù)據(jù)被加密。使用手機(jī)短信SMS動(dòng)態(tài)口令方式登錄SSLVPN安全網(wǎng)關(guān)；全部傳輸數(shù)據(jù)被加密。使用數(shù)字證書方式登錄SSLVPN〔包括使用USBKEY存儲(chǔ)數(shù)字證書的方式；全部傳輸數(shù)據(jù)加密。提示 用戶遠(yuǎn)程登錄SSLVPN安全網(wǎng)關(guān)時(shí)不愿定能夠看到全部類型的登錄按鈕，這和SSLVPN安全網(wǎng)關(guān)治理端的配置相關(guān)。在實(shí)際應(yīng)用中遇到和手冊(cè)不符的問題，請(qǐng)和SSLVPN安全治理人員聯(lián)系。客戶端登錄認(rèn)證匿名登錄點(diǎn)擊 ，轉(zhuǎn)入“1.3節(jié)客戶端用戶主界面?？诹畹卿淈c(diǎn)擊 ，彈出用戶登錄界面：2/22配置選項(xiàng)<輸入名字>

輸入用戶的帳戶信息；

功能描述<輸入口令>安裝可信證書鏈安裝Java虛擬機(jī)修改用戶口令Key驅(qū)動(dòng)

輸入口令用戶的口令信息；在客戶端計(jì)算機(jī)上安裝可信證書鏈。下載并安裝Java虛擬機(jī)，使用SSL VPNRDP模式時(shí)，客戶端需要下載并安裝Java虛擬機(jī)；修改用戶的口令信息；當(dāng)使用USBKEY實(shí)現(xiàn)雙因子安全認(rèn)證時(shí)，客戶端需要安USBKEY的驅(qū)動(dòng)。安裝Key治理工具安裝USBKEY的客戶端治理工具；轉(zhuǎn)到證書登錄 切換到證書登錄認(rèn)證方式，轉(zhuǎn)入“1.2.4節(jié)證書登錄。輸入正確的登錄認(rèn)證信息后，轉(zhuǎn)入“1.3節(jié)客戶端用戶主界面。3/22提示 依據(jù)SSLVPN安全治理員的設(shè)置安全策略不同客戶端用戶登錄時(shí)有可能不需要輸入動(dòng)態(tài)附加碼，例如：不使用動(dòng)態(tài)附加碼增加了網(wǎng)絡(luò)攻擊者使用腳本〔或者應(yīng)用程序〕暴力猜解用戶口令的可能性。短信登錄點(diǎn)擊 ，彈出用戶登錄界面：配置選項(xiàng)<輸入名字>

功能描述輸入用戶的帳戶信息或者手機(jī)號(hào)碼；4/22<認(rèn)證碼>安裝可信證書鏈安裝Java虛擬機(jī)修改用戶口令Key驅(qū)動(dòng)

輸入口令用戶的口令信息；在客戶端計(jì)算機(jī)上安裝可信證書鏈。下載并安裝Java虛擬機(jī)，使用SSLVPNRDP模式時(shí)，客戶端需要下載并安裝Java虛擬機(jī)；修改用戶的口令信息；當(dāng)使用USBKEY實(shí)現(xiàn)雙因子安全認(rèn)證時(shí)，客戶端需要安USBKEY的驅(qū)動(dòng)。安裝Key治理工具安裝USBKEY的客戶端治理工具；轉(zhuǎn)到證書登錄 切換到證書登錄認(rèn)證方式，轉(zhuǎn)入“1.2.4節(jié)證書登錄。輸入正確的認(rèn)證信息后，轉(zhuǎn)入“1.3節(jié)客戶端用戶主界面”提示 依據(jù)SSLVPN安全網(wǎng)關(guān)安全策略設(shè)置的不同客戶端用戶登錄時(shí)有可能不需要輸入<認(rèn)證碼>或者<附加碼>。例如：只需要輸入帳戶信息的界面：SSLVPN安全網(wǎng)關(guān)的方式，導(dǎo)致網(wǎng)關(guān)系統(tǒng)不斷給授權(quán)用戶的手機(jī)發(fā)送短信的可能性。5/22提示 依據(jù)SSLVPN安全網(wǎng)關(guān)安全策略設(shè)置的不同客戶端用戶登錄時(shí)有可能不需要輸入<認(rèn)證碼>。例如：需要輸入帳戶名字和<附加碼>的界面：SSLVPN提示 依據(jù)SSLVPN安全網(wǎng)關(guān)安全策略設(shè)置的不同客戶端用戶登錄時(shí)有可能不需要輸入<附加碼>。例如：需要輸入帳戶信息和<認(rèn)證碼>的界面：不使用動(dòng)態(tài)附加碼增加了網(wǎng)絡(luò)攻擊者使用腳本〔或者應(yīng)用程序〕暴力猜解用戶口令的可能性。6/22證書登錄點(diǎn)擊 ，彈出用戶登錄界面：用戶選擇授權(quán)用戶登錄證書，點(diǎn)擊確定。1.3節(jié)客戶端用戶主界面假設(shè)提示安裝ActiveX1.3.1節(jié)安裝ActiveX假設(shè)未提示安裝ActiveX控件，請(qǐng)轉(zhuǎn)入“1.3.2節(jié)客戶端用戶主界面7/22ActiveX控件假設(shè)客戶端用戶需要訪問被保護(hù)的C/S網(wǎng)絡(luò)效勞，需要安裝ActiveX控件。ActiveXActiveX8/22控件(C)…”選項(xiàng)，如以以下圖所示。彈出ActiveX控件簽名信息。9/22提示 在微軟WindowsXP以后版本的操作系統(tǒng)中考慮到安全問題，不允許安裝未簽名的ActiveX控件。配置選項(xiàng)<名稱><發(fā)行者>點(diǎn)擊

功能描述顯示控件的名稱和版本信息。ActiveX控件發(fā)行者的信息。點(diǎn)擊運(yùn)行，顯示簽名公司證書信息，如以以下圖所示：按鈕，安裝ActiveX控件。10/22客戶端用戶主界面戶信息。戶信息。裝可信證書鏈。裝可信證書鏈。ActiveXSSLVPN了SSLVPN托盤程序，用戶才能夠通過VPN安全訪問C/S效勞、網(wǎng)絡(luò)和終端應(yīng)用。訪問“授權(quán)的Web效勞”直接點(diǎn)擊鏈接，訪問被保護(hù)的WWW效勞。例如，訪問辦公自動(dòng)化系統(tǒng)11/22C/S效勞”和在企業(yè)局域網(wǎng)內(nèi)部一樣的方式正常訪問C/S效勞。例如，授權(quán)用戶登錄SSLVPN安全網(wǎng)關(guān)之后，期望能在互聯(lián)網(wǎng)中使用企業(yè)內(nèi)網(wǎng)的SMTP/POP3(00)效勞器收發(fā)電子郵件。在OutLook中可以如下配置：12/22授權(quán)用戶登錄SSLVPN安全網(wǎng)關(guān)之后，可以象在企業(yè)內(nèi)網(wǎng)中一樣使用企業(yè)內(nèi)網(wǎng)的SMTP/POP3〔00〕效勞器。訪問“授權(quán)網(wǎng)段”直接訪問被保護(hù)的網(wǎng)段〔用