聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG管理手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 ,聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)前 言感謝您購買并使用聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 。聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 系列

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG

管理手冊(cè)

聯(lián)想網(wǎng)御科技（北京）有限公司

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

前 言

感謝您購買并使用聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 。

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 系列接入網(wǎng)關(guān)是適用于中小型企業(yè)/大中型企業(yè)/政府機(jī)關(guān)/移動(dòng)用戶的綜合接入網(wǎng)關(guān)，為用戶遠(yuǎn)程訪問網(wǎng)絡(luò)服務(wù)提供安全保護(hù)，主要功能包括：

身份認(rèn)證：確保遠(yuǎn)程訪問者不是惡意用戶；

訪問控制：確保訪問者只能訪問被授權(quán)訪問的服務(wù)和信息；

數(shù)據(jù)加密：確保所有數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中都是被加密的，防止被竊聽；

SAG 網(wǎng)關(guān)是在SSL 協(xié)議基礎(chǔ)上實(shí)現(xiàn)的遠(yuǎn)程接入安全平臺(tái)，無需改變網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，完全支持Web 應(yīng)用，以及Exchange 、SMB 、FTP 、Telnet 、CRM 、ERP 、Mail 、Oracle 和SQL Server等C/S模式的應(yīng)用。和傳統(tǒng)SSL VPN接入網(wǎng)關(guān)相比，SAG 網(wǎng)關(guān)突破了SSL 的局限性，創(chuàng)新性地對(duì)SSL VPN網(wǎng)關(guān)技術(shù)進(jìn)行了拓展：

SSL VPN網(wǎng)關(guān)到網(wǎng)關(guān)模式：和IPSEC VPN相比，傳統(tǒng)SSL VPN適用于終端到網(wǎng)關(guān)模式的部署方式，SAG 突破了這種局限，創(chuàng)新性地實(shí)現(xiàn)了網(wǎng)關(guān)到網(wǎng)關(guān)模式的SSL VPN技術(shù)；

客戶端自動(dòng)獲取域名解析(DNS)配置：和IPSEC VPN相比，SSL VPN無需安裝客戶端軟件，但是傳統(tǒng)的SSL VPN客戶端無法通過DHCP 協(xié)議自動(dòng)從接入網(wǎng)關(guān)獲取DNS 配置，因此SSL VPN無法使用企業(yè)內(nèi)部DNS 服務(wù)器。SAG 創(chuàng)新性地實(shí)現(xiàn)了客戶端自動(dòng)從接入網(wǎng)關(guān)獲取域名解析服務(wù)。

支持網(wǎng)絡(luò)鄰居：網(wǎng)絡(luò)鄰居是Microsoft Windows操作系統(tǒng)基于NetBIOS 協(xié)議實(shí)現(xiàn)的網(wǎng)絡(luò)文件共享功能，網(wǎng)絡(luò)鄰居難以跨越路由器在互聯(lián)網(wǎng)范圍內(nèi)實(shí)現(xiàn)。SAG 網(wǎng)關(guān)能夠確保用戶遠(yuǎn)程接入內(nèi)網(wǎng)的同時(shí)正常使用內(nèi)網(wǎng)的網(wǎng)絡(luò)鄰居功能。

安全遠(yuǎn)程桌面功能：Microsoft Windows提供的遠(yuǎn)程桌面功能被網(wǎng)絡(luò)管理人員廣泛采用，但是遠(yuǎn)程桌面功能無法對(duì)遠(yuǎn)程接入用戶進(jìn)行細(xì)顆粒的安全限制，因此存在巨大安全隱患。SAG 網(wǎng)關(guān)的【遠(yuǎn)程終端】服務(wù)，實(shí)現(xiàn)了對(duì)Microsoft Windows遠(yuǎn)程桌面的安全拓展，用戶可通過接入網(wǎng)關(guān)開放遠(yuǎn)程桌面的同時(shí)，限制遠(yuǎn)程用戶所能訪問的資源和應(yīng)用程序。

靈活的用戶管理：支持大批量用戶的導(dǎo)入/導(dǎo)出機(jī)制，兼容SecureID 等動(dòng)態(tài)口令用戶，兼容標(biāo)準(zhǔn)LDAP 服務(wù)器，兼容微軟活動(dòng)目錄（AD ）服務(wù)器，兼容第三方Radius 服務(wù)器，支持?jǐn)?shù)字證書用戶，支持本地用戶數(shù)據(jù)庫等等。

本手冊(cè)隨SAG 網(wǎng)關(guān)一起發(fā)行，是SAG 網(wǎng)關(guān)的安裝、操作和應(yīng)用手冊(cè)。

本手冊(cè)由淺入深的介紹SAG 網(wǎng)關(guān)的安裝、操作、應(yīng)用技巧等方面的信息，以及相關(guān)功能的詳細(xì)使用資料。

本手冊(cè)適用于使用SAG 網(wǎng)關(guān)的網(wǎng)管人員和對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)管理、安全管理有興趣、有

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

責(zé)任的管理人員。是操作和管理SAG 網(wǎng)關(guān)的主要參考資料，請(qǐng)?jiān)诎惭b使用之前通讀相關(guān)部分資料。

其他參考資料參見軟件幫助和我們的網(wǎng)站：

本手冊(cè)圍繞SAG 網(wǎng)關(guān)編寫，疏忽和失誤之處敬請(qǐng)廣大用戶批評(píng)指正，歡迎對(duì)我們的產(chǎn)品提出寶貴意見。

您的信賴來自于我們的嚴(yán)謹(jǐn)和努力

您的滿意來源于我們優(yōu)質(zhì)的服務(wù)

聯(lián)想網(wǎng)御科技（北京）有限公司

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

版權(quán)聲明

SAG 網(wǎng)關(guān)管理手冊(cè)

本手冊(cè)詳細(xì)介紹SAG 網(wǎng)關(guān)的安裝、操作、應(yīng)用方法和技巧，為用戶在使用本系統(tǒng)時(shí)提供參考。

本手冊(cè)和接入網(wǎng)關(guān)一起發(fā)行。

作者：聯(lián)想網(wǎng)御科技（北京）有限公司

Copyright?2009 by聯(lián)想網(wǎng)御科技（北京）有限公司，版權(quán)所有。聯(lián)想網(wǎng)御科技（北京）有限公司發(fā)行。

未經(jīng)發(fā)行人書面許可，不得使用任何形式或任何途徑，包括使用影印、錄制在內(nèi)的電子或機(jī)械手段、其他信息儲(chǔ)存和恢復(fù)系統(tǒng)等對(duì)該書任何部分進(jìn)行復(fù)制或傳播。

警告和承諾：

本手冊(cè)用于提供關(guān)于“SAG 網(wǎng)關(guān)”的操作使用信息。盡管我們做了大量的努力使本書盡可能完備和準(zhǔn)確，但疏漏和缺陷之處在所難免。

本手冊(cè)信息是建立在“SAG 網(wǎng)關(guān)”的基礎(chǔ)之上，沒有成為標(biāo)準(zhǔn)或規(guī)范，僅作為“SAG 網(wǎng)關(guān)”操作使用的參考及SSL VPN接入網(wǎng)關(guān)和安全管理的概念普及。

本手冊(cè)中表達(dá)的觀點(diǎn)權(quán)屬于聯(lián)想網(wǎng)御科技（北京）有限公司。

本手冊(cè)的解釋權(quán)歸聯(lián)想網(wǎng)御科技（北京）有限公司所有。

由于本手冊(cè)是基于“SAG 網(wǎng)關(guān)”編寫，產(chǎn)品軟件的升級(jí)和更新，將導(dǎo)致本手冊(cè)內(nèi)容的相關(guān)變更，手冊(cè)內(nèi)容的更改恕不另行通知。

本手冊(cè)將不作為聯(lián)想網(wǎng)御科技（北京）有限公司的任何承諾，聯(lián)想網(wǎng)御科技（北京）有限公司對(duì)本手冊(cè)中可能出現(xiàn)的任何錯(cuò)誤不負(fù)任何責(zé)任。

反饋信息

歡迎您對(duì)我們的產(chǎn)品及本手冊(cè)提供寶貴的意見和建議，您的支持是我們工作的動(dòng)力。對(duì)于您的幫助，我們十分感激。請(qǐng)與我們聯(lián)系：SSL VPN@leadsec.com.cn 。

本系統(tǒng)的開發(fā)單位

聯(lián)想網(wǎng)御科技（北京）有限公司

地址：北京市海淀區(qū)中關(guān)村南大街6號(hào) 中電信息大廈8層，100086

公司總機(jī)：010-82166999（9：00－18：00）

銷售熱線：010-82167583（9：00－18：00）

售后熱線：400-810-7766 （7x24小時(shí)，原010-82167766繼續(xù)有效）

傳 真：010-82166998

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

網(wǎng)址：

E-Mail ：

本系統(tǒng)版權(quán)受到中華人民共和國國家法律保護(hù)，任何單位個(gè)人不得非法使用、拷貝、修改、擴(kuò)散本軟件及其文檔，否則將受到法律的制裁。

本系統(tǒng)及其文檔中使用到其他公司的有關(guān)資源，其版權(quán)歸相應(yīng)公司所有，同樣受到法律的保護(hù)。

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

手冊(cè)閱讀方法

文本標(biāo)記

表1

本文的標(biāo)記形式 標(biāo)記 說 明 表示導(dǎo)航菜單的項(xiàng)目名稱。用“→”表示兩個(gè)連

續(xù)操作的菜單項(xiàng)。

例如：執(zhí)行導(dǎo)航菜單的【網(wǎng)關(guān)管理】→【網(wǎng)絡(luò)

屬性】

表示Tab 標(biāo)簽選項(xiàng)。

例如：【網(wǎng)關(guān)管理】→【網(wǎng)絡(luò)屬性】→『網(wǎng)卡』。

表示畫面上的項(xiàng)目標(biāo)題名稱。

例如：【網(wǎng)關(guān)管理】→【網(wǎng)絡(luò)屬性】

→『網(wǎng)卡』

界面中的{系統(tǒng)網(wǎng)卡}。

表示設(shè)定的變量/參數(shù)值。

【項(xiàng)目】 『項(xiàng)目』 ｛項(xiàng)目｝ <項(xiàng)目>

圖標(biāo)

表2

關(guān)于圖標(biāo)的說明

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

目錄

前 言.................................................................................................................... i 版權(quán)聲明.............................................................................................................. iii 手冊(cè)閱讀方法........................................................................................................v

警告：....................................................................................................................1

快速上手................................................................................................................1

第1章 網(wǎng)關(guān)監(jiān)控..................................................................................................6

1.1 資源狀態(tài).................................................................................................................. 6

1.1.1 當(dāng)前狀態(tài)....................................................................................................... 6

1.2 在線用戶.................................................................................................................. 8

第2章 網(wǎng)關(guān)管理..................................................................................................9

2.1 網(wǎng)絡(luò)屬性.................................................................................................................. 9

2.1.1 網(wǎng)卡............................................................................................................. 10

2.1.2 網(wǎng)關(guān)............................................................................................................. 11

2.1.3 路由............................................................................................................. 12

2.1.4多條線路...................................................................................................... 13

2.1.5 DNS..............................................................................................................15

2.1.6 ICMP............................................................................................................16

2.2線路優(yōu)化................................................................................................................. 17

2.3 負(fù)載均衡................................................................................................................ 19

2.3.1 添加............................................................................................................. 20

2.3.2 編輯............................................................................................................. 21

2.3.3 刪除............................................................................................................. 21

2.4 系統(tǒng)時(shí)間................................................................................................................ 22

2.5 動(dòng)態(tài)域名................................................................................................................ 23

2.6 雙機(jī)熱備................................................................................................................ 24

2.6.1 熱備屬性..................................................................................................... 25

2.6.2 數(shù)據(jù)同步..................................................................................................... 26

2.7 出廠設(shè)置................................................................................................................ 27

2.7.1 恢復(fù)初始設(shè)置............................................................................................. 28

2.7.2 恢復(fù)出廠設(shè)置............................................................................................. 29

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

2.8 網(wǎng)絡(luò)工具................................................................................................................ 30

2.8.1 PING測(cè)試..................................................................................................... 31

2.8.2 ARPPING.....................................................................................................32

2.8.3 ARP工具....................................................................................................... 33

2.8.4 TCP測(cè)試....................................................................................................... 33

2.8.5 HTTP測(cè)試.................................................................................................... 34

2.9 硬件關(guān)機(jī)................................................................................................................ 36

2.9.1 重啟............................................................................................................. 36

2.9.2 關(guān)機(jī)............................................................................................................. 37

第3章 系統(tǒng)管理................................................................................................38

3.1 系統(tǒng)管理................................................................................................................ 38

3.1.1 系統(tǒng)服務(wù)..................................................................................................... 39

3.1.2 監(jiān)聽端口..................................................................................................... 39

3.1.3 SSH服務(wù)....................................................................................................... 40

3.1.4 對(duì)外RADIUS 服務(wù)...................................................................................... 41

3.2 系統(tǒng)郵箱................................................................................................................ 42

3.2.1系統(tǒng)郵箱...................................................................................................... 43

3.2.2郵箱測(cè)試...................................................................................................... 43

3.3 系統(tǒng)備份................................................................................................................ 44

3.4 系統(tǒng)調(diào)試................................................................................................................ 45

3.4.1 屬性............................................................................................................. 46

3.4.2 內(nèi)容............................................................................................................. 46

3.5 管理員口令............................................................................................................ 47

3.6 管理員管理............................................................................................................ 49

3.6.1 證書管理員................................................................................................. 50

3.6.2 口令管理員................................................................................................. 52

3.7 管理員安全............................................................................................................ 55

3.7.1 首次登錄強(qiáng)制修改..................................................................................... 55

3.7.2 口令復(fù)雜度要求......................................................................................... 56

3.7.3 登錄超時(shí)控制............................................................................................. 57

3.8 自動(dòng)保存................................................................................................................ 57

第4章 接入管理................................................................................................59

4.1 服務(wù)管理................................................................................................................ 59

4.1.1 B/S服務(wù)........................................................................................................ 60

4.1.2 C/S服務(wù)........................................................................................................ 74

4.1.3 網(wǎng)段保護(hù)..................................................................................................... 80

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

4.1.4 終端服務(wù)..................................................................................................... 85

4.1.5 端口映射..................................................................................................... 90

4.2 角色管理................................................................................................................ 93

4.2.1 增加角色..................................................................................................... 94

4.2.2 管理角色..................................................................................................... 96

4.2.3 客戶端安全策略......................................................................................... 97

4.2.4 Hash計(jì)算.................................................................................................... 101

4.2.5 內(nèi)部網(wǎng)段設(shè)置........................................................................................... 102

4.3 用戶管理.............................................................................................................. 103

4.3.1 用戶列表................................................................................................... 103

4.3.2 用戶導(dǎo)出................................................................................................... 110

4.3.3 用戶導(dǎo)入-數(shù)據(jù)上傳.................................................................................. 110

4.3.4 用戶導(dǎo)入-CSV 上傳.................................................................................. 111

4.3.5 用戶導(dǎo)入-CSV 處理.................................................................................. 113

4.4 對(duì)等網(wǎng)關(guān).............................................................................................................. 114

4.4.1 管理........................................................................................................... 115

4.4.2 狀態(tài)........................................................................................................... 117

4.4.3 可信證書鏈............................................................................................... 118

4.4.4證書&私鑰................................................................................................. 118

4.4.5證書請(qǐng)求.................................................................................................... 119

4.4.6證書應(yīng)答.................................................................................................... 119

第5章 應(yīng)用安全..............................................................................................121

5.1 WEB防火墻.......................................................................................................... 121

5.1.1 增加策略................................................................................................... 122

5.2 DoS控制................................................................................................................ 123

5.2.1 Dos控制-地址............................................................................................ 123

5.2.2 Dos控制-用戶............................................................................................ 124

5.3 地址黑名單.......................................................................................................... 125

第6章 用戶屬性..............................................................................................127

6.1 登錄選項(xiàng).............................................................................................................. 127

6.1.1 HTTP缺省登錄.......................................................................................... 128

6.1.2 HTTPS缺省登錄........................................................................................ 130

6.1.3 文字定制................................................................................................... 131

6.1.4 圖片定制................................................................................................... 133

6.1.5 驅(qū)動(dòng)定制................................................................................................... 134

6.1.6 IE升級(jí)........................................................................................................ 135

聯(lián)想網(wǎng)御安全網(wǎng)關(guān)SAG 管理手冊(cè)

6.2 文件定制.............................................................................................................. 138

6.3 短信認(rèn)證.............................................................................................................. 140

6.3.1短信設(shè)備.................................................................................................... 140

6.3.2短信屬性.................................................................................................... 141

6.3.3 短信測(cè)試................................................................................................... 143

6.4 口令安全策略...................................................................................................... 145

6.4.1 首次登錄強(qiáng)制修改................................................................................... 145

6.4.2 口令復(fù)雜度要求....................................................................................... 146

6.4.3 登錄超時(shí)控制..................................................................................... 148

6.4.4 動(dòng)態(tài)附加碼............................................................................................... 149

6.4.5 用戶口令修改策略................................................................................... 151

6.4.6 用戶軟鍵盤策略....................................................................................... 152

6.5 帳戶安全策略...................................................................................................... 152

6.5.1 帳戶鎖定閾值........................................................................................... 153

6.5.2 手動(dòng)解鎖帳戶........................................................................................... 154

第7章 認(rèn)證支持..............................................................................................155

7.1 RADIUS................................................................................................................155

7.2 LDAP.....................................................................................................................157

7.3 AD.........................................................................................................................159

7.4 TACACS .............................................................................................................161

7.5 認(rèn)證順序.............................................................................................................. 162

第8章 證書管理..............................................................................................164

8.1 CA屬性................................................................................................................. 164

8.1.1 CA屬性....................................................................................................... 165

8.2 本地CA................................................................................................................. 166

8.2.1 網(wǎng)關(guān)數(shù)字證書........................................................................................... 167

8.2.2 網(wǎng)關(guān)可信證書鏈....................................................................................... 168

8.3 第三方證書.......................................................................................................... 169

8.3.1 可信證書鏈............................................................................................... 169

8.3.2證書&私鑰................................................................................................. 170

8.3.3 證書請(qǐng)求................................................................................................... 171

8.3.4 證書應(yīng)答................................................................................................... 172

8.3.5 證書驗(yàn)證................................................................................................... 173

8.3.6 CRL文件.................................................................................................... 174

8.4第三方服務(wù)器....................................................................................................... 175

8.4.1 LDAP證書發(fā)布服務(wù)器.............................................................................. 175