SANGFOR_SSL_v7.0_2016年度渠道初級認(rèn)證培訓(xùn)07_擴(kuò)展功能總結(jié)介紹第一頁，共37頁。第二頁，共37頁。易用性功能介紹深信服公司簡介安全性功能介紹問題思考SANGFORSSL快速性功能介紹第三頁，共37頁。易用性－管理員賬號1.管理組

具有相同管理權(quán)限、相同管理內(nèi)容的管理員所組成的組。2.管理員管理設(shè)備的管理員，對所管理的頁面和內(nèi)容具有查看和編輯權(quán)限。3.訪客管理設(shè)備的管理員，對所管理的頁面和內(nèi)容只具有查看權(quán)限，不具有編輯權(quán)限。

通過設(shè)置管理員賬號，達(dá)到分級分權(quán)限的管理，能夠?qū)崿F(xiàn)多達(dá)16級的管理員分級管理。第四頁，共37頁。易用性－管理員賬號應(yīng)用案例

為了保障設(shè)備管理的安全性以及可監(jiān)督性，某公司IT部門決定讓管理員A和管理員B來共同管理SSLVPN設(shè)備，管理員A能夠查看和編輯設(shè)備所有頁面，且只能從指定的兩臺電腦上（IP地址為：0和15）登錄設(shè)備進(jìn)行管理，管理員B能夠從任何電腦登錄查看設(shè)備配置，但不能對A所做的任何配置進(jìn)行修改，且管理員B不能夠查看IPSECVPN的所有設(shè)置。1.能夠查看和編輯所有頁面2.只能從指定的電腦上登錄設(shè)備1.只能夠查看，不能夠編輯頁面2.不能夠查看IPSECVPN設(shè)置3.能從任何電腦上登錄設(shè)備進(jìn)行查看第五頁，共37頁。易用性－管理員賬號配置思路1.建立兩個管理組并設(shè)置相應(yīng)的權(quán)限，一個管理組具有所有的管理權(quán)限，一個管理組具有除IPSECVPN設(shè)置外的所有權(quán)限；2.建立管理員A和B并設(shè)置相應(yīng)的管理員類型，管理員A屬于管理組A，管理員類型為管理員，且只能從指定的IP地址0和15登錄設(shè)備進(jìn)行管理，管理員B屬于管理組B，管理員類型為訪客。第六頁，共37頁。易用性－管理員賬號配置截圖1.建立兩個管理組并設(shè)置相應(yīng)的權(quán)限未勾選IPSecVPN設(shè)置第七頁，共37頁。易用性－管理員賬號配置截圖2.建立兩個管理員A和B并設(shè)置相應(yīng)的管理員類型允許從任意IP登錄管理設(shè)備第八頁，共37頁。管理員賬號配置截圖3.測試配置是否正確管理員A使用IP地址為41的電腦登錄設(shè)備輸入密碼后，點(diǎn)擊登錄，出現(xiàn)如下提示管理員A使用IP地址為15的地址登錄設(shè)備能夠顯示IPSECVPN設(shè)置，且能夠編輯頁面，如新建用戶、資源等等管理員B登錄后，界面無法顯示IPSECVPN設(shè)置，且只能查看不能夠編輯頁面編輯頁面時，將會出現(xiàn)如下提示第九頁，共37頁。易用性－SSLVPN登錄客戶端

功能介紹

SSLVPN登錄客戶端能夠?qū)崿F(xiàn)脫離瀏覽器進(jìn)行登錄并使用SSLVPN應(yīng)用。SSLVPN登錄客戶端支持用戶名/密碼、文件證書、DKEY以及匿名登錄。SSLVPN登錄客戶端是基礎(chǔ)控件，只要登錄過SSLVPN的電腦，就會自動安裝該控件，下次登錄SSLVPN時，可以直接使用SSLVPN登錄客戶端進(jìn)行登錄，而不用使用瀏覽器登錄。點(diǎn)擊“開始”，將出現(xiàn)SSLVPN登錄客戶端程序第十頁，共37頁。易用性－SSLVPN登錄客戶端SSL登錄客戶端是基礎(chǔ)控件，只要訪問過SSL，就會默認(rèn)安裝上此控件通過在【SSLVPN選項(xiàng)】-【系統(tǒng)選項(xiàng)】-【客戶端選項(xiàng)】中，可以自定義客戶端的記住密碼、自動登錄兩個選項(xiàng)。填寫要登錄的SSLVPN地址點(diǎn)擊連接，連接SSLVPN，獲取設(shè)備對SSLVPN客戶端的全局配置設(shè)備全局配置決定是否在客戶端顯示這兩項(xiàng)第十一頁，共37頁。

SSLVPN客戶端可以設(shè)置支持HTTP代理環(huán)境下登錄SSLVPN。易用性－SSLVPN登錄客戶端配置截圖如果上網(wǎng)通過IE代理，則需勾選。IE代理上網(wǎng)需要賬號密碼時，才需填寫第十二頁，共37頁。易用性－系統(tǒng)托盤用于在關(guān)閉SSLVPN的資源列表頁面后，將IE最小化到任務(wù)欄，防止誤操作而關(guān)閉SSLVPN以及用系統(tǒng)托盤替代SSL的懸浮框。

使用系統(tǒng)托盤，可以實(shí)現(xiàn)開機(jī)后自動登錄SSLVPN或者在桌面上創(chuàng)建一個快捷方式，點(diǎn)擊快捷方式啟用SSLVPN登錄客戶端。功能介紹第十三頁，共37頁。易用性－系統(tǒng)托盤1.客戶需求由于某些SSL用戶只關(guān)聯(lián)了WEB應(yīng)用，用戶在訪問WEB應(yīng)用時，容易造成誤操作關(guān)閉瀏覽器后退出SSL。用戶希望使用系統(tǒng)托盤功能來防止此類現(xiàn)象的發(fā)生。與此同時，對于那些關(guān)聯(lián)了除WEB應(yīng)用資源之外的用戶，也可以使用系統(tǒng)托盤來替代桌面右上角的SSL懸浮框。應(yīng)用案例第十四頁，共37頁。易用性－系統(tǒng)托盤配置思路1.新建一條策略組管理，啟用系統(tǒng)托盤；2.新建一個移動用戶組，使用用戶名、密碼認(rèn)證，并關(guān)聯(lián)系統(tǒng)托盤策略組；3.新建一個用戶test1，屬于移動用戶組，并關(guān)聯(lián)相應(yīng)的資源；4.使用賬號test1登錄SSLVPN進(jìn)行測試。第十五頁，共37頁。易用性－系統(tǒng)托盤配置思路（1）新建系統(tǒng)托盤策略組啟用系統(tǒng)托盤功能第十六頁，共37頁。易用性－系統(tǒng)托盤配置思路（2）新建移動用戶組，關(guān)聯(lián)系統(tǒng)托盤組策略第十七頁，共37頁。易用性－系統(tǒng)托盤配置思路（3）新建用戶test1，屬于移動用戶組強(qiáng)制繼承了用戶組的屬性第十八頁，共37頁。易用性－系統(tǒng)托盤配置思路（4）用戶test1登錄SSLVPN后會在任務(wù)欄中生成系統(tǒng)托盤小圖標(biāo)系統(tǒng)托盤小圖標(biāo)第十九頁，共37頁。易用性－系統(tǒng)托盤配置思路（5）此時，鼠標(biāo)右鍵點(diǎn)擊系統(tǒng)托盤小圖標(biāo)，可以查看連接狀態(tài)、加速效果等等（注意：此處的界面根據(jù)用戶啟用的功能以及關(guān)聯(lián)的資源類型不同，會有所差異。）第二十頁，共37頁。易用性－系統(tǒng)托盤如何實(shí)現(xiàn)開機(jī)后自動連接SSLVPN？登錄SSLVPN后，點(diǎn)擊資源列表頁面的“開機(jī)登錄設(shè)置”或使用系統(tǒng)托盤的個人設(shè)置都能夠到達(dá)自動登錄設(shè)置界面設(shè)置開機(jī)自動登錄的用戶名和密碼，并啟用開機(jī)自動登錄第二十一頁，共37頁。易用性－系統(tǒng)托盤除了讓用戶組/用戶關(guān)聯(lián)系統(tǒng)托盤策略組以外，還可以全局開啟系統(tǒng)托盤，此時，所有的用戶組及用戶都默認(rèn)啟用了系統(tǒng)托盤功能，且不能修改。全局啟用系統(tǒng)托盤功能，此時，所有用戶組及用戶都默認(rèn)啟用了系統(tǒng)托盤功能勾選上“斷線自動重試連接”，并在系統(tǒng)托盤處也勾上“自動重連SSLVPN”，能夠在超時時間后自動重新連接SSLVPN第二十二頁，共37頁。易用性－客戶端組件策略功能介紹這里的客戶端組件是指硬件特征碼認(rèn)證或登錄前安全檢查功能涉及到的相關(guān)組件選擇用戶手動安裝或者是自動安裝組件若未安裝相關(guān)的組件或驗(yàn)證不通過，可選“禁止登錄”或者“允許登錄，但只能使用WEB服務(wù)”第二十三頁，共37頁。易用性－客戶端組件策略部分功能介紹客戶端只有一個證書的時候是否彈出證書選擇框可以實(shí)現(xiàn)當(dāng)用戶登錄到SSLVPN后直接激活TCP應(yīng)用和L3VPN應(yīng)用的相關(guān)控件。不勾選，則首次登錄需要手動安裝控件，以后登錄不需要再次安裝。在客戶端登陸SSLVPN后可以顯示出TCP應(yīng)用和L3VPN應(yīng)用的詳細(xì)地址信息勾選后，登錄界面顯示手動安裝組件的鏈接組件下載鏈接第二十四頁，共37頁?？焖傩裕骶彺?.功能介紹

SSLVPN的流緩存功能是通過傳輸標(biāo)簽來代替數(shù)據(jù)包的傳輸。當(dāng)客戶端發(fā)起對SSLVPN的連接時，數(shù)據(jù)會被抓到ProxyIE控件里，然后通過流緩存控件對數(shù)據(jù)進(jìn)行匹配，若存在相同的數(shù)據(jù)，則使用標(biāo)簽代替實(shí)際數(shù)據(jù)進(jìn)行傳輸，當(dāng)數(shù)據(jù)到達(dá)SSLVPN設(shè)備時，將標(biāo)簽還原成實(shí)際數(shù)據(jù)后發(fā)給服務(wù)器。

通過使用SSLVPN的流緩存功能，能夠?qū)鬏斶^程中的重復(fù)數(shù)據(jù)進(jìn)行編碼壓縮，以大大減少傳輸所需帶寬和時間。注意事項(xiàng)：流緩存功能僅對TCP應(yīng)用有效第二十五頁，共37頁?？焖傩裕骶彺?.配置步驟（1）開啟流緩存序列號，激活流緩存模塊（2）啟用流緩存功能（3）設(shè)置流緩存策略組管理，讓個別用戶或者是用戶組關(guān)聯(lián)流緩存策略組，優(yōu)先啟用流緩存

。優(yōu)先啟用流緩存的目的是為了讓該用戶具有更高的流緩存優(yōu)先級。每個設(shè)備平臺的流緩存用戶并發(fā)數(shù)是固定的，如果超過這個值，優(yōu)先使用流緩存的用戶接入后，踢掉一個已有的普通流緩存用戶，自己搶占這個名額，則它將具有更快的訪問速度。第二十六頁，共37頁?？焖傩裕骶彺?.配置截圖（1）開啟流緩存序列號第二十七頁，共37頁?？焖傩裕骶彺?.配置截圖（2）啟用流緩存功能第二十八頁，共37頁?？焖傩裕骶彺?.配置截圖（3）設(shè)置流緩存策略組管理，針對個別用戶或者是用戶組關(guān)聯(lián)流緩存策略組用戶類型必須為私有用戶第二十九頁，共37頁?？焖傩裕骶彺孀⒁馐马?xiàng)1、流緩存功能只對TCP應(yīng)用有效，且只有私有用戶才能優(yōu)先啟用流緩存。2、對于沒有加速效果的資源，可以看一下系統(tǒng)是否有對數(shù)據(jù)進(jìn)行加密或者壓縮。3、啟用流緩存后，當(dāng)用戶訪問TCP應(yīng)用時，會自動在用戶的電腦上選擇系統(tǒng)剩余空間最大的分區(qū)根目錄下生成一個SvpnCacheData文件夾。第三十頁，共37頁。

通過優(yōu)化TCP協(xié)議，解決一些TCP協(xié)議本身的缺陷，來實(shí)現(xiàn)加速的效果。主要用于丟包大的情況下，效果十分明顯。該功能僅針對TCP協(xié)議生效。發(fā)起訪問網(wǎng)絡(luò)丟包嚴(yán)重啟用單邊加速快速性－TCP單邊加速第三十一頁，共37頁?？焖傩裕璗CP單邊加速配置思路：1.開啟單邊加速序列號；2.【系統(tǒng)設(shè)置】-【網(wǎng)絡(luò)傳輸優(yōu)化】-【傳輸優(yōu)化】，啟用TCP單邊加速。第三十二頁，共37頁。安全性－防中間人攻擊1.功能介紹中間人可以在網(wǎng)絡(luò)上攔截SSL通信的數(shù)據(jù)，扮演服務(wù)端應(yīng)答客戶端，同時扮演客戶端請求真實(shí)服務(wù)端，起到中間代理轉(zhuǎn)發(fā)數(shù)據(jù)的功能，達(dá)到攔截所有SSL通信數(shù)據(jù)的目的，從而進(jìn)行攻擊。防中間人攻擊能夠檢測并防止SSL中間人攻擊，識別當(dāng)前的SSL會話是否被中間人攻擊，保護(hù)數(shù)據(jù)的絕對安全。第三十三頁，共37頁。安全性－防中間人攻擊2.配置截圖啟用該功能后，用戶登錄時強(qiáng)制啟用圖形校驗(yàn)碼，并會強(qiáng)制安裝控件。啟用防中間人攻擊使用HTTP登錄時，從HTTP跳轉(zhuǎn)到HTTPS的時候，進(jìn)行SSLStrip攻擊檢查存在攻擊時的提示，若不存在攻擊，將直接跳轉(zhuǎn)到HTTPS登錄界面啟用圖形