SSL VPN移动安全接入策略

发布时间:2023年12月29日

一、登陆策略

1、需求背景(【系统设置】-【系统选项】)

需求:

(1)接入端口可以自定义且支持HTTP 端口跳转到HTTPS端口

(2)登录页面自持自定义背景、logo等

(3)登录后支持统一跳转到OA系统,接 入SSL后不允许访问外网实现逻辑隔离

(4)只允许用户在指定时间段访问SSL, 其他时间不允许访问

(5)用户使用SSL VPN的行为能够审计下来保存180天满足合规要求。

2、SSL接入选项

1、SSL 接入端口默认是443端口,若需更换为其他端口,如4433等,即可直接在SSL设备

上进行修改。

2、支持添加多个端口为SSL的接入端口。

3、修改完成后,设备即会监听添加的HTTPS端口,从而可以使用此端口登录SSL

  • 因为使用HTTPS协议开头需要把HTPPS带上,但是部分用户习惯输入域名不加协议,导致

  • 部分用户无法打开SSL的接入页面。

  • 此时启用HTTP端口即可解决这个问题,启用后使用HTTP端口打开SSL的页面会自动跳转到

  • HTTPS端口

3、主题管理

  • SSL设备内置四套不同的主题,可供选择,更多主题可以前往主题商城http://shop.sangfor.com.cn/ssl下载更多主题。

  • 从主题商城中下载的主题可以可以自定义背景及LOGO;

  • 主题上传到设备后可以更换页面标题、组织名称、登录前公告、登录后公告及主要显示的登录方式。

更换主题操作步骤

(1)在主题商城选择心仪的主题下载好后,若需更换LOGO、背景,即在我的下载中修改然后 再下载到电脑中保存

(2)登录SSL控制台在【系统设置】-【SSL VPN选项】-【主题管理】中点击新建,上传自定义主题

(3)设置页面标题、组织名称、登录前、登录后公告、默认登录方式等策略

(4) 在【系统设置】-【SSL VPN选项】-【主题管理】-【登录策略】中修改/*的默认策略(若有其他登录策略,选择对应的登录策略),选择页面主题为自定义设置的主题

(5)最后点击立即生效,刷新登录页面即可

注:若只需把默认主题更换为系统主题1-4中的一个,只需进行上述4-5步即可

5、登录策略

登录策略适用于多个门户场景、即只允许A组的用户通过地址1登录,B组的用户通过地址2登 录的场景;也可设置地址1和地址2的登录页面不同。

使用方法:

  • 同个IP,不同的端口接入SSL以实现不同的登录地址

  • 多个IP,同个端口接入SSL以实现不同的登录地址

  • 多个IP、多个端口接入SSL以实现不同的登录地址

配置方法

(1)在网络配置或接入选项中添加多个IP或多个HTTPS接入端口

(2)在【系统设置】-【SSL VPN选项】-【主题管理】-【登录策略】中新建登录策略,设置 访问地址,如地址1为https://192.200.244.115,适用于组A登录;地址2为

https://192.200.244.115:4433,适用于组B登录。

(3)配置完成后,点击立即生效即可

注:

  • 新建登录策略后,会关闭HTTP端口,若有使用分布式集群、多线路选路、及其他使用HTTP端口的场景请酌情配置。

  • 若有使用域名的接入场景且移动端也需接入,则配置域名接入的策略后,需要新建一条域名解析后的IP的策略如:https://ssl.sangfor.com允许组A接入,则还需配置 https://23.23.123.4允许组A接入,否则移动端接入使用会有异常。

二、策略组管理

1、策略组(【SSL VPN】-【策略组管理】)

策略组用来设置用户的接入VPN的安全策略。包括以下内容

客户端选项、帐号控制、远程应用、访问策略和EMM。

策略组设置完成后,需被用户或者用户组关联才生效。

根据需求的不同,可设置不同的策略组分别与用户/用户组关联。

2、客户端选项

(1)隐私保护:用户退出SSL VPN后, 客户端电脑自动清除缓存文件, cookies和浏览历史等。

(2)带宽会话限制:为了防止某用户接 入SSL VPN耗费了大量的带宽和服务器资源,可对客户端进行带宽和会话限制。

(3)允许接入的客户端类型:提供接入客户端类型的精细化设置,管理员可根据实际情况开启接入的类型,其他方式即使通过认证也无法接入SSL VPN。

(4)允许使用PPTP/L2TP方式接入:允许手机用户通过系统自带的PPTP VPN接入和访问资源。

(5)SSL专线:用户接入SSL VPN后,不允许上外网,只能访问发布的SSL资源和白名单内的地址。

(6)每个用户可拥有的硬件特征码个数:用户拥有的硬件特征码个数。

3、帐号控制

(1)帐号控制选项:可设置接入SSL VPN的策略,如:Windows系统使用的类型为系统托盘或悬浮框;SSL VPN接入时间段;用户多久未登录自动禁用等。

(2)超时注销设置:可设置PC端、移动端接入SSL后无流量自动注销时间。

(3)允许私有用户自行修改以下信息:是否允许私有用户可以修改密码、描述、手机号等。

4、访问策略

(1)用户登录后跳转:用户登录后,自动跳转到指定页面。

(2)访问资源时,记录用户访问日志:配合日志中心记录用户的访问日志。

(3)禁止访问的WEB资源:在WEB VPN场景下使用,设置后无法访问指定的资源,仅对WEB资源生效。

三、外置数据中心搭建

1、安装条件

操作系统:Cent OS 7(x64)

Cent OS下载地址:https://www.centos.org/download/mirrors/

CPU、内存:8核8G

磁盘空间:以下表格做参考

2、安装Cent OS

如果希望有图形化页面,方便操作可以选“GNOME桌面”的方式,若不需要图形化页面,使用命令行操作,可以选择“基础设施服务器”的方式。

需创建/data和/history分区,/data存放SSL日志(容量根据日志量大小)、/history存放外置数据中心自身日志(2G)

3、安装外置数据中心

rpm -i 数据中心文件的绝对路径

安装完成后,可执行netstat -tnlp | grep 514查看是否514是否监听判断是否安装成功

注意:数据中心会占用TCP 1087、1081、4430、4431、514端口,所以在安装前需要保证这几个 端口没有被占用。如果端口被占用,安装数据中心时会提示报错,安装退出。 需有/data分区,且文件系统需ext3,不然有告警,可继续安装(不建议,不然导致后续不好扩容)

4、登录外置数据中心

安装完成后,使用https://数据中心服务器IP:4430即可打开数据中心,默认密码admin/admin

5、数据中心与SSL对接

新版外置数据中心使用TCP 514端口对接 使用syslog协议

6、常见问题

恢复密码

进入Cent OS系统中,在命令行中执行以下命令:

  • rm /usr/local/share/sangfor/DapDatacenter/dap_root_service/config/dap/admin-account.json

  • rm /usr/local/share/sangfor/DapDatacenter/dap_root_service/config/dap/admin-lock- account.json

  • systemctl restart DapRootService

  • 再次登录即可使用admin/admin登录

升级外置数据中心

rpm -Uvh 数据中心安装包所在绝对路径

例如 rpm -Uvh /tmp/SSLVPN-datacenter1.0.0\(20191231\).rpm

卸载数据中心

rpm -e --nodeps sangfor_dap_datacenter

注意:卸载之后可能会有警告信息,不影响数据中心的卸载。

数据中心卸载数据不会丢失。

同步周期

如果对接正确,日志产生后,需要等待1-2分钟,日志才能在数据中心内显示。

导入虚拟化镜像root密码

Cent OS的帐号:root 密码:sangfor123

集群部署

集群环境下,对接外置数据中心,外置数据中心的允许接收IP填写每台节点的IP而非集群IP。

文章来源:https://blog.csdn.net/weixin_53946822/article/details/135142346
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。