1.概述 1.1 SSL 312 简介 NETGEAR ProSafe SSL ××× Concentrator SSL312为用户人数多达100人的中小型企业提供了一种易于使用,可靠和低价格的远程接入方案。SSL 312使用安全套接层协议(SSL),支持所有标准的网络浏览器,与现有的防火墙体系架构无缝整合,提供符合工业标准的接入访问方式和保障。直观,自定义的用户登陆界面以及即插即用的安装方式让SSL312可以非常简单有效地部署。 NETGEAR ProSafe SSL312能支持25个并发用户同时访问公司网络。远程用户可以安全的登陆网络而使用的电脑不会被公司的IT部门控制或管理。SSL312的优势包括:
- 安全性—SSL312使用SSL Version3.0 和 TLS Version 1.0版本的安全套阶层协议来保障传输数据的私密性。通过采用遵从工业标准的安全协议,例如DES,3DES,AES-256,SSL312支持使用MD5和SHA-1的方式来保障数据穿过互联网的机密性。SSL312还可以在用户注销后清除系统缓存,保障用户数据的私密性。
- 自定义的登陆界面—管理员可以为终端用户设置和定义特定和易于使用的登陆界面,细粒度策略配置工具使管理员能全面控制单个用户访问具体网络的资源。
- 成本效益化—SSL312支持基于网页的接入,避免了在每台电脑上安装,设置和维护客户端软件的高费用。数据显示,在一个用户客户端上的花费,基于SSL的解决方案每年能为企业节省100到300美元。
- 易于管理—只要有标准的网络浏览器,SSL在任何地点都可以使用,包括书报亭和杂货店,所以用户不需要使用公司电脑就可以访问公司资源。管理员不需要安装客户端软件就已经可以接入和远程控制员工的桌面。
TOP 1.2 SSL ×××网络拓扑图 SSL ×××设备,一般放置在防火墙后面,Netgear的SSL ×××设备暂时只支持单臂结构,单臂结构一般不改变企业的网络拓扑结构,只需将一个Ethernet接口连接到防火墙或交换机上,具有简单易部署的特点。拓朴图如下所示: 1.3.SSL 312 配置概述 拿到一台Netgear SSL 312 设备,一般需要经过如下几个配置成一个SSL ×××系统。
- 了解用户的拓扑结构,DNS系统、应用的大概情况,确定SSL ×××拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSL ×××实现的方式。
- 将SSL 312接入到网络,将对SSL 312的基本信息进行配置,包括接口IP地址配置、路由配置等。
注意:SSL 312的Ethernet1端口的默认IP地址是192.168.1.1,而很多局域网的IP网段都是192.168.1.0/24的网段,因此,建议在把SSL 312接入你的局域网前请先更改SSL 312的IP地址,并确保与本地局域网的IP地址不产生冲突。
- 建立一个SSL ×××门户(Portal Layouts)和域。并根据用户的实际需要,通过配置SSL ×××选择合适的应用。
- 创建新的用户和用户组,并应用到相应的域;
- 配置防火墙,使Internet的远程用户能访问到SSL ×××设备。
- 远程用户通过标准浏览器访问SSL312
TOP 2.SSL 312基本配置及安装 2.1.登录SSL 312 SSL 312的Ethernet1端口的默认IP地址是192.168.1.1,而很多局域网的IP网段都是192.168.1.0/24的网段,因此,建议在把SSL 312接入你的局域网前请先更改SSL 312的IP地址,并确保与本地局域网的IP地址不产生冲突。 将你的SSL312 Ethernet1端口通过双绞线直接连接到你的电脑上,并把你的电脑的IP地址更改为:IP地址:192.168.1.2,子网掩码:255.255.255.0 打开Internet Explorer,然后输入https://192.168.1.1,如下图所示: 输入用户名和密码,点击Login即可进行SSL312的欢迎界面。默认的用户名和密码分别为:admin和password.。 点击System Configuration>Network,在Interfaces>Ethernet Port1选项下填写规划的IP地址和子网掩码,本例设置的IP地址为192.168.1.250/24,并点击"Apply"即可。 系统弹出以下页面,提供是否更改SSL ×××配置并重新启动。 点确定后SSL312将重新启动。 TOP 2.2.防火墙的设置 SSL 312一般放置在防火墙或路由器后面,因此我们必须把防火墙或路由器的443端口(https协议)映射到内部的SSL 312的IP地址(关于防火墙的端口映射配置说明请参照相关的技术文档),并务必在SSL 312设置默认的路由。 设置默认路由可通过管理员身份进入管理界面,在System Configuration管理菜单上选中Network,进入Network的页面后选中Static Routes按钮,如下图所示: 在Default Gateway Address输入防火墙的网关,如本例输入192.168.1.1,并在Interface选中对应的SSL312端口,并点击Apply应用即完成默认路由的添加,如下图所示: 3.Portal Layouts和Domain的创建 3.1.Portal Layouts的建立 Portal Layouts是远程用户通过标准的浏览器访问企业内部网资源的门户,现在,我们首先建立一个SSL ×××的Portal Layouts,输入该SSL ×××的IP地址,选中SSL ××× Portal>Portal Layouts,点击Add Layout按钮。 然后填入相关的信息,如下图所示: Portal Layout Name :输入Portal Layout的名字 Portal Site Title: 输入Portal Layout门户的标题 Banner Title:输入图标标题 Banner Message:输入图标的信息 Display Banner message on login page:选中后在登录页面上将显示图标 HTTP meta tags for cache control(recommended):选中该项,Portal Layout页面将清除浏览器cache的内容。 注意:强烈建议用户Enable 该“HTTP meta tags for cache control选项”,以防止过去的页面和数据停留在Web浏览器的Cache里。 ActiveX Web Cache Cleaner:选中后,每次当用户登陆到SSL ××× portal页面自动加截ActiveX控件。 Portal URL: https://192.168.1.250/portal/$PORTAL$:该地址为门户(Portal Layout)的登陆地址,需要创建门户后重新登陆到Portal Layout后才能查看详细的登陆地址,管理员需将该地址提供给用户进行登陆。 Upload Banner:该按钮用于上传企业Logo标记,单击该按钮,弹出如下图所示: 点击浏览选取Logo所在的目录,然后点击Upload上传即可。 注意:
- 上传的Logo图标应小于10K
- 大小为612*85
下面的选项可根据实际情况进行选择,具体说明将在下面的章节进一步描述。 TOP 3.2.创建新的域 在Access Administration管理菜单下选中Domains>Add Domain,出现以下画面,如下图所示: 在该页面填入相应的信息: 在Authentication Type选中Local User Database 在Domain Name中填入新的域名名称,如Mydomain 在Portal Layout Name中选中刚才增加的Portal Layouts的名称,如刚才我们创建了Netgear Portal Layout,如下图所示: 点击Apply应用后即创建完新的域。 TOP 4.组和用户的创建 4.1.创建新的组 在Access Administration的管理菜单上选中Users and Groups进入Users and Groups设置页面,点击Add Group 增加组,如下图所示: 在Group Name输入组的名称,如本例输入Group_1,Domains中选中刚才创建的域MyDomain,如下图所示: 点Apply完成组的增加。 TOP 4.2.创建新的用户 在Access Administration的管理菜单上选中Users and Groups进入Users and Groups设置页面,点击Add User 增加组,如下图所示: 在User Name里输入用户名,如本例输入User1 在Group里选中对应的组,如本例选中刚才创建的用组Group_1 点Apply应用后出现新的对话框,如下图所示: 在Password和Confirm Password输入用户名的密码, 在User Type中选择用户名的类型,一般的用户只需选User即可。 点Apply应用即完成用户名的添加。 TOP 5.远程访问网上邻居 5.1.远程用户的登陆 经以上几个步骤的操作,我们已经创建了相应的Portal Layouts、域、组和用户。现在我们可以让远程用户进行登录了。 在SSL ××× Portal管理菜单中,点击Portal Layouts进入Portal Layouts的设置页面,点击刚才创建的Portal Layout名字,如本例中的"Netgear"。 在Portal Layout设置页面,我们可以查看到用户的登陆网址,如下: Portal URL:https://IP/portal/Netgear 打开Internet Exployer,并输入上面的地址并登录,如下图所示: 输入用户名和密码后,即出现欢迎页面,如下图所示: TOP 5.2.建立×××隧道 登陆到SSL312后,我们需要建立××× Tunnel后才能访问企业内部网的资源。第一次连接到SSL 312时Internet Explorer提示下载一个ActiveX控件(<64K),单击NG×××Tunnel.cab即对ActiveX控件进行下载并安装,安装完ActiveX控件并建立连接后,一个×××隧道能提供一个完全类似于IPSEC的×××连接。如下图所示: Active控件安装完后会创建一个将类似IPSEC连接传递到企业网络的PPP适配器。点击××× Tunnel页面的Connect using ××× Tunnel,Internet Explorer提示需要安装××× Tunnel NGSSLDrv Adapter,点击仍然继续,如下图所示: 安装完成后,我们可以在Windows 的右下角看到一个图标,如下图所示: 双击该图标将弹出××× Tunnel的连接状态,此时远程用户已与SSL 312建立了×××的连接,并从SSL 312获得一个IP地址:192.168.251.2,如下图所示: TOP 5.3.访问网上邻居用户 建立×××连接后,远程用户即可以访问企业内部网的资源,点击Network Places,即通过Internet Explorer弹出网上邻居的工作组,只要网上邻居的用户共享了文件资源,远程用户即可以象本地局域网用户一样访问本地的文件资源,如下图所示: 6.端口转发 6.1.SSL 312端口转发的配置 端口转发功能提供各种不同应用的连接。例如电子邮件和被映射的网络驱动器,使用端口转发后就好像在公司内网使用一样。 注意:端口转发只支持TCP协议,不支持UDP或者其他IP协议。 实现端口转发功能首先需通过管理员配置SSL 312。通过管理员身份进入到SSL 312,在Access Administration管理菜单中找到Port Forwarding,点击Port Forwarding即进入端口转发的设置页面,如下图所示: 在IP Address处输入要实现端口转发的局域网IP地址 在TCP Port输入要转发的端口 点击Apply应用即可。 TOP 6.2.远程用户端实现端口转发 远程用户端通过端口转发访问局域网内部资源时,需先安装好端口转发的插件 点击Port Forwarding进入Port Forwarding的设置页面,点击Connect using Port Forwarding,出现以下画面,点击安装即可。如下图: 安装完后,Windows右下角出有一个小图标,如下图所示: 现在我们可以通过在远程用户端通过内网的IP地址实现对应的应用程序访问。如本例中可以能过IE浏览器访问192.168.1.1的80端口,登陆到防火墙的管理页面,其它应用程序相同。 双击该图标可显示端口转发的状态。如下图所示: TOP 7.应用程序的应用 7.1.SSL 312应用程序的设置 通过管理员身份进入到SSL 312的管理界面,点击Portal Layouts并选中对应的Portal Layouts名称,进入到该Portal Layouts的设置页面, 在Add A Terminal Services Application设置页面,并根据实际情况输入对应的信息: 在Application Description中输入应用程序的名称 在Application and Path中输入服务器中安装的应用程序绝对路径 在Icon Image中选取图标 在Host Address(Optional)中输入服务器的IP地址,点击Add Application进行添加相应的程序,添加完后点击Apply应用即可,如下图所示: TOP 7.2.远程用户访问应用程序 建立×××连接后,远程用户即可以通过登陆到SSL312的欢迎界面并对配置好的应用程序进行实时访问。 注:在建立×××连接之前,用户需启用Windows操作系统的远程桌面的功能。 在SSL ××× Portal管理菜单中点击Applications进入设置页面,单击要启用的应用程序图标,出现如下界面: 点击Apply应用后即出现服务器的远程登陆桌面,如下图所示: 输入用户名和密码后即可打开相应的应用程序。如下图所示: TOP 8.实用程序(Telnet、SSH、FTP)的应用 8.1.SSL 312实用程序的设置 通过管理员身份进入到SSL 312的管理界面,点击Portal Layouts找到Services Page并选中相应的程序后Apply应用即可。如下图所示: 8.2.Telnet 的应用 建立×××连接后,远程用户即可以通过登陆到SSL312的欢迎界面并对配置好的应用程序进行实时访问。 点击Utilities设置页面的Telnet,单击Telnet,出现新的框,在Address输入服务器的地址,点击Apply应用即可。 输入服务器的IP地址,点Apply应用后即出现telnet的画面,如下图所示: TOP 8.3.SSH的应用 建立×××连接后,远程用户即可以通过登陆到SSL312的欢迎界面并对配置好的应用程序进行实时访问。 点击Utilities设置页面的Telnet,单击SSH,出现新的框,在Address输入服务器的地址,点击Apply应用,IE弹出认证的框“SSH Authortration reguired”,如下图所示: 输入用户名和密码然后点击Login即可登陆进SSH远程登陆界面,如下图所示: TOP 8.4.FTP的应用 建立×××连接后,远程用户即可以通过登陆到SSL312的欢迎界面并对配置好的应用程序进行实时访问。 点击Utilities设置页面的Telnet,单击FTP,出现新的框,如下图所示。 在Server Name/Address输入FTP服务器的IP地址; 在User name输入FTP的用户名 在Password输入FTP的密码 点击Apply 应用后即可访问FTP的文件资源,如下图所示: TOP 9.远程接入 9.1.SSL312远程接入配置 通过管理员身份进入到SSL 312的管理界面,点击对应的Portal Layouts找到DesktopPage并选中相应的程序后Apply应用即可。如下图所示: 9.2.Microsoft Terminal Services的应用 远程用户登陆到SSL 312的欢迎界面后,点击Remote Access进入远程接入设置页面,建立×××隧道后,点击Terminal Services ActiveX,在出现的框中输入相应的信息,如下图所示: 在Address中输入要登录的PC的IP地址; 在Desktop Size选择分辩率; 点击Apply应用即弹出登陆Windows的界面,如下图所示: TOP 9.3.VNC的应用 VNC(virtual network computing),是一种远程控制的技术,简单来说,VNC可以通过网络或者Internet上远程访问计算机,并将显示到本地终端,甚至可以通过键盘和鼠标进行操作。VNC已应用到很多的远程的商业电脑上。 使用VNC,你需要在本地服务器上或在公司网络上安装VNC server,有几种免费的VNC server应用程序可以利用,包括:Real×××和TightVNC。在本例中采用了Real×××。 你可以把VNC server下载并安装到你的Windows,Linux或UNIX服务器上或者笔记本上。确保运行该软件在server模式下--你应该可以看到VNC的图标在你Windows的任务栏上,VNC server默认运行在5900端口上,你也可以通过配置××× server的密码增加系统的安全性。 远程用户登陆到SSL 312的欢迎界面后,点击Remote Access进入远程接入设置页面,建立×××隧道后,点击Virtual Network Computing,在出现的框中输入相应的信息,如下图所示: 在弹出的框VNC Authentication中输入密码,点OK后即可进入Windows的远程登陆界面,通过Windows的用户名和密码即可远程登陆并管理,如下图所示: TOP 10.设备管理 10.1.系统概览 Netgear的SSL ××× 自身的设备管理和监控方式非常简便,管理员第一次登陆到SSL312的管理界面时即可以看到SSL ×××设备的系统状态,管理员也可以通过点击Monitoring管理菜单的Status查看,如下图所示: 在该页面我们可以看到SSL 312的软件版本、内存、内存的利用率、CPU利用率等,另外可以看到SSL 312的启动时间和工作时间,以太网端口1和端口2的IP地址。 10.2.日志系统 Netgear的SSL ×××设备详细纪录了各用户登陆的时间、源IP地址、目标地址、用户名和相关信息,以方便管理员的查看,如下图所示: 10.3.设备排错 SSL ×××内置了简单的排错工具,如Ping和Traceroute,管理员可根据内置的排错工具找出问题原因,解决问题故障并做好预防问题出现的措施。 管理员通过点击Monitoring管理菜单的Diagnostics即可以进入Diagnostics页面,如下图所示: |