SSL VPN移动安全接入策略

一、登陆策略

1、需求背景（【系统设置】-【系统选项】）

需求：

（1）接入端口可以自定义且支持HTTP 端口跳转到HTTPS端口

（2）登录页面自持自定义背景、logo等

（3）登录后支持统一跳转到OA系统，接 入SSL后不允许访问外网实现逻辑隔离

（4）只允许用户在指定时间段访问SSL， 其他时间不允许访问

（5）用户使用SSL VPN的行为能够审计下来保存180天满足合规要求。

2、SSL接入选项

1、SSL 接入端口默认是443端口，若需更换为其他端口，如4433等，即可直接在SSL设备

上进行修改。

2、支持添加多个端口为SSL的接入端口。

3、修改完成后，设备即会监听添加的HTTPS端口，从而可以使用此端口登录SSL

因为使用HTTPS协议开头需要把HTPPS带上，但是部分用户习惯输入域名不加协议，导致

部分用户无法打开SSL的接入页面。

此时启用HTTP端口即可解决这个问题，启用后使用HTTP端口打开SSL的页面会自动跳转到

HTTPS端口

3、主题管理

SSL设备内置四套不同的主题，可供选择，更多主题可以前往主题商城http://shop.sangfor.com.cn/ssl下载更多主题。

从主题商城中下载的主题可以可以自定义背景及LOGO；

主题上传到设备后可以更换页面标题、组织名称、登录前公告、登录后公告及主要显示的登录方式。

更换主题操作步骤

（1）在主题商城选择心仪的主题下载好后，若需更换LOGO、背景，即在我的下载中修改然后 再下载到电脑中保存

（2）登录SSL控制台在【系统设置】-【SSL VPN选项】-【主题管理】中点击新建，上传自定义主题

（3）设置页面标题、组织名称、登录前、登录后公告、默认登录方式等策略

（4） 在【系统设置】-【SSL VPN选项】-【主题管理】-【登录策略】中修改/*的默认策略（若有其他登录策略，选择对应的登录策略），选择页面主题为自定义设置的主题

（5）最后点击立即生效，刷新登录页面即可

注：若只需把默认主题更换为系统主题1-4中的一个，只需进行上述4-5步即可

5、登录策略

登录策略适用于多个门户场景、即只允许A组的用户通过地址1登录，B组的用户通过地址2登 录的场景；也可设置地址1和地址2的登录页面不同。

使用方法：

同个IP，不同的端口接入SSL以实现不同的登录地址

多个IP，同个端口接入SSL以实现不同的登录地址

多个IP、多个端口接入SSL以实现不同的登录地址

配置方法

（1）在网络配置或接入选项中添加多个IP或多个HTTPS接入端口

（2）在【系统设置】-【SSL VPN选项】-【主题管理】-【登录策略】中新建登录策略，设置 访问地址，如地址1为https://192.200.244.115，适用于组A登录；地址2为

https://192.200.244.115:4433，适用于组B登录。

（3）配置完成后，点击立即生效即可

注：

新建登录策略后，会关闭HTTP端口，若有使用分布式集群、多线路选路、及其他使用HTTP端口的场景请酌情配置。

若有使用域名的接入场景且移动端也需接入，则配置域名接入的策略后，需要新建一条域名解析后的IP的策略如：https://ssl.sangfor.com允许组A接入，则还需配置 https://23.23.123.4允许组A接入，否则移动端接入使用会有异常。

二、策略组管理

1、策略组（【SSL VPN】-【策略组管理】）

策略组用来设置用户的接入VPN的安全策略。包括以下内容：

客户端选项、帐号控制、远程应用、访问策略和EMM。

策略组设置完成后，需被用户或者用户组关联才生效。

根据需求的不同，可设置不同的策略组分别与用户/用户组关联。

2、客户端选项

**（1）隐私保护：**用户退出SSL VPN后， 客户端电脑自动清除缓存文件， cookies和浏览历史等。

（2）**带宽会话限制：**为了防止某用户接 入SSL VPN耗费了大量的带宽和服务器资源，可对客户端进行带宽和会话限制。

（3）**允许接入的客户端类型：**提供接入客户端类型的精细化设置，管理员可根据实际情况开启接入的类型，其他方式即使通过认证也无法接入SSL VPN。

（4）允许使用PPTP/L2TP方式接入：允许手机用户通过系统自带的PPTP VPN接入和访问资源。

（5）SSL专线：用户接入SSL VPN后，不允许上外网，只能访问发布的SSL资源和白名单内的地址。

（6）每个用户可拥有的硬件特征码个数：用户拥有的硬件特征码个数。

3、帐号控制

（1）帐号控制选项：可设置接入SSL VPN的策略，如：Windows系统使用的类型为系统托盘或悬浮框；SSL VPN接入时间段；用户多久未登录自动禁用等。

（2）超时注销设置：可设置PC端、移动端接入SSL后无流量自动注销时间。

（3）允许私有用户自行修改以下信息：是否允许私有用户可以修改密码、描述、手机号等。

4、访问策略

（1）用户登录后跳转：用户登录后，自动跳转到指定页面。

（2）访问资源时，记录用户访问日志：配合日志中心记录用户的访问日志。

（3）禁止访问的WEB资源：在WEB VPN场景下使用，设置后无法访问指定的资源，仅对WEB资源生效。

三、外置数据中心搭建

1、安装条件

操作系统：Cent OS 7（x64）

Cent OS下载地址：https://www.centos.org/download/mirrors/

CPU、内存：8核8G

磁盘空间：以下表格做参考

2、安装Cent OS

如果希望有图形化页面，方便操作可以选"GNOME桌面"的方式，若不需要图形化页面，使用命令行操作，可以选择"基础设施服务器"的方式。

需创建/data和/history分区，/data存放SSL日志（容量根据日志量大小）、/history存放外置数据中心自身日志（2G）

3、安装外置数据中心

rpm -i 数据中心文件的绝对路径

安装完成后，可执行netstat -tnlp | grep 514查看是否514是否监听判断是否安装成功

注意：数据中心会占用TCP 1087、1081、4430、4431、514端口，所以在安装前需要保证这几个 端口没有被占用。如果端口被占用，安装数据中心时会提示报错，安装退出。 需有/data分区，且文件系统需ext3，不然有告警，可继续安装（不建议，不然导致后续不好扩容）

4、登录外置数据中心

安装完成后，使用https://数据中心服务器IP:4430即可打开数据中心，默认密码admin/admin

5、数据中心与SSL对接

新版外置数据中心使用TCP 514端口对接 使用syslog协议

6、常见问题

恢复密码

进入Cent OS系统中，在命令行中执行以下命令：

rm /usr/local/share/sangfor/DapDatacenter/dap_root_service/config/dap/admin-account.json

rm /usr/local/share/sangfor/DapDatacenter/dap_root_service/config/dap/admin-lock- account.json

systemctl restart DapRootService

再次登录即可使用admin/admin登录

升级外置数据中心

rpm -Uvh 数据中心安装包所在绝对路径

例如 rpm -Uvh /tmp/SSLVPN-datacenter1.0.0\(20191231\).rpm

卸载数据中心

rpm -e --nodeps sangfor_dap_datacenter

注意：卸载之后可能会有警告信息，不影响数据中心的卸载。

数据中心卸载数据不会丢失。

同步周期

如果对接正确，日志产生后，需要等待1-2分钟，日志才能在数据中心内显示。

导入虚拟化镜像root密码

Cent OS的帐号：root 密码：sangfor123

集群部署

集群环境下，对接外置数据中心，外置数据中心的允许接收IP填写每台节点的IP而非集群IP。