SSL VPN移动安全接入策略
一、登陆策略
1、需求背景(【系统设置】-【系统选项】)
需求:
(1)接入端口可以自定义且支持HTTP 端口跳转到HTTPS端口
(2)登录页面自持自定义背景、logo等
(3)登录后支持统一跳转到OA系统,接 入SSL后不允许访问外网实现逻辑隔离
(4)只允许用户在指定时间段访问SSL, 其他时间不允许访问
(5)用户使用SSL VPN的行为能够审计下来保存180天满足合规要求。
2、SSL接入选项
1、SSL 接入端口默认是443端口,若需更换为其他端口,如4433等,即可直接在SSL设备
上进行修改。
2、支持添加多个端口为SSL的接入端口。
3、修改完成后,设备即会监听添加的HTTPS端口,从而可以使用此端口登录SSL
因为使用HTTPS协议开头需要把HTPPS带上,但是部分用户习惯输入域名不加协议,导致
部分用户无法打开SSL的接入页面。
此时启用HTTP端口即可解决这个问题,启用后使用HTTP端口打开SSL的页面会自动跳转到
HTTPS端口
3、主题管理
从主题商城中下载的主题可以可以自定义背景及LOGO;
主题上传到设备后可以更换页面标题、组织名称、登录前公告、登录后公告及主要显示的登录方式。
更换主题操作步骤
(1)在主题商城选择心仪的主题下载好后,若需更换LOGO、背景,即在我的下载中修改然后 再下载到电脑中保存
(2)登录SSL控制台在【系统设置】-【SSL VPN选项】-【主题管理】中点击新建,上传自定义主题
(3)设置页面标题、组织名称、登录前、登录后公告、默认登录方式等策略
(4) 在【系统设置】-【SSL VPN选项】-【主题管理】-【登录策略】中修改/*的默认策略(若有其他登录策略,选择对应的登录策略),选择页面主题为自定义设置的主题
(5)最后点击立即生效,刷新登录页面即可
注:若只需把默认主题更换为系统主题1-4中的一个,只需进行上述4-5步即可
5、登录策略
登录策略适用于多个门户场景、即只允许A组的用户通过地址1登录,B组的用户通过地址2登 录的场景;也可设置地址1和地址2的登录页面不同。
使用方法:
同个IP,不同的端口接入SSL以实现不同的登录地址
多个IP,同个端口接入SSL以实现不同的登录地址
多个IP、多个端口接入SSL以实现不同的登录地址
配置方法
(1)在网络配置或接入选项中添加多个IP或多个HTTPS接入端口
(2)在【系统设置】-【SSL VPN选项】-【主题管理】-【登录策略】中新建登录策略,设置 访问地址,如地址1为https://192.200.244.115,适用于组A登录;地址2为
(3)配置完成后,点击立即生效即可
注:
新建登录策略后,会关闭HTTP端口,若有使用分布式集群、多线路选路、及其他使用HTTP端口的场景请酌情配置。
二、策略组管理
1、策略组(【SSL VPN】-【策略组管理】)
策略组用来设置用户的接入VPN的安全策略。包括以下内容:
客户端选项、帐号控制、远程应用、访问策略和EMM。
策略组设置完成后,需被用户或者用户组关联才生效。
根据需求的不同,可设置不同的策略组分别与用户/用户组关联。
2、客户端选项
**(1)隐私保护:**用户退出SSL VPN后, 客户端电脑自动清除缓存文件, cookies和浏览历史等。
(2)**带宽会话限制:**为了防止某用户接 入SSL VPN耗费了大量的带宽和服务器资源,可对客户端进行带宽和会话限制。
(3)**允许接入的客户端类型:**提供接入客户端类型的精细化设置,管理员可根据实际情况开启接入的类型,其他方式即使通过认证也无法接入SSL VPN。
(4)允许使用PPTP/L2TP方式接入:允许手机用户通过系统自带的PPTP VPN接入和访问资源。
(5)SSL专线:用户接入SSL VPN后,不允许上外网,只能访问发布的SSL资源和白名单内的地址。
(6)每个用户可拥有的硬件特征码个数:用户拥有的硬件特征码个数。
3、帐号控制
(1)帐号控制选项:可设置接入SSL VPN的策略,如:Windows系统使用的类型为系统托盘或悬浮框;SSL VPN接入时间段;用户多久未登录自动禁用等。
(2)超时注销设置:可设置PC端、移动端接入SSL后无流量自动注销时间。
(3)允许私有用户自行修改以下信息:是否允许私有用户可以修改密码、描述、手机号等。
4、访问策略
(1)用户登录后跳转:用户登录后,自动跳转到指定页面。
(2)访问资源时,记录用户访问日志:配合日志中心记录用户的访问日志。
(3)禁止访问的WEB资源:在WEB VPN场景下使用,设置后无法访问指定的资源,仅对WEB资源生效。
三、外置数据中心搭建
1、安装条件
操作系统:Cent OS 7(x64)
CPU、内存:8核8G
磁盘空间:以下表格做参考
2、安装Cent OS
如果希望有图形化页面,方便操作可以选"GNOME桌面"的方式,若不需要图形化页面,使用命令行操作,可以选择"基础设施服务器"的方式。
需创建/data和/history分区,/data存放SSL日志(容量根据日志量大小)、/history存放外置数据中心自身日志(2G)
3、安装外置数据中心
rpm -i 数据中心文件的绝对路径
安装完成后,可执行netstat -tnlp | grep 514查看是否514是否监听判断是否安装成功
注意:数据中心会占用TCP 1087、1081、4430、4431、514端口,所以在安装前需要保证这几个 端口没有被占用。如果端口被占用,安装数据中心时会提示报错,安装退出。 需有/data分区,且文件系统需ext3,不然有告警,可继续安装(不建议,不然导致后续不好扩容)
4、登录外置数据中心
5、数据中心与SSL对接
新版外置数据中心使用TCP 514端口对接 使用syslog协议
6、常见问题
恢复密码
进入Cent OS系统中,在命令行中执行以下命令:
rm /usr/local/share/sangfor/DapDatacenter/dap_root_service/config/dap/admin-account.json
rm /usr/local/share/sangfor/DapDatacenter/dap_root_service/config/dap/admin-lock- account.json
systemctl restart DapRootService
再次登录即可使用admin/admin登录
升级外置数据中心
rpm -Uvh 数据中心安装包所在绝对路径
例如 rpm -Uvh /tmp/SSLVPN-datacenter1.0.0\(20191231\).rpm
卸载数据中心
rpm -e --nodeps sangfor_dap_datacenter
注意:卸载之后可能会有警告信息,不影响数据中心的卸载。
数据中心卸载数据不会丢失。
同步周期
如果对接正确,日志产生后,需要等待1-2分钟,日志才能在数据中心内显示。
导入虚拟化镜像root密码
Cent OS的帐号:root 密码:sangfor123
集群部署
集群环境下,对接外置数据中心,外置数据中心的允许接收IP填写每台节点的IP而非集群IP。