,或者单击添加用户按钮以创建新用户。随即显示编辑用户窗口。SSL_VPN
本章介绍如何配置 Dell SonicWALL 安全设备上的 SSL VPN 功能。Dell SonicWALL 的 SSL VPN 功能利用 NetExtender 客户端实现对网络的安全远程访问。
NetExtender 是一种用于 Windows、Mac 或 Linux 用户的 SSL VPN 客户端,透明下载,支持用户在公司网络上安全运行任何应用程序。它使用点对点协议 (PPP)。NetExtender 允许远程客户端无缝访问本地网络上的资源。用户可通过两种方式访问 NetExtender:
• 登录 Dell SonicWALL 安全设备提供的虚拟办公室 Web 门户,单击 NetExtender 按钮。
• 启动独立的 NetExtender 客户端。
NetExtender 独立客户端在您首次启动 NetExtender 时安装。然后,通过 Windows 系统的“开始”菜单,MacOS 系统的应用程序文件夹或 Dock,或者 Linux 系统的路径名或快捷方式栏,就可以访问它。
本章包含以下章节:
– 访问 Dell SonicWALL SSL VPN 门户
本节介绍 SonicOS 增强 SSL VPN NetExtender 的功能。本节包含以下子节:
• 优点
Dell SonicWALL 的 SSL VPN NetExtender 功能是一种用于 Windows、Mac 和 Linux 用户的透明软件应用程序,支持远程用户安全连接到远程网络。利用 NetExtender,远程用户可以安全地在远程网络上运行任何应用程序。用户可以上传下载文件,安全网络驱动器,访问资源,如同在本地网络上一样。NetExtender 连接使用点对点协议 (PPP)。
NetExtender 令远程用户能够全权访问受保护的内部网络。体验几乎与使用传统的 IPSec VPN 客户端完全相同,但 NetExtender 不需要手动安装客户端。相反,NetExtender Windows 客户端是通过 ActiveX 控件(使用 Internet Explorer 浏览器时)或 XPCOM 插件(使用 Firefox 时)自动安装到远程用户的 PC 上。在 MacOS 系统上,支持的浏览器使用 Java 控件从虚拟办公室门户自动安装 NetExtender。Linux 系统也可以安装和使用 NetExtender 客户端。
安装后,NetExtender 自动启动并连接一个虚拟适配器,以便对内部网络上允许的主机和子网进行安全的 SSL-VPN 点对点访问。
以下几节介绍 NetExtender 的高级概念:
• 独立客户端
• 客户端路由
• 隧道模式
• 连接脚本
• 代理配置
NetExtender 是一个浏览器安装的轻型应用程序,可提供全面的远程访问,而无需用户手动下载和安装该应用程序。用户首次启动 NetExtender 时,NetExtender 独立客户端会自动安装到用户的 PC 或 Mac 上。安装程序根据用户的登录信息创建一个配置文件。然后,安装程序窗口关闭并自动启动 NetExtender。如果用户安装了旧版 NetExtender,安装程序将首先卸载旧版本,然后安装新版本。
NetExtender 独立客户端安装完成后,Windows 用户可以从 PC 的开始 > 程序菜单启动 NetExtender,并配置 NetExtender 在 Windows 启动时启动。Mac 用户可以从系统的应用程序文件夹启动 NetExtender,或将其图标拖到 Dock 中以便快速访问。在 Linux 系统中,安装程序会在 /usr/share/NetExtender 中创建一个桌面快捷方式。可以将其拖到 Gnome 和 KDE 等环境的快捷方式栏中。
NetExtender 客户端路由用于允许或拒绝 SSL VPN 用户访问各种网络资源。使用地址对象可以轻松且动态地配置网络资源访问。
隧道模式路由通过 SSL VPN NetExtender 隧道路由远程用户的所有来往流量,包括目标为远程用户本地网络的流量。这是通过将下列路由添加到远程客户端的路由表中实现的:
|
NetExtender 还为所有已连网络连接的本地网络添加路由。这些路由的度量高于任何现有路由,从而强制目标为本地网络的流量通过 SSL VPN 隧道传送。例如,如果一个远程用户在 10.0.*.* 网络上具有 IP 地址 10.0.67.64,则将添加路由 10.0.0.0/255.255.0.0,以便通过 SSL VPN 隧道路由流量。
隧道模式在 SSL VPN > 客户端路由页面上配置。
当 NetExtender 连接和断开时,Dell SonicWALL SSL VPN 允许用户运行批处理文件脚本。脚本可用于映射或断开网络驱动器和打印机,启动应用程序,或者打开文件或 Web 站点。NetExtender 连接脚本可支持任何有效的批处理文件命令。
Dell SonicWALL SSL VPN 支持使用代理配置的 NetExtender 会话。目前仅支持 HTTPS 代理。从 Web 门户启动 NetExtender 时,如果浏览器已经配置代理访问,NetExtender 将自动继承代理设置。代理设置也可以在 NetExtender 客户端首选项中手动配置。对于支持 Web 代理自动发现 (WPAD) 协议的代理服务器,NetExtender 可以自动检测代理设置。
NetExtender 为配置代理设置提供了三个选项:
• 自动检测设置 - 要使用此设置,代理服务器必须支持 Web 代理自动发现协议 (WPAD),它可将代理设置脚本自动推入客户端。
• 使用自动配置脚本 - 如果知道代理设置脚本的位置,您可以选择此选项并提供脚本的 URL。
• 使用代理服务器 - 可以使用此选项来指定代理服务器的 IP 地址和端口。也可以在绕过防火墙字段中输入 IP 地址或域名,从而绕过代理服务器,直接连接到这些地址。若需要,可以为代理服务器输入用户名和密码。如果代理服务器要求用户名和密码,而您没有指定,NetExtender 首次连接时将弹出一个窗口,提示您输入用户名和密码。
当 NetExtender 使用代理设置连接时,它与代理服务器建立 HTTPS 连接,而不是直接连到 Dell SonicWALL 安全设备服务器。代理服务器随即将流量转发给 SSL VPN 服务器。所有流量都由 SSL 利用 NetExtender 协商的证书加密,代理服务器对此一无所知。对于代理和非代理用户,连接过程相同。
Dell SonicWALL 移动连接是一款针对 iPhone、iPad 和 iPod Touch 的应用,支持这些移动设备安全地连接到专用网络。Dell SonicWALL 移动连接应用使得 iPhone 和 iPad 用户可以安全地连接到敏感的网络资源。Dell SonicWALL 移动连接在移动设备与受 Dell SonicWALL 安全设备保护的专用网络之间建立安全套接字层虚拟专用网络 (SSL VPN) 连接。所有进出专用网络的流量都通过 SSL VPN 隧道安全传输。
使用 Dell SonicWALL 移动连接的步骤如下:
1. 从应用商店安装 Dell SonicWALL 移动连接。
2. 输入连接信息(服务器名、用户名、密码等)。
3. 启动网络连接。
4. Dell SonicWALL 移动连接建立与 Dell SonicWALL 安全设备的 SSL VPN 隧道。
5. 现在即可访问专用网络上的资源。所有进出专用网络的流量都通过故障排除报告 SSL VPN 隧道安全传输。
就管理员而言,Dell SonicWALL 移动连接的功能与 NetExtender 几乎相同。管理员需要配置两个地方。
• 配置用户使用 NetExtender – 为使用户能够利用 Dell SonicWALL 移动连接进行连接,必须将其用户账号分配到 SSLVPN 服务群组。详细信息请参见配置用户的 SSL VPN 访问。
为使用户能够访问 SSL VPN 服务器,必须将其指定到 SSLVPN 服务组。不属于 SSLVPN 服务组的用户试图通过虚拟办公室登录时,将被拒绝访问。
5.9 版支持的每种 Dell SonicWALL 网络安全设备型号的最大 SSL VPN 并发用户数如下表所示:
|
下面介绍如何配置用户帐户以实现 SSL VPN 访问:
要配置本地用户数据库中的用户实现 SSL VPN 访问,必须将用户添加到 SSLVPN 服务用户群组。为此,请执行以下步骤:
1. 转至用户 > 本地用户页面。
2. 单击想要编辑的用户对应的配置图标 ,或者单击添加用户按钮以创建新用户。随即显示编辑用户窗口。
3. 单击群组选项卡
4. 在用户群组列,单击 SSLVPN 服务,然后单击右箭头将其移动到成员列。
5. 单击 VPN 访问选项卡VPN 访问选项卡配置 VPN 用户(GVC、NetExtender 或虚拟办公室书签)可以访问哪些网络资源。从网络列表中选择一个或多个网络地址对象或群组,然后单击右箭头按钮 (->) 将其移动到访问列表列。要取消用户对网络地址对象或群组的访问,请从访问列表中选择该网络,然后单击左箭头按钮 (<-)。
Note VPN 访问选项卡会影响远程客户端使用 GVC、NetExtender 和 SSL VPN 虚拟办公室书签访问网络资源的能力。要允许 GVC、NetExtender 或虚拟办公室用户访问网络资源,必须将网络地址对象或群组添加到 VPN 访问选项卡上的“允许”列表。
6. 单击确定。
Note “一次性密码”功能是一种双因素身份验证方案,对于尝试通过 SSL VPN 连接登录的用户,除了标准用户名和密码凭据之外,还使用系统产生的随机密码。
要配置 RADIUS 用户的 SSL VPN 访问,必须将用户添加到 SSLVPN 服务用户群组。为此,请执行以下步骤:
1. 转至用户 > 设置页面。
2. 在登录的验证方法下拉菜单中,选择 RADIUS 或 RADIUS + 本地用户。
3. 单击登录的验证方法的配置按钮。随即显示 RADIUS 配置窗口。
4. 单击 RADIUS 用户选项卡。
5. 在所有 RADIUS 用户所属的默认用户群组下拉菜单中,选择 SSLVPN 服务。
Note 编辑用户窗口中的 VPN 访问选项卡也为虚拟办公室标签和 NetExtender 访问提供精确访问控制。
6. 单击确定。
要配置 LDAP 用户的 SSL VPN 访问,必须将 LDAP 用户群组添加到 SSLVPN 服务用户群组。为此,请执行以下步骤:
1. 转至用户 > 设置页面。
2. 将登录的验证方法设置为 LDAP 或 LDAP + 本地用户。
3. 单击配置按钮启动 LDAP 配置窗口。
4. 单击 LDAP 用户选项卡。
5. 在默认 LDAP 用户群组下拉菜单中,选择 SSLVPN 服务。
Note 编辑用户窗口中的 VPN 访问选项卡也为虚拟办公室标签和 NetExtender 访问提供精确访问控制。
6. 单击确定。