,或者单击添加用户按钮以创建新用户。随即显示编辑用户窗口。SSL_VPN
本章介绍如何配置 Dell SonicWALL 网络安全设备上的 SSL VPN 功能。SonicWALL 的 SSL VPN 功能利用 NetExtender 客户端实现对网络的安全远程访问。
NetExtender 是一种用于 Windows、Mac 或 Linux 用户的 SSL VPN 客户端,透明下载,支持用户在公司网络上安全运行任何应用程序。它使用点对点协议 (PPP)。NetExtender 允许远程客户端无缝访问本地网络上的资源。用户可通过两种方式访问 NetExtender:
• 登录 Dell SonicWALL 网络安全设备提供的虚拟办公室 Web 门户,单击 NetExtender 按钮。
• 启动独立的 NetExtender 客户端。
NetExtender 独立客户端在您首次启动 NetExtender 时安装。然后,通过 Windows 系统的“开始”菜单,MacOS 系统的应用程序文件夹或 Dock,或者 Linux 系统的路径名或快捷方式栏,就可以访问它。
本章包含以下章节:
本节介绍 SonicOS SSL VPN NetExtender 的功能。本节包含以下子节:
• 优点
SonicWALL 的 SSL VPN NetExtender 功能是一种用于 Windows、Mac 和 Linux 用户的透明软件应用程序,支持远程用户安全连接到远程网络。利用 NetExtender,远程用户可以安全地在远程网络上运行任何应用程序。用户可以上传下载文件,安全网络驱动器,访问资源,如同在本地网络上一样。NetExtender 连接使用点对点协议 (PPP)。
NetExtender 令远程用户能够全权访问受保护的内部网络。体验几乎与使用传统的 IPSec VPN 客户端完全相同,但 NetExtender 不需要手动安装客户端。相反,NetExtender Windows 客户端是通过 ActiveX 控件(使用 Internet Explorer 浏览器时)或 XPCOM 插件(使用 Firefox 时)自动安装到远程用户的 PC 上。在 MacOS 系统上,支持的浏览器使用 Java 控件从虚拟办公室门户自动安装 NetExtender。Linux 系统也可以安装和使用 NetExtender 客户端。
安装后,NetExtender 自动启动并连接一个虚拟适配器,以便对内部网络上允许的主机和子网进行安全的 SSL-VPN 点对点访问。
以下几节介绍 NetExtender 的高级概念:
• 独立客户端
• 客户端路由
• 隧道模式
• 连接脚本
• 代理配置
NetExtender 是一个浏览器安装的轻型应用程序,可提供全面的远程访问,而无需用户手动下载和安装该应用程序。用户首次启动 NetExtender 时,NetExtender 独立客户端会自动安装到用户的 PC 或 Mac 上。安装程序根据用户的登录信息创建一个配置文件。然后,安装程序窗口关闭并自动启动 NetExtender。如果用户安装了旧版 NetExtender,安装程序将首先卸载旧版本,然后安装新版本。
NetExtender 独立客户端安装完成后,Windows 用户可以从 PC 的开始 > 程序菜单启动 NetExtender,并配置 NetExtender 在 Windows 启动时启动。Mac 用户可以从系统的应用程序文件夹启动 NetExtender,或将其图标拖到 Dock 中以便快速访问。在 Linux 系统中,安装程序会在 /usr/share/NetExtender 中创建一个桌面快捷方式。可以将其拖到 Gnome 和 KDE 等环境的快捷方式栏中。
NetExtender 客户端路由用于允许或拒绝 SSL VPN 用户访问各种网络资源。使用地址对象可以轻松且动态地配置网络资源访问。
隧道模式路由通过 SSL VPN NetExtender 隧道路由远程用户的所有来往流量,包括目标为远程用户本地网络的流量。这是通过将下列路由添加到远程客户端的路由表中实现的:
|
NetExtender 还为所有已连网络连接的本地网络添加路由。这些路由的度量高于任何现有路由,从而强制目标为本地网络的流量通过 SSL VPN 隧道传送。例如,如果一个远程用户在 10.0.*.* 网络上具有 IP 地址 10.0.67.64,则将添加路由 10.0.0.0/255.255.0.0,以便通过 SSL VPN 隧道路由流量。
隧道模式在 SSL VPN > 客户端路由页面上配置。
当 NetExtender 连接和断开时,SonicWALL SSL VPN 允许用户运行批处理文件脚本。脚本可用于映射或断开网络驱动器和打印机,启动应用程序,或者打开文件或 Web 站点。NetExtender 连接脚本可支持任何有效的批处理文件命令。
SonicWALL SSL VPN 支持使用代理配置的 NetExtender 会话。目前仅支持 HTTPS 代理。从 Web 门户启动 NetExtender 时,如果浏览器已经配置代理访问,NetExtender 将自动继承代理设置。代理设置也可以在 NetExtender 客户端首选项中手动配置。对于支持 Web 代理自动发现 (WPAD) 协议的代理服务器,NetExtender 可以自动检测代理设置。
NetExtender 为配置代理设置提供了三个选项:
• 自动检测设置 - 要使用此设置,代理服务器必须支持 Web 代理自动发现协议 (WPAD),它可将代理设置脚本自动推入客户端。
• 使用自动配置脚本 - 如果知道代理设置脚本的位置,您可以选择此选项并提供脚本的 URL。
• 使用代理服务器 - 可以使用此选项来指定代理服务器的 IP 地址和端口。也可以在绕过防火墙字段中输入 IP 地址或域名,从而绕过代理服务器,直接连接到这些地址。若需要,可以为代理服务器输入用户名和密码。如果代理服务器要求用户名和密码,而您没有指定,NetExtender 首次连接时将弹出一个窗口,提示您输入用户名和密码。
当 NetExtender 使用代理设置连接时,它与代理服务器建立 HTTPS 连接,而不是直接连到防火墙服务器。代理服务器随即将流量转发给 SSL VPN 服务器。所有流量都由 SSL 利用 NetExtender 协商的证书加密,代理服务器对此一无所知。对于代理和非代理用户,连接过程相同。
为使用户能够访问 SSL VPN 服务器,必须将其指定到 SSLVPN 服务组。不属于 SSLVPN 服务组的用户试图通过虚拟办公室登录时,将被拒绝访问。下面介绍如何配置用户帐户以实现 SSL VPN 访问:
要配置本地用户数据库中的用户实现 SSL VPN 访问,必须将用户添加到 SSLVPN 服务用户群组。为此,请执行以下步骤:
1. 转至用户 > 本地用户页面。
2. 单击想要编辑的用户对应的配置图标 ,或者单击添加用户按钮以创建新用户。随即显示编辑用户窗口。
3. 单击群组选项卡
4. 在用户群组列,单击 SSLVPN 服务,然后单击右箭头将其移动到成员列。
5. 单击 VPN 访问选项卡VPN 访问选项卡配置 VPN 用户(GVC、NetExtender 或虚拟办公室书签)可以访问哪些网络资源。从网络列表中选择一个或多个网络地址对象或群组,然后单击右箭头按钮 (->) 将其移动到访问列表列。要取消用户对网络地址对象或群组的访问,请从访问列表中选择该网络,然后单击左箭头按钮 (<-)。
Note VPN 访问选项卡会影响远程客户端使用 GVC、NetExtender 和 SSL VPN 虚拟办公室书签访问网络资源的能力。要允许 GVC、NetExtender 或虚拟办公室用户访问网络资源,必须将网络地址对象或群组添加到VPN 访问选项卡上的“允许”列表。
6. 单击确定。
要配置 RADIUS 用户的 SSL VPN 访问,必须将用户添加到 SSLVPN 服务用户群组。为此,请执行以下步骤:
1. 转至用户 > 设置页面。
2. 在登录的验证方法下拉菜单中,选择 RADIUS 或 RADIUS + 本地用户。
3. 单击登录的验证方法的配置按钮。随即显示 RADIUS 配置窗口。
4. 单击 RADIUS 用户选项卡。
5. 在所有 RADIUS 用户所属的默认用户群组下拉菜单中,选择 SSLVPN 服务。
Note 编辑用户窗口中的 VPN 访问选项卡也为虚拟办公室标签和 NetExtender 访问提供精确访问控制。
6. 单击确定。
要配置 LDAP 用户的 SSL VPN 访问,必须将 LDAP 用户群组添加到 SSLVPN 服务用户群组。为此,请执行以下步骤:
1. 转至用户 > 设置页面。
2. 将登录的验证方法设置为 LDAP 或 LDAP + 本地用户。
3. 单击配置按钮启动 LDAP 配置窗口。
4. 单击 LDAP 用户选项卡。
5. 在默认 LDAP 用户群组下拉菜单中,选择 SSLVPN 服务。
Note 编辑用户窗口中的 VPN 访问选项卡也为虚拟办公室标签和 NetExtender 访问提供精确访问控制。
6. 单击确定。
SSL VPN > 状态页面显示活动 NetExtender 会话的摘要,包括名称、PPP IP 地址、物理 IP 地址、登录时间、登录时间和注销时间。
下表列出了状态项目的说明。
|
SSL VPN > 服务器设置页面用于配置作为 SSL VPN 服务器的防火墙的具体行为。
在“SSL VPN > 服务器设置”页面上可以配置下列选项。
• 在区域上的 SSL VPN 状态:显示各区域上的 SSL VPN 访问状态。绿色表示活动的 SSL VPN 状态,红色表示不活动的 SSL VPN 状态。要启用或禁用一个区域上的 SSL-VPN 访问,单击区域名称可跳转到“编辑区域”窗口。
• SSL VPN 端口:设置设备的 SSL VPN 端口。默认值为 4433。
• 证书选择:选择将用于认证 SSL VPN 用户的证书。要管理证书,请转到网络 > 证书页面。
• 启用服务器加密偏好:选中此复选框以配置首选的加密方法。可用加密方法有 RC4_MD5、3DES_SHA1 和 AES256_SHA1。
• RADIUS 用户设置:此选项仅当配置 RADIUS 或 LDAP 来认证 SSL VPN 用户时可用。选中使用 RADIUS 在复选框,让 RADIUS 使用 MSCHAP(或 MSCHAPv2)模式。启用 MSCHAP-模式 RADIUS 将允许用户在登录时更改过期的密码。
Note 在 LDAP 中,密码更新只能在使用带 TLS 的 Novell eDirectory 或 Active Directory,并利用管理员帐户与其绑定的情况下进行。如果 LDAP 不是这样配置,SSL VPN 用户的密码更新将在使用 LDAP 认证用户后,利用 MSCHAP-模式 RADIUS 执行。
SSL VPN > 门户设置页面用于配置 SSL VPN 虚拟办公室 Web 门户的外观和功能。虚拟办公室门户是利用登录启动 NetExtender 的网站。它可以定制以与任何现有的公司网站或设计风格保持一致。
下列设置配置虚拟办公室门户的外观:
• 门户网站标题 - Web 浏览器顶端标题显示的文本。
• 门户横幅标题 - 页面顶部徽标旁边显示的文本。
• 主页消息 - NetExtender 图标上方显示的 HTML 代码。
• 登录消息 - 提示用户登录虚拟办公室时显示的 HTML 代码。
• 实例模板 - 将主页消息和登录消息重置为默认实例模板。
• 预览 - 启动一个显示 HTML 代码的弹出窗口。
下列选项定制虚拟办公室门户的功能:
• 登录后启动 NetExtender - 用户登录后自动启动 NetExtender。
• 显示导入证书按钮 - 在虚拟办公室页面上显示导入证书按钮。它用于启动将防火墙自签名的证书导入 Web 浏览器的过程。该选项仅适用于运行 Windows 2000 或 Windows XP 的 PC 上的 Internet Explorer 浏览器。
• 为缓存控制启用 HTTP 元标记 - 将 HTTP 标记插入浏览器中,指示 Web 浏览器不要缓存虚拟办公室页面。SonicWALL 建议启用此选项。
自定义徽标字段用于在虚拟办公室门户的顶部显示除 Dell SonicWALL 徽标以外的徽标。在自定义徽标字段输入徽标的 URL。徽标必须是 155 x 36 大小的 GIF 格式,推荐使用透明或者浅背景。
SSL VPN > 客户端设置页面允许管理员启用区域上的 SSL VPN 访问,以及配置客户端地址范围信息和 NetExtender 客户端设置。它还显示哪些区域启用了 SSL VPN 访问。
在 SSL VPN > 客户端设置页面上可以配置下列任务:
防火墙上的所有区域都显示在 SSL VPN > 客户端设置页面的在区域上的 SSL VPN 状态部分。必须在一个区域上启用 SSL VPN 访问后,用户才能访问虚拟办公室 Web 门户。区域名称左边的绿色按钮表示 SSL VPN 访问已启用。红色按钮表示 SSL VPN 访问已禁用。要更改一个区域的 SSL VPN 访问,只需单击 SSL VPN > 客户端设置页面上的该区域名称。
SSL VPN 访问也可以在网络 > 区域页面上通过单击该区域的配置图标来配置。
Note 若要 SonicOS 终止 SSL VPN 会话,必须在网络 > 接口页面上启用管理或用户登录的 HTTPS(在 WAN 接口的编辑接口对话框中)。
SSL VPN 客户端地址范围定义 IP 地址池,NetExtender 会话期间将该池中的地址分配给远程用户。范围必须足够大,以便支持您希望支持的最大数量并发 NetExtender 用户再加 1(例如,15 个用户要求的范围是 16 个地址,如 192.168.200.100 至 192.168.200.115)。
Note 该范围必须与 SSL VPN 设备所连接的接口处于同一子网,如果在 SSL VPN 设备所处的网段上存在其他主机,则不得与任何已分配的地址重叠或冲突。
要配置 SSL VPN 客户端地址范围,请执行以下步骤:
1. 转至 SSL VPN > 客户端设置页面。
在 NetExtender 起始 IP 字段中,输入客户端地址范围的第一个 IP 地址。
3. 在 NetExtender 终止 IP 字段中,输入客户端地址范围的最后一个 IP 地址。
4. 在 DNS 服务器 1 字段中,输入主要 DNS 服务器的 IP 地址,或者单击默认 DNS 设置以使用默认设置。
5. (可选)在 DNS 服务器 2 字段中,输入备用 DNS 服务器的 IP 地址。
6. (可选)在 DNS 域 字段中,输入 DNS 服务器的域名。
7. 在用户域字段中,输入用户的域名。此字段的值必须与 NetExtender 客户端中的域字段一致。
8. (可选)在 WINS 服务器 1 字段中,输入主要 WINS 服务器的 IP 地址。
9. (可选)在 WINS 服务器 2 字段中,输入备用 WINS 服务器的 IP 地址。
10. 在接口下拉菜单中,选择要用于 SSL VPN 服务的接口。
Note IP 地址范围必须与用于 SSL VPN 服务的接口处于同一子网。
11. 单击页面顶部的区域名称,利用这些设置启用该区域上的 SSL VPN 访问。对于您希望启用的区域,指示器应为绿色。
12. 单击接受。
NetExtender 客户端设置在 SSL VPN > 客户端设置页面的底部配置。下列设置定制用户连接和断开时 NetExtender 的行为。
• 默认会话超时(分钟)- 客户端不活动的默认超时值,经过该时间后,客户端的会话终止。
• 启用 NetBIOS Over SSLVPN - 允许 NetExtender 客户端将 NetBIOS 广播到 SSL VPN 子网。
• 启用客户端自动更新 - NetExtender 客户端每次启动时检查有无更新。
• 断开连接后退出客户端 - NetExtender 客户端与 SSL VPN 服务器断开连接后退出。要重新连接,用户必须返回 SSL VPN 门户,或从“程序”菜单启动 NetExtender。
• 断开连接后卸载客户端 - NetExtender 客户端与 SSL VPN 服务器断开连接后自动卸载。要重新连接,用户必须返回 SSL VPN 门户。
• 创建客户端连接配置文件 - NetExtender 客户端将创建一个连接配置文件,记录 SSL VPN 服务器名称、域名以及(可选)用户名和密码。
• 客户端间的通信 - 允许连接到同一服务器的 NetExtender 客户端相互通信。
• 用户名和密码缓存 - 用户可灵活选择是否在 NetExtender 客户端中缓存用户名和密码。有三个选项:仅允许保存用户名、允许保存用户名和密码、禁止保存用户名和密码。这些选项使管理员能够平衡安全性需求与用户每次使用的便利性需求。
SSL VPN > 客户端路由页面允许管理员控制 SSL VPN 用户的网络访问许可。NetExtender 客户端路由被传送给所有 NetExtender 客户端,用于控制远程用户可以通过 SSL VPN 连接访问哪些专用网络和资源。
在 SSL VPN > 客户端路由页面上可以配置下列任务:
• 配置隧道模式
• 添加客户端路由
从隧道模式下拉列表中选择启用,强制 NetExtender 用户的所有流量通过 SSL VPN NetExtender 隧道,包括目标为远程用户本地网络的流量。这是通过将下列路由添加到远程客户端的路由表中实现的:
|
NetExtender 还为所有已连网络连接的本地网络添加路由。这些路由的度量高于任何现有路由,从而强制目标为本地网络的流量通过 SSL VPN 隧道传送。例如,如果一个远程用户在 10.0.*.* 网络上具有 IP 地址 10.0.67.64,则将添加路由 10.0.0.0/255.255.0.0,以便通过 SSL VPN 隧道路由流量。
Note 要配置隧道模式,还必须为 0.0.0.0 配置一个地址对象,并让 SSL VPN NetExtender 用户和群组有权访问该地址对象。
要配置隧道模式的 SSL VPN NetExtender 用户和群组,请执行以下步骤。
1. 转至用户 > 本地用户或用户 > 本地群组页面。
2. 单击一个 SSL VPN NetExtender 用户或群组对应的配置按钮。
3. 单击 VPN 访问选项卡。
4. 选择 WAN 远程访问网络地址对象并单击右箭头 (->) 按钮。
5. 单击确定。
6. 对所有使用 SSL VPN NetExtender 的本地用户和群组重复步骤 1 至 5。
添加客户端路由下拉菜单用于配置 SSL VPN 用户对网络资源的访问。选择您要允许 SSL VPN 访问的地址对象。选择创建新地址对象可创建新的地址对象。创建客户端路由会自动创建访问规则以允许该访问。或者,也可以在防火墙 > 访问规则页面上手动配置 SSL VPN 区域的访问规则。有关更多信息,请参见第 451 页的防火墙 > 访问规则。
Note 配置 SSL VPN 的客户端路由后,还必须在用户 > 本地用户或用户 > 本地群组页面上配置所有 SSL VPN NetExtender 用户和用户群组,使其能够访问客户端路由。
要配置 SSL VPN NetExtender 用户和群组访问客户端路由,请执行以下步骤。
1. 转至用户 > 本地用户或用户 > 本地群组页面。
2. 单击一个 SSL VPN NetExtender 用户或群组对应的配置按钮。
3. 单击 VPN 访问选项卡。
4. 选择客户端路由的地址对象并单击右箭头 (->) 按钮。
5. 单击确定。
6. 对所有使用 SSL VPN NetExtender 的本地用户和群组重复步骤 1 至 5。