SSL VPN概述

本章节介绍如何配置 Dell SonicWALL 网络安全设备上的 SSL VPN 功能。SonicWALL 的 SSL VPN 功能利用 NetExtender 客户端实现对网络的安全远程访问。

NetExtender 是一种用于 Windows、Mac 或 Linux 用户的 SSL VPN 客户端,透明下载,支持用户在公司网络上安全运行任何应用程序。它使用点对点协议 (PPP)。NetExtender 允许远程客户端无缝访问本地网络上的资源。用户可通过两种方式访问 NetExtender:

登录 Dell SonicWALL 网络安全设备提供的虚拟办公室 Web 入口,单击 NetExtender 按钮。
启动独立的 NetExtender 客户端。

NetExtender 独立客户端在您首次启动 NetExtender 时安装。然后,通过 Windows 系统的“开始”菜单,MacOS 系统的应用程序文件夹或 Dock,或者 Linux 系统的路径名或快捷方式栏,就可以访问它。

主题:
954 页的 SSL VPN NetExtender 概述
配置用户的 SSL VPN 访问

SSL VPN NetExtender 概述

本节介绍 SonicOS SSL VPN NetExtender 的功能。

主题:
什么是 SSL VPN NetExtender?
优点
955 页的 NetExtender 概念

什么是 SSL VPN NetExtender?

SonicWALL 的 SSL VPN NetExtender 功能是一种用于 Windows、Mac 和 Linux 用户的透明软件应用程序,支持远程用户安全连接到远程网络。利用 NetExtender,远程用户可以安全地在远程网络上运行任何应用程序。用户可以上传下载文件,安全网络驱动器,访问资源,如同在本地网络上一样。NetExtender 连接使用点对点协议 (PPP)。

优点

NetExtender 令远程用户能够全权访问受保护的内部网络。体验几乎与使用传统的 IPSec VPN 客户端完全相同,但 NetExtender 不需要手动安装客户端。相反,NetExtender Windows 客户端是通过 ActiveX 控件(使用 Internet Explorer 浏览器时)或 XPCOM 插件(使用 Firefox 时)自动安装到远程用户的 PC 上。在 MacOS 系统上,支持的浏览器使用 Java 控件从虚拟办公室门户自动安装 NetExtender。Linux 系统也可以安装和使用 NetExtender 客户端。

安装后,NetExtender 自动启动并连接一个虚拟适配器,以便对内部网络上允许的主机和子网进行安全的 SSL-VPN 点对点访问。

NetExtender 概念

以下几节介绍 NetExtender 的高级概念:
独立客户端
客户端路由
955 页的 Tunnel All 模式
连接脚本
代理配置
独立客户端

NetExtender 是一个浏览器安装的轻型应用程序,可提供全面的远程访问,而无需用户手动下载和安装该应用程序。用户首次启动 NetExtender 时,NetExtender 独立客户端会自动安装到用户的 PC 或 Mac 上。安装程序根据用户的登录信息创建一个配置文件。然后,安装程序窗口关闭并自动启动 NetExtender。如果用户安装了旧版 NetExtender,安装程序将首先卸载旧版本,然后安装新版本。

NetExtender 独立客户端安装完成后,Windows 用户可以从 PC 的开始 > 程序菜单启动 NetExtender,并配置 NetExtender 在 Windows 启动时启动。Mac 用户可以从系统的应用程序文件夹启动 NetExtender,或将其图标拖到 Dock 中以便快速访问。在 Linux 系统中,安装程序会在 /usr/share/NetExtender 中创建一个桌面快捷方式。可以将其拖到 Gnome 和 KDE 等环境的快捷方式栏中。

客户端路由

NetExtender 客户端路由用于允许或拒绝 SSL VPN 用户访问各种网络资源。使用地址对象可以轻松且动态地配置网络资源访问。

Tunnel All 模式

Tunnel All 模式路由通过 SSL VPN NetExtender 隧道路由远程用户的所有来往流量,包括目标为远程用户本地网络的流量。这是通过将下列路由添加到远程客户端的路由表中实现的:

 

表 139. 将要添加到远程客户端路由表的路由

IP 地址

子网掩码

0.0.0.0

0.0.0.0

0.0.0.0

128.0.0.0

128.0.0.0

128.0.0.0

NetExtender 还为所有已连网络连接的本地网络添加路由。这些路由的度量高于任何现有路由,从而强制目标为本地网络的流量通过 SSL VPN 隧道传送。例如,如果一个远程用户在 10.0.*.* 网络上有 IP 地址 10.0.67.64,则将添加路由 10.0.0.0/255.255.0.0,以便通过 SSL VPN 隧道路由流量。

连接脚本

当 NetExtender 连接和断开时,SonicWALL SSL VPN 允许用户运行批处理文件脚本。脚本可用于映射或断开网络驱动器和打印机,启动应用程序,或者打开文件或 Web 站点。NetExtender 连接脚本可支持任何有效的批处理文件命令。

代理配置

SonicWALL SSL VPN 支持使用代理配置的 NetExtender 会话。目前仅支持 HTTPS 代理。从 Web 入口启动 NetExtender 时,如果浏览器已经配置代理访问,NetExtender 将自动继承代理设置。代理设置也可以在 NetExtender 客户端首选项中手动配置。对于支持 Web 代理自动发现 (WPAD) 协议的代理服务器,NetExtender 可以自动检测代理设置。

NetExtender 为配置代理设置提供了三个选项:
自动检测设置 — 要使用该设置,代理服务器必须支持 Web 代理服务器自动发现协议 (WPAD),该协议可自动将代理服务器设置脚本推送到客户端。
使用自动配置脚本 - 如果知道代理设置脚本的位置,您可以选择此选项并提供脚本的 URL。
使用代理服务器 - 可以使用此选项来指定代理服务器的 IP 地址和端口。也可以在绕过防火墙字段中输入 IP 地址或域名,从而绕过代理服务器,直接连接到这些地址。若需要,可以为代理服务器输入用户名和密码。如果代理服务器要求用户名和密码,而您没有指定,NetExtender 首次连接时将弹出一个窗口,提示您输入用户名和密码。

当 NetExtender 使用代理设置连接时,它与代理服务器建立 HTTPS 连接,而不是直接连到防火墙服务器。代理服务器随即将流量转发给 SSL VPN 服务器。所有流量都由 SSL 利用 NetExtender 协商的证书加密,代理服务器对此一无所知。对于代理和非代理用户,连接过程相同。