SSL VPN > 服务器设置

SSL VPN > 服务器设置页面用于配置作为 SSL VPN 服务器的防火墙的具体行为。

配置虚拟办公室入口可通过以下各节进行设置:
在区域上的 SSL VPN 状态
966 页的 SSL VPN 服务器设置
967 页的 RADIUS 用户设置
967 页的 SSL VPN 客户端下载 URL

在区域上的 SSL VPN 状态

本章节显示各区域上的 SSL VPN 访问状态:
绿色表示活动的 SSL VPN 状态。
红色表示不活动的 SSL VPN 状态。

通过单击区域名称启用或禁用 SSL VPN 访问。

SSL VPN 服务器设置

主题:
关于 Suite B 加密
配置 SSL VPN 服务器

关于 Suite B 加密

SonicOS 支持 Suite B 加密,Suite B 是由国家安全局作为其加密现代化计划的一部分颁布的一套加密算法。它可用作分类和未分类信息的可互操作性加密基础。Suite B 加密已经过国家标准技术局 (NIST) 认证,供美国政府使用。

* 
注:此外还有 NSA 定义的 Suite A 加密,但它主要在不适合 Suite B 的应用中使用。

大多数 Suite B 组件取自 FIPS 标准:
高级加密标准 (AES) 的密钥大小为 128 位和 256 位(可为达到机密级别的信息提供充足保护)。
椭圆曲线数字签名算法 (ECDSA) - 各种数字签名(可为达到机密级别的信息提供充足保护)。
椭圆曲线 Diffie-Hellman (ECDH) - 一种密钥协议(可为达到机密级别的信息提供充足保护)。
安全哈希算法 2(SHA-256 和 SHA-384)- message digest (可为达到绝密级别的信息提供充足保护)。

配置 SSL VPN 服务器

以下设置用于配置 SSL VPN 服务器:
SSL VPN 端口 - 在此字段中输入 SSL VPN 端口号。默认值为 4433
证书选择 – 从此下拉菜单中,选择将用于验证 SSL VPN 用户的证书。默认方法是使用自签名证书

要管理证书,请转到系统 > 证书页面。

* 
注:在 NSA 2600 及更高型号的设备上,可以配置 Suite B 模式并按以下两项设置指定密码首选项。
在 SSL VPN 中启用 SuiteB 模式 – 选择此复选框以启用 SSL VPN Suite B 模式。默认情况下未选中该选项。
启用服务器密码首选项 – 选择此复选框以配置首选的加密方式。默认情况下未选中该选项。
加密方法下拉菜单中选择密码:
RC4_MD5(默认值)
3DES_SHA1
AES256_SHA1
用户域名 – 输入用户的域名,该域名必须与 NetExtender 客户端中域字段匹配。默认设置为 LocalDomain
通过 SSL VPN 启用 Web 管理 – 要通过 SSL VPN 启用 Web 管理,从下拉菜单中选择启用。默认值为禁用
通过 SSL VPN 启用 SSH 管理 – 要通过 SSL VPN 启用 SSH 管理,从下拉菜单中选择启用。默认值为禁用
不活动超时(分钟数) – 输入用户在注销之前不活动的分钟数。默认值为 10 分钟。

RADIUS 用户设置

此部分仅当配置 RADIUS 或 LDAP 来认证 SSL VPN 用户时可用。

使用 RADIUS 在 - 选中此复选框,让 RADIUS 使用 MSCHAP(或 MSCHAPv2)模式。启用 MSCHAP-模式 RADIUS 将允许用户在登录时更改过期的密码。可在以下两种模式之间选择:
* 
注:在 LDAP 中,密码更新只能在使用带 TLS 的 Active Directory 并利用管理员帐户绑定,或使用 Novell eDirectory 的情况下进行。

如果设置了该选项,且在用户 > 设置页面选择 LDAP 作为登录验证方法,但是 LDAP 的配置不允许密码更新,那么 SSL VPN 用户的密码更新将在利用 LDAP 验证用户之后,通过 MSCHAP-模式 RADIUS 进行。
MSCHAP
MSCHAPV2 模式(允许用户更改过期的密码)

SSL VPN 客户端下载 URL

本部分允许您将客户端 SSL VPN 文件下载至您的 HTTP 服务器。
单击此处以下载 SSL VPN zip 文件,该文件包含了所有 SSL VPN 客户端文件 – 要从设备进行下载,单击单击此处链接,显示打开 application.zip 对话框:

打开并解压缩该文件,然后将文件夹放到您的 HTTP 服务器上。
使用客户的 HTTP 服务器作为下载 URL:(http://)选中此复选框,在提供的字段中输入 SSL VPN 客户端下载 URL。