通用場(chǎng)景-a11-交付ssl管理員手冊(cè)

修訂歷編修訂內(nèi)容簡(jiǎn)修訂日修訂版本修訂版本修訂批準(zhǔn)12■權(quán)均屬深信服所有，受到有 法保護(hù)。任何個(gè)人、機(jī) 深信服 不得以任何方 本文的任何片斷第1章前 第2章系統(tǒng)管 修改管理員 設(shè)備 第3章部署配 第4章 配 批量導(dǎo)入資 角色內(nèi)網(wǎng)解析設(shè) 第5章日志中心管 同步配 1本手冊(cè)用于講解SSL常見功能操作方法，為管理員提供日常策略指導(dǎo)2統(tǒng)設(shè)備登首先確保本機(jī)從網(wǎng)絡(luò)可以到設(shè)備管理IP地址，然后在瀏覽器中輸入網(wǎng)關(guān)的IP及端口點(diǎn)擊<繼續(xù)瀏覽此(不推薦)>后出現(xiàn)以下的登錄界面在登陸框輸入『用戶名』和『，點(diǎn)擊<登錄>按鈕即可登錄SSL設(shè)備進(jìn)行配置，默認(rèn)情況下的用戶名和均為admin。如果用戶過于簡(jiǎn)單,則會(huì)被檢測(cè)為弱,在控制臺(tái)的處理為:登錄后檢測(cè)為弱則提示修改，則會(huì)彈出如下提示：管理員在『系統(tǒng)設(shè)置』-『管理員賬號(hào)』頁面，可修改admin管理員、刪除管理員賬號(hào)以及創(chuàng)建修改管理管理員賬號(hào)頁面找到admin管理員，直接點(diǎn)擊<編輯>，設(shè)置新即可修改admin賬號(hào)的密注：admin賬號(hào)只可修改，不可刪除創(chuàng)建二級(jí)管理1點(diǎn)擊新建后會(huì)出現(xiàn)[管理員]和[管理組]2『管理員名稱』即管理員登錄SSL設(shè)備控制臺(tái)時(shí)所使用的帳號(hào)『管理員類型』分為[管理員]和[訪客]，管理員對(duì)設(shè)備配置具有相應(yīng)組的管理權(quán)限；訪客只具備只讀權(quán)限，只能看相應(yīng)組權(quán)限下的設(shè)置信息。『』和『確認(rèn)』用于設(shè)定管理員登錄的。管理員會(huì)自動(dòng)進(jìn)行復(fù)雜度檢測(cè)，不能設(shè)置簡(jiǎn)易。IPSSLIPIPSSL設(shè)備。注：管理員需要同時(shí)符合以下策略：8系統(tǒng)基本信息序列在『系統(tǒng)設(shè)置』-『系統(tǒng)配置』-『序列號(hào)管理』頁面，可以查看設(shè)備當(dāng)前的信息序列號(hào)一般在出廠時(shí)已設(shè)置好，正常使用過程中無需修改，只有當(dāng)設(shè)備相關(guān)服務(wù)到期時(shí)，才需要修改相關(guān)序列號(hào)。系統(tǒng)時(shí)『系統(tǒng)設(shè)置』-『系統(tǒng)配置』-『日期與時(shí)間』用于設(shè)定SANGFOR設(shè)備的系統(tǒng)時(shí)間?？梢灾苯拥貢r(shí)間和系統(tǒng)時(shí)間會(huì)重啟設(shè)備，工作時(shí)間操作控制臺(tái)配SSLWEBUI設(shè)『系統(tǒng)設(shè)置』-『系統(tǒng)配置』-『設(shè)備』用于更新SSL設(shè)備服務(wù)器如果有SSL，可以在此處導(dǎo)入，以RSA為例，點(diǎn)擊RSA標(biāo)準(zhǔn)下的<更新>按鈕選擇<導(dǎo)入>選項(xiàng)，點(diǎn)擊下一步點(diǎn)擊瀏覽導(dǎo)入的RSA即可設(shè)備配置備份與恢『』-『配置備份/恢復(fù)』用于將設(shè)備已有的配置保存，或者是將已備份的配置SSL的配置包含全局配置和SSL 配置，都是點(diǎn)擊<當(dāng)前配置>進(jìn)行，兩者的區(qū)別全局配置：包含SSL設(shè)備系統(tǒng)配置、網(wǎng)絡(luò)配置、SSL 配置以及設(shè)置 配置：僅包含 設(shè)置和 選項(xiàng)的配置。導(dǎo)入 配置時(shí)，設(shè)備僅重 3配網(wǎng)絡(luò)配網(wǎng)絡(luò)配置用于配置設(shè)備的部署模式和網(wǎng)絡(luò)信息。SSL設(shè)備支持單臂模式和網(wǎng)關(guān)模式兩種部單臂模式:類似于旁路部署，SSLSSL網(wǎng)關(guān)模式：僅用于沒有的中小客戶，除SSL服務(wù)外，設(shè)備還提供基本的服務(wù)。需求：目前網(wǎng)絡(luò)已部署設(shè)備，內(nèi)網(wǎng)三層環(huán)境，服務(wù)器區(qū)網(wǎng)關(guān)地址/24，SSL單署在服務(wù)器區(qū)，分配給SSL設(shè)備的地址為4，配置步驟如下：1.通過『系統(tǒng)設(shè)置』-『網(wǎng)絡(luò)配置』-『部署模式』進(jìn)入配置界面，選擇部署模式為<單臂模LANPDNS1SSL所有的配置均需2、點(diǎn)擊立即生效后，設(shè)備會(huì)自動(dòng)重啟，重啟時(shí)間一般為1-5分鐘，在工作時(shí)間修改設(shè)備集群配選擇『系統(tǒng)配置』->『SSL選項(xiàng)』->『集群部署』->『集群部署設(shè)置，選擇<啟用集群部署功能>，設(shè)置集群部署密鑰、分發(fā)器規(guī)則、集群IP設(shè)置，如下圖。注意：同一個(gè)集群環(huán)境下，僅允許一臺(tái)設(shè)備選擇<優(yōu)先做為分發(fā)器>選項(xiàng)，否則將造成集群故障，用戶無法接入。第4章SSL配用戶管批量導(dǎo)入用點(diǎn)擊『SSL設(shè)置』→『用戶管理，點(diǎn)擊『導(dǎo)入』→『從文件導(dǎo)入選擇“從文件中(*.csv)導(dǎo)入用戶點(diǎn)擊“下一步確認(rèn)需要導(dǎo)入的用戶信息沒有問題后，點(diǎn)擊“開始導(dǎo)入導(dǎo)入成功后，在用戶管理頁面可以看到導(dǎo)入成功的用戶組以及相關(guān)用戶手動(dòng)創(chuàng)建用點(diǎn)擊『SSL設(shè)置』→『用戶管理，點(diǎn)擊『新建』→『用戶設(shè)置用戶名、以及用戶所屬組后點(diǎn)擊“保存”即可注式和賬戶類型，可單獨(dú)編輯用戶或用戶組進(jìn)行修改，如下圖公有用戶和私有用戶的區(qū)別公共用戶：該類型賬戶允許多人同時(shí)登陸，用戶登錄后不可修改自己的等屬性，公有用戶不可選擇認(rèn)證和認(rèn)證。私有用戶：私有用戶同一時(shí)間僅允許同一用戶，本地認(rèn)證的私有用戶可在登錄后修改自己的、號(hào)碼、描述等信息。資源管批量導(dǎo)入資在『資源管理』頁面，點(diǎn)擊『其他操作』→『導(dǎo)入資在“選擇文件”處，選擇編輯好的導(dǎo)入表格，點(diǎn)擊“導(dǎo)入導(dǎo)入成功后，可選擇對(duì)應(yīng)的資源組檢查資源信息手動(dòng)創(chuàng)建資 直連業(yè)務(wù)系統(tǒng)，本次資源全部選擇L3 選擇一種應(yīng)用類型，如[L3]，彈出『編輯L3資源』框，設(shè)置界面如下注HTTP類型的系統(tǒng)，如果地址有帶文件路徑，在創(chuàng)建資源時(shí)，地址列表應(yīng)該填寫帶HTTP、FTPL3：使用隧道支持全I(xiàn)P協(xié)議，支持TCP、UDP、ICMP等應(yīng)用，支持Android4.0，IOS9.0以上版本的移動(dòng)終端的接入，如需考慮移動(dòng)終端接入，建議使用該類型資源。應(yīng)用：需借助Windowsserver搭建終端服務(wù)器，可發(fā)布服務(wù)器上的應(yīng)用程序內(nèi)網(wǎng)系統(tǒng)角『角色』是“用戶/用戶組”和“資源”的中介，通過『角色』把SSL登錄用戶/用戶組和SSL內(nèi)網(wǎng)資源“關(guān)聯(lián)”起來的。通過角色可以把多個(gè)“用戶/用戶組”、多例如，研發(fā)部?jī)H允許公司門戶和知識(shí)管理系統(tǒng)，銷售部可以公司門戶和系統(tǒng)等外發(fā)上網(wǎng)策略配置，具體配置如下：在『SSL設(shè)置』→『角色，點(diǎn)擊新建角色在新建角色頁面『關(guān)聯(lián)用戶』處選擇用戶，例如關(guān)聯(lián)研發(fā)部『資源列表』處編輯資源列表，關(guān)聯(lián)公司門戶和知識(shí)管理系統(tǒng)兩個(gè)資源。內(nèi)網(wǎng)解析設(shè) 支持需要通過內(nèi)部才能的資源應(yīng)用。內(nèi)網(wǎng)存在此類應(yīng)用時(shí)，一般有一臺(tái)或多臺(tái)內(nèi)網(wǎng)DNS服務(wù)器，給內(nèi)網(wǎng)電腦提供內(nèi)網(wǎng)解析服務(wù)。通過SSL需要此類應(yīng)用時(shí)，可以通過『內(nèi)網(wǎng)解析』配置來實(shí)現(xiàn)在『系統(tǒng)設(shè)置』→『SSL選項(xiàng)』→『系統(tǒng)選項(xiàng)，選擇『內(nèi)網(wǎng)解析』選項(xiàng)卡，在首選和備選DNS處設(shè)置客戶的內(nèi)網(wǎng)DNS服務(wù)器地址，如下圖內(nèi)網(wǎng)DNS為1和（2）在此頁面『內(nèi)網(wǎng)DNS規(guī)則設(shè)置』處，將定義資源的全部在此處添加，如此處添加的規(guī)則最多支持100條；不支持中文解添加內(nèi)網(wǎng)DNS規(guī)則后，對(duì)應(yīng)的解析請(qǐng)求，會(huì)優(yōu)先走內(nèi)網(wǎng)DNS解析，未通過發(fā)布的其他設(shè)安全策略安全策略可以要求用戶必須修改初始，并且滿足復(fù)雜度要求（（1）（2）開啟防選防可以避免用戶SSL賬號(hào)，內(nèi)網(wǎng)系統(tǒng)在『認(rèn)證設(shè)置』→『認(rèn)證選項(xiàng)設(shè)置』→『認(rèn)證選項(xiàng)』設(shè)置頁勾選防選項(xiàng)下的三個(gè)選項(xiàng)5志中心管日志中心配L 提供獨(dú)立日志中心可以詳細(xì)記錄接入用戶的行為，確保用戶的過程可追溯。同時(shí)可以提供詳盡報(bào)告，作為網(wǎng)絡(luò)規(guī)劃的依據(jù)。此外日志中心具備管理員權(quán)限分級(jí)功能，提高了管理安全性。準(zhǔn)備工1、windowsserver2003、2008、201232/642、數(shù)據(jù)中心安裝包，深信服官網(wǎng)相應(yīng)的數(shù)據(jù)中心版本M5.7_SP2.cn/download/product/ssl 5.0-7.1之間的所有版本,Windows2008server、Windows2012server32/64M5.7_SP1

5.0-7.1之間的所有版本,Windows2003server32/643、日志中心服務(wù)器和SSL之間需開放TCP9501，以供數(shù)據(jù)同步4443（可修改，以供外置日志中心登錄。外置日志中心安裝過M5.7_SP2數(shù)據(jù)中心安裝包。日志中心登日志中心安裝過程中如果采用默認(rèn)端口443，則日志中心的地址地址是https://服務(wù)器IPIP為40登陸界面如下：在登錄框中輸入<用戶名>和<>，點(diǎn)擊登錄按鈕即可登錄數(shù)據(jù)中心的查詢頁面，默認(rèn)情況下的用戶名和均為Admin。同步賬號(hào)設(shè)在日志中心『系統(tǒng)設(shè)置』-『節(jié)點(diǎn)管理』創(chuàng)建同步節(jié)點(diǎn)，用于設(shè)置數(shù)據(jù)中心與網(wǎng)關(guān)同步日志的節(jié)點(diǎn)和密鑰信息。如