主机安全检测配置举例

本节提供一个SCVPN主机安全检测配置实例。

外网PC通过Hillstone设备访问公司总部资源，需要组建SCVPN网络并配置主机安全检测功能，以达到以下目的：

• 客户端PC通过SCVPN访问公司总部资源；
• 公司总部的软件私有网络网段（IP：10.1.1.0/24）的资源只允许属于角色“sw”的用户访问；总部下载网络网段（IP：10.1.2.0/24）的资源只允许属于角色“dl”的用户访问；总部公开网络网段（IP：10.1.3.0/24）的资源允许所有的用户访问；
• 对访问总部资源的客户端PC进行主机安全检测，并根据检测结果授予相应的资源访问权限。

组网图如下：

请按照以下步骤进行配置：

第一步：创建本地用户。

1. 访问“用户用户”，进入用户列表页面。
2. 在<AAA服务器>下拉菜单中选择本地服务器“local”，并点击『新建用户』按钮，主窗口显示新建用户配置选项。具体配置信息如下：

• 名称：pc1
• 密码：xxxfcvg236
• 确认：xxxfcvg236

3. 点击『确定』按钮保存所做配置并返回用户列表页面。
4. 在<AAA服务器>下拉菜单中选择本地服务器“local”，并点击『新建用户』按钮，主窗口显示新建用户配置选项。具体配置信息如下：

• 名称：pc2
• 密码：xcabuv112
• 确认：xcabuv112

3. 点击『确定』按钮保存所做配置并返回用户列表页面。
4. 在<AAA服务器>下拉菜单中选择本地服务器“local”，并点击『新建用户』按钮，主窗口显示新建用户配置选项。具体配置信息如下：

• 名称：pc3
• 密码：xacfomg763
• 确认：xacfomg763

5. 点击『确定』按钮保存所做配置并返回用户列表页面。

第二步：配置角色映射规则。

1. 访问“用户角色”，进入角色列表页面。
2. 点击『新角色』按钮，弹出<新角色>配置对话框。具体配置信息如下：

• 角色名称：sw

3. 点击『确定』按钮保存所做配置并返回角色列表页面。
4. 点击『新角色』按钮，弹出<新角色>配置对话框。具体配置信息如下：

• 角色名称：dl

5. 点击『确定』按钮保存所做配置并返回角色列表页面。
6. 点击『新角色映射』按钮，弹出<新角色映射>配置对话框。具体配置信息如下：

• 角色映射名称：rule1
• 类型：用户
• 用户名：pc1
• 角色：从下拉菜单中选择“sw”

7. 点击『确定』按钮保存所做配置并返回角色列表页面。
8. 点击角色列表<映射名称>栏中的“rule1”，进入角色映射编辑页面对角色映射规则“rule1”进行编辑。具体配置信息如下：

• 类型：用户
• 用户名：pc1
• 角色：从下拉菜单中选择“dl”

9. 点击『确定』按钮保存所做配置并返回角色列表页面。
10. 点击角色列表<映射名称>栏中的“rule1”，进入角色映射编辑页面对角色映射规则“rule1”进行编辑。具体配置信息如下：

• 类型：用户
• 用户名：pc2
• 角色：从下拉菜单中选择“dl”

11. 点击『确定』按钮保存所做配置并返回角色列表页面。
12. 访问“用户AAA服务器”，进入AAA服务器列表页面。
13. 点击列表中“local”<操作>栏中的『编辑』按钮对“local”服务器进行编辑。具体配置信息如下：

• 角色映射规则：从下拉菜单中选择“rule1”

14. 点击『确定』按钮保存所做配置并返回AAA服务器列表列表页面。

第三步：配置设备端接口。

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表中ethernet0/1<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。具体配置信息如下：

• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“untrust”
• 类型：静态IP
• IP/网络掩码：1.1.1.1/255.255.255.0
  

3. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回接口列表页面。

第四部：配置主机安全检测Profile。

1. 访问“SCVPN主机检测”，进入SCVPN主机检测Profile列表页面。
2. 点击列表中的『新建』按钮，主窗口显示SCVPN主机检测Profile配置选项。具体配置信息如下：

• Profile名称：dl-security-check
• 操作系统版本：依次从下拉菜单中选择“至少”、“Win2003”、“无”
• Windows补丁1：KB958215
• Windows安全中心：勾选“必须启用”
• 防病毒软件：依次勾选“已安装”、“实时监控”、“病毒库更新”
• 防间谍软件：依次勾选“已安装”、“实时监控”、“特征库更新”
• 防火墙：依次勾选“已安装”、“实时监控”
• 最低IE版本：IE6.0
• 最低IE安全级别：高

3. 点击『确定』按钮保存所做配置并返回主机检测Profile列表页面。
4. 点击列表中的『新建』按钮，主窗口显示SCVPN主机检测Profile配置选项。具体配置信息如下：

• Profile名称：sw-security-check
• 操作系统版本：依次从下拉菜单中选择“必须匹配”、“WinXP”、“SP3”
• Windows补丁1：KB921883
• Windows安全中心：勾选“必须启用”
• Windows自动升级：勾选“必须启用”
• 防病毒软件：依次勾选“已安装”、“实时监控”、“病毒库更新”
• 防间谍软件：依次勾选“已安装”、“实时监控”、“特征库更新”
• 防火墙：依次勾选“已安装”、“实时监控”
• 最低IE版本：IE7.0
• 最低IE安全级别：高
• 文件名称：在下拉菜单中选择“存在”并在文本框中输入“C:\Program Files\McAfee\VirusScan\Enterprise.exe”

5. 点击『确定』按钮保存所做配置并返回主机检测Profile列表页面。

第五步：配置SCVPN地址池。

1. 访问“SCVPN地址池”，进入SCVPN地址池列表页面。
2. 点击SCVPN地址池列表中的『新建』按钮，弹出<地址池配置>对话框。具体配置信息如下：

• 池名称：pool1
• 起始IP地址：11.1.1.10
• 终止IP地址：11.1.1.100
• 网络掩码：255.255.255.0
• DNS1：10.1.1.1
• WINS1：10.1.1.2
  

3. 点击『确定』按钮保存所做配置并返回地址池列表页面。

第六步：配置SCVPN实例。

1. 访问“SCVPNSCVPN实例”，进入SCVPN实例列表页面。
2. 点击SCVPN实例列表中的『新建』按钮，主窗口显示SCVPN配置选项。具体配置信息如下：

• 名称：ssl1
• HTTPS服务端口：4433
• 出接口1：ethernet0/1
• 地址池：从下拉菜单中选择“pool1”

3. 点击『确定』按钮保存所做配置并返回SCVPN实例列表页面。
4. 点击列表中“ssl1”<操作>栏中的『编辑』按钮对SCVPN实例“ssl1”进行编辑。具体配置信息如下：

• 隧道路由：点击『多个』按钮，进入隧道路由配置页面，为当前实例添加多条隧道路由：IP地址/网络掩码“10.1.1.0/24”，度量“10”；IP地址/网络掩码“10.1.2.0/24”，度量“5”；IP地址/网络掩码“10.1.3.0/24”，度量“3”。
• AAA服务器：点击『多个』按钮，进入AAA服务器配置页面，为当前实例配置AAA服务器：AAA服务器“local”。
• 主机检测：点击『多个』按钮，进入主机检测配置页面，为当前实例配置SCVPN主机检测策略规则：角色“sw”，Profile“sw-security-check”，访客角色“dl”；Profile“dl-security-check”，周期检测“50”。

5. 点击『确定』按钮保存所做配置并返回SCVPN实例列表页面。

第七步：创建隧道接口并把SCVPN实例绑定到此接口（隧道接口的IP地址必须与SCVPN地址池的IP地址在同一网段）。

1. 访问“网络安全域”，进入安全域列表页面。
2. 点击列表中的『新建』按钮，弹出<安全域配置>对话框。具体配置信息如下：

• 安全域名称：VPN
• 安全域类型：三层安全域
• 虚拟路由器：从下拉菜单中选择“trust-vr”

3. 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
4. 访问“网络接口”，进入接口列表页面。

5. 点击接口列表中的『新建』按钮，并选中<隧道接口>，主窗口显示隧道接口基本配置选项。具体配置信息如下：

• 接口名：tunnel1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“VPN”
• 类型：静态IP
• IP/网络掩码：11.1.1.1/24
• 隧道类型：SCVPN
• VPN名称：从下拉菜单中选择“ssl1”

6. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回接口列表页面。

第八步：配置策略规则（从VPN到trust安全域的策略）。

1. 访问“对象地址簿”，进入地址簿列表页面。
2. 点击列表中的『新建』按钮，主窗口显示地址簿基本配置选项。具体配置信息如下：

• 名称：swnetwork

3. 点击<成员列表>右侧的『添加』按钮，弹出<地址簿成员配置>对话框。具体配置信息如下：

• 类型：IP地址
• 成员：10.1.1.0/24

4. 点击『确定』按钮返回地址簿基本配置页面，并将地址成员添加到成员列表。
5. 点击『应用』按钮保存当前配置，或者点击『确定』按钮保存当前配置并返回地址簿列表页面。
6. 点击列表中的『新建』按钮，主窗口显示地址簿基本配置选项。具体配置信息如下：

• 名称：dlnetwork

7. 点击<成员列表>右侧的『添加』按钮，弹出<地址簿成员配置>对话框。具体配置信息如下：

• 类型：IP地址
• 成员：10.1.2.0/24

8. 点击『确定』按钮返回地址簿基本配置页面，并将地址成员添加到成员列表。
9. 点击『应用』按钮保存当前配置，或者点击『确定』按钮保存当前配置并返回地址簿列表页面。

10. 点击列表中的『新建』按钮，主窗口显示地址簿基本配置选项。具体配置信息如下：

• 名称：publicnetwork

11. 点击<成员列表>右侧的『添加』按钮，弹出<地址簿成员配置>对话框。具体配置信息如下：

• 类型：IP地址
• 成员：10.1.3.0/24

12. 点击『确定』按钮返回地址簿基本配置页面，并将地址成员添加到成员列表。
13. 点击『应用』按钮保存当前配置，或者点击『确定』按钮保存当前配置并返回地址簿列表页面。
14. 访问“防火墙策略”，进入策略列表页面。
15. 在列表<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：VPN
• 源地址：Any
• 目的安全域：trust
• 目的地址：swnetwork
• 服务簿：Any
• 行为：允许

16. 点击『确定』按钮保存当前配置，生成ID为1的策略并返回策略列表页面。
17. 点击策略列表中ID1<操作>栏中的『编辑』按钮对相应的策略进行编辑。具体配置信息如下：

• 角色：sw

18. 点击『确定』按钮保存当前配置并返回策略列表页面。
19. 在列表<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：VPN
• 源地址：Any
• 目的安全域：trust
• 目的地址：dlnetwork
• 服务簿：Any
• 行为：允许

20. 点击『确定』按钮保存当前配置，生成ID为2的策略并返回策略列表页面。
21. 点击策略列表中ID2<操作>栏中的『编辑』按钮对相应的策略进行编辑。具体配置信息如下：

• 角色：dl

22. 点击『确定』按钮保存当前配置并返回策略列表页面。
23. 在列表<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：VPN
• 源地址：Any
• 目的安全域：trust
• 目的地址：publicnetwork
• 服务簿：Any
• 行为：允许

24. 点击『确定』按钮保存当前配置，生成ID为3的策略并返回策略列表页面。

客户端PC发起SCVPN连接请求并通过认证后，设备端会根据配置的安全检测策略规则对客户端进行安全检测，并根据检测结果授予客户端用户相应的资源访问权限。本示例的主机安全检测策略规则配置以及资源访问权限授予之间的对应关系，请参阅下表：