SCVPN配置

本节介绍SCVPN设备端配置，包括新建SCVPN（SCVPN向导）、编辑/删除SCVPN以及查看在线用户。

新建SCVPN

新建SCVPN，请按照以下步骤进行操作：

从页面左侧导航树选择并点击“配置

网络

SSL VPN”，进入SCVPN页面。

点击SCVPN列表左上角的『新建』按钮或者从页面右侧辅助栏的<任务>区选择『新建SSL VPN』链接，弹出<SSL VPN配置>对话框。

阅读<欢迎页>内容，并在<SSL VPN名称>文本框中指定SCVPN名称。

点击『下一步』按钮进入<接入用户>配置页面。在该页面配置用于客户端用户身份认证的AAA服务器。

在<AAA服务器>下拉菜单中选择需要的服务器名称。
在<域名>文本框中输入服务器对应的域名。
点击『添加』按钮，添加已配置的AAA服务器，被添加的AAA服务器将显示在下方的列表中。
重复以上步骤添加更多AAA服务器。如果需要删除AAA服务器，从列表中选中需要删除的AAA服务器，然后点击右侧的『删除』按钮。

点击『下一步』按钮进入<接入接口/隧道接口>配置页面。在该页面配置设备端接口、隧道接口和地址池。

选项	说明
接入接口	指定客户端所访问的设备端接口以及SCVPN服务端口号。具体配置选项包括：出接口1：在下拉菜单中选择需要的设备端接口1。出接口2：在下拉菜单中选择需要的设备端接口2。一般配置一个出接口即可，配置最优路径检测时需要配置两个出接口。服务端口：指定SCVPN的服务端口号。
隧道接口	指定绑定SCVPN隧道的隧道接口，流量通过隧道接口进出SCVPN通道。具体配置选项包括：隧道接口：在下拉菜单中选择系统中已配置的隧道接口；或者，选中下拉菜单中的<新建>选项，在弹出的<接口配置>对话框中新建隧道接口；还可以在下拉菜单中选中系统中已配置的隧道接口，然后点击『配置』按钮，在弹出的<接口配置>对话框中编辑该隧道接口。关于新建/编辑隧道接口的详细信息，请参阅“接口配置新建接口新建隧道接口”部分。所属安全域：显示已选中隧道接口所属的安全域。 IP地址：显示已选中隧道接口的IP地址。网络掩码：显示已选中隧道接口的网络掩码。
地址池	指定SCVPN地址池。具体配置选项包括：地址池：在下拉菜单中选择系统中已配置的地址池；或者，选中下拉菜单中的<新建>选项，在弹出的<地址池配置>对话框中新建地址池；还可以在下拉菜单中选中系统中已配置的地址池，然后点击『配置』按钮，在弹出的<地址池配置>对话框中编辑该地址池。关于新建/编辑地址池的详细信息，请参阅SCVPN地址池配置。起始IP：显示已选中地址池的起始IP地址。终止IP：显示已选中地址池的终止IP地址。网络掩码：显示已选中地址池IP范围的网络掩码。

选项

说明

接入接口

指定客户端所访问的设备端接口以及SCVPN服务端口号。具体配置选项包括：

出接口1：在下拉菜单中选择需要的设备端接口1。
出接口2：在下拉菜单中选择需要的设备端接口2。一般配置一个出接口即可，配置最优路径检测时需要配置两个出接口。
服务端口：指定SCVPN的服务端口号。

隧道接口

指定绑定SCVPN隧道的隧道接口，流量通过隧道接口进出SCVPN通道。具体配置选项包括：

隧道接口：在下拉菜单中选择系统中已配置的隧道接口；或者，选中下拉菜单中的<新建>选项，在弹出的<接口配置>对话框中新建隧道接口；还可以在下拉菜单中选中系统中已配置的隧道接口，然后点击『配置』按钮，在弹出的<接口配置>对话框中编辑该隧道接口。关于新建/编辑隧道接口的详细信息，请参阅“接口配置新建接口新建隧道接口”部分。
所属安全域：显示已选中隧道接口所属的安全域。
IP地址：显示已选中隧道接口的IP地址。
网络掩码：显示已选中隧道接口的网络掩码。

地址池

指定SCVPN地址池。具体配置选项包括：

地址池：在下拉菜单中选择系统中已配置的地址池；或者，选中下拉菜单中的<新建>选项，在弹出的<地址池配置>对话框中新建地址池；还可以在下拉菜单中选中系统中已配置的地址池，然后点击『配置』按钮，在弹出的<地址池配置>对话框中编辑该地址池。关于新建/编辑地址池的详细信息，请参阅SCVPN地址池配置。
起始IP：显示已选中地址池的起始IP地址。
终止IP：显示已选中地址池的终止IP地址。
网络掩码：显示已选中地址池IP范围的网络掩码。

点击『下一步』按钮进入<策略/隧道路由配置>页面。在该页面配置策略规则和隧道路由。

选项	说明
策略	选中<系统自动创建如下策略>复选框，所有新建配置完成后，系统将自动生成列表中的策略规则。用户也可以在新建配置完成后，从WebUI页面左侧导航树选择并点击“配置安全策略”，进入策略页面，对自动生成的策略规则进行编辑。关于编辑策略规则的详细信息，请参阅配置策略规则。
隧道路由	指定通过SCVPN隧道到特定网段的路由。SCVPN客户端通过设备下发的路由可以访问到指定的网段。配置方法如下：在<IP>文本框输入目的IP地址，在<网络掩码>文本框输入目的IP地址的网络掩码，然后在<度量值>文本框中输入路由的度量值。点击『添加』按钮，添加已配置的隧道路由，被添加的隧道路由将显示在下方的列表中。如需要，按照步骤1和2添加其它隧道路由。如需要删除隧道路由，选中列表中需要删除的隧道路由复选框，点击『删除』按钮，删除相应的隧道路由。

选项

说明

策略

选中<系统自动创建如下策略>复选框，所有新建配置完成后，系统将自动生成列表中的策略规则。用户也可以在新建配置完成后，从WebUI页面左侧导航树选择并点击“配置

安全

策略”，进入策略页面，对自动生成的策略规则进行编辑。关于编辑策略规则的详细信息，请参阅配置策略规则。

隧道路由

指定通过SCVPN隧道到特定网段的路由。SCVPN客户端通过设备下发的路由可以访问到指定的网段。配置方法如下：

在<IP>文本框输入目的IP地址，在<网络掩码>文本框输入目的IP地址的网络掩码，然后在<度量值>文本框中输入路由的度量值。
点击『添加』按钮，添加已配置的隧道路由，被添加的隧道路由将显示在下方的列表中。
如需要，按照步骤1和2添加其它隧道路由。如需要删除隧道路由，选中列表中需要删除的隧道路由复选框，点击『删除』按钮，删除相应的隧道路由。

如需要，点击页面右下方的『高级配置』按钮，进行SCVPN高级参数配置，包括参数配置、客户端/USB Key配置、主机检测/绑定配置、短信口令认证配置和最优路径检测配置。详细配置请参见步骤11至15。

在<参数配置>页面，进行安全套件、客户端连接和高级参数配置。

选项	说明
安全套件	SSL版本：指定SSL协议版本，可以为SSLv3协议或者TLSv1协议或者SSLv3协议。<任意>表示SSLv3或者TLSv1中的任何一种。
	信任域：指定PKI信任域。
	加密算法：为SCVPN隧道指定加密算法。默认为3DES。<NULL>表示不使用加密功能。
	Hash算法：为SCVPN隧道指定验证算法。默认为SHA-1。<NULL>表示不使用验证功能。
	压缩算法：为SCVPN隧道指定压缩算法。默认无任何压缩算法。
客户端连接	空闲时间：空闲时间指客户端与设备端在无流量状态下能够保持连接状态的最长时间，超出空闲时间后，设备端将断开与客户端的连接。单位为分钟，取值范围为15到120，默认值为30。
客户端连接	限制登录数：限制登录数功能指设备允许同一个用户在多个地点同时登录认证。选中<启用>复选框开启该功能，在后面的<登录数>文本框中输入允许多个登录的次数，取值范围为0到99999999，其中0表示不限制次数。
高级参数	防重放：防重放功能是指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。默认值为32。
	DF位：指定是否允许转发数据包的设备对数据包进行分片。包括：设置 - 允许转发设备对数据包分片。拷贝 - 直接从发包端拷贝IP包的DF选项。该选项为系统默认选项。清除 - 不允许转发设备对包做分片处理。
	数据端口（UDP）：SCVPN连接建立后的数据通讯端口。

在<客户端/USB Key>页面，进行客户端和客户端证书认证配置。

选项	说明
客户端配置	重定向URL：URL重定向功能是指在SCVPN设备端配置重定向的URL，客户端认证成功后将自动跳转到指定URL的页面。在文本框中输入重定向的URL字符串，取值范围为1到255字节。系统支持HTTP（http://）和HTTPS（https://）两种类型的URL。根据重定向页面类型的不同，系统支持内容符合下列格式的URL输入，以HTTP类型URL为例： UTF-8编码格式的页面 - 输入“URL”+“username=$USER&password=$PWD”。比如，http://www.abc.com/oa/login.do?username=$USER&password=$PWD GB2312编码格式的页面 - 输入“URL”+“username=$GBUSER&password=$PWD”。比如，http://www.abc.com/oa/login.do?username=$GBUSER&password=$PWD 其它页面 - 直接输入URL。比如，http://www.abc.com
	英文标题：指定重定向URL的英文描述，范围为1到31字节。当客户端PC为英文操作系统时，该名称会在客户端菜单项中显示。
	中文标题：指定重定向URL的中文描述，范围为1到63字节。当客户端PC为中文操作系统时，该名称会在客户端菜单项中显示。
客户端证书认证	USB KEY证书认证：选中<启用>复选框开启USB Key证书认证功能。该功能支持“用户名/密码 + USB Key”和“只用USB Key”两种认证方式。选中所需认证方式单选按钮。用户名/密码 + USB Key - SCVPN用户需要持有存储正确数字证书的USB Key，并且在登录时输入正确的用户名、密码和USB Key用户口令，才能通过认证。只用USB Key - SCVPN用户需要持有存储正确数字证书的USB Key，并且在登录时输入正确的USB Key用户口令，即可通过认证，无需输入用户名和密码。注意：当认证方式为“只用USB Key”时：系统可以根据USB Key数字证书中的证书名称（证书CN字段）或者组织机构（证书OU字段）为认证成功的用户映射相应的角色。关于如何进行证书名称或者组织机构的角色映射，请参阅角色映射规则配置。系统不支持允许本地用户修改密码功能。系统不支持配置短信口令认证功能。如果移除USB Key，客户端不会自动重连。
	USB KEY下载网址：当使用USB Key证书认证功能时，用户可以通过该地址，下载UKey对应的驱动程序。
	信任域和主题名字检查功能配置方法如下：在<信任域>下拉菜单中选中用户CA（Certification Authority）证书所在的PKI信任域。客户端所提交的证书匹配到其中任意一个信任域的CA证书，都会认证成功。如需要，选中<主题名字检查>对应的<启用>复选框，启用主题名字检查功能。启用后，当用户通过USB Key证书认证功能登录时，设备端会检查指定PKI信任域CA证书中的主题名称（subject commonName）是否和登录用户的用户名一致。点击『添加』按钮，添加已配置的信任域和主题名字检查条目，被添加的信任域和主题名字检查条目将显示在下方的列表中。如需要，按照步骤1至3添加其它信任域和主题名字检查条目。如需要删除信任域和主题名字检查条目，从列表中选中需要删除的信任域和主题名字检查条目复选框，点击『删除』按钮。

在<主机检测/绑定>页面，进行主机检测和主机绑定功能配置。

选项	说明
主机检测	通过此部分配置，可以将主机检测规则引用到主机检测策略中。主机检测规则配置完成后，只有把它引用到主机检测策略中，配置的安全检测功能才能对用户生效。主机检测策略配置方法如下：在<角色>下拉菜单选中所需的用户初级角色名称，主机检测功能对该角色有效。<缺省>表示对多有用户均有效。在<访客角色>下拉菜单中选中所需的用户次级角色名称，当客户端的主机检测失败时，用户将获得该次级角色拥有的访问权限；<空>表示当客户端的主机检测失败时，系统将断开该客户端连接。在<主机检测名称>下拉菜单中选中已配置的主机检测规则名称。在<周期检测>文本框中指定用户的自动检测周期。单位为分钟，取值范围为5到1440分钟，默认值为30分钟。指定该参数后，系统可以周期性地进行安全检查，比如可以定时地检查客户端主机的防病毒软件是否开启，如果用户在使用过程中关闭了防病毒软件，系统可能会因此在用户的访问过程中改变该用户所属的角色，重新为该用户分配相应的权限。点击『添加』按钮，添加已配置的主机检测策略，被添加的主机检测策略将显示在下方的列表中。如需要，按照步骤1至5添加其它主机检测策略。如需要删除主机检测策略，从列表中选中需要删除的主机检测策略复选框，点击『删除』按钮。注意：进行此部分配置前，请先在主机检测页面配置主机检测规则。关于主机检测规则的详细信息，请参阅主机检测介绍一节。
主机绑定	选中<启用主机绑定>复选框开启主机绑定功能。默认情况下，系统仅允许一个用户通过一台主机登录，即用户名和主机一一对应。用户可以通过选择以下选项改变主机名与用户的绑定关系：允许一个用户通过多台主机登录。允许多个用户通过一台主机登录。用户首次登录时自动把用户名和主机ID的应用关系加入绑定表。注意：启用主机绑定，还需要在主机绑定验证页面配置主机绑定功能。关于主机绑定的详细信息，请参阅主机绑定介绍一节。

选项

说明

主机检测

通过此部分配置，可以将主机检测规则引用到主机检测策略中。主机检测规则配置完成后，只有把它引用到主机检测策略中，配置的安全检测功能才能对用户生效。主机检测策略配置方法如下：

在<角色>下拉菜单选中所需的用户初级角色名称，主机检测功能对该角色有效。<缺省>表示对多有用户均有效。
在<访客角色>下拉菜单中选中所需的用户次级角色名称，当客户端的主机检测失败时，用户将获得该次级角色拥有的访问权限；<空>表示当客户端的主机检测失败时，系统将断开该客户端连接。
在<主机检测名称>下拉菜单中选中已配置的主机检测规则名称。
在<周期检测>文本框中指定用户的自动检测周期。单位为分钟，取值范围为5到1440分钟，默认值为30分钟。指定该参数后，系统可以周期性地进行安全检查，比如可以定时地检查客户端主机的防病毒软件是否开启，如果用户在使用过程中关闭了防病毒软件，系统可能会因此在用户的访问过程中改变该用户所属的角色，重新为该用户分配相应的权限。
点击『添加』按钮，添加已配置的主机检测策略，被添加的主机检测策略将显示在下方的列表中。
如需要，按照步骤1至5添加其它主机检测策略。如需要删除主机检测策略，从列表中选中需要删除的主机检测策略复选框，点击『删除』按钮。

注意：进行此部分配置前，请先在主机检测页面配置主机检测规则。关于主机检测规则的详细信息，请参阅主机检测介绍一节。

主机绑定

选中<启用主机绑定>复选框开启主机绑定功能。默认情况下，系统仅允许一个用户通过一台主机登录，即用户名和主机一一对应。用户可以通过选择以下选项改变主机名与用户的绑定关系：

允许一个用户通过多台主机登录。
允许多个用户通过一台主机登录。
用户首次登录时自动把用户名和主机ID的应用关系加入绑定表。

注意：启用主机绑定，还需要在主机绑定验证页面配置主机绑定功能。关于主机绑定的详细信息，请参阅主机绑定介绍一节。

在<短信口令认证>页面，进行短信口令认证配置。

选中<启用短信口令认证>复选框，开启短信口令认证功能。
在<短信认证码有效时间>微调框中输入或者选择短信认证码有效时间。如果用户在有效时间内没有输入短信认证码也没有重新申请认证码，SCVPN设备端将自动断开连接。
如需要，在<短信测试>文本框输入接收测试短信的手机号码，然后点击『发送』按钮，向指定手机号码发送测试短信，以验证设备能否正常发送短信。

在<最优路径检测>页面，进行最优路径检测功能配置。

功能	说明
最优路径检测	最优路径检测能够使不同ISP线路接入的客户端自动选择最快线路连接到SCVPN设备端，从而提高访问总部资源时的速度。最优路径检测配置方法如下：在<路径检测方式>部分选中所需的检测方式，包括：不检测 - 不进行最优路径检测客户端 - 客户端通过发送UDP探测包自动判断最优链路，并选择连接的最优路径设备端 - 当SCVPN客户端直接访问设备端出接口地址时，选择该项，设备端通过客户端的源接入地址判断其ISP类型，根据判断，将所有的SCVPN出接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径；当SCVPN客户端通过NAT设备访问SCVPN设备端时，如果选择该项，设备端会通过客户端的源接入地址判断其ISP类型，根据判断，将所有的NAT外网接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径如需要，在<NAT映射地址及端口>部分指定NAT设备上DNAT规则映射到SCVPN服务器的外网IP及端口。当SCVPN客户端通过NAT设备访问SCVPN设备端时，该NAT设备会将客户端的访问地址映射到SCVPN设备端的出接口地址。分别在<服务器IP>和<端口>文本框中输入NAT设备外网端口IP地址及HTTPS端口号（为避免与WebUI使用的HTTPS端口号相冲突，建议用户不要把HTTPS端口号设置为443）。系统允许最多配置四个IP地址。

功能

说明

最优路径检测

最优路径检测能够使不同ISP线路接入的客户端自动选择最快线路连接到SCVPN设备端，从而提高访问总部资源时的速度。最优路径检测配置方法如下：

在<路径检测方式>部分选中所需的检测方式，包括：
- 不检测 - 不进行最优路径检测
- 客户端 - 客户端通过发送UDP探测包自动判断最优链路，并选择连接的最优路径
- 设备端 - 当SCVPN客户端直接访问设备端出接口地址时，选择该项，设备端通过客户端的源接入地址判断其ISP类型，根据判断，将所有的SCVPN出接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径；当SCVPN客户端通过NAT设备访问SCVPN设备端时，如果选择该项，设备端会通过客户端的源接入地址判断其ISP类型，根据判断，将所有的NAT外网接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径
如需要，在<NAT映射地址及端口>部分指定NAT设备上DNAT规则映射到SCVPN服务器的外网IP及端口。当SCVPN客户端通过NAT设备访问SCVPN设备端时，该NAT设备会将客户端的访问地址映射到SCVPN设备端的出接口地址。分别在<服务器IP>和<端口>文本框中输入NAT设备外网端口IP地址及HTTPS端口号（为避免与WebUI使用的HTTPS端口号相冲突，建议用户不要把HTTPS端口号设置为443）。系统允许最多配置四个IP地址。

点击『完成』按钮，保存所做配置。

编辑/删除SCVPN

编辑/删除SCVPN，请按照以下步骤进行操作：

从页面左侧导航树选择并点击“配置

网络

SSL VPN”，进入SCVPN页面。

在SCVPN列表部分，选中需要编辑/删除的SCVPN。

点击页面左上方的『编辑』或『删除』按钮编辑/删除相应的SCVPN。

查看在线用户

查看SCVPN所有在线客户端，请按照以下步骤进行操作：

从页面左侧导航树选择并点击“配置

网络

SSL VPN”，进入SCVPN页面。

在页面下方的在线用户列表中查看所有在线客户端的详细信息。

名称：显示SCVPN名称。
类型：显示在线用户的类型。
登录时间：显示在线用户的登录时间。
公网IP：显示在线用户的公网IP地址。
私有IP：显示SCVPN分配给在线用户的IP地址。
客户端版本：显示在线用户的SCVPN客户端版本号。
操作：点击该栏的『踢出』按钮强制断开用户的SCVPN连接。

如需要，用户还可以在在线用户列表右上侧的<在线用户>文本框中输入特定用户名称，然后点击后面的『搜索』按钮查看特定在线客户端的详细信息。