主机检测配置举例

本节提供一个SCVPN主机安全检测配置实例。

外网PC通过Hillstone设备访问公司总部资源，需要组建SCVPN网络并配置主机安全检测功能，以达到以下目的：

• 客户端PC通过SCVPN访问公司总部资源；
• 公司总部的软件私有网络网段（IP：10.1.1.0/24）的资源只允许属于角色“sw”的用户访问；总部下载网络网段（IP：10.1.2.0/24）的资源只允许属于角色“dl”的用户访问；总部公开网络网段（IP：10.1.3.0/24）的资源允许所有的用户访问；
• 对访问总部资源的客户端PC进行主机安全检测，并根据检测结果授予相应的资源访问权限。

组网图如下：

请按照以下步骤进行配置：

第一步：创建本地用户。

1. 从工具栏的<对象用户>下拉菜单选择『本地用户』，弹出<本地用户>对话框。
2. 在<本地服务器>下拉菜单中选择本地服务器“local”，并点击『新建』按钮，在下拉菜单中选中<用户>，弹出<新建用户>对话框。具体配置信息如下：
• 名称：pc1
• 密码：xxxfcvg236
• 重新输入密码：xxxfcvg236

3. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
4. 在<本地服务器>下拉菜单中选择本地服务器“local”，并点击『新建』按钮，在下拉菜单中选中<用户>，弹出<新建用户>对话框。具体配置信息如下：
• 名称：pc2
• 密码：xcabuv112
• 重新输入密码：xcabuv112

5. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
6. 在<本地服务器>下拉菜单中选择本地服务器“local”，并点击『新建』按钮，在下拉菜单中选中<用户>，弹出<新建用户>对话框。具体配置信息如下：
• 名称：pc3
• 密码：xacfomg763
• 重新输入密码：xacfomg763

7. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第二步：配置角色映射规则。

1. 从工具栏的<对象用户>下拉菜单选择『角色』，弹出<角色>对话框。
2. 点击『新建』按钮，在下拉菜单中点击<角色>，弹出<角色配置>对话框。
3. 在<角色名称>文本框中输入“sw”。
4. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
5. 点击『新建』按钮，在下拉菜单中点击<角色>，弹出<角色配置>对话框。
6. 在<角色名称>文本框中输入“dl”。
7. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
8. 点击『新建』按钮，在下拉菜单中点击<角色映射>，弹出<角色映射配置>对话框。具体配置信息如下：
   • 映射名称：rule1
   • 成员：依次从下拉菜单中选择“sw”、“用户”和“pc1”，点击『添加』按钮；然后，依次从下拉菜单中选择“dl”、“用户”和“pc1”，点击『添加』按钮；最后，依次从下拉菜单中选择“dl”、“用户”和“pc2”，点击『添加』按钮
9. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
10. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』，弹出<AAA服务器>对话框。
11. 选中列表栏中<local>对应的复选框，点击『编辑』按钮，弹出<编辑本地服务器>对话框。
12. 在<角色映射规则>下拉菜单中选择“rule1”。
13. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第三步：配置设备端接口。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 选中接口列表中“ethernet0/1”对应的复选框，点击接口列表左上方的『编辑』按钮，系统弹出<接口配置>对话框。具体配置信息如下：
   • 绑定安全域：三层安全域
   • 安全域：从下拉菜单中选中“untrust”
   • 类型：静态IP
   • IP地址：1.1.1.1
   • 网络掩码：255.255.255.0
3. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第四步：配置主机检测规则。

1. 从页面左侧导航树选择并点击“配置网络SSL VPN”，进入SCVPN页面。
2. 从页面右侧辅助栏的<任务>区选择『主机检测』链接，进入SCVPN的主机检测页面。
3. 点击主机检测规则列表左上角的『新建』按钮，弹出<主机检测配置>对话框。在『基本配置』标签页，进行如下配置：
   • 名称：dl-security-check
   • OS版本：依次从下拉菜单中选择“至少”、“Win2003”、“无”
   • 补丁包1：KB958215
   • 最低IE版本：IE6.0
   • 最低IE安全级别：高
4. 在『高级配置』标签页，进行如下配置：
   • 安全中心：勾选“必须启用”
   • 防病毒软件：依次勾选“安装软件”、“实时监控”、“病毒库更新”
   • 防间谍软件：依次勾选“安装软件”、“实时监控”、“特征库更新”
   • 防火墙：依次勾选“安装软件”、“实时监控”
5. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
6. 点击主机检测规则列表左上角的『新建』按钮，弹出<主机检测配置>对话框。在『基本配置』标签页，进行如下配置：
   • 名称：sw-security-check
   • OS版本：依次从下拉菜单中选择“必须匹配”、“WinXP”、“SP3”
   • 补丁包1：KB921883
   • 最低IE版本：IE7.0
   • 最低IE安全级别：高
7. 在『高级配置』标签页，进行如下配置：
   • 安全中心：勾选“必须启用”
   • 自动更新：勾选“必须启用”
   • 防病毒软件：依次勾选“安装软件”、“实时监控”、“病毒库更新”
   • 防间谍软件：依次勾选“安装软件”、“实时监控”、“特征库更新”
   • 防火墙：依次勾选“安装软件”、“实时监控”
   • 文件路径名称：在<文件1>下拉菜单中选择“存在”并在文本框中输入“C:\Program Files\McAfee\VirusScan\Enterprise.exe”
8. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第五步：配置SCVPN地址池。

1. 从页面左侧导航树选择并点击“配置网络SSL VPN”，进入SCVPN页面。
2. 从页面右侧辅助栏的<任务>区选择『SSL VPN地址池』链接，进入SCVPN的地址池页面。
3. 点击地址池列表左上角的『新建』按钮，弹出<地址池配置>对话框。在对话框的『基本配置』标签页，进行如下配置：
   • 地址池名称：pool1
   • 起始IP：11.1.1.10
   • 终止IP：11.1.1.100
   • 网络掩码：255.255.255.0
   • DNS1：11.1.1.3
   • WINS1：11.1.1.2

4. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第六步：创建隧道接口（隧道接口的IP地址必须与SCVPN地址池的IP地址在同一网段）。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 点击安全域列表左上角的『新建』按钮，弹出<安全域配置>对话框。具体配置信息如下：
   • 安全域名称：VPN
   • 类型：三层安全域
3. 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
4. 点击接口列表左上角的『新建』按钮，弹出接口类型下拉菜单。
5. 从下拉菜单中选择并点击<隧道接口>，系统弹出<接口配置>对话框。在对话框的『常规』标签页，进行如下配置：
   • 名称：tunnel1
   • 绑定安全域：三层安全域
   • 安全域：从下拉菜单中选择“VPN”
   • 类型：静态IP
   • IP地址：11.1.1.1
   • 网络掩码：24
6. 点击『确定』按钮保，保存所做配置并返回上一级对话框/页面。

第七步：配置SCVPN设备端。

1. 从页面左侧导航树选择并点击“配置网络SSL VPN”，进入SCVPN页面。
2. 点击SCVPN列表左上角的『新建』按钮或者从页面右侧辅助栏的<任务>区选择『新建SSL VPN』链接，弹出<SSL VPN配置>对话框。
3. 阅读<欢迎页>内容，并在<SSL VPN名称>文本框中输入“ssl1”。
4. 点击『下一步』按钮进入<接入用户>配置页面。在<AAA服务器>下拉菜单选择“local”，然后点击『添加』按钮。
5. 点击『下一步』按钮进入<接入接口/隧道接口>配置页面。具体配置信息如下：
   • 出接口1：ethernet0/1
   • 服务端口：4433
   • 隧道接口：tunnel1
   • 地址池：pool1
6. 点击『下一步』按钮进入<策略/隧道路由配置>页面。为当前SCVPN添加多条隧道路由：IP“10.1.1.0”，网络掩码“255.255.255.0”，度量值“10”，点击『添加』按钮；IP“10.1.2.0”，网络掩码“255.255.255.0”，度量值“5”，点击『添加』按钮；IP“10.1.3.0”，网络掩码“255.255.255.0”，度量值“3”，点击『添加』按钮。
7. 点击『高级配置』按钮，在<主机检测/绑定>页面引用主机检测规则：角色“sw”，主机检测名称“sw-security-check”，访客角色“dl”，点击『添加』按钮；角色“缺省”，主机检测名称“dl-security-check”，访客角色“空”，周期检测“50”，点击『添加』按钮。
8. 点击『完成』按钮，保存所做配置并返回上一级对话框/页面。

第八步：配置从VPN到Any的策略规则。

1. 从工具栏的<对象用户>下拉菜单选择『地址簿』，弹出<地址簿>对话框。
2. 点击『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
   • 名称：swnetwork
   • 类型：IP地址
   • 成员：分别选中并输入“IP/掩码”、“10.1.1.0”、“24”，点击『添加』按钮
3. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
4. 点击『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
   • 名称：dlnetwork
   • 类型：IP地址
   • 成员：分别选中并输入“IP/掩码”、“10.1.2.0”、“24”，点击『添加』按钮
5. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
6. 点击『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
   • 名称：publicnetwork
   • 类型：IP地址
   • 成员：分别选中并输入“IP/掩码”、“10.1.3.0”、“24”，点击『添加』按钮
7. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
8. 点击『关闭』按钮关闭<地址簿>对话框。
9. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
10. 在<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“Any”，策略列表中显示符合条件的策略规则。选中源安全域为“VPN”且目的安全域为“Any”的策略规则对应的复选框，点击『编辑』按钮，弹出<策略配置>对话框。具体配置信息如下：
    • 源安全域：VPN
    • 源地址：Any
    • 目的安全域：trust
    • 目的地址：swnetwork
    • 服务簿：Any
    • 源用户：点击『多个』按钮，弹出<角色/用户/用户组配置>对话框，在<类型>部分选中“角色”，在<角色>下拉菜单选中“sw”，点击『添加』按钮，点击『确定』按钮保存所做配置并返回上一级对话框
    • 行为：允许
11. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
12. 在<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
    • 源安全域：VPN
    • 源地址：Any
    • 目的安全域：trust
    • 目的地址：dlnetwork
    • 服务簿：Any
    • 源用户：点击『多个』按钮，弹出<角色/用户/用户组配置>对话框，在<类型>部分选中“角色”，在<角色>下拉菜单选中“dl”，点击『添加』按钮，点击『确定』按钮保存所做配置并返回上一级对话框
    • 行为：允许
13. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
14. 在<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
    • 源安全域：VPN
    • 源地址：Any
    • 目的安全域：trust
    • 目的地址：publicnetwork
    • 服务簿：Any
    • 行为：允许
15. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

客户端PC发起SCVPN连接请求并通过认证后，设备端会根据配置的主机检测策略规则对客户端进行安全检测，并根据检测结果授予客户端用户相应的资源访问权限。本示例的主机检测策略规则配置以及资源访问权限授予之间的对应关系，请参阅下表：