SANGFOR_SSL_v5.7_外置数据中心配置和使用指导

远程存储服务器配置与排错指导深信服电子科技有限公司2012年9月21日远程存储服务器配置与排错指导 (1)第1章功能介绍 (2)第2章配置指导 (2)2.1.在终端服务器上安装R EMOTE A PP A GENT程序 (2)2.2.新建远程存储服务器 (3)2.3.创建远程应用服务器，新建远程应用资源 (5)2.4.给用户关联已创建的策略组和远程应用发布资源 (5)2.5.测试效果展示 (6)第3章排错指导 (7)3.1.确认基本配置和要求 (7)3.2.排查案例 (7)第1章功能介绍SSL M5.3版本开始新增远程存储服务器，用来存储通过远程应用资源修改的文档，可创建[个人目录]和[公共目录]。

让每个用户无论哪次登录，都能找到上次保存的工作，并且继续编辑，使得用户在远程应用发布获得和本地使用应用一致的使用体验。

[个人目录]：每个用户每次登录都能看到属于自己的唯一私人存储目录，用户有对其完全控制的权限，可以在其下自己创建子目录，新增、删除文件或文件夹。

[公共目录]：所有用户均能看到与其关联的公共存储目录，读取其中的文件，管理员可以对用户是否有写权限进行控制，有写权限便可以保存文件到公共存储目录。

第2章配置指导2.1.在终端服务器上安装RemoteAppAgent程序若存储服务器和远程应用发布服务器不是同一台服务器，在存储服务器上也需要安装终端服务和RemoteAppAgent程序。

在设备控制台【终端服务器管理】页面，点击下载并安装到服务器上面。

注：RemoteAppAgent组件必须安装在windows 2003或2008上，并且开启了远程桌面；M5.3支持windows server 2008 64位操作系统。

2.2.新建远程存储服务器在【终端服务器管理】页面，点击新增，选择[远程存储服务器]，弹出【编辑远程存储服务器】页面，如下图：『基本属性』配置参考新增远程应用服务器，按实际情况填入即可。

SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上，较稳定。

XP系统对数据中心支持得不是很好，不建议安装。

注：所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。

b、安装盘磁盘格式必须是NTFS格式。

二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径，并点击应用，以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码；新建一个数据库并测试连通性；设置开始同步的日期
点击应用，使配置的同步账号生效！
用户在线表示正在同步数据，用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。

深信服VPN部署手册1、登陆VPN管理界面
2、新建用户组
3、新建用户
4、新建资源组
5、新建TCP应用
6、新建角色，并选择授权用户
7、选择授权资源列表
8、用户登陆，第一次登陆需安装SSLVPN组件
9、如果没有管理员分配的合法账号和密码，无法连接SSL VPN
10、登陆成功后会看到管理员分配的资源
11、点击社会化收储系统资源，通过内网地址访问业务系统
12、登陆VPN管理界面，启用外置数据中心，设置数据中心IP
13、选择与SSL VPN内网地址同网段的服务器安装外置数据中心
14、通过系统管理员账号登陆数据中心
15、选择日志查询，选择相应用户组查看用户日志
16、选定时间范围和行为过滤，查询相应的日志
17、通过日志可以分析出是哪个用户在什么时间点的行为，如test 用户在2012-08-24 16:44:17登陆VPN系统，通过用户名/密码认证方式。

18、设置用户登陆超时，释放资源。

SSL 5.5用户手册2012年3月目录SSL 5.5用户手册 (1)声明 (8)前言................................................................................................................... 错误!未定义书签。

手册内容 ............................................................................................... 错误!未定义书签。

本书约定 ............................................................................................... 错误!未定义书签。

图形界面格式约定 ....................................................................... 错误!未定义书签。

各类标志 ....................................................................................... 错误!未定义书签。

技术支持 ............................................................................................... 错误!未定义书签。

致谢....................................................................................................... 错误!未定义书签。

第1章VPN设备的安装 ................................................................................ 错误!未定义书签。

SSL5.7外置数据中心配置和使用指导深信服电子科技有限公司2012年10月23日第1章SSL外置数据中心简介 (2)第2章安装指导 (2)第3章使用说明 (4)2.1.登录指导 (4)2.2功能简介 (6)1、查看设备运行状态 (6)2、用户日志查询 (6)3、生成统计报表 (6)4、数据管理 (6)5、系统设置 (6)第4章排错指导 (7)第5章注意事项 (7)第1章SSL外置数据中心简介深信服SSL VPN M5.7外置数据中心，与SSL VPN M5.7设备配套使用，为客户提供海量日志数据的异地扩展备份管理，多种条件组合的高效查询，统计和趋势报表生成，设备运行状态监控等功能。

第2章安装指导1、双击安装程序SSLVPN_DC_5.7.exe，点击“下一步”进行安装2、设置端口，一般按默认的即可，确保这些端口不与服务器上的其他程序冲突。

3、选择安装路径，点击“下一步安装完成”。

第3章使用说明2.1.登录指导外置数据中心web控制台使用https://方式登录，系统管理员的用户名和密码默认是Admin、Admin。

登录之后，点击系统设置---节点管理---新建节点，添加SSL设备。

设置“节点名称”和“共享密钥”，共享密钥和SSL设备上面的同步密码设置一致，具体配置如下：2.2功能简介1、查看设备运行状态可以查看与数据中心连接的设备的基本信息、当前的运行状态，运行状态采用图表的形式表示，提高了直观性。

2、用户日志查询查询用户的登录，注销，资源访问，个人信息配置日志，提供多种详细的查询方式，包括认证方式，用户组，设备IP，用户登录IP等。

查询管理员的登录，注销，配置日志。

提供基本查询方式之外，支持M5.7加入的按管理组查询。

3、生成统计报表支持多种常用的流量报表模型，能够根据用户，资源等的访问流量生成统计，排行，趋势报表，以支持对用户系统的使用情况进行审计和监控功能。

4、数据管理可以针对结点进行数据库的备份和还原。

SCSA 21、 [SSL]下列关于SANGFOR SSL VPN中的用户、角色、资源之间关系的描述错误的是?——[单选题]A —个角色可以对应多个资源B —个用户可以对应多个用户组C —个用户可以对应多个角色D —个角色可以对应多个用户正确答案：B2、 LSSL]下列关于SSL专线功能的应用场景，说法正确的是?——[单选题]A 启用SSL专线功能后，移动用户接入SSL VPHM后将无法访问InternetB 启用SSL有线功能后。

用户可以访问所有内网资源C 通过SSL专线功能，移动用户和总部建立一条专有的线路，加快访问速度D 通过SSL专线力能:多动用户只能访I可TCP资原正确答案：A3、 [AF]针对AF的僵尸网络防护出现误判后，以下排除方式不恰当的是?——[单选题]A 针对外网某个域名连接访问出现误判，确保域名可信的情况下，在【僵尸网络】-【高绍配置】中勾选【启用全局域名或P排除】，填写下受误判的IP保存即可B 在设备配置页面的【系统】-【全局放行与封者】-【放行名单】添加需要排除的URLC 针对出现问题的终端，在日志中心查找对应僵尸网络日志，使用“添加例外”进行排除D 单个终端出现僵尸网络误判问题，可在僵尸网络功能模块的高级配置中排除指定IP，保证单机访问正常正确答案：B4、 [SSL]下列关于SSL VPN资源的说法正确的是?——[单选题]A SSL VPN资源可以关联给不同用户B SSL VPN只有web应用的资源可以隐藏C SSL VPN的资源导入导出时需要用txt格式D SSL VPI的资源不可以做排序正确答案：A5、 [AC]给客户演示“共亨接入管理”识别封堵效果，请问下列的测试环境不合理的是?——[单选题]A AC旁路模式部署，使用两台windows Pc通过代理服务器代理上网B AC网桥模式部署，使用一部iPhone手机和一台Windows PC通过360wifi共享上网C AC网桥模式部署，使用两台Tindows PC通过无线路由器共享上网，无线路由器默认启用NATD AC路由模式部署，使用iPhone和小米两部手机通过360wifi共亨上网正确答案：A6、 [AF]下列哪项操作是目前AF的MANAGE口可进行的操作?——[单选题]A 改为透明模式的接口，支持透明部署B 删除该接口，不再使用C 禁用交换口，需要的时候再启用D 添加客户的IP地址，做为管理地址正确答案：D7、 [SSL]下列x于SSL VPN的控件，说法正确的是?——[单选题]A ssLVPN的控件可以自动安装，也可以手动下载安装B 如果IE安全级别较高导致控件不能自动安装，换个浏览器就可以正常登录C 控件如果损坏，可以使用升级客户端Updater6.0手动卸载，重新安装D 所有用户登录SSL VPM,必须安装控件，否则访问不了任何资源正确答案：A8、 [AF]下列不属于DOS攻击类型的有?——[单选题]A DNS洪水攻击B ICMP洪水攻击C 畸形数据包攻击D 口令暴力破解正确答案：D9、 [EDR]EDR可以很据什么实现终湍上戈自动分组?——[单选题]A 终端IP和OMACB 终端IPC 终端MACD 终端计算机名正确答案：B10、 [SIP]安全感知平台采集数据日志，通过智能分析、深度挖掘对风险进行统—监测分析后，输出几个维度的实时检测?——[单选题]A 3种B 2种C 1种D 4种正确答案：A11、 [AC]关于AC设备部署在30位子网掩码环境中，以下说法不正确的是?——[单选题]A 可以通过虚拟IP来获取交换机的ARP表B 可以通过DMZ口来更新规则库C 可以通过DMZ口重定向来买现窑码认证功能D 可以通过虚拟IF来实现窑码认证功能正确答案：A12、 [SIP]客户收到的周报一直是有安全事件的，但是突然有—周周报中没有安全事件了，可能的原因是?——[单选题]A 本周没有新的安全事件B 用户配置了日报，事件已经在日报中C 用户配置了月报，事件已经在月报中D 上—周没有新的安全事件正确答案：D13、 [AC]下列选项中，日志中心没有的功能是?——[单选题]A 统计分析相应数据B 报表订阅C 日志查询D 防火墙日志查询正确答案：D14、 [EDR]下列关于释放EDR授权，说法不正确的是?——[单选题]A 从MGR管理端停止Agent不可以释放授权B 从客户端卸载agent软件时可以释放接权C 对于离线的终端，从MGR菅理端移除离线的终端可以释放操权D 终端离线时是占用接权的正确答案：B15、 [AF]关于AF恶意域名重定向功能适用于下列哪个场景?——[单选题]A AF透明部署B 旁路镜像模式C AF路由部署D 当前为DNS代理服务器部署场景正确答案：D16、 [AC]某客户要求数据中心区域内的运维PC只能访问固定的一台设备，不允许访问非援权的设备，你向客户推荐全网行为管理的外联控制功能实现该需求。

SANGFOR_SSL多线路专题文档深信服科技有限公司2011年05月18日第1章功能概述SANGFOR SSL VPN提供了多线路智能选路技术，用于当客户外网有多条运营商出口的时候，SSL设备自动地为用户选择最快的链路接入SSL VPN。

客户端通过域名或者IP形式访问，均能实现自动选路功能。

根据不同部署环境，SANGFOR SSL VPN设备可以实现各种环境下的多线路自动选路功能。

主要包括单臂模式多线路自动选路、网关模式（直连）多线路自动选路、网关模式（非直连）多线路自动选路。

下面分别用一个典型案例来说明，单臂模式、网关模式下如何配置实现多线路自动选路功能。

第2章单臂模式多线路典型案例2.1.客户环境与需求客户拓扑如下图所示，SSL VPN设备单臂部署。

出口有电信与网通两条链路。

客户需要实现外网用户输入 1.1.2.2或者 2.1.2.2任意一个IP地址均能自动选择最快链路访问到SSLVPN设备接入。

2.2.配置思路根据客户的需求，我们可以首先总结配置思路。

1.基础网络配置：配置成单臂模式，配置LAN口IP地址，掩码，网关等信息。

2.防火墙做端口映射：前置防火墙需要做两条线路的80端口和443端口到172.16.1.10 。

此处需要注意：80端口也是必须映射的，因为多线路选路功能是依赖80端口来选路的，如果80端口不映射，将无法实现多线路选路功能。

3.多线路配置：[系统配置]-[网络配置]-[多线路]，勾选[启用SSL VPN多线路]，并且新增两条线路。

2.3.配置方法与截图2.3.1.基础网络配置首先在[系统配置]-[网络配置]-[部署模式]里将设备配置成单臂模式，配置LAN口IP地址、掩码、网关等信息。

如图：2.3.2.前置防火墙做端口映射此处设置需要在前置防火墙做，由于各个厂家设置方法不一致，此处不一一例举。

需要将1.1.2.2的80和443端口映射到172.16.1.10的80和443端口。