SCVPN配置

系统设置 > 网络 > VPN> SSL VPN

用户可以通过配置SCVPN实现信息的远程连通。

在SCVPN配置页面可以执行以下操作：

点击『新建』按钮，创建新的SCVPN。

点击『编辑』按钮，编辑所选的SCVPN。

点击『删除』按钮，删除所选的SCVPN。

在页面下方的在线用户列表中查看所有在线客户端的详细信息。如需要，用户可以在在线用户列表右上侧的<在线用户>文本框中输入特定用户名称，然后点击后面的『搜索』按钮查看特定在线客户端的详细信息。

点击在线用户列表中『踢出』按钮，强制断开用户的SCVPN连接。

点击『SSL VPN地址池』按钮，进入<SSL VPN地址池>页面，配置SCVPN地址池。

点击『主机检测/绑定』按钮，进入<主机检测/绑定>页面，配置SCVPN主机检测规则。

点击『SSL VPN认证登录页』按钮，进入<SSL VPN认证登录页配置>页面，用户可自行定制SCVPN认证登录页面

<SSL VPN配置>对话框选项说明：

选项

说明

名称/接入用户

SSL VPN名称

指定SSL VPN名称。

AAA服务器/域名/保持域名

配置用于客户端用户身份认证的AAA服务器，配置方法如下：

在<AAA服务器>下拉菜单中选择需要的服务器名称。选择服务器前，可以点击『查看AAA服务器』链接，查看AAA服务器信息。
在<域名>文本框中输入服务器对应的域名。
保持域名：点击『启用』按钮，用于身份认证的用户名将验证域名；
点击『添加』按钮，添加已配置的AAA服务器，被添加的AAA服务器将显示在下方的列表中。
重复以上步骤添加更多AAA服务器。如果需要删除AAA服务器，从列表中选中需要删除的AAA服务器，然后点击右侧的『删除』按钮。

接口/地址池

接入接口

指定客户端所访问的VPN服务器的外网接口。具体配置选项包括：

出接口1：在下拉菜单中选择需要的设备端接口1。
出接口2：在下拉菜单中选择需要的设备端接口2。一般配置一个出接口即可，配置最优路径检测时需要配置两个出接口。
服务端口：指定SCVPN的服务端口号。

隧道接口

指定绑定SCVPN隧道的隧道接口，流量通过隧道接口进出SCVPN通道。具体配置选项包括：

隧道接口：在下拉菜单中选择系统中已配置的隧道接口；或者，选中下拉菜单中的<新建>选项，在弹出的<隧道接口>对话框中新建隧道接口；还可以在下拉菜单中选中系统中已配置的隧道接口，然后点击『编辑』按钮，在弹出的<隧道接口>对话框中编辑该隧道接口。关于新建/编辑隧道接口的详细信息，请参阅“接口配置>新建接口>新建隧道接口”部分。
所属安全域：显示已选中隧道接口所属的安全域。
IP地址：显示已选中隧道接口的IP地址。
网络掩码：显示已选中隧道接口的网络掩码。

地址池

指定SCVPN地址池。具体配置选项包括：

地址池：在下拉菜单中选择系统中已配置的地址池；或者，选中下拉菜单中的<新建>选项，在弹出的<地址池配置>对话框中新建地址池；还可以在下拉菜单中选中系统中已配置的地址池，然后点击『编辑』按钮，在弹出的<地址池配置>对话框中编辑该地址池。关于新建/编辑地址池的详细信息，请参阅SCVPN地址池配置。
起始IP：显示已选中地址池的起始IP地址。
终止IP：显示已选中地址池的终止IP地址。
网络掩码：显示已选中地址池IP范围的网络掩码。

隧道路由配置

隧道路由

指定通过SCVPN隧道到特定网段的路由。SCVPN客户端通过设备下发的路由可以访问到指定的网段。配置方法如下：

在<IP>文本框输入目的IP地址，在<网络掩码>文本框输入目的IP地址的网络掩码，然后在<度量值>文本框中输入路由的度量值。
点击『添加』按钮，添加已配置的隧道路由，被添加的隧道路由将显示在下方的列表中。
如需要，按照步骤1和2添加其它隧道路由。如需要删除隧道路由，选中列表中需要删除的隧道路由复选框，点击『删除』按钮，删除相应的隧道路由。

高级配置

参数配置

安全套件

SSL版本：指定SSL协议版本，可以为SSLv3协议或者TLSv1协议。<任意>表示SSLv3或者TLSv1中的任何一种。

信任域：指定PKI信任域。

加密算法：为SCVPN隧道指定加密算法。默认为3DES。<NULL>表示不使用加密功能。

Hash算法：为SCVPN隧道指定验证算法。默认为SHA-1。<NULL>表示不使用验证功能。

压缩算法：为SCVPN隧道指定压缩算法。默认无任何压缩算法。

客户端连接

空闲时间：空闲时间指客户端与设备端在无流量状态下能够保持连接状态的最长时间，超出空闲时间后，设备端将断开与客户端的连接。单位为分钟，取值范围为15到120，默认值为30。

限制登录数：限制登录数功能指设备允许同一个用户在多个地点同时登录认证。选中<启用>复选框开启该功能，在后面的<登录数>文本框中输入允许多个登录的次数，取值范围为0到99999999，其中0表示不限制次数。

高级参数

防重放：防重放功能是指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。默认值为32。

DF位：指定是否允许转发数据包的设备对数据包进行分片。包括：

设置 - 允许转发设备对数据包分片。
拷贝 - 直接从发包端拷贝IP包的DF选项。该选项为系统默认选项。
清除 - 不允许转发设备对包做分片处理。

数据端口（UDP）：SCVPN连接建立后的数据通讯端口。

客户端

客户端配置

重定向URL：URL重定向功能是指在SCVPN设备端配置重定向的URL，客户端认证成功后将自动跳转到指定URL的页面。在文本框中输入重定向的 URL字符串，取值范围为1到255字节。系统支持HTTP（http://）和HTTPS（https://）两种类型的URL。根据重定向页面类型的不同，系统支持内容符合下列格式的URL输入，以HTTP类型URL为例：

UTF-8编码格式的页面 - 输入“URL”+“username=$USER&password=$PWD”。比如，http://www.abc.com/oa/login.do?username=$USER&password=$PWD
GB2312编码格式的页面 - 输入“URL”+“username=$GBUSER&password=$PWD”。比如，http://www.abc.com/oa /login.do?username=$GBUSER&password=$PWD
其它页面 - 直接输入URL。比如，http://www.abc.com

英文标题：指定重定向URL的英文描述，范围为1到31字节。当客户端PC为英文操作系统时，该名称会在客户端菜单项中显示。

中文标题：指定重定向URL的中文描述，范围为1到63字节。当客户端PC为中文操作系统时，该名称会在客户端菜单项中显示。

客户端证书认证

客户端证书认证：选中<启用>复选框开启客户端证书认证功能。该功能支持“用户名/密码 + 数字证书”和“只用数字证书”两种认证方式。数字证书可以是软证书或USB Key证书。选中所需认证方式单选按钮。

用户名/密码 + 数字证书 - SCVPN用户需要持有正确的软证书或存储正确数字证书的USB Key，并且在登录时输入正确的用户名、密码（USB Key证书用户还需提供USB Key用户口令），才能通过认证。
只用数字证书 - SCVPN用户需要持有正确的软证书或存储正确数字证书的USB Key（USB Key证书用户还需在登录时输入正确的USB Key用户口令），即可通过认证，无需输入用户名和密码。

注意：

当认证方式为“只用数字证书”时：

系统不支持允许本地用户修改密码功能。
系统不支持配置短信口令认证功能。
如果使用USB-Key证书的用户移除了UKey，客户端不会自动重连。

USB KEY下载网址：当使用USB Key证书认证功能时，用户可以通过该地址，下载UKey对应的驱动程序。

信任域和主题名字检查功能配置方法如下：

在<信任域>下拉菜单中选中用户CA（Certification Authority）证书所在的PKI信任域。客户端所提交的证书匹配到其中任意一个信任域的CA证书，都会认证成功。
如需要，选中<主题名字检查>对应的<启用>复选框，启用主题名字检查功能。启用后，当用户通过数字证书认证功能登录时，设备端会检查指定PKI信任域CA证书中的主题名称（subject commonName）是否和登录用户的用户名一致。
点击『添加』按钮，添加已配置的信任域和主题名字检查条目，被添加的信任域和主题名字检查条目将显示在下方的列表中。
如需要，按照步骤1至3添加其它信任域和主题名字检查条目。如需要删除信任域和主题名字检查条目，从列表中选中需要删除的信任域和主题名字检查条目复选框，点击『删除』按钮。

短信口令认证

短信口令认证

短信口令认证配置方法如下：

选中<启用短信口令认证>复选框，开启短信口令认证功能。
在<短信认证码有效时间>微调框中输入或者选择短信认证码有效时间。如果用户在有效时间内没有输入短信认证码也没有重新申请认证码，SCVPN设备端将自动断开连接。
如需要，在<短信测试>文本框输入接收测试短信的手机号码，然后点击『发送』按钮，向指定手机号码发送测试短信，以验证设备能否正常发送短信。

主机检测/绑定

主机检测

通过此部分配置，可以将主机检测规则引用到主机检测策略中。主机检测规则配置完成后，只有把它引用到主机检测策略中，配置的安全检测功能才能对用户生效。主机检测策略配置方法如下：

在<主机检测名称>下拉菜单中选中已配置的主机检测规则名称。
在<周期检测>文本框中指定用户的自动检测周期。单位为分钟，取值范围为5到1440分钟，默认值为30分钟。指定该参数后，系统可以周期性地进行安全检查。

注意：进行此部分配置前，请先在主机检测页面配置主机检测规则。关于主机检测规则的详细信息，请参阅主机检测/绑定介绍一节

主机绑定

选中<启用主机绑定>复选框开启主机绑定功能。默认情况下，系统仅允许一个用户通过一台主机登录，即用户名和主机一一对应。用户可以通过选择以下选项改变主机名与用户的绑定关系：

允许一个用户通过多台主机登录。
允许多个用户通过一台主机登录。
用户首次登录时自动把用户名和主机ID的应用关系加入绑定表。

注意：启用主机绑定，还需要在主机绑定验证页面配置主机绑定功能。关于主机检测规则的详细信息，关于主机绑定的详细信息，请参阅主机检测/绑定介绍一节

最优路径检测

最优路径检测

最优路径检测能够使不同ISP线路接入的客户端自动选择最快线路连接到SCVPN设备端，从而提高访问总部资源时的速度。最优路径检测配置方法如下：

在<路径检测方式>部分选中所需的检测方式，包括：
- 不检测 - 不进行最优路径检测
- 客户端 - 客户端通过发送UDP探测包自动判断最优链路，并选择连接的最优路径
- 设备端 - 当SCVPN客户端直接访问设备端出接口地址时，选择该项，设备端通过客户端的源接入地址判断其ISP类型，根据判断，将所有的SCVPN出接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径；当SCVPN客户端通过NAT设备访问SCVPN设备端时，如果选择该项，设备端会通过客户端的源接入地址判断其ISP类型，根据判断，将所有的NAT外网接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径
如需要，在<NAT映射地址及端口>部分指定NAT设备上DNAT规则映射到SCVPN服务器的外网IP及端口。当SCVPN客户端通过 NAT设备访问SCVPN设备端时，该NAT设备会将客户端的访问地址映射到SCVPN设备端的出接口地址。分别在<服务器IP>和< 端口>文本框中输入NAT设备外网端口IP地址及HTTPS端口号（为避免与WebUI使用的HTTPS端口号相冲突，建议用户不要把HTTPS端口号设置为443）。系统允许最多配置四个IP地址。

选项	说明
名称/接入用户
SSL VPN名称	指定SSL VPN名称。
AAA服务器/域名/保持域名	配置用于客户端用户身份认证的AAA服务器，配置方法如下：在<AAA服务器>下拉菜单中选择需要的服务器名称。选择服务器前，可以点击『查看AAA服务器』链接，查看AAA服务器信息。在<域名>文本框中输入服务器对应的域名。保持域名：点击『启用』按钮，用于身份认证的用户名将验证域名；点击『添加』按钮，添加已配置的AAA服务器，被添加的AAA服务器将显示在下方的列表中。重复以上步骤添加更多AAA服务器。如果需要删除AAA服务器，从列表中选中需要删除的AAA服务器，然后点击右侧的『删除』按钮。
接口/地址池
接入接口	指定客户端所访问的VPN服务器的外网接口。具体配置选项包括：出接口1：在下拉菜单中选择需要的设备端接口1。出接口2：在下拉菜单中选择需要的设备端接口2。一般配置一个出接口即可，配置最优路径检测时需要配置两个出接口。服务端口：指定SCVPN的服务端口号。
隧道接口	指定绑定SCVPN隧道的隧道接口，流量通过隧道接口进出SCVPN通道。具体配置选项包括：隧道接口：在下拉菜单中选择系统中已配置的隧道接口；或者，选中下拉菜单中的<新建>选项，在弹出的<隧道接口>对话框中新建隧道接口；还可以在下拉菜单中选中系统中已配置的隧道接口，然后点击『编辑』按钮，在弹出的<隧道接口>对话框中编辑该隧道接口。关于新建/编辑隧道接口的详细信息，请参阅“接口配置>新建接口>新建隧道接口”部分。所属安全域：显示已选中隧道接口所属的安全域。 IP地址：显示已选中隧道接口的IP地址。网络掩码：显示已选中隧道接口的网络掩码。
地址池	指定SCVPN地址池。具体配置选项包括：地址池：在下拉菜单中选择系统中已配置的地址池；或者，选中下拉菜单中的<新建>选项，在弹出的<地址池配置>对话框中新建地址池；还可以在下拉菜单中选中系统中已配置的地址池，然后点击『编辑』按钮，在弹出的<地址池配置>对话框中编辑该地址池。关于新建/编辑地址池的详细信息，请参阅SCVPN地址池配置。起始IP：显示已选中地址池的起始IP地址。终止IP：显示已选中地址池的终止IP地址。网络掩码：显示已选中地址池IP范围的网络掩码。
隧道路由配置
隧道路由	指定通过SCVPN隧道到特定网段的路由。SCVPN客户端通过设备下发的路由可以访问到指定的网段。配置方法如下：在<IP>文本框输入目的IP地址，在<网络掩码>文本框输入目的IP地址的网络掩码，然后在<度量值>文本框中输入路由的度量值。点击『添加』按钮，添加已配置的隧道路由，被添加的隧道路由将显示在下方的列表中。如需要，按照步骤1和2添加其它隧道路由。如需要删除隧道路由，选中列表中需要删除的隧道路由复选框，点击『删除』按钮，删除相应的隧道路由。
高级配置
参数配置
安全套件	SSL版本：指定SSL协议版本，可以为SSLv3协议或者TLSv1协议。<任意>表示SSLv3或者TLSv1中的任何一种。
	信任域：指定PKI信任域。
	加密算法：为SCVPN隧道指定加密算法。默认为3DES。<NULL>表示不使用加密功能。
	Hash算法：为SCVPN隧道指定验证算法。默认为SHA-1。<NULL>表示不使用验证功能。
	压缩算法：为SCVPN隧道指定压缩算法。默认无任何压缩算法。
客户端连接	空闲时间：空闲时间指客户端与设备端在无流量状态下能够保持连接状态的最长时间，超出空闲时间后，设备端将断开与客户端的连接。单位为分钟，取值范围为15到120，默认值为30。
客户端连接	限制登录数：限制登录数功能指设备允许同一个用户在多个地点同时登录认证。选中<启用>复选框开启该功能，在后面的<登录数>文本框中输入允许多个登录的次数，取值范围为0到99999999，其中0表示不限制次数。
高级参数	防重放：防重放功能是指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。默认值为32。
	DF位：指定是否允许转发数据包的设备对数据包进行分片。包括：设置 - 允许转发设备对数据包分片。拷贝 - 直接从发包端拷贝IP包的DF选项。该选项为系统默认选项。清除 - 不允许转发设备对包做分片处理。
	数据端口（UDP）：SCVPN连接建立后的数据通讯端口。
客户端
客户端配置	重定向URL：URL重定向功能是指在SCVPN设备端配置重定向的URL，客户端认证成功后将自动跳转到指定URL的页面。在文本框中输入重定向的 URL字符串，取值范围为1到255字节。系统支持HTTP（http://）和HTTPS（https://）两种类型的URL。根据重定向页面类型的不同，系统支持内容符合下列格式的URL输入，以HTTP类型URL为例： UTF-8编码格式的页面 - 输入“URL”+“username=$USER&password=$PWD”。比如，http://www.abc.com/oa/login.do?username=$USER&password=$PWD GB2312编码格式的页面 - 输入“URL”+“username=$GBUSER&password=$PWD”。比如，http://www.abc.com/oa /login.do?username=$GBUSER&password=$PWD 其它页面 - 直接输入URL。比如，http://www.abc.com
	英文标题：指定重定向URL的英文描述，范围为1到31字节。当客户端PC为英文操作系统时，该名称会在客户端菜单项中显示。
	中文标题：指定重定向URL的中文描述，范围为1到63字节。当客户端PC为中文操作系统时，该名称会在客户端菜单项中显示。
客户端证书认证	客户端证书认证：选中<启用>复选框开启客户端证书认证功能。该功能支持“用户名/密码 + 数字证书”和“只用数字证书”两种认证方式。数字证书可以是软证书或USB Key证书。选中所需认证方式单选按钮。用户名/密码 + 数字证书 - SCVPN用户需要持有正确的软证书或存储正确数字证书的USB Key，并且在登录时输入正确的用户名、密码（USB Key证书用户还需提供USB Key用户口令），才能通过认证。只用数字证书 - SCVPN用户需要持有正确的软证书或存储正确数字证书的USB Key（USB Key证书用户还需在登录时输入正确的USB Key用户口令），即可通过认证，无需输入用户名和密码。注意：当认证方式为“只用数字证书”时：系统不支持允许本地用户修改密码功能。系统不支持配置短信口令认证功能。如果使用USB-Key证书的用户移除了UKey，客户端不会自动重连。
	USB KEY下载网址：当使用USB Key证书认证功能时，用户可以通过该地址，下载UKey对应的驱动程序。
	信任域和主题名字检查功能配置方法如下：在<信任域>下拉菜单中选中用户CA（Certification Authority）证书所在的PKI信任域。客户端所提交的证书匹配到其中任意一个信任域的CA证书，都会认证成功。如需要，选中<主题名字检查>对应的<启用>复选框，启用主题名字检查功能。启用后，当用户通过数字证书认证功能登录时，设备端会检查指定PKI信任域CA证书中的主题名称（subject commonName）是否和登录用户的用户名一致。点击『添加』按钮，添加已配置的信任域和主题名字检查条目，被添加的信任域和主题名字检查条目将显示在下方的列表中。如需要，按照步骤1至3添加其它信任域和主题名字检查条目。如需要删除信任域和主题名字检查条目，从列表中选中需要删除的信任域和主题名字检查条目复选框，点击『删除』按钮。
短信口令认证
短信口令认证	短信口令认证配置方法如下：选中<启用短信口令认证>复选框，开启短信口令认证功能。在<短信认证码有效时间>微调框中输入或者选择短信认证码有效时间。如果用户在有效时间内没有输入短信认证码也没有重新申请认证码，SCVPN设备端将自动断开连接。如需要，在<短信测试>文本框输入接收测试短信的手机号码，然后点击『发送』按钮，向指定手机号码发送测试短信，以验证设备能否正常发送短信。
主机检测/绑定
主机检测	通过此部分配置，可以将主机检测规则引用到主机检测策略中。主机检测规则配置完成后，只有把它引用到主机检测策略中，配置的安全检测功能才能对用户生效。主机检测策略配置方法如下：在<主机检测名称>下拉菜单中选中已配置的主机检测规则名称。在<周期检测>文本框中指定用户的自动检测周期。单位为分钟，取值范围为5到1440分钟，默认值为30分钟。指定该参数后，系统可以周期性地进行安全检查。注意：进行此部分配置前，请先在主机检测页面配置主机检测规则。关于主机检测规则的详细信息，请参阅主机检测/绑定介绍一节
主机绑定	选中<启用主机绑定>复选框开启主机绑定功能。默认情况下，系统仅允许一个用户通过一台主机登录，即用户名和主机一一对应。用户可以通过选择以下选项改变主机名与用户的绑定关系：允许一个用户通过多台主机登录。允许多个用户通过一台主机登录。用户首次登录时自动把用户名和主机ID的应用关系加入绑定表。注意：启用主机绑定，还需要在主机绑定验证页面配置主机绑定功能。关于主机检测规则的详细信息，关于主机绑定的详细信息，请参阅主机检测/绑定介绍一节
最优路径检测
最优路径检测	最优路径检测能够使不同ISP线路接入的客户端自动选择最快线路连接到SCVPN设备端，从而提高访问总部资源时的速度。最优路径检测配置方法如下：在<路径检测方式>部分选中所需的检测方式，包括：不检测 - 不进行最优路径检测客户端 - 客户端通过发送UDP探测包自动判断最优链路，并选择连接的最优路径设备端 - 当SCVPN客户端直接访问设备端出接口地址时，选择该项，设备端通过客户端的源接入地址判断其ISP类型，根据判断，将所有的SCVPN出接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径；当SCVPN客户端通过NAT设备访问SCVPN设备端时，如果选择该项，设备端会通过客户端的源接入地址判断其ISP类型，根据判断，将所有的NAT外网接口IP地址按照优先级重新排序并下发给客户端，由客户端选择连接的最优路径如需要，在<NAT映射地址及端口>部分指定NAT设备上DNAT规则映射到SCVPN服务器的外网IP及端口。当SCVPN客户端通过 NAT设备访问SCVPN设备端时，该NAT设备会将客户端的访问地址映射到SCVPN设备端的出接口地址。分别在<服务器IP>和< 端口>文本框中输入NAT设备外网端口IP地址及HTTPS端口号（为避免与WebUI使用的HTTPS端口号相冲突，建议用户不要把HTTPS端口号设置为443）。系统允许最多配置四个IP地址。