IT168视频培训：侠诺极简型SSL VPN

soya1688

记者：今日的主题是要介绍极简型SSL VPN，在这之前我想先请问一下究竟什么是SSL？
侠诺：简单来说，SSL 是VPN的其中一种协议，是一种国际标准的加密及身份认证通信协议，大家普遍用的浏览器就支持此协议。目前VPN常被应用的协议包含有PPTP、IPSEC、SSL等。

记者：那这些协议有什么不同呢?
侠诺：一般而言，我们会建议有VPN需求的企业尽量不要使用较不安全的PPTP，而可以视企业需求选择较安全的IPSEC或是SSL协议。IPSEC安全性较高，支持网段之间的连接及单机到网段的接入。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，具备很强的灵活性，因而广受欢迎。

记者：那SSL与IPSec相比，其优缺点又体现在哪些方面？
侠诺：SSL VPN与IPSec VPN是目前流行的两类Internet远程安全接入技术，它们具有类似功能特性，但也存在很大不同。SSL VPN的“零客户端配置”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。SSL还可以对用户的访问资源进行权限设置,保障资源的安全性。而IPSec VPN一般运用在网段之间的连接或单机到网段的接入，若要运用在移动客户端上，多半需要再安装客户端软件。两种协议各有千秋，不能简单地给IPSec与SSL方案的优劣下定论。

（图一：侠诺VPN导入评估表）

[ 本帖最后由 soya1688 于 2008-3-22 02:25 编辑 ]

soya1688

记者：“权限设置”？那是怎么一回事呢？
侠诺：权限区隔可以说也是SSL VPN的一特色。远程用户登录到企业内部存取信息，传输信息本身对企业资源来说就存在一定的安全隐患。如果远程被人为有意盗取或不小心泄露了企业重要资源，对企业安全来说又多了一层危害。因此对远程不同的用户，设置不同的权限以开放不同的资源就十分必要。SSL VPN 就支持这样的功能，用户远程登录后，只能看到开放给他的资源界面，不同的权限看到的用户界面是不同的。具体设置一会可以操作演示给大家。

记者：刚SSL与IPSec比较时有听到“零客户端配置”？SSL VPN的客户端真的不需要安装任何东西么？
侠诺：是的。SSL VPN的客户端软件就是Web浏览器，而目前几乎所有的操作系统都带有浏览器软件，其内置的SSL协议软件能提供足够的支持。虽然SSL VPN在某些应用，比如安全通道等服务，也必须下载客户端软件，但由于SSL VPN会自动下载、自动安装、自动配置完成，且在用户退出时，会自动删除。因此我们还是可以说SSL VPN是零客户端配置。


记者：听上去，SSL VPN应用还真是方便简单。不知道SSL主要适用于什么样的企业呢?
侠诺：其实SSL产品适用什么样的企业，必须依据自身企业规模、类型、需求情况而定。侠诺目前有提供两款SSL VPN产品，分别为SSL001与SSL002，可约略提供企业类型在选择SSL VPN时的参考。

如果企业已经通过即有的VPN产品建立了VPN系统，但由于企业经营的扩张，需要设置一些外点。这些外点，只需有少数几台计算机，或甚至只有一台，并且要连入总部VPN可能需要通过不同的协议。简单来说就是应用于需要快速建立不需维护的VPN外点或移动用户如连锁销售业、物流仓储业、保险业、销售行业等。建议这样的企业选择Qno SSL001产品。（图二：侠诺SSL001应用拓朴图）

Qno SSL002则适用于企业目前并没有建VPN，但因企业发展需要，欲与下属大的子公司、外点等之间建立稳定安全的VPN以增强企业同步性的企业。如制造业、跨国集团、多分支销售行业等。这些外点可能需要多种协议接入总部，由于大小规模的不同，在设备的选用上也是需要细心的考虑。也就是说应用于同时需因应不同性质的VPN外点，包括网段、单机外点或移动用户。

（图三：侠诺SSL002应用拓朴图）

[ 本帖最后由 soya1688 于 2008-3-22 02:26 编辑 ]

soya1688

记者：图中总部所采用的产品就是Qno SSL VPN 002产品吗？
侠诺：是的。该产品是一款功能超强的多WAN企业级SSL VPN防火墙。我们看拓扑图，总部中心端采用SSL 002，可架设ERP/OA服务器以及AD认证等多种Server来对外提供服务。企业网管员在总部可对SSL VPN 进行权限等管理设置，不同的权限访问不同的资源。提供预置群组、设置用户（群组）联机有效日期、显示用户登入的联机纪录等功能，让网管员管理起来更加简单容易。

记者：今天主题就是介绍极简型SSL，那刚所说的总部VPN管理简单容易，是极简的体现吗？
侠诺：基本上是的，但不全面。侠诺极简型SSL产品，极简风格包括中心端管理一键通与用户一次性登入和联机一键通等等多方面，全面综合起来，侠诺SSL VPN 产品都体现了其极简的风格。

记者：管理一键通？能介绍一下什么是管理一键通吗?
侠诺：管理一键通是侠诺提出的一个概念。在认证管理上，企业可采连接既有的认认服务器，比如Exchange Server的AD（Active Directory），网管不需花时间一一重建员工帐户；在用户权限设置上，企业若需要达到快速SSL上手，可以选择直接套用预置四个群组的快速设定样版，在同一个页面之下，即可设定完成各群组可使用的权限，网管即不需再一一配置群组特性，实现管理一键通，超快速的完成企业SSL VPN建置。

记者：听上去很简单，但有的时候原理简单，操作起来就比较繁复。不知这个管理一键通操作起来一样简易吗？
侠诺：相信很多人都会有这样的疑问。我们可以演示来看，简易与否取决大家的判断。首先进入SSL001管理端画面，由菜单选项中点击SSL VPN > 群组管理。

（图四：侠诺SSL001群组管理画面）

认证管理项目上，点击 新增认证服务 按钮，跨出页面，在这里可直接选择企业内部既有的认证系统套用，如Active Directory(AD)认证服务器等…。就像这里我们选择了Active Directory，填入既有的Exchange Server的AD认证服务器识别名称及IP，送出。

（图五：侠诺SSL001认证服务设置画面）

用户管理项目上，选择需要套用外接AD认证服务器的用户群组，这里选择具有全功能权限的All Users群组样版，并激活此群组；指派外接AD认证服务器作为认证服务，使用者数据库选择 使用内建的使用者数据库。

（图六：侠诺SSL001群组名称设置画面）

在这里我们一定要注意，在成功增加群组后，切记要激活每一个群组，否则这个群组的用户是无法在远程登入SSL VPN的。
最后点击 确定 按钮，即完成SSL VPN建置。只要在AD认证服务器上建置有帐户，即可以相同的用户名及密码登入SSL VPN，并享有全功能服务权限。
如此我们就超快速完成了SSL VPN建置，可快速让公司内所有成员开始使用SSL VPN的服务。

[ 本帖最后由 soya1688 于 2008-3-22 02:24 编辑 ]

soya1688

记者：真的是很简单，但套用群组是不是他们就会使用相同的资源，前面所讲的权限就没什么区别了不是吗？
侠诺：只套用同一个用户群组，他们就拥有相同的资源使用权限；若是一家公司需要建置几种不同权限的用户群组，将每个群组分级管理，不同群组拥有不同权限、登入不同的操作界面，以上的快速建置结果就不能满足需求，这就需要更进一步的设置。

记者：那应该如何设置才能达到公司的实体需求呢？
侠诺：我们刚提到Qno SSL VPN提供系统预置的四个群组模版，可以提供用户直接套用，在同一个设定页面下建立超快速SSL VPN联机。但当企业的实体环境有不同的需求的时候，四个群组模版，也同时支持企业依据实体的需求状况，进行弹性的细部修改。如新增或删除认证服务、使用者、服务资源等配置内容，均可依实际情况自由调整。

记者：我发现刚所介绍的只是在原有的套用群组上进行细化修改。如果要要增加非公司编制的额外帐户要怎么办呢？
侠诺：这里我们还提供了完全自订设置。我们继续操作演示来进行设置介绍。非公司编制内成员，需要额外增加的外部帐户，则采用系统默认的LOCAL DATABASE本地认证，一一建置使用者帐户，后续再重复前面的设置步骤，依据需求配置服务资源。

记者：刚一直有提到服务资源，可设置不同的权限访问不同的服务资源。那SSL 都提供哪些服务呢？
侠诺：侠诺SSL VPN产品目前提供了网络服务、微软终端服务、远程桌面服务、在线网络邻居、安全隧道等服务。
网络服务：提供远程接入使用局域网TCP/IP相关服务。主要是将常见的TCP/IP服务，例如Web、SSL Web、FTP、Telnet、SSH等服务。
微软终端服务：提供远程接入使用局域网具有Windows终端服务器应用软件。主要将常见的微软终端服务，例如Word、Excel、PowerPoint、Outlook或任何可在Windows服务器运作的软件。
远程桌面服务：提供远程接入使用局域网支持RDP或VNC计算机整个桌面资源。
在线网络邻居：提供远程接入使用局域网Windows网络邻居的文档服务。
安全隧道：提供远程接入使用局域网所有网络资源，具有和局域网计算机相同权限。
这些服务开放权限从小到大，用户可依据不同的群组开放不同的资源。如勾选供应商需要的ERP终端服务，供应商在客户端登入画面，只会看到ERP终端服务选项，避免对外开放太多资源，容易有被恶意入侵的风险。

（图七：侠诺SSL001终端服务项目）

[ 本帖最后由 soya1688 于 2008-3-22 02:17 编辑 ]

soya1688

记者：如果企业还想开放自己内部别的资源或服务给不同的群组，能不能实现增加或删除新的资源呢?
侠诺：这个当然能实现。若是需要另外新增/删除终端服务项目，可由菜单选项中点击SSL VPN > 服务资源管理。在服务资源配置项目中，网管可以增加或删除终端服务应用程序。点击 新增微软终端服务 按钮，在跳出的页面中，输入应用程序描述、所在路径、执行路径、服务器地址，再为应用程序选用一个程序图标，按下送出就完成了一个新应用程序的增加。当然，要增加的服务一定是企业服务器所开放提供的，不然，加了程序，也无法应用，那就多作无用了。若使要删除某一个终端服务，只需要点击对应的代表删除标示垃圾桶即可。

记者：提供的服务资源真的很全呢，还可以自己增加想要开放的资源。原来选择要开放的设置是如此简单，真是名副其实的极简型产品。刚有介绍管理一键通，那前面提到的一次性登入和联机一键通是怎么回事呢？
侠诺：我们先说一次性登入。这也是侠诺主张的一个概念，外点用户接入Qno SSL VPN后，为了安全考虑，点击各项应用服务仍会需要远程用户输入口令验证身份权限。Qno SSL VPN具有一次性登入（Single Sign-On）功能，可免除登入每个应用服务需一再输入口令的困扰。用户登入内部服务器的用户名及口令如果和登入SSL001相同，只需进行一次登入SSL入口网站，后续再登入应用服务，SSL001即可自动完成登入，节省登入动作，提高用户工作效率。可以操作演示一下，打开IE联机Qno SSL VPN。

记者：为什么为跳出这个询问窗口？
侠诺：跳出安全性警讯表示您正透过SSL的加密保护，点击 “是” 即可进入Qno SSL VPN入口网站登入画面。

（图八：登入SSL安全警报画面）

用户使用登入身份认证用户名/口令登入Qno SSL VPN。权限不同，不同使用者看到的会是不同的登入界面。左侧功能列表与中心页面的功能清单，会因使用者不同面显示不同的内容。

（图九：侠诺SSL001入口画面）


记者：那联机一键通呢？对于安全隧道服务，SSL VPN 客户端用户如何接入总部建立VPN安全隧道呢？
侠诺：可以说你这两个问题其实是一个问题。对于建立VPN安全隧道，Qno SSL VPN产品提供了快速安全的一键连接方式，可建立基于SSL的IP隧道。点击安全隧道连按钮，不需要任何设置，快速建立隧道。也是我们所谓的联机一键通。

（图十：侠诺SSL001安全隧道联机一键通）

当VPN隧道连接成功，会在右下角任务栏中显示隧道联机图标。

（图十一：侠诺SSL001安全隧道联机图标）

点击隧道联机图标，可以看到VPN连接的状态信息。

[ 本帖最后由 soya1688 于 2008-3-22 02:22 编辑 ]

soya1688

记者：那SSL产品其它的功能设置还有哪些？
侠诺：除了前面所介绍的功能，它还提供了全面的日志信息记录功能，包括系统配置变更、认证登陆记录、资源使用记录、登陆错误等等。另外，还提供了弹性的用户界面，可支持管理员针对用户操作界面应用、欢迎语等个别定制。

记者：由专家的介绍，让大家全面了解到侠诺极简型SSL产品。由此我们可以看到Qno SSL VPN功能全面，管理设置简单。最后给大家总结陈述下SSL产品好吗？
侠诺：综观上述，Qno SSL VPN在其简易使用性及安全等级上，于互联网迅速扩展，针对远程、安全、动态登入的需求日益提升的时代，都是各种企业使用者最理想的选择。其建置、维护及大量散布的低成本更是吸引企业的优势！侠诺极简型SSL将成为中小企业建VPN的新选择。

记者：感谢侠诺专家带来的精彩介绍。相信准备建VPN或扩张VPN的企业用户对Qno SSL VPN都起了很大兴趣。有意的企业用户可联系IT 168 或侠诺当地代理商。各地代理商联络资料，也可登录Qno侠诺官网www.Qno.cn进行查询。今天的培训讲演就到这里，再次对专家表示感谢。再见。
侠诺：再见。

tgxin6326

thank you very much!!!!

chenyzh

thank you very much!!!!

yy_waiwai

thank you very much!!!!
thank you very much!!!!

zhang2001

路过,看看