【正文】 證服務(wù)器上的賬戶可以正常登錄到前臺。 本地令牌認(rèn)證勾選該項(xiàng)后，點(diǎn)配置按鈕圖 120出現(xiàn)以下界面：圖 121點(diǎn)圖中的導(dǎo)入令牌文件，可以直接導(dǎo)入令牌信息。如圖119。圖 122或添加/配置本地令牌認(rèn)證服務(wù)器。點(diǎn)擊添加按鈕，出現(xiàn)圖119配置界面：圖 123令牌SN：動態(tài)令牌的SN號。令牌SN信息：動態(tài)令牌SN相關(guān)信息。關(guān)聯(lián)賬戶：在用戶管理——系統(tǒng)用戶中建立的專門針對本地令牌的賬戶。本地令牌賬戶添加方法：點(diǎn)擊【用戶管理】→【系統(tǒng)用戶】，添加系統(tǒng)用戶，如圖121：圖 124用戶類型選擇本地令牌認(rèn)證，并選擇關(guān)聯(lián)SN信息，建立相關(guān)賬戶即可。有了這個(gè)用戶，可以針對本地令牌認(rèn)證用戶加入系統(tǒng)用戶組，以及一些用戶的基本配置，并且令牌服務(wù)器上的賬戶可以通過令牌認(rèn)證正常登錄到前臺。注：生成的動態(tài)密碼只能使用一次，密碼每一分鐘更新一次。 手機(jī)令牌認(rèn)證啟用該項(xiàng)后，會在手機(jī)客戶端上開啟手機(jī)令牌的功能。首先在【用戶管理】→【系統(tǒng)用戶】配置頁面的用戶類型選擇OTP令牌認(rèn)證用戶如圖122所示：圖 125點(diǎn)擊確定之后，用戶名otp，密碼111111，該密碼在激活綁定之后就失效，如圖127所示：圖 126點(diǎn)擊激活綁定之后，點(diǎn)擊生成令牌碼，如圖124中的592929即為動態(tài)密碼：圖 127注：生成的動態(tài)密碼只能使用一下，下次登錄需要再次生成動態(tài)密碼 短信認(rèn)證勾選此項(xiàng)后，勾選該項(xiàng)后，點(diǎn)配置按鈕圖 128出現(xiàn)以下界面：圖 129以使用短信貓為例如下圖所示：可由用戶自定義短信提示的內(nèi)容，內(nèi)容為空則發(fā)送的短信中只有6位數(shù)字驗(yàn)證碼。圖 130勾選了使用短信驗(yàn)證碼后，在【用戶管理】→【系統(tǒng)用戶】配置頁面將會過出來手機(jī)號碼配置項(xiàng)，如圖128：圖 131把上圖系統(tǒng)用戶配置頁面的必填項(xiàng)填寫完提交后，并填寫上手機(jī)號碼，確定提交后，即有短信認(rèn)證的賬戶，在同一時(shí)間只能登陸一處。使用該用戶登錄前臺，輸入前臺用戶名和密碼后，會彈出要求獲取和填寫短信密碼的界面，如圖129。圖 132這時(shí)請點(diǎn)擊獲取短信密碼按鈕，會有一條關(guān)于驗(yàn)證碼的短信息發(fā)送到該用戶對應(yīng)的手機(jī)上，在短信密碼框中輸入您收到的短信驗(yàn)證碼，點(diǎn)確定便可正常登錄到前臺資源訪問頁面進(jìn)行操作。注意：如果您在20分鐘內(nèi)沒有輸入短信密碼登錄，系統(tǒng)將自動回到登錄頁面，用戶必須重新登錄，重新獲取短信密碼。如果60秒內(nèi)未收到短信，可重新點(diǎn)擊獲取短信密碼按鈕。 客戶端策略客戶端策略配置頁面如下圖所示：圖 133‘?dāng)嗑€超時(shí)時(shí)間’：默認(rèn)超時(shí)時(shí)間是600S，如果客戶端與服務(wù)端連接斷線，超過此設(shè)定值仍未恢復(fù)連接，則用戶會被強(qiáng)制退出?！臻e超時(shí)時(shí)間’：0表示無限制，它表示前臺用戶因無操作而導(dǎo)致空閑的時(shí)間。 移動IP過濾可以檢測客戶端的公網(wǎng)IP所屬運(yùn)營商并限制訪問，只需把允許訪問的運(yùn)營商IP地址段導(dǎo)入設(shè)備中即可。如下圖所示：圖 134 證書中心 CA配置請參照【快捷菜單】→【快捷配置】→【證書配置】， 生成證書該部分有五個(gè)選項(xiàng)卡：【生成證書】，【本地用戶批量生成證書】，【導(dǎo)入文本批量生成證書】，【批量導(dǎo)入證書】，【生成證書請求文件】?！旧勺C書】選項(xiàng)卡：如果是系統(tǒng)自建證書，或者導(dǎo)入的第三方CA根證書帶私鑰，管理員可通過證書生成頁面，直接在系統(tǒng)里面生成和簽發(fā)用戶證書，填寫好下面信息后，點(diǎn)提交，將會出來用戶證書下載頁面，管理員可以通過下載下來的證書在系統(tǒng)里面配置綁定證書用戶，并把該用戶證書發(fā)放給最終用戶。圖 135【本地用戶批量生成證書】選項(xiàng)卡如下圖所示。圖 136在此頁面可以批量生成本地用戶證書?！鹤C書使用者名稱』： ，真實(shí)姓名需保證唯一，且不能為空，如果為空則不創(chuàng)建對應(yīng)證書?！鹤C書保護(hù)口令』：。此時(shí)需要設(shè)置相應(yīng)的用戶口令。選擇此項(xiàng)，不需要設(shè)定用戶證書口令，直接使用用戶的賬戶密碼作為保護(hù)口令?！堓斎肟诹睢河脩舻卿涀C書的統(tǒng)一口令?！C書有效期’：證書的有效期限，最大為9125天（25年）?！河脩粽J(rèn)證方式』：包含證書綁定認(rèn)證，密碼或證書綁定認(rèn)證，密碼和證書綁定認(rèn)證?！鹤C書簽發(fā)對象』：可以針對所有用戶，也可以針對不同組的用戶，如選擇用戶組，則僅對屬于該組的用戶簽發(fā)證書?！汉雎砸呀壎ㄗC書用戶』：勾選此項(xiàng)，則對已綁定證書用戶跳過，不簽發(fā)新證書，保持原證書和用戶之間的綁定關(guān)系?！緦?dǎo)入文本批量生成證書】選項(xiàng)卡如圖134所示。在此頁面可以批量導(dǎo)入文本證書，設(shè)置所有簽發(fā)用戶證書保護(hù)口令。注：文本中用戶名與部門之間以英文半角（,）隔開，逗號前后不要有空格，且文件必須另存為UTF8編碼格式。圖 137【批量導(dǎo)入證書】選項(xiàng)卡：圖 138如果需要同時(shí)導(dǎo)入多張證書時(shí)，可以在此批量導(dǎo)入。但必須是CER格式的。【生成證書請求文件】選項(xiàng)卡：可以生成需要的證書請求文件，供用戶簽發(fā)證書使用。圖 139用戶填好上述信息后，點(diǎn)提交會生成證書請求文件和對應(yīng)的密鑰文件。 證書列表在系統(tǒng)里面生成和簽發(fā)用戶證書都會在此顯示出來。可以對對應(yīng)的證書下載，刪除和吊銷。圖 140 證書申請審批在PC前臺的證書中心可以進(jìn)行證書申請。如圖138所示。圖 141填寫完該申請后。管理員會在后臺證書審批處看到用戶的申請。可以對此申請進(jìn)行批準(zhǔn)或者否決。圖 142 證書吊銷只有使用的是自建證書或者您導(dǎo)入了帶私鑰的第三方CA根證書，才能吊銷用戶證書。如下圖：將用戶證書導(dǎo)入后，選擇吊銷原因，點(diǎn)擊吊銷，即可吊銷該用戶證書，該吊銷的用戶證書信息會記錄到吊銷列表，被吊銷的用戶證書在系統(tǒng)上將不能正常使用，通過驗(yàn)證?？牲c(diǎn)擊下載最新證書吊銷列表鏈接來下載最新的吊銷列表。注：要是吊銷列表馬上生效，即被吊銷的證書立刻就不能正常使用，需要手動在【系統(tǒng)管理】→【關(guān)機(jī)重啟】頁面，點(diǎn)擊重啟系統(tǒng)按鈕，來重新啟動系統(tǒng)服務(wù)。圖 143 在線證書狀態(tài)服務(wù)可在該頁面設(shè)置外部證書吊銷文件地址，來實(shí)現(xiàn)時(shí)時(shí)獲取吊銷證書信息。圖 144 VPN IPSECIPSEC模塊只針對網(wǎng)對網(wǎng)的連接使用，不支持點(diǎn)到網(wǎng)的方式。使用的是IPSEC標(biāo)準(zhǔn)協(xié)議，可跟其他廠商的IPSEC設(shè)備互連。圖142最上面啟用IPSEC服務(wù)器選項(xiàng)為IPSEC服務(wù)的總開關(guān)，即只有服務(wù)起來了，下面配置的IPSEC隧道連接才能正常使用。還可通過旁邊的查看運(yùn)行狀態(tài)來查看IPSEC連接的一些信息。圖 145首先，如果使用IPSEC服務(wù)，必須先開啟根據(jù)需要連接的ipsec條數(shù)開對應(yīng)的許可，然后才可以正常使用，如圖143位置：圖 146配置需要跟對端設(shè)備信息匹配配置。具體配置如下。一般配置IPSEC的網(wǎng)絡(luò)環(huán)境有以下幾種情況：1）設(shè)備放在路由器后面，只使用設(shè)備一個(gè)網(wǎng)口連接內(nèi)外網(wǎng)。2）設(shè)備放在上網(wǎng)路由器后面，其中一個(gè)網(wǎng)口配置內(nèi)網(wǎng)地址，并指網(wǎng)關(guān)到前端路由器；一個(gè)網(wǎng)口配置另一個(gè)內(nèi)網(wǎng)IP地址。（兩網(wǎng)口IP不同網(wǎng)段）3）設(shè)備設(shè)備一個(gè)網(wǎng)口直接接入公網(wǎng)（配置公網(wǎng)靜態(tài)IP或者PPPOE撥號都可以），另外一個(gè)網(wǎng)口接內(nèi)網(wǎng)。針對以上幾種網(wǎng)絡(luò)環(huán)境，以下將針對第3種環(huán)境來舉例配置IPSec，其他環(huán)境配置方法都可參考以下事例配置。網(wǎng)絡(luò)環(huán)境具體參數(shù)：IPSEC設(shè)備1：eth0網(wǎng)口接路由器后面，；eth1網(wǎng)口接內(nèi)網(wǎng)。IPSEC設(shè)備2：eth0網(wǎng)口接路由器后面，；eth1網(wǎng)口接內(nèi)網(wǎng)。實(shí)現(xiàn)效果：兩臺設(shè)備通過IPSEC隧道連接后。（前提是互訪電腦的網(wǎng)關(guān)都是指向本地設(shè)備的內(nèi)網(wǎng)接口，即eth1口）以IPSEC設(shè)備1作為接收端，IPSEC設(shè)備2作為發(fā)起端，需要在作為接收端的IPSEC設(shè)備1的前端路由器上，將IPSEC服務(wù)的端口映射到IPSEC設(shè)備1的外網(wǎng)接口上（即eth0），要映射端口為UDP 500和UDP 4500端口。IPSEC設(shè)備1配置如圖14145所示：圖 147圖 148『本端接口』：選擇默認(rèn)路由網(wǎng)口，將會直接走有網(wǎng)關(guān)的網(wǎng)口出去，如果存在多個(gè)網(wǎng)關(guān)接口，需要在這里具體選到某個(gè)網(wǎng)口?！径司W(wǎng)絡(luò)號’和‘本端掩碼’：對端網(wǎng)絡(luò)將能訪問到的本地網(wǎng)絡(luò)?！径藰?biāo)識’：在這里我們選擇域名方式，以標(biāo)識本端設(shè)備，域名方式下填寫格式：@字符。‘對端IP地址或域名’：如果該設(shè)備是接收端，則這里填寫：，如果是發(fā)起端，則需要填寫對端公網(wǎng)地址或者域名?！畬Χ司W(wǎng)絡(luò)號’和‘對端掩碼’：本端網(wǎng)絡(luò)將能訪問到的對端網(wǎng)絡(luò)。‘?dāng)嗑€檢測’，‘檢測間隔’，‘超時(shí)時(shí)間’：這幾項(xiàng)一般設(shè)備這邊是發(fā)起端的時(shí)候有效，即當(dāng)IPSEC隧道斷開后，自動檢測狀態(tài)并重新連接上。建議用戶在發(fā)起端設(shè)備把該時(shí)間調(diào)小，以便檢測和重新連接時(shí)間更快。下面部分為第一協(xié)商和第二協(xié)商階段的加密等配置，可為默認(rèn)，也可根據(jù)用戶要求修改。認(rèn)證方式這里默認(rèn)選擇共享密鑰，并配置密鑰值。配置好后，點(diǎn)確定，可返回IPSEC模塊頁面看到里面多出一條IPSEC隧道資源，如下圖：默認(rèn)情況下，IPSEC服務(wù)是沒有啟用的，需要在下圖的最上面勾選啟用IPSEC服務(wù)器即可。然后接受端這邊等待發(fā)起端IPSEC設(shè)備2來接連，發(fā)起端不會自動去連另外一臺IPSEC設(shè)備。圖 149圖 150圖 151圖 152隧道連接上后，兩端IPSEC模塊頁面上對應(yīng)資源的狀態(tài)會變成啟用，這時(shí)代表IPSEC隧道連接成功了。注意：配置兩端IPSEC配置的時(shí)候，各信息一定要對應(yīng)著配置。需要注意的是：本端接口，如設(shè)備只有一個(gè)網(wǎng)關(guān)，可選默認(rèn)路由配置，如果存在多個(gè)網(wǎng)關(guān)，需要選擇出公網(wǎng)的接口。標(biāo)識，如選擇域名，域名前需要加@符號。檢測間隔和超時(shí)時(shí)間，如果設(shè)備為發(fā)起端，建議把這兩個(gè)時(shí)間調(diào)小，以便在IPSEC斷線后，能盡快檢測出并自動連接上。 PPTP該資源配置主要應(yīng)用于對用戶的訪問限制較低的企業(yè)需求，用戶使用該資源后，將能訪問到服務(wù)器端所有的資源。該模塊共有3個(gè)選項(xiàng)卡：【PPTP服務(wù)配置】，【PPTP用戶】，【PPTP用戶組】?！峙浣o客戶端的IP地址范圍’：該范圍一定要和服務(wù)器端網(wǎng)絡(luò)中要訪問的資源在同一個(gè)網(wǎng)絡(luò)，并且該網(wǎng)段是內(nèi)網(wǎng)沒有使用過的網(wǎng)段，才能讓客戶端正常訪問到相關(guān)資源。格式：?！緳C(jī)IP地址’：選擇與上面網(wǎng)段對應(yīng)的設(shè)備接口地址?！褂媚J(rèn)網(wǎng)關(guān)’：勾選上使用默認(rèn)網(wǎng)關(guān)后，在前臺使用PPTP資源時(shí)就相當(dāng)于在網(wǎng)絡(luò)連接中的虛擬專用網(wǎng)絡(luò)conn_ssl 的屬性——網(wǎng)絡(luò)——Internet 協(xié)議（TCP/IP）——高級——常規(guī)中勾選上遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)。『啟用』：是否啟用該資源。PPTP服務(wù)總開關(guān)。注意：如設(shè)備在內(nèi)網(wǎng)，在使用此資源的前，必須在前端路由器上映射TCP 1723端口到設(shè)備接口上。圖 153如不想通過web方式來使用PPTP功能，而是通過PPTP客戶端使用（即windows系統(tǒng)自帶的客戶端程序，虛擬專用網(wǎng)絡(luò)連接），首先需要開對應(yīng)的PPTP連接數(shù)的許可：圖 154然后需在下圖進(jìn)行相應(yīng)配置：圖 155點(diǎn)添加出現(xiàn)如下頁面：圖 156‘用戶名’：撥PPTP時(shí)需要填寫的賬號‘密碼’：該賬號對應(yīng)的密碼‘重復(fù)密碼’：重復(fù)密碼確認(rèn)『是否啟用』：勾起后該用戶才可以使用PPTP撥號『綁定登錄IP』：允許這個(gè)IP的電腦使用這個(gè)賬戶登錄PPTP?！航壎ǚ峙銲P』：該賬戶登錄PPTP后，固定分配該項(xiàng)所配置的IP地址?！核鶎俳M』：在PPTP用戶組選項(xiàng)卡中介紹?！綪PTP用戶組】選項(xiàng)卡如下圖：圖 157PPTP用戶組，點(diǎn)添加，彈出下圖配置頁面：圖 158注：該功能只應(yīng)用于PPTP客戶端方式，不適用Web方式的訪問接入?！敖M內(nèi)用戶綁定登錄IP”：即屬于該組的用戶要能正常使用PPTP登錄到設(shè)備，地址一定要是該項(xiàng)所配置的地址。“組內(nèi)綁定接入IP池”：即該組內(nèi)用戶PPTP接入后，分配的地址池，該池不受PPTP服務(wù)配置選項(xiàng)卡中的地址池限制。配置網(wǎng)對網(wǎng)需要兩臺或兩臺以上的設(shè)備，在配置網(wǎng)對網(wǎng)配置頁面前，我們需要先做好以下配置工作：1. 在設(shè)備前端路由器上將隧道應(yīng)用所需要映射的端口映射出去，默認(rèn)要映射端口為TCP 443端口；（即訪問前臺的端口號）2. 在【應(yīng)用發(fā)布】→【IP應(yīng)用】里配置隧道服務(wù)配置和隧道路由兩項(xiàng)，隧道服務(wù)配置頁需配置模式為NAT模式，并且兩臺設(shè)備的虛擬網(wǎng)絡(luò)不能配置成一樣的。隧道路由需配置本地設(shè)備所在的網(wǎng)絡(luò)。詳細(xì)配置請參見下面【應(yīng)用發(fā)布】→【IP應(yīng)用】；3. 在設(shè)備前面的路由器上做條路由規(guī)則，即要去遠(yuǎn)端設(shè)備網(wǎng)段，需要走設(shè)備的接口出去。注意：設(shè)備所在的各網(wǎng)絡(luò)的網(wǎng)段不能一樣，各個(gè)設(shè)備上虛擬網(wǎng)絡(luò)配置里的網(wǎng)段也不能一樣。圖 159如上圖，點(diǎn)擊用戶名和密碼配置后的編輯，出來以下界面，該頁面是配置各隧道協(xié)商連接所使用的用戶賬號和密碼的，要注意的是，無論您配置了多少條隧道，每條隧道所使用的用戶名和密碼都是一樣的。圖 160提交好用戶名和密碼后，回到網(wǎng)對網(wǎng)配置首頁，點(diǎn)添加，出來以下配置界面：圖 161‘名稱’：隧道標(biāo)識名稱?！h(yuǎn)端地址’：要連接的另一臺設(shè)備的IP地址或域名。‘遠(yuǎn)端端口’：要連接的另一臺設(shè)備的隧道應(yīng)用端口號。『接口』：選擇隧道走的接口。『重啟系統(tǒng)是否自動連接』：勾選后，重啟該設(shè)備主機(jī)后，該設(shè)備會自動去連接另外一臺設(shè)備，重新保持隧道的連通性。當(dāng)所有要連接的設(shè)備配置好后，在其中一臺設(shè)備上點(diǎn)擊連接，并且顯示已連接上，只能說明，該設(shè)備所在網(wǎng)絡(luò)的機(jī)器，能訪問到連接的遠(yuǎn)端設(shè)備所在的網(wǎng)絡(luò)里的設(shè)備，而遠(yuǎn)端的不能訪問到該設(shè)備所在的網(wǎng)絡(luò)，如需要遠(yuǎn)端設(shè)備網(wǎng)絡(luò)中的機(jī)器能訪問到該設(shè)備所在網(wǎng)絡(luò)里來，需要在遠(yuǎn)端設(shè)備網(wǎng)對網(wǎng)配置界面里，點(diǎn)相應(yīng)的連接按鈕，連接狀態(tài)顯示已連接上即可。注意：在網(wǎng)對網(wǎng)里的用戶，不能安裝隧道控件，且通過WEB的形式訪問遠(yuǎn)端設(shè)備，否則會造成隧道不可用。 網(wǎng)絡(luò)配置 基本配置基本配置里面包括6個(gè)選項(xiàng)卡，分別顯示【網(wǎng)絡(luò)接口】，【域名服務(wù)器】，【動態(tài)域名】，【內(nèi)網(wǎng)自動選路配置