【正文】 注意：在網對網里的用戶，不能安裝隧道控件，且通過WEB的形式訪問遠端設備，否則會造成隧道不可用。‘遠端端口’：要連接的另一臺設備的隧道應用端口號。注意：設備所在的各網絡的網段不能一樣，各個設備上虛擬網絡配置里的網段也不能一樣。“組內綁定接入IP池”：即該組內用戶PPTP接入后，分配的地址池，該池不受PPTP服務配置選項卡中的地址池限制。『綁定分配IP』：該賬戶登錄PPTP后，固定分配該項所配置的IP地址?！簡⒂谩唬菏欠駟⒂迷撡Y源。‘分配給客戶端的IP地址范圍’：該范圍一定要和服務器端網絡中要訪問的資源在同一個網絡，并且該網段是內網沒有使用過的網段，才能讓客戶端正常訪問到相關資源。標識，如選擇域名，域名前需要加符號。然后接受端這邊等待發(fā)起端IPSEC設備2來接連，發(fā)起端不會自動去連另外一臺IPSEC設備。建議用戶在發(fā)起端設備把該時間調小，以便檢測和重新連接時間更快?！径藰俗R’：在這里我們選擇域名方式，以標識本端設備，域名方式下填寫格式：字符。實現效果：兩臺設備通過IPSEC隧道連接后。（兩網口IP不同網段）3）設備設備一個網口直接接入公網（配置公網靜態(tài)IP或者PPPOE撥號都可以），另外一個網口接內網。圖 145首先，如果使用IPSEC服務，必須先開啟根據需要連接的ipsec條數開對應的許可，然后才可以正常使用，如圖143位置：圖 146配置需要跟對端設備信息匹配配置。圖 144 VPN IPSECIPSEC模塊只針對網對網的連接使用，不支持點到網的方式。如下圖：將用戶證書導入后，選擇吊銷原因，點擊吊銷，即可吊銷該用戶證書，該吊銷的用戶證書信息會記錄到吊銷列表，被吊銷的用戶證書在系統(tǒng)上將不能正常使用，通過驗證。圖 141填寫完該申請后。 證書列表在系統(tǒng)里面生成和簽發(fā)用戶證書都會在此顯示出來。圖 137【批量導入證書】選項卡：圖 138如果需要同時導入多張證書時，可以在此批量導入?！汉雎砸呀壎ㄗC書用戶』：勾選此項，則對已綁定證書用戶跳過，不簽發(fā)新證書，保持原證書和用戶之間的綁定關系。‘請輸入口令’：用戶登錄證書的統(tǒng)一口令?！鹤C書使用者名稱』： ，真實姓名需保證唯一，且不能為空，如果為空則不創(chuàng)建對應證書。如下圖所示：圖 134 證書中心 CA配置請參照【快捷菜單】→【快捷配置】→【證書配置】， 生成證書該部分有五個選項卡：【生成證書】，【本地用戶批量生成證書】，【導入文本批量生成證書】，【批量導入證書】，【生成證書請求文件】。如果60秒內未收到短信，可重新點擊獲取短信密碼按鈕。圖 130勾選了使用短信驗證碼后，在【用戶管理】→【系統(tǒng)用戶】配置頁面將會過出來手機號碼配置項，如圖128：圖 131把上圖系統(tǒng)用戶配置頁面的必填項填寫完提交后，并填寫上手機號碼，確定提交后，即有短信認證的賬戶，在同一時間只能登陸一處。有了這個用戶，可以針對本地令牌認證用戶加入系統(tǒng)用戶組，以及一些用戶的基本配置，并且令牌服務器上的賬戶可以通過令牌認證正常登錄到前臺。點擊添加按鈕，出現圖119配置界面：圖 123令牌SN：動態(tài)令牌的SN號。 統(tǒng)一認證勾選該項后，點配置按鈕圖 116出現以下界面：圖 117點擊添加按鈕，出現如下配置界面：圖 118提交統(tǒng)一認證資源后，會在用戶管理——系統(tǒng)用戶里面多出一條統(tǒng)一認證默認用戶，如下圖：圖 119可以針對統(tǒng)一用戶加入系統(tǒng)用戶組，以及一些用戶的基本配置，并且統(tǒng)一認證服務器上的賬戶可以正常登錄到前臺。端口：POP3郵箱服務器的端口。描述：可為空。密碼字段：密碼在數據庫中的字段名。登錄密碼：連接數據庫的密碼。數據庫類型:可以有四種選擇類型，分別是MYSQL,Oracle,Sybase，Microsoft SQL Server。 HTTP認證勾選該項后，點配置按鈕圖 103出現以下界面：圖 104點添加出現以下配置頁面：圖 105提交HTTP資源后，會在【用戶管理】→【系統(tǒng)用戶】里面多出一條HTTP默認用戶，如下圖：圖 106可以針對HTTP用戶加入系統(tǒng)用戶組，以及進行一些用戶的基本配置，并且HTTP認證賬戶可以正常登錄到前臺。NASIPADDRESS（本端IP地址）：SSL和Radius服務器通訊的地址。啟用：是否啟用該Radius認證服務器資源。認證測試：LDAP用戶名和密碼認證測試，并提供相應驗證結果。也可以根據LDAP工具查看到該屬性后手動填入。用戶名，密碼，確認密碼：連接ldap服務器的賬戶/密碼，建議使用管理員帳號。是否啟用：是否啟用該ldap認證服務器資源。雙用戶名密碼認證：圖 94即用戶采用雙因素認證方式，勾選認證服務配置中相應認證服務，相應認證方法即會出現在認證方式中，用戶可以根據需求自己選擇?！涸试S未綁定證書用戶登錄』：若啟用該項，不需要在系統(tǒng)里創(chuàng)建對應用戶進行用戶和證書綁定，持有有效證書即可登錄。勾選后，用戶與管理員在登錄前臺輸入密碼時可以使用軟鍵盤，也可以選擇使用鍵盤。需要在管理員在【用戶管理】→【用戶解鎖】處對其進行解鎖后方可繼續(xù)使用。『允許用戶使用真實姓名登錄』：若啟用該項，用戶屬性中，真實姓名必須唯一，不可重名。通用策略適用于移動云客戶端和PC端。創(chuàng)建可修改配置的管理員可以修改設備的所有信息，無修改權限的系統(tǒng)管理員只可以查看設備的所有信息，但沒有修改的權限?！哼x擇證書類型』：證書類型分X509證書和P12證書，根據用戶需求進行選擇。如下圖所示，需要選擇證書類型和上傳證書?！懊艽a認證”：該管理員使用他的用戶名和密碼進入后臺。圖 86【添加/配置系統(tǒng)管理員】，點添加后，出現以下配置界面。密碼必須包含數字：勾選后，用戶在修改自己密碼時，如果沒有包含數字，將會修改不成功，并有相應提示?！菏褂糜脩裘艽a策略』：（該策略只針對前臺用戶有效）新用戶第一次登錄需要更改初始密碼：新創(chuàng)建的用戶第一次登錄前臺使用時，會先彈出密碼修改頁面，用戶只有按要求修改了密碼后，才能正常使用新修改的密碼登錄前臺訪問。也可對用戶登錄記錄進行刪除操作。 在線用戶條件過濾，可根據用戶名稱精確和模糊查詢下面已登錄用戶列表中您需要查詢的用戶信息。使用用戶注冊審批功能首先需要在【系統(tǒng)用戶】→【用戶相關配置】中開啟用戶注冊功能，開啟后圖 77前臺登錄頁面會顯示注冊鏈接注冊用戶按鈕，如圖75所示：圖 78點擊注冊用戶，彈出下圖注冊頁面{用戶注冊—網頁對話框}： 圖 79用戶填寫相關注冊信息后，點提交。圖 74點擊瀏覽按鈕選擇對應文本文件后，點擊下一步進入圖72所示頁面：圖 75以上按照需求都配置確認好后，點確定即可導入文本文件中的用戶信息?！緦胛募x項卡】頁面如圖71：在導入的文本文件中，每個字段數據以列的形式排列，文本中列與列之間以英文半角逗號(,)隔開，逗號前后不要有空格，注意：若包含中文需把文本文件另存為UTF8編碼格式。點擊選擇按鈕自動搜索，并可在搜索完畢后的彈出框中自行選擇后自動填入。如果選按LDAP組織單位導入，如下圖所示。從LDAP服務器導入頁面如圖68：要使用此功能，首先需要在【認證與策略】→【認證服務器配置】中，勾選『啟用LDAP服務器認證』，然后在【認證服務器配置】→【LDAP認證】模塊頁面中配置好LDAP服務器資源。點擊從數據庫導入選項卡，配置相關選項。從數據庫導入頁面如圖63：『選擇數據庫』：有新建數據庫連接和已有數據庫連接可選擇。如圖62所示：圖 65選擇對應的LDAP服務器?！菏欠駟⒂谩唬菏欠駟⒂迷摻M?！篟ADIUS認證類型』：該處有三種認證類型，分別是：短信認證，令牌認證，證書認證。圖 62點擊添加，出來以下界面：圖 63‘用戶組名’：在系統(tǒng)里顯示的用戶組的名稱。圖 59【用戶多硬件綁定管理】選項卡如圖57所示?！九刻砑佑脩舻浇M】選項，如圖58。如果用戶所在的用戶組被禁用了，則用戶登錄到前臺，將無法看見和使用該用戶組的任何資源?！斑h程用戶組”：新建/編輯系統(tǒng)用戶或者點同步所有按鈕，可以把系統(tǒng)用戶自動同步到iserver服務器上去，意思是會在iserver服務器中創(chuàng)建一個以SGA_加對應的系統(tǒng)用戶名命名的用戶。虛擬IP地址的范圍參照你在隧道服務配置頁配置的虛擬網絡，在配置用戶時也有相應的說明及檢查。該項需要與IP隧道結合使用，即在使用IP隧道資源時分配的虛擬IP地址可以給每個用戶綁定固定的虛擬IP地址。綁定后，持有這個特征碼對應的電腦，平板或者手機才能使用這個賬戶進行登錄。勾選啟用硬件特征碼綁定選項后，在下面的『認證信息』框中會有“登錄硬件特征碼”的綁定信息顯示。匿名賬戶選項需要在【認證與策略】→【登錄策略】下，勾選『匿名訪問策略』項才會出現。默認是當前時間+10年，用戶在該期限內可以正常使用，超過該期限，帳號為過期狀態(tài)，用戶無法用該帳號登錄。圖 53點擊添加，出現圖556界面：圖 54圖 55用戶基本信息‘用戶名’：用戶登錄前臺的登錄名稱。圖 52『配置客戶端域名服務器』：勾選該項，將啟用客戶端域名服務器。圖 51‘主機名稱’：用戶要訪問的域名或者主機名稱；『類型』：固定IP 類型即給上面的主機名稱對應一個固定的IP 地址，該IP 地址在下面的IP 地址項填寫；DNS 解析類型即把上面主機名稱的解析工作交由DNS 服務器做，然后把解析后的主機名稱和IP 地址對應關系下發(fā)到客戶機，DNS 服務器的指定可在“客戶端域名服務器“或【網絡配置】→【基本配置】→【域名服務器】下配置，如果這兩個地址都有配置域名服務器，對于客戶端主機名稱的解析，客戶端域名服務器優(yōu)先級高于【基本配置】→【域名服務器】。這時需要在該頁面下把我們設備的本機地址填寫上，然后到【網絡配置】→【基本配置】→【主機解析】選項卡下配置IP與域名的對應關系即可。內置圖標如圖46所示：圖 49【內網主機】和【內網域名服務器】兩個選項卡，主要實現功能：應用發(fā)布里面如發(fā)布的資源以域名形式發(fā)布的，需要配置此項。如果有專門存放文件的網絡文件服務器，可以選擇‘IP地址’：該存儲服務器的內網地址‘目錄’：存放上傳下載文件的文件夾目錄。配置如下圖45所示：圖 44圖 45『啟用IBOX』：勾選后，即可啟用該功能。『是否自動彈出』：即一登錄進SGA前臺頁面，馬上彈出該應用頁面，不用用戶手工點擊?？刹榭磁赃叺牟榭凑f明鏈接了解其使用。該功能可直接從第三方數據庫中取賬戶密碼作為單點登錄資源的登錄賬戶密碼。2）自動填寫為登錄此設備的賬戶名和密碼?！菏欠駟⒂谩唬菏欠駟⒂迷撝峙渲觅Y源。在下載的助手工具中會有詳細操作說明。自定義圖標可在【應用發(fā)布】→【應用相關配置】→【圖標管理】模塊頁面上傳。『是否隱藏』：勾選后，在用戶有權限訪問該IP應用資源情況下，用戶登錄前臺將不會顯示該IP隧道資源。‘描述’：可為空。圖 36【虛擬IP列表】選項卡。如圖36所示：圖 33添加/配置隧道路由，點添加后，出現以下配置界面：圖 34【虛擬IP導出/綁定】選項卡。啟用全隧道模式后，會出現短時間的斷網現象，連接后，所有客戶端訪問都走隧道出去。NAT模式下，會將客戶端源IP轉換為設備分發(fā)的虛擬IP地址與服務器通信，如圖33所示；圖 30路由模式下，不會改變客戶端源IP地址，需要在服務器端做個路由，即到客戶端虛擬網絡IP的包走我們設備的接口出去，如圖34所示；圖 31網橋模式下，客戶端直接分配與設備接口同網段的IP地址，系統(tǒng)這時將是透明模式的（類似交換機），客戶端直接用分配的內網IP地址與服務器通信，如圖30所示；圖 32注：NAT和路由模式下建議該虛擬網絡不要跟客戶端網絡和服務端的網絡一樣，以免造成IP地址沖突?！簣D標』：該資源在前臺的顯示圖標?！丝谔枴焊鶕丝诜绞降倪x擇，可填寫單個、一段連續(xù)的、或不連續(xù)的端口。目錄：該項只在協(xié)議類型選擇，、ftp，smb時顯示。注意：只有發(fā)布協(xié)議類型為、ftp，smb的，用戶前臺顯示才會是個可直接點擊的鏈接。『啟用』：是否啟用該IP隧道資源。 IP應用條件過濾，可針對已經發(fā)布的IP隧道應用資源，根據名稱，描述，地址類型，狀態(tài)進行單獨、組合、模糊、精確等查詢。僅限IE形式和資源管理器形式打開的頁面?！憾丝诜绞健唬河袉蝹€端口，端口區(qū)間，端口序列三個選擇項。注意：如填寫域名，一定要在客戶端域名配置頁配置，用戶才能正常使用。選擇不同的地址類型，下面將會有相應的填寫項出來?！枋觥嚎蔀榭??！菏褂肳INDOWS組合鍵』： 有在遠程計算機上，在本地計算機上，在全屏模式下三種選項。‘描述’：可為空?！宏P聯CAB服務器』：CAB資源關聯到多個CAB服務器后，自動啟用服務器負載均衡應用必須要關聯CAB服務器！CAB服務器需要在【CAB服務器】選項卡中配置后才能顯示，并且CAB負載均衡的依據是:網絡利用率/CPU使用率/內存使用率, 不包含登錄用戶數）【CAB應用分組】選項卡：將多個應用分到一個指定的組，在前臺訪問后，應用會在一個分組里?！畣映绦?,2,3’：登錄CAB應用后啟動的執(zhí)行程序名。有TCP，IP，內網方式三個選擇項。『中斷會話保持』：遠程連接中斷時將會話保持，可設置為：不保持、一直保持和設定保持時長。 “使用默認賬號”：如選擇這一項，表示應用賬戶可以使用終端服務器上具有遠程桌面登錄權限的賬號自動登錄使用?！判騼?yōu)先級’：值越大在前臺資源列表中的顯示位置越靠前,不填或為0則按默認排序?！綜AB應用發(fā)布】選項卡頁面如圖19所示：條件過濾，可針對已經發(fā)布的CAB應用資源，根據名稱，描述，狀態(tài)進行單獨、組合、模糊、精確等查詢。如