安全接入网关管理员手册.docx
《安全接入网关管理员手册.docx》由会员分享,可在线阅读,更多相关《安全接入网关管理员手册.docx(139页珍藏版)》请在文库网上搜索。
1、 安全接入网关管理员手册移动云管理员手册V3.3声明本文的内容是橙乐移动云管理(以下简称SGA)平台配置。文中的资料、说明等相关内容的版权归西安橙乐信息技术有限公司所有和保留。本文中的任何部分未经西安橙乐信息技术有限公司(以下简称橙乐)许可,不得转印、影印或复印、发行。本手册仅作为操作使用手册,手册里包含的所有内容不提供任何明示或者暗示的担保。本手册只作为SGA3.0版本的使用说明,如需获取其它版本的使用手册,请联系服务部获取相关文档。解决方案中所谈及的科技产品的名称是橙乐的商标。方案中涉及的其他公司的注册商标属各商标注册人所有,恕不逐一列明。致谢感谢你使用橙乐的产品和使用手册,如果你在使用的
2、过程中对我们的产品和手册有任何的建议或者意见,都可以通过电话、QQ或者邮件的形式反馈给我们。我们将不胜感激!联系信息办公地址:西安市经济技术开发区凤城九路海博广场C座10层11005室产品咨询热线:18509213866售后服务电话:029-85761434邮箱:18509213866邮编:7100002005-2015 版权所有 西安橙乐信息技术有限公司本手册以系统版本3.2.0.1为例,在win7、IE9的情况下进行配置、演示。不同版本的SGA在后台配置会稍有不同。如有任何疑问,请咨询科技售后获取技术支持。本文约定:描述代替符号举例菜单栏【】应用发布按钮简化成【应用发布】连续菜单栏快捷菜单
3、下的快捷配置简化成【快捷菜单】【快捷配置】按钮加粗并加上边框确定按钮简化成确定输入栏如基本配置的IP地址简化成IP地址单选框或复选框如网络设置的接入方式选项简化成接入方式弹出对话框更改密码网页对话框简化成更改密码网页对话框SGA后台配置中带有“*”标注的为必填项。本文如看到 “注:”表示需要您留意,请务必认真阅读。“移动云接入管理平台” 设备在本文描述中都将以“SGA”字样代替描述。目 录1 产品简介61.1 概述61.2 客户端环境要求21.3 管理员配置环境要求22 默认配置22.1 快捷菜单42.1.1 快捷配置42.2 应用发布132.2.1 CAB应用132.2.2 TCP应用192
4、.2.3 IP应用212.2.5 移动视频资源292.2.4 单点登录302.2.5 IBOX云盘332.2.6 应用相关配置362.3 用户管理392.3.1系统用户392.3.2系统用户组452.3.3导入/导出用户482.3.4用户注册审批552.3.5 在线用户572.3.6 登录历史记录582.3.7 用户相关配置582.3.8 管理员账户602.4认证与策略632.4.1 登录策略632.4.2 认证服务配置662.4.3 客户端策略822.4.4 移动IP过滤822.5 证书中心822.5.1 CA配置822.5.2 生成证书832.5.3 证书列表862.5.4 证书申请审批8
5、62.5.5 证书吊销872.5.6 在线证书状态服务882.6 VPN882.6.1 IPSEC882.6.2 PPTP942.6.3网对网配置972.7 网络配置992.7.1 基本配置992.7.2 路由配置1032.7.3 SNMP配置1052.7.4 DHCP服务器1052.7.5 防火墙配置1062.7.6 网络测试1092.8 系统管理1102.8.1 系统配置1102.8.2 页面定制1132.8.3 消息公告1152.8.4 双机配置1162.8.5 备份/恢复1172.8.6 系统升级1182.8.7 关机重启1212.8.8 日志中心1223 附录1243.1串口下设置说
6、明1243.2 双机热备功能配置说明128编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第133页 共139页1 产品简介1.1 概述我公司作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的移动云产品。目前,手机上的应用还是很有局限性,应用软件供应商很难在智能手机上开发其应用系统,如果想把WINDOWS平台上的应用软件移植到智能手机上,还存在很多技术上的难度,底层支持,浏览器支持,兼容性等问题非常明显,的移动云应用平台给出了很好的解决方案,它借由客户端去访问互联网上的应用服务器资源,它既能充分利用手机的便携性,续航时间和通信能力等众多天生优势,
7、又不要求其具有较高的数据处理、计算和存储能力。一方面,运用远端“云计算”的高速处理能力来解决手机处理能力低下的问题;另一方面,利用“云存储”则可以解决手机存储能力不足的问题。移动云软件具备在任何地点、向任何用户交付任何应用的能力。它给将基于云的资源交付给用户,通过这个应用集中管理的平台,不断优化用户的应用性能和安全性,以应对不断变化的工作负载需求和基础架构可用性。从而使手机用户能够轻松访问其授权的应用和程序,可以提供足以媲美本地PC的丰富、完整的用户体验。移动云软件的一般部署方式如图1所示。图 11.2 客户端环境要求移动终端推荐使用的操作系统:android 2.3及以上,IOS 4.3及以
8、上。PC推荐使用的操作系统:windows xp/win7/win81.3 管理员配置环境要求推荐使用浏览器:IE7,IE8,IE9,IE102 默认配置SGA默认在eth0口和eth1口设置了IP。 eth0口:192.168.0.254/24,eth1口:192.168.1.254/24。SGA的后台管理端口默认为:4433,前台登录端口默认为:443。现将设备的eth1口接入到网络中,则你的电脑也要配置一个192.168.1.X/24网段的IP,确保SGA与电脑室相通的。打开IE浏览器,输入SGA的后台管理地址:.1.254:4433,则会看到图3的登录界面。图 2管理员输入:admin
9、,密码输入:111111,这是设备默认的管理员密码。登录成功后,如图4所示:左边为模块区,点击每个模块都会进入相应模块的配置界面。上部为标题栏,能看到系统信息、修改密码、退出按钮,点击系统信息看到的就是图4的界面,点击修改密码可以修改管理员的密码,默认是最低6位,且必须含有字母、数字、特殊字符。退出,退出后台配置界面。图 32.1 快捷菜单可对初次使用系统进行最简配置,实现系统基本可用。2.1.1 快捷配置快捷配置里面包括6个选项卡,分别是【网口配置】,【DNS配置】,【动态域名】,【许可配置】,【时间配置】,【证书配置】,如图5所示。图 4【网口配置】:通过点击相应网口编辑按钮,可修改该网络
10、接口的接入方式、IP地址、掩码、默认网关、MTU值、线路权重,也可配置多个虚拟IP地址(即一个网口绑定多IP地址)。如图6所示:图 5接入方式项中,支持3种接入线路方式:静态IP,DHCP,PPPOE。只有静态IP接入方式可配置虚拟IP(即一个网口绑定多IP地址)。只有静态IP和PPPOE接入方式可配置线路权重。“静态IP”,选择接入方式为“静态IP”时,看到图7的界面,可以对设备的接口配置静态的IP、掩码和网关。MTU值请保持默认,勿轻易修改。图 6“DHCP”模式:设备动态获取IP地址,不用手工分配(不建议采用这种方式);“PPPoE”:将设备当网关直接接入到互联网,拥有一条拨号宽带线路,
11、就可以拨号上网,填写由运营商为你提供的账户密码登陆,见图8。图 7线路权重:即线路负载均衡,只在有多条线路上网时起作用,该值针对内网通过设备上网的用户,调节本线路占整体的比重,值越大比重越大。具体举例说明:如eth0为PPPOE拨号上网线路,线路权重设置为3,eth1也为PPPOE拨号上网线路,线路权重设置为7,可理解为2条线路带宽看作一个整体值:10,eth0占整体的30%,eth1占整体的70%,即内网用户通过设备上网,数据流会从这2条线路分别出去,30%的数据会走eth0出去,70%的数据会走eth1出去。这一说法只是一个大约的数据流分配走向,具体不会有那么精确。【DNS配置】:配置DN
12、S服务器的IP地址,使设备能正常解析域名,如图9:图 8【动态域名】:页面如图10所示,系统默认内置了希网和花生壳2个免费域名客户端。图 9以下以希网网络()域名为例:图 10用户账号:希网网站上,您申请域名所登录的有效账号;登录密码:希网网站上,您申请域名所登录账号的密码;描述:可不填;绑定接口:绑定一个可以连接外网的设备接口;动态域名:您将绑定在设备上的有效域名;更新频率:设置系统将每几分钟去更新该域名所对应的设备的公网IP地址;自动启动:勾选上启用后,系统每次启动将自动启动该域名客户端;提交后,如需要马上启用该域名客户端,需要在返回页,操作项下点击启动。花生壳()域名配置如下:图 11用
13、户账号:花生壳网站上,您申请域名所登录的有效账号;登录密码:花生壳网站上,您申请域名所登录账号的密码;描述:可为空;绑定接口:绑定一个可以连接外网的设备的接口;Web服务地址:花生壳的Web服务地址,可不做修改;DDNS服务器:花生壳的DDNS服务器地址,可不做修改;自动启动:勾选上启用后,系统每次启动将自动启动该域名客户端;提交后,如需要马上启用该域名客户端,需要在返回页,操作项下点击启动。图 12注:请勿在无技术人员的情况下,随意修改序列号里的信息。【时间设置】:默认自动同步时间,如时间不对,需要手工同步系统时间,如下图14:图 13注:在配置时间服务器同步之前,请确认您的设备与外网是连通
14、的,并且配置了有效的DNS。【证书配置】选项卡出厂时,设备上有一套自建的证书文件,包括CA根证,服务器证书,证书销毁列表,可进入CA配置页面查看证书的信息,如图15:用户可以不修改此证书,直接使用。设备支持多CA认证(三个CA),还可以在此配置其它CA信息。图 14用户如果要修改证书,可点击更新CA配置,进入以下界面:注意:在配置证书的时候,请务必先在【系统管理】【系统配置】【时间设置】里,将时间设置精确。证书创建方式分两种:一、自建证书,二、导入第三方签发的证书。我们选择自建证书,用户只要填写好下面的信息,点提交,系统便可根据您提交的信息生成CA根证书。图 15CA根证书生成后,会自动跳转到
15、服务器证书的生成界面,如图17:图 16用户填写好需要填写的信息,确定后,将会自动重启系统服务,用户可刷新页面重新回到CA配置页面,可查看到您刚才生成的证书信息,自建证书的生成将会自动为CA根证生成证书销毁列表。注:自建CA和自建服务器证书必须一气呵成,该次自建证书的生成才会有效。如果用户有自己的一套证书,也可以在系统上导入自己的证书,选择导入第三方签发的证书出现以下界面:系统支持X509,P12,P7B格式的根证书的导入,注意:根证书只有导入私钥文件,才能在系统里面的证书生成页面生成用户证书。如果不需要通过系统生成、签发与导入CA根证匹配的用户证书,可不导入根证书的私钥。服务器证书的导入支持
16、X509和P12格式,服务器证书可不导入。需要注意的是:服务器证书一定要是上面导入根证书签发的。特别注意:服务器私钥文件不支持WINDOWS系统证书机构下生成的.pvk格式的文件,您可以在WINDOWS系统证书机构生成一个P12格式的服务器证书导入到系统里面。如果是WINDOWS下生成的服务器证书,请在生成证书的时候,选择类型为“服务器证书”,客户端证书类型是不能在此作为服务器证书导入的。证书销毁列表配置可不做配置,如果用户需要导入证书销毁列表,需要注意的是:该证书销毁列表一定要与上面导入的服务器证书和CA根证书相匹配,并且证书销毁列表的生成时间不能过期,否则系统将会提示导入第三方证书不成功。
17、如果用户导入的根证书是带私钥的,提交后,系统为该CA根证书生成证书销毁列表。图 172.2 应用发布2.2.1 CAB应用CAB应用里面包括4个选项卡,分别是【CAB应用发布】、【CAB应用分组】、【CAB服务器】、【CAB服务配置】。【CAB应用发布】选项卡页面如图19所示:条件过滤,可针对已经发布的CAB应用资源,根据名称,描述,状态进行单独、组合、模糊、精确等查询。图 18添加/配置CAB应用资源,点添加后,出现图20、21配置界面(分为基本信息、通用配置、PC端配置和移动客户端配置。可以根据需要选择相应的选项配置后使用):图 19图 20基本信息名称:CAB应用资源在系统和用户界面的显
18、示名称。描述:可为空。排序优先级:值越大在前台资源列表中的显示位置越靠前,不填或为0则按默认排序。启用:是否启用该资源。通用配置是PC端和移动云客户端使用时都必须配置的选项如下:通用配置应用账户:可以采用“使用登录设备账号”和“设置默认账号”“使用登录设备账号”:如选择这一项,表示应用账户直接使用SGA设备内的账户进行登录,此种情况下需要iCylanAPP在相应服务器自动创建相应具有远程桌面登录权限的账号进行匹配使用,用户会自动登录相应的CAB应用资源。此种方法,Windows登录和SGA前台共用一套账号和密码。 “使用默认账号”:如选择这一项,表示应用账户可以使用终端服务器上具有远程桌面登录
19、权限的账号自动登录使用。登录域:如果发布的cab服务器是域中心服务器或者是已经加入域的服务器,需要填写域名。登录后工作目录:登录CAB应用后启动的程序的工作目录。登录后启动程序:登录CAB应用后启动的执行程序名。中断会话保持:远程连接中断时将会话保持,可设置为:不保持、一直保持和设定保持时长。图标:该资源在客户端的显示图标。自定义图标可在【应用发布】【应用相关配置】【图标管理】模块页面上传。PC端配置,配置后只适用于登录PC前台的用户使用,如下:使用方式:CAB应用所走的隧道方式。有TCP,IP,内网方式三个选择项。是否隐藏:勾选后,在用户有权限访问该资源的情况下,用户登录前台将不会显示该资源
20、。是否自动弹出:即一登录进移动云PC前台页面,马上弹出该应用页面,不用用户手工点击。移动客户端配置,配置后只适用于登录移动客户端的用户使用,如下:工作目录1,2,3:登录CAB应用后启动的程序的工作目录。启动程序1,2,3:登录CAB应用后启动的执行程序名。上述两项配置后,在移动云客户端可以同时启用多个应用程序关联SSO:关联相应SSO(单点登录)资源,再配合科技的iCylanAPP Server使用。可以直接用手持终端登录SSO资源,第一次输入用户名和密码后,以后访问无需再次输入即可登录使用。强制使用服务器配置:强制使用在SGA后台配置的分辨率等信息。关联CAB服务器:CAB资源关联到多个C
21、AB服务器后,自动启用服务器负载均衡应用必须要关联CAB服务器!CAB服务器需要在【CAB服务器】选项卡中配置后才能显示,并且CAB负载均衡的依据是:网络利用率/CPU使用率/内存使用率, 不包含登录用户数)【CAB应用分组】选项卡:将多个应用分到一个指定的组,在前台访问后,应用会在一个分组里。图 21【CAB服务器选项卡】页面如图23所示:图 22只有在此处添加了CAB服务器后,CAB应用发布页面中关联CAB服务器栏才有相应信息出现。并且必须要添加CAB服务器才能正常使用CAB应用。添加/配置CAB服务器,点添加后,出现以下配置界面:图 23基本信息 名称:在CAB应用发布页面中“关联CAB
22、服务器”栏显示的服务器名称。描述:可为空。启用:是否启用该资源。通用配置CAB服务器地址:要发布的CAB应用服务器的IP地址。 iserver端口:iserver侦听端口,默认是19221端口PC端配置共享打印机:选择是否共享用户的打印机,分别有3个选择项:共享所有,共享默认,不共享。使用WINDOWS组合键: 有在远程计算机上,在本地计算机上,在全屏模式下三种选项。本地设备映射(PC端)将本地电脑的磁盘映射到服务器,可以实现远端文件保存到本地【CAB服务配置】选项卡,如图27所示:图 24配置信息:同步本地用户账号到CAB服务器(开启后,设备上的用户将自动同步到CAB服务器上)、同步用户账号
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 接入 网关 管理员 手册