SANGFOR_vSSL7.6.8R2_部署實施指導2021年8月11目錄第1章產品簡介 3第2章部署環境概述 3華為云平臺特性描述 3鏡像獲取 3部署方式 3授權方式 3資源規格配置 4第3章部署實施 4購買云服務器 4配置網絡和安全組 6設備登錄 8第4章設備授權 8獨立在線授權 8測試授權申請： 8測試授權激活： 9正式授權申請： 9正式授權激活： 10多云安全平臺在線授權 10測試授權申請： 10測試授權激活： 11正式授權申請： 11正式授權激活： 11第5章SSL組件功能配置 12SSL功能配置 12IPSEC功能配置 16第6章常見問題 20附：聯系方式 21PAGEPAGE31章產品簡介SSL2章部署環境概述華為云平臺特性描述KVM；能夠自定義安全規則；IP；支持添加多塊網卡；鏡像獲取1、通過vSSL鏡像已經上傳華為云鏡像市場，用戶直接在華為云鏡像市場搜索“深信服SSLVPN”就可以獲取相應鏡像。2、通過手動下載上傳自定義鏡像，鏡像獲取可聯系深信服客服4006306430轉3部署方式1、vSSLVPN支持單臂部署，不支持集群部署，支持分布式集群部署授權方式1、支持獨立在線授權2、支持vLS統一在線授權-（需要搭建vLS授權服務器）資源規格配置產品配置（推薦）并發用戶數SSLVPN（vSSL）2C4G+40G硬盤5-1000并發4C4G+40G硬盤1000-2000并發4C8G+40G硬盤2000-5000并發8C8G+40G硬盤5000-7000并發8C16G+40G硬盤7000-20000并發3章部署實施購買云服務器登錄華為云中國站https://\h/，點擊購買云服務器2CPU4G鏡像在“自定義鏡像”/共享鏡像中選擇已上傳或其他賬號共享到云平臺的vSSL7.6.8R2的鏡像,或者在“鏡像市場”中搜索使用深信服SSLVPN,選擇最新SSLM7.6.8R2版本即可。//SSLVPNPAGEPAGE6SSD40G配置網絡和安全組網絡需要選擇專有網絡，需要選擇業務虛擬機所在的VPC，VLAN可以是跟業務虛擬機同一個，也可以是獨立的VLAN；公網帶寬根據實際情況選擇；TCP443（https、TCP4430TCP1111（TC22（httpTCP80PAGEPAGE10選擇完成后，確認數量和費用，點擊下一步按鈕進入下一步配置為云主機命名登錄憑證設置一個密碼密碼即可實際上后續無需使用此處密碼若有云備份 需求可以購買云備份服務，若沒有可不購買。后面的配置按照實際情況選擇即可。一般默認vSSLVPNvSSLVPNIPEIP設備登錄vSSLVPNDHCPIPIE瀏覽器打開如下vSSVNhtts:/IP:440,默認用戶名和密碼為：admin/admin。管理登錄界面如下所示：第4章 設備授權獨立在線授權測試授權申請：聯系測試授權或交付人員獲取測試授權序列號可致電深信服客服詢問：售后服務熱線：400-630-6430（中國大陸）序列號如下所示：測試授權激活：使用瀏覽器打開vSSLVPN的控制臺，地址：\hhttps://IP:4430默認用戶名和密碼為：admin/admin。aid填入IDsn填入序列號：授權信息點擊左樹菜單欄-系統設置-系統配置-授權信息查看注意：在線授權需要SSL設備聯網，能與授權中心域名保持通訊正式授權申請：聯系銷售或交付人員獲取正式授權序列號可致電深信服客服詢問：售后服務熱線：400-630-6430（中國大陸）正式授權激活：4.1.2【更改授權】則是將新的序列號覆蓋掉當前的，授權ID不會更改。多云安全平臺在線授權深信服SSLVPN使用多云安全平臺在線授權：測試授權申請：自注冊并登陸多云安全平臺地址：\h在【云安全能力中心】-【應用市場】中立即購買/申請試用SSL應用，提交待審核完畢審核結果在【云安全能力中心】-【應用中心】中查看可致電深信服客服詢問：售后服務熱線：400-630-6430（中國大陸）PAGEPAGE11測試授權激活：審核通過后在【云安全能力中心】-【應用中心】中點擊部署應用SSL其他云環境點擊立即部署之后大約2-5min內可以完成授權，在應用中心查看在線情況，并登陸防火墻正式授權申請：可聯系銷售或者商務，根據正式購買訂單開通多云安全平臺賬號以及防火墻應用正式授權激活：4.2.2PAGEPAGE125SSLSSL功能配置用戶環境與需求：A公司在華為云上部署了若干業務服務器，公司內部的業務人員需要訪問其中的銷售系統，公司內部的運維人員需要訪問數據庫服務器。配置步驟如下：第一步：進入『SSLVPN設置』→『用戶管理』，點擊新建，新建兩個SSL接入用戶，配置完以后點保存，本案例配置界面如下：第二步：進入『SSLVPN設置』→『資源管理』，新建一個L3VPN。點擊新建，選擇L3VPN，設置資源名稱，選擇資源類型，配置界面如下：配置資源地址，點擊后面的添加按鈕，配置完后點擊確定，配置界面如下：第三步：角色關聯，即將資源和用戶關聯，進入『SSLVPN設置』→『角色授權』，點擊新建，選擇新建角色，配置角色名稱，選擇關聯用戶，界面如下：關聯用戶，點擊后面的選擇授權用戶按鈕，配置完后點擊確定，配置界面如下：進入『編輯授權資源』頁面，選擇關聯資源，界面如下：配置完以后點保存。PAGEPAGE15第四步：配置完成后點擊【立即生效】，使配置生效。第五步：用戶在瀏覽器上輸入SSL的登錄地址：https://sslIP第六步：輸入用戶名密碼登錄SSL，便可以看到資源列表，界面如下：PAGEPAGE16IPSEC功能配置用戶環境與需求：AVPCVPNVPNIPSecVPN隧道，將公司內部機房的數據同步到災備中心。配置步驟如下：公司總部防火墻上的配置：由于公司總部的深信服VPN設備接在內網，且該設備做VPN連接時是以總部部署，所以需要在前置防火墻上將公網IP的TCP/UDP的4009（默認端口）端口映射給VPN設備。公司總部三層交換機上的配置：VPCVPN設備，將數據交由深VPN設備進行封裝處理。VPN設備上的配置：第一步：配置WEBAGENT，進入『IPSECVPN設置』→『基本設置』，設置好主webagent信息，MTU和最小壓縮值默認即可，監聽端口采用默認值，其中，主webagent配置成“防火墻映射的公網IP地址:4009”。第二步：為分支建一個VPN賬號，進入『IPSECVPN設置』→『用戶管理』，新增一個VPN賬號，選擇類型為分支，配置界面如下：VPN『網路配置』→VPN互連的網段，配置界面如下：華為云深信服VPN設備的配置：建立VPN連接，進入『IPSECVPN設置』→『連接管理』，新建一個連接，填寫總部設置的WEBAGNET，總部建的VPN賬號，界面如下：PAGEPAGE19VPNVPNIPSecVPN隧道，但是此時兩邊的服務器通信還是無法實現的，還需要進行下一步的配置——VPC虛擬路由器上配置路由。華為云VPC路由表路由配置：VPC虛擬路由器上添加目的網段是公司總部內網網段的路由，下一跳指向深VPNVPCipVPNVPN進行封裝處理。PAGEPAGE206章常見問題vSSLvSSL答：可檢查下網絡是否可達，授權是否被刪除，或授權有效時間是否已過期等。vSSL答：通常情況下是主機的內存和CPU不足導致。授權成功、刪除授權、切換授權后登錄控制臺，頭部顯示不全、提示斷網怎么辦EMM答：包含組建集群問題）云平臺的網絡需要支持組播。IPSSLVPN的集群CIPCIP最初是綁定在主機上，一旦主機掛了，VPN系統會在CIPIP，而是IP綁定到虛擬機上。如果以上兩個條件支持