VPN功能：

• IPSec VPN：IPSec是IETF制定的三层隧道加密协议，它为互联网上传输的数据提供了高质量的、基于密码学的安全保证，是一种传统的实现三层VPN的安全技术。IPSec通过在特定通信方之间（例如两个安全设备之间）建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为IPSec隧道。

• SSL VPN：SSL VPN是以HTTPS为基础的VPN技术，充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为通信建立安全连接。

• L2TP VPN：L2TP是VPDN（Virtual Private Dial-up Network，虚拟私有拨号网）隧道协议的一种。VPDN是指利用公共网络的拨号功能接入公共网络，实现虚拟专用网，从而为企业、小型ISP、移动办公人员等提供接入服务。即，VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

SSL VPN：

为解决远程用户安全访问私网数据的问题，设备提供基于SSL的远程登录解决方案。

SSL VPN功能可以通过简单易用的方法实现信息的远程连通。设备的SSL VPN功能包含设备端和客户端两部分。

配置了SSL VPN功能的设备作为设备端，具有以下功能：

• 接受客户端连接；

• 为客户端分配IP地址、DNS服务器地址和WINS服务器地址；

• 进行客户端用户的认证与授权；

• 进行客户端主机的安全检测；

• 解密来自客户端的加密报文并转发。

不同型号的设备默认情况下支持的同时在线最大VPN客户端数不同，如果想增加支持的客户端数，请向代理商购买相应的许可证。

SSL VPN客户端成功连接设备端后，用户就可以通过SSL VPN功能安全的传输数据信息。

SSL VPN客户端分为以下版本：

• SSL VPN客户端 for Windows

• SSL VPN客户端 for Android

• SSL VPN客户端 for iOS

• SSL VPN客户端 for Mac OS

• SSL VPN客户端 for Linux

  
  

配置SSL VPN功能，按照以下步骤进行操作：

1. 点击“网络 > VPN > SSL VPN”，进入SSL VPN页面。

2. 点击SSL VPN列表左上角的“新建”，打开页面。
   

点击“名称/接入用户”，填写相关信息。
点击“接入接口/隧道接口”，填写相关配置信息。
点击“隧道路由配置”，指定通过SSL VPN隧道能到达的网段或域名。

点击“绑定资源”，配置用户组和资源的绑定关系。

3. 用户可对SSL VPN功能进行高级配置。点击当前对话框左下角的“高级配置”按钮，对SSL VPN功能进行高级配置。

点击“参数配置”，填写相关配置信息。
点击“客户端”，填写相关配置信息。
点击“二次认证”，填写相关配置信息。
在<主机检测>标签页，填写相关配置信息。
点击“最优路径检测”，填写相关配置信息。最优路径检测功能够使不同ISP线路接入的客户端自动选择最快线路连接到SSL VPN设备 端，从而提供访问总部资源时的速度。

4. 点击“完成”，保存所做的配置。

查看SSL VPN所有在线客户端，请按照以下步骤进行操作：

1. 点击“网络 > VPN > SSL VPN”，进入SSL VPN页面。

2. 选择SSL VPN实例。

3. 在页面下方的在线用户列表中查看该实例所有在线客户端的详细信息。

主机绑定

主机绑定也即主机验证。主机验证功能是指SSL VPN对运行SSL VPN客户端的主机进行验证。用户在PC上通过SSL VPN客户端登录时，客户端先收集主机的主板序列号、硬盘序列号、CPU ID和BIOS序列号，然后客户端对这些信息进行MD5运算，生成一个32位的字符串，即主机ID。之后，客户端将主机ID以及用户名密码信息发送到SSL VPN设备端进行验证。SSL VPN设备端根据未绑定主机列表和已绑定主机列表中记录表项以及主机验证配置进行验证。未绑定主机列表和已绑定主机列表描述如下：

• 未绑定主机列表：客户端首次登录时，SSL VPN设备端会记录用户名与主机ID的对应关系，并加入未绑定主机列表中。

• 已绑定主机列表：已绑定主机列表中包含允许验证通过的主机ID与用户名对应关系的表项。用户可以通过手工操作或首次登录自动批准方式把候选表中的表项移入已绑定主机列表中。客户端登录时，SSL VPN设备端会先检查已绑定主机列表中是否有该主机ID与用户名的对应关系表项，如果有，则通过主机验证，继续进行用户名密码验证；如果没有，则直接中断SSL通讯过程。

主机检测

主机检测功能是指SSL VPN设备端对运行SSL VPN客户端主机的安全状况进行检测，通过检查客户端主机的操作系统、IE版本以及特定软件的安装情况等因素来评估客户端主机的安全级别，并根据不同安全级别为客户端分配不同的资源访问权限，保证SSL VPN接入的安全性。

基于角色的访问控制和主机检测流程

基于角色的访问控制是指用户的权限不是由用户名而是由用户在系统中的角色决定的，一个登录于某系统的用户，可以通过它所对应角色的权限来决定其可以访问的系统资源。在权限管理中，角色作为中间桥梁把用户和权限联系起来。

SSL VPN在主机检测流程中实现了基于角色的访问控制，在主机检测策略规则中引入初级角色和次级角色的概念。初级角色主要用于用户从设备端获取对应的主机检测规则信息（包含主机检测的内容以及安全级别）；次级角色决定检测失败用户的实际访问权限。

主机检测流程如下：

1. 客户端发起连接请求并成功认证。

2. 设备端下发主机检测规则到客户端。

3. 客户端根据主机检测规则对主机系统进行相应的安全检测。如果检测失败，则弹出检测结果进行提示。

4. 客户端将最终检测结果返回给设备端。

5. 设备端根据配置的主机检测策略规则断开检测失败客户端的连接或者根据其相应的次级角色授予实际访问权限。

另外，主机检测功能还支持动态的访问权限控制。一方面，当设备端的安全状况发生变化时，设备端会主动下发主机检测规则给客户端，并要求客户端重新进行安全检测；另一方面，客户端可以周期性地进行安全检查，比如可以定时地检查客户端主机的防病毒软件是否开启，如果用户在使用过程中关闭了防病毒软件，系统可能会因此在用户的访问过程中改变该用户所属的角色，重新为该用户分配相应的权限。