SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
{{sendMatomoQuery("SSL VPN","端点安全规则")}}

端点安全规则

更新时间:2023-10-30

『端点安全规则』用来定义端点安全规则设置规则检查策略。

WEBUI 路径:『SSL VPN 设置』→『端点安全』→『端点安全规则』。如下图:

点击删除,用来选择所选择的规则。

点击编辑,用来编辑一条所选的规则。

点击全选,可选择当前面或所有页,也可以取消选择。

点击组合选中的规则,可以将所选择的基本规则组合在一起,新建一条组合规则。使用此功能前必须要先选中需要组合的规则才可以。该功能与在【规则定义】页面点击新建,

选择组合规则,然后添加所需要组合的规则实现效果是一样的。

点击『筛选』后的下拉框,选择需要在列表中显示的规则,包括:[全部]、[内置规则]、[自定义规则]。如下图:

点击新建,可新增[基本规则]或[组合规则],如下图:

选择基本规则,用来新建一条端点安全基本规则。如下图:

『规则名称』和『规则描述』可随意填写便于理解记忆的文字。

『类型』可选择[操作系统]、[文件]、[进程]、[注册表]、[登录 IP]、[接入 IP]、[登录时间]、[终端识别]、[杀毒软件]。如下图:

[操作系统]类型,配置对话框如下:

选择相应的操作系统后,后面可再勾选附加条件,该操作系统至少打过 SPX 的补丁。

注意:系统的类型可以多选,之间是“或”的关系,系统后面的『必须至少打过sp』项是对该系统的一个补充。

『文件』类型,配置对话框如下:

[用户PC 必须存在本文件]选择后登录SSL VPN 的客户端计算机硬盘上必须存在该文件,才满足该规则。

[用户 PC 不能存在本文件]选择后登录 SSL VPN 的客户端计算机硬盘上不存在该文件,才满足该规则。

『文件路径』填写指定文件的在客户端计算机的路径,可以使用绝对路径或使用系统 变量(如%SystemRoot%\log.txt)。

注意:『文件』下填写的字母区分大小写,该项为必填项。

『更新日期比当前日期滞后不大于 XX 天』所指定的文件最后更新的日期不能落后客户端计算机系统时间的天数。

『文件 MD5』勾选后即可激活该项,点打开选择『文件』所填写的文件,即可获得该文件的 MD5 值,用于保证客户端计算机上的文件和管理员设置要求的文件内容完全相同。

『文件大小』勾选后即可激活该项,点打开选择文件,即可获得该文件的大小值,用于保证客户端计算机上的文件和管理员设置要求的文件大小完全相同。

注意:
1.以上各项的配置是“与”的关系,只有以上条件全部匹配才能满足此规则。
2.第一次使用『文件 MD5』或『文件大小』功能时,设备会检测客户端是否有安装WebUICtrl 这个控件,如果没有安装,则会弹出”安装提示”。

页面如下所示:

点击安装,则弹出 IE 安全告警提示安装控件。页面如下所示:

点击安装。

如果浏览器未提示安装控件,可以通过点击下载安装,手动执行安装控件。页面如下所示:

『进程』类型,配置对话框如下:

[必须已运行本进程]选择后登录 SSL VPN 的客户端计算机必须存在该进程,才满足该规则允许接入;否则禁止接入。

[必须未运行本进程]选择后登录 SSL VPN 的客户端计算机必须不存在该进程,才满足该规则允许接入。

『进程名』填写指定进程的进程名。

『窗口名』填写运行指定进程的程序的窗口名。

『文件 MD5』勾选后即可激活该项,点打开选择运行指定进程的程序文件,即可获得该文件的 MD5 值,用于保证客户端计算机上的程序文件和管理员设置要求的程序文件内容完全相同。

『文件大小』勾选后即可激活该项,点打开选择运行指定进程的程序文件,即可获得该文件的大小值,用于保证客户端计算机上的程序文件和管理员设置要求的程序文件大小 完全相同。

注意:以上各项的配置是“与”的关系,只有以上条件全部匹配才能满足此规则。

『注册表』类型,配置对话框如下:

[用户注册表需存在下面的内容]选择后登录 SSL VPN 的客户端计算机的注册表必须存在该项,才满足该规则。

[用户注册表不能存在下面的内容]选择后登录 SSL VPN 的客户端计算机的注册表不存在该项,才满足该规则。

『项』、『名称』和『值』,填写在注册表中显示的项,名称和值。

点击保存,即可完成基本规则设置。,

点击提交并继续添加,即保存的当前基本规则的设置,同时不返回『端点安全规则』页面,可继续添加规则。

点击取消,取消设置。

注意:以上各项的配置是“与”的关系,只有以上条件全部匹配才能满足此规则。

[登录 IP]类型,配置对话框如下:

『起始 IP』和『终止 IP』限制了客户端本身要处于某个 IP 地址范围才满足此规则。

[接入 IP]类型,配置对话框如下:

『接入 IP』中填写 SSL 设备某个接口的 IP 地址。设置了以后,只能通过该地址接入SSLVPN 才满足该条规则。

[登录时间]类型,配置对话框如下:

根据上面的时间小格定义时间段,具体设置方法可以参考章节 3.3 时间计划章节。

[终端识别]类型,配置对话框如下:

选择[终端识别]类型后,会在列表中列出硬件特征码管理中的硬件特征码,勾选上某个硬件特征码,点击保存完成该规则。当接入 SSL 客户端的硬件特征码属于此处勾选的其中一个时,则满足该规则,允许勾选多个硬件特征码。

硬件特征码可以通过[按主机名称]或[按 MAC 地址]查询。如下图:

设置完基本规则后,点击保存,即可完成基本规则设置。

点击提交并继续添加,即保存的当前基本规则的设置,同时不返回『端点安全规则』页面,可继续添加规则。

点击取消,取消设置。

[杀毒软件]类型,配置对话框如下:

选择[杀毒软件]类型后,选择相应的杀毒软件后,后面可再勾选附加条件,该终端安 装的杀毒软件必须是最新版本。

注意:杀毒软件的类型可以多选,之间是“或”的关系,杀毒软件名称后面的『必 须是最新版本』项是对该杀毒软件的一个补充。

新建组合规则

在端点安全规则页面,点击新建,选择[组合规则],新建一条组合规则,用来将多条基本规则结合使用。页面如下所示:

『检查规则』,点击编辑规则列表,弹出【编辑规则列表】对话框,可以选择需要组合的规则。

页面如下所示:

如上图,选择了[登录 IP 限制]和[注册表]两个规则,配置完成后,点击确定保存配置。

点击保存,即可完成基本规则设置。

点击提交并继续添加,即保存的当前基本规则的设置,同时不返回『端点安全规则』页面,可继续添加规则。

点击取消,取消设置。

『检查规则』由若干“基本规则”或“组合规则”组合而成,只要策略中的任一个规则成立,则“检查策略”成立;规则都不成立时,“检查策略”不成立。

点击检查规则,用来新建端点安全检查规则。

页面如下所示:

点击新建,弹出『编辑规则』窗口,填写相应信息。

页面如下所示:

『名称』和『描述』可随意填写便于理解记忆的文字。

点击编辑规则列表,然后在『编辑规则列表』中勾选“基本规则”或“组合规则”,即可把“基本规则”或“组合规则”加入到该“检查规则”中,最后点确定保存配置。

注意:勾选多条规则,用户接入时任意一条规则成立,本规则便成立。