SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
{{sendMatomoQuery("SSL VPN","第一阶段")}}

第一阶段

更新时间:2022-01-11

『第一阶段』用于设置需要与 SANGFOR VPN 网关建立标准 IPSec 连接的对端 VPN设备的相关信息,也就是标准 IPSec 协议协商的第一阶段。页面如下:

设备列表中的某设备已在出入站策略中使用时,该设备不能被删除或改名。

在右上角输入框中可以搜索设备名称和设备地址。

第三方对接必须固定线路出口,默认为线路 1。单臂多线路部署模式下,出口线路自动使用线路 1。

选择线路出口,点击新增,显示『设备列表设置』对话框,页面如下:

『设备名称』:可自行定义。

『描述』:可自行定义。

『设备地址类型』:包括对端是固定 IP、对端是动态 IP、对端是固定域名三种。请根据实际情况选择。选择固定 IP,就填写上对端的 IP 地址;选择动态域名,就填写上对端外网绑定的域名。

注意: 标准 IPSEC 不允许连接的双方都是动态 IP, 只能允许其中一方为动态IP。

『认证方式』包括预共享秘钥,RSA 签名证书和国密证书 V1.1。显示如下:

『预共享密钥』及『确认密钥』:填入正确的预共享密钥,并确保连接双方采用 的都是相同的预共享密钥。显示如下:

『RSA 签名证书』:选择好正确的证书,当对端证书域本端证书不是同一个 CA中心颁发时,需要勾选此选项,并选择好对端的根证。显示如下:

『国密证书 V1.1』选择好正确的证书,本端和对端的加密证书必须是由同一个 CA 中心颁发的,本端和对端的签名证书必须是由同一个 CA 中心颁发的,加密证书和签名证书可以由不同的 CA 中心颁发。

点击高级,显示『高级选项』对话框,可进行其它高级设置,页面如下:

『ISAKMP 存活时间』:标准 IPSEC 协商的第一阶段存活时间,只支持按秒计时方式。

『重试次数』:当 VPN 故障断开后,重试连接的次数,超过次数还未能连上, 则不再主动发起连接,除非有 VPN 流量触发才能再次主动发起连接。

『支持模式』:包括主模式和野蛮模式两种类型。主模式适用于双方均为固定 IP 或者一方固定 IP 一方动态域名方式,并且不支持 NAT 穿透;野蛮模式适用于其中一方为拨号的情况,并且支持 NAT 穿透。

『D-H 群』:设置 Diffie-Hellman 密钥交换的群类型,包括 1、2、5、14、15、16、17、18 三种,请与对端设备配置保持一致。

『启用 DPD』: IPSEC 使用 DPD( Dead Peer Detection) 功能来检测对端 Peer 是否存活。“DPD 设置”包括检测间隔和超时次数,多次检测超时后,设备会认为对端失效而断开连接。

『ISAKMP 算法列表』包括认证算法和加密算法:

“ 认 证 算 法 ” : 选 择 数 据 认 证 的 Hash 算 法 , 包 括MD5/SHA-1/SHA-256/SHA-384/SHA-512 等。

“加密算法”:选择数据加密的算法,包括 DES、3DES、AES、SANGFOR_DES、AES256、AES192 六种。

注意:
1.SANGFOR_DES 算法, 只有在连接双方都是 SANGFOR 设备时才能使用, 与其他厂商设备互联时无法使用。
2。野蛮模式的身份 ID 有 2 种表达方式,一种为域名字符串(FQDN)格式,可以为任意的网址或者一串字符串; 另一种为用户字符串( USER_FQDN) , 需要是“xxx@xxx.xxx”这种格式。