SSL VPN安全桌面功能培训培训内容培训目标安全桌面功能介绍1.掌握SSL 安全桌面的基本功能和应用场景典型应用案例及配置1.掌握安全桌面功能的配置思路和配置方法安全桌面原理介绍1.掌握SSL 安全桌面的基本原理和高级功能安全桌面高级配置1.掌握安全桌面功能的高级配置2.掌握安全桌面的注意事项安全桌面功能介绍安全桌面典型应用案例及配置深信服公司简介安全桌面高级配置和注意事项SANGFOR SSL 安全桌面原理介绍沙盒技术简介沙盒技术简介Sandbox，叫沙盒，也叫沙箱、沙盘。在计算机领域指一种虚拟技术，且多用于计算机安全技术。其原理是提供一个虚拟的环境给程序运行，通过重定向技术，把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。由于程序是在虚拟的环境中执行的，所造成的破坏也不会影响到真实环境中。如赛门铁克、sandboxie等等。SANGFOR SSL 安全桌面功能介绍安全桌面功能介绍 SANGFOR SSL VPN的安全桌面功能，能为接入SSL VPN的用户生成一个虚拟的工作环境。 在此虚拟工作环境中，用户所有的文件操作都是虚拟的，安全桌面和真实电脑桌面的进程也都是隔离的。同时可以限制用户在安全桌面内访问的网段，是否允许使用打印机和COM口等，通过这样的方式来保护通过VPN下载的服务器数据的安全性，避免数据外泄的风险。当用户离开安全桌面时，所有下载的资料以及用户在安全桌面内的所有操作将被删除。安全桌面需求场景安全桌面需求场景一般情况下用户可以通过以下方式泄露数据，SSL安全桌面功能可以有效的进行防护，避免损失。另外在安全桌面上网可以避免因为中毒、误操作等造成对电脑系统的损坏。安全桌面功能应用要求安全桌面功能应用要求1. 安全桌面功能需要序列号授权方能使用。2. 需要在安全桌面内访问的资源，必须添加为TCP应用类型或者L3VPN的文件共享资源，以及可以设置远程应用资源必须在安全桌面内访问。安全桌面功能设置安全桌面功能设置安全桌面功能设置：安全桌面功能设置：开启安全桌面功能安全桌面内的访问权限安全桌面内允许访问的资源。设置远程应用允许运行的桌面安全桌面内允许访问的网段安全桌面典型应用案例及配置安全桌面典型应用案例及配置 某公司客户总部内网有OA办公系统和财务系统，单臂模式部署了SSL VPN设备供分部和其他移动办公人员安全接入和访问内网服务器。1. 客户网络环境安全桌面典型应用案例及配置安全桌面典型应用案例及配置 1）要求分部SSL 用户“财务张三”通过SSL VPN接入总部内网后，只能通过安全桌面访问OA办公系统（http:/www.xxx.net:8000）和财务系统(http:/172.16.120.10) 2）通过安全桌面只能与分部内网网段192.168.1.0通信 3）允许通过安全桌面使用COM口和打印机 4） 接入SSL VPN后只能使用安全桌面，不允许使用本地桌面2. 客户需求安全桌面典型应用案例及配置安全桌面典型应用案例及配置1） 【SSL VPN设置】-【资源管理】-【TCP应用】新增OA办公系统和财务系统。2）【SSL VPN设置】-【策略组管理】新增策略组（设置安全桌面内的访问权限）。3） 设置用户与策略组关联。4） 【SSL VPN设置】-【角色授权】新增角色，将用户与资源关联起来。3. 配置思路安全桌面典型应用案例及配置安全桌面典型应用案例及配置配置步骤配置步骤 截图：截图：1. 【TCP应用】新增OA办公系统和财务系统安全桌面典型应用案例及配置安全桌面典型应用案例及配置2. 【策略组管理】新增安全桌面策略组安全桌面典型应用案例及配置安全桌面典型应用案例及配置不允许切换桌面，则只能通过安全桌面访问资源。允许与本地电脑的127.0.0.1地址进行通信设置允许在安全桌面内访问的资源安全桌面典型应用案例及配置安全桌面典型应用案例及配置3. 【用户管理】，用户“财务张三”关联策略组安全桌面典型应用案例及配置安全桌面典型应用案例及配置4. 【角色授权】，用户“财务张三”关联OA办公系统和财务系统安全桌面典型应用案例及配置安全桌面典型应用案例及配置5. 用户“财务张三”登录SSL VPN成功后，安装完控件会出现下图：初始化完成后，将直接打开安全桌面，安全桌面和电脑本身的桌面一致，且安全桌面里会自动生成一个SSL客户端的图标。把鼠标移到这个图标可看到SSL的流速，点击这个图标，可进行如下功能的显示和设置：【连接状态】，【加速效果】，【历史消息】，【个人设置】，【显示资源】等。安全桌面配置说明安全桌面配置说明 如果需要实现在安全桌面和本地桌面切换，则要在【策略组】-【安全桌面】设置中勾选“允许切换回电脑桌面”：允许切换桌面，用户登录SSL VPN后，电脑的任务栏中会出现如下按钮，点击此按钮实现安全桌面和本地桌面的任意切换。安全桌面配置说明安全桌面配置说明 如果用户关联的资源还有远程应用资源类型，并且要求远程应用资源必须在安全桌面内运行，则需要在【策略组】-【安全桌面】中设置只允许远程应用运行在安全桌面安全桌面配置说明安全桌面配置说明 此时，该远程应用资源只会在安全桌面内的资源列表里显示。默认桌面资源列表： 安全桌面资源列表：想一想想一想 1. 通过安全桌面保存在电脑某个磁盘下的文件，切换回本地桌面时，是否仍然可以打开？ 答： 用户退出安全桌面后，在安全桌面内产生文件将被删除。 用户切换回本地桌面后，将看不到在安全桌面内保存的文件，防止通过本地桌面进行传播和泄密。 2. 为什么不能在安全桌面内截图，然后粘贴到本地桌面呢？ 答：为了防止通过截图的方式将安全桌面内的内容泄露出去，拦截了安全桌面和本地桌面的剪切板的通信。当用户从安全桌面切换到本地桌面时，自动清空剪切板的内容。只在安全桌面内使用剪切板是可以的。注意事项注意事项1、安全桌面功能需要序列号开通2、SSL安全桌面从M5.7版本开始支持win764位系统，从M6.0版本开始支持win832/64位系统3、兼容AC4.0的安全桌面，支持同时安装，不支持同时运行4、安全桌面不支持代理环境、不支持流缓存5、建议使用1G以上内存电脑启用安全桌面。问题思考问题思考1.是否所有的资源均可实现在安全桌面内访问？为什么？3.是否可以控制用户通过安全桌面和局域网的通信？如果可以，如何实现？2.是否可以通过安全桌面功能禁止用户接入SSL VPN后使用电脑的USB口？安全桌面基本原理安全桌面基本原理1、注册表重定向除HKEY_CURRENT_USER以外的键的写操作都会被拦截，只允许读操作。而对HKEY_CURRENT_USR的所有操作都是允许，但是会被重定向至HKEY_USERS主键下子键$HKCU$，对注册表做的修改都会保存在$HKCU$键下安全桌面中对注册表的修改都是对重定向之后的注册表的修改，退出安全桌面即会恢复。很好的保护了电脑系统和禁止用户通过注册表泄漏数据安全桌面基本原理安全桌面基本原理2、文件重定向用户在安全桌面中所产生或者所修改的文件，都是经过加密和重定向，被重定向的文件以及重定向后的路径需要保存起来。重定向后的文件，被保存到当前磁盘的$SD$目录下。在每个磁盘的根目录下，存在一个隐藏的文件夹，下面存放了对应的重定向的文件。思考：打开安全桌面时，如果插入一个U盘，能否把安全桌面里面的资料拷走？答案：在安全桌面里对U盘中文件的操作也会被重定向，脱离安全桌面之后即会恢复，所以无法通过U盘拷走资料，包括对U盘中文件的编辑修改也会恢复原状。安全桌面基本原理安全桌面基本原理3、网络访问权限的控制通过ProxyIE控件进行网络控制。安全桌面启动后，proxyie.dll会注入各运行的程序中，然后根据不同的网络访问权限策略放通或丢弃相应的数据包。注：1、只能控制TCP和UDP应用，无法控制ICMP应用。2、SSL安全桌面要让网段限制生效需要安装TCP应用控件，如果使用该组策略的用户只有WEB应用资源，可以随意关联一个TCP应用来保证能安装上TCP应用控件。4、外接设备拦截例如COM口的拦截，COM口的打开需要调用NtCreateFile这个函数，先判断配置中是否允许使用COM口，若允许则向下传递请求，若不允许则返回失败。对打印机、U盘的封堵原理类似，不累赘讲述。安全桌面高级配置安全桌面高级配置1、离线登录安全桌面-功能介绍功能简介：SSLM5.7之后版本支持在离线状态下（无法连接到SSL的情况下）打开安全桌面。使用场景：用户外出或在家办公无法连接SSL时，可以打开安全桌面并访问安全桌面中的文件（安全桌面的文件在默认桌面是加密的，无法直接访问）。基本要求：离线登录安全桌面需要配合DKEY使用，DKEY里面烧入了用户信息和解密安全桌面数据的密钥。安全桌面高级配置安全桌面高级配置1、离线登录安全桌面-配置步骤1、策略组管理-安全桌面，勾选“启用离线访问功能”，设置允许离线访问的时长2、插入USB-KEY，新建用户，创建USB-KEY用户时，勾选“允许离线登录安全桌面”创建之后点击“保存”并“配置生效”，DKEY用户才创建完毕。安全桌面高级配置安全桌面高级配置1、离线登录安全桌面-配置步骤3、如果是之前已经创建好的DKEY用户，现在需要给他开启离线登录安全桌面的功能，可以将该DKEY插入电脑，编辑该用户，在“离线访问”，点击“绑定USB-KEY”：绑定之后，该DKEY用户即被允许离线登录安全桌面：安全桌面高级配置安全桌面高级配置1、离线登录安全桌面-客户端登录测试客户端电脑通过开始-所有程序-SSLVPN登录客户端，点击离线登录安全桌面：输入pin码登录：通过系统托盘，可以查看离线访问剩余时间：安全桌面高级配置安全桌面高级配置1、离线登录安全桌面-注意事项1、离线访问时，需要插入V2版本DKEY，DKEY里面烧入了用户信息和解密安全桌面数据的密钥。2、可支持同一个DKEY认证和离线登录。3、不支持第三方DKEY。4、离线访问时，只支持文件重定向、注册表重定向和桌面切换功能，不支持导出文件。5、可离线访问的时间通过策略组限制，用户可以在系统托盘查看。6、DKEY用户在线后插DKEY可充满时长（要在登录时插入）。安全桌面高级配置安全桌面高级配置2、安全桌面进程白名单-功能介绍可以通过安全桌面进程白名单功能，允许在安全桌面运行哪些进程，不勾选启用此功能则默认放通所有进程。安全桌面高级配置安全桌面高级配置2、安全桌面进程白名单-配置步骤案例：安全桌面内只允许运行word程序，不允许其他程序。(1)通过电脑的windows任务管理器查看word程序的进程名为“WINWORD.EXE”(2)右键点击word程序查看属性，可以查看word程序的“描述”、“MD5值”等属性注：此处查看的属性，不是word快捷方式，而是实际程序，可进入word的安装目录查看。安全桌面高级配置安全桌面高级配置2、安全桌面进程白名单-配置步骤(3)策略组管理-进程组列表，添加word进程，如下图：添加（1）和（2）步骤获得的word程序的进程名称和描述(4)将设置好的word进程添加到“安全桌面进程白名单”,最后将策略组关联给用户即可。安全桌面高级配置安全桌面高级配置2、安全桌面文件导出-功能介绍SSL5.7版本之后安全桌面支持文件导出功能，需要配合外置数据中心使用，如果没安装外置数据中心或者外置数据中心异常，则无法实现文件导出功能。安装外置数据中心的原因是审计从安全桌面中导出的文件。注：SSL外置数据中心DC5.7的安装与配置请参考SSL特殊需求配置指导培训PPT。安全桌面注意事项安全桌面注意事项1、安全桌面功能需要序列号开通2、安全桌面文件导出审计功能需要搭建DC5.7专用数据中心3、安全桌面本地通信，勾选后为全局允许，去掉勾选，设置本地进程通讯白名单才有意义4、SSL安全桌面从M5.7版本开始支持win764位系统，从M6.0版本开始支持32/64位WIN8系统5、兼容AC4.0的安全桌面，支持同时安装，不支持同时运行6、安全桌面不支持代理环境、流缓存功能7、建议使用1G以上内存电脑启用安全桌面练练手练练手1、某客户希望实现所有移动办公组的用户通过SSL VPN接入，只能在安全桌面内访问总部的订单系统（http:/dingdan.abc.com），可以使用打印机和COM口，且不允许安全桌面和本地内网进行通信。 如何配置实现客户的需求呢？2、某客户希望实现所有移动办公组的用户通过SSL VPN接入，只能在安全桌面内访问远程应用发布资源，安全桌面内只能打开WORD程序，且不允许安全桌面和本地内网进行通信。 如何配置实现客户的需求呢？问题思考问题思考1、SSL安全桌面实现的基本原理是什么？3、是否可以控制用户在安全桌面中只能打开指定的程序？如果可以，该如何配置？2、 用户接入SSL VPN后，能否使用U盘拷贝走安全桌面中的资料？为什么？www.sangfor.com.cn