EMM智慧軍營培訓(xùn)-階段培訓(xùn)測試指導(dǎo)

　 EMM 智慧軍營培訓(xùn) 1 、項目背景 項目背景和建設(shè)依據(jù) 認(rèn)真貫徹落實習(xí)主席“政治工作過不了網(wǎng)絡(luò)關(guān)就過不了時代關(guān)”、“要順勢而為、因勢利導(dǎo)，研究把握特點(diǎn)規(guī)律，用好用活網(wǎng)絡(luò)平臺”重要論述指示精神，以四總部《關(guān)于進(jìn)一步規(guī)范基層工作指導(dǎo)和管理秩序若干規(guī)定》（以下簡稱《規(guī)定》）、《軍隊計算機(jī)連接國際互聯(lián)網(wǎng)管理規(guī)定》、解放軍保密委員會《嚴(yán)密防范網(wǎng)絡(luò)泄密“十條禁令”》等有關(guān)法規(guī)制度為依據(jù)，堅持以人為本原則，滿足官兵想網(wǎng)用網(wǎng)的強(qiáng)烈期盼，各部隊積極響應(yīng)國家政策要求，開放互聯(lián)網(wǎng)，并建立手機(jī)和互聯(lián)網(wǎng)管理規(guī)定。

　《規(guī)定》緊緊抓住基層反映最強(qiáng)烈、最期盼解決的問題，從加強(qiáng)工作統(tǒng)籌、減少會議文電、精減大項活動、嚴(yán)控檢查評比、落實休假探親等方面，提出科學(xué)合理、具體實在的對策措施。其中《規(guī)定》適度放寬了手機(jī)網(wǎng)絡(luò)使用的限制，明確“在符合保密要求的前提下，軍隊人員在課外活動時間、休息日、節(jié)假日等個人支配的時間，可以使用手機(jī)（含智能手機(jī)），可以通過個人移動終端或者軍營網(wǎng)吧使用互聯(lián)網(wǎng)。

　為切實執(zhí)行《規(guī)定》要求，嚴(yán)格貫徹軍隊互聯(lián)網(wǎng)使用 “符合保密要求”的硬杠杠，加強(qiáng)對于手機(jī)上網(wǎng)和軍營網(wǎng)吧的行為控制、上網(wǎng)記錄審計、上網(wǎng)風(fēng)險預(yù)警、泄密風(fēng)險防控、統(tǒng)一管控建設(shè)，全網(wǎng)安全監(jiān)測特提出本次建設(shè)項目方案建議。

　2 、升級操作 參考 SANGFOR_SSLM7.2-EMM 智慧軍營指導(dǎo)書_beta7

　3 、Awork 安裝 準(zhǔn)備工作 參考 SANGFOR_SSLM7.2-EMM 智慧軍營指導(dǎo)書_20160410 安裝方法一 使用 awork 安裝工具安裝 參考 SANGFOR_SSLM7.2-EMM 智慧軍營指導(dǎo)書_20160410 安裝方法二 使用命令行安裝 Awork

　步驟一 手機(jī)恢復(fù)出廠設(shè)置（非必須操作）

　步驟二 手機(jī)開啟 USB 調(diào)試模式，通過 USB 鏈接線插入 pc 步驟三 命令行執(zhí)行 adb devices,確認(rèn)有設(shè)備。如果沒設(shè)備，用豌豆莢安裝下驅(qū)動，如果豌豆莢可以正常識別到手機(jī)說明目前驅(qū)動安裝是 OK 的。

　正常情況提示如下:

　不正常提示如下：

　步驟四 命令行執(zhí)行 adb install aWork.apk，安裝 awork

　 PS：在使用該命令安裝的時候注意看手機(jī)的屏幕會提示需要手動點(diǎn)擊“確定”安裝 awork 步驟五 安裝完成后，命令行執(zhí)行進(jìn)行提權(quán) adb shell dpm set-device-owner com.sangfor.vpn.client.awork/com.sangfor.vpn.client.service.mdm.register.AdminReceiver

　注意事項：

　在Widnows上面操作上面的命令需要提前使用命令cd切換到對應(yīng)的路徑下面要不然會提示命令不存在的錯誤 安裝方法三 使用 aSystemHost 安裝 Awork 步驟一 如果手機(jī)的 ROM 已經(jīng)內(nèi)置了（或者客戶定制過 ROM）那么在手機(jī)上面可以看到

　 步驟二 這個類似 asystemhost 的圖標(biāo)打開之后如下

　步驟三 在這里輸入接入 VPN 的地址之后會自動進(jìn)行下載安裝 awork。安裝完成之后手機(jī)會自動進(jìn)行重啟。

　步驟四 手機(jī)重啟完成之后請稍作等待會自動完成剩下的操作，最后的界面如下，表示 awork 安裝完成

　 4 、部署案例 4.1 、模式設(shè)計 互聯(lián)網(wǎng)的開放給戰(zhàn)士帶來了信息共享的便利，為業(yè)務(wù)系統(tǒng)提供了傳輸平臺，但是正因為互聯(lián)網(wǎng)的過度開放，互聯(lián)網(wǎng)訪問若不受控，將帶來諸多的安全隱患。通過解讀《部隊手機(jī)和互聯(lián)網(wǎng)使用規(guī)定》中針對手機(jī)上網(wǎng)和網(wǎng)吧上網(wǎng)的安全要求，如何保障上網(wǎng)終端可控，構(gòu)建綠色、安全的互聯(lián)網(wǎng)使用環(huán)境，保障上網(wǎng)安全，是手機(jī)和互聯(lián)網(wǎng)使用平臺管理建設(shè)中需要考慮的重點(diǎn)問題。

　4.2、 、 部隊手機(jī)和互聯(lián)網(wǎng)使用管理整體技術(shù)方案

　手機(jī)和互聯(lián)網(wǎng)安全管控技術(shù)方案拓?fù)鋱D 1）

　手機(jī)上網(wǎng)安全方案：部隊官兵通過從運(yùn)營商購買的指定手機(jī)上網(wǎng)，手機(jī)終端安裝終端管理軟件，EMM 服務(wù)器放在運(yùn)營商出口或者是師部機(jī)房出口（根據(jù)網(wǎng)絡(luò)出口位置確定），手機(jī)上網(wǎng)流量統(tǒng)一出口位置部署上網(wǎng)行為管理設(shè)備，對手機(jī)上網(wǎng)做嚴(yán)格的過濾和審計。其中出口的上網(wǎng)行為管理設(shè)備與 EMM 設(shè)備做聯(lián)動，只允許已經(jīng)安裝 EMM 終端管理軟件的手機(jī)才能上互聯(lián)網(wǎng)，并在上網(wǎng)行為管理設(shè)備上記錄手機(jī)賬號。在需要安全管控升級時，可在上網(wǎng)出口放 1臺下一代防火墻設(shè)備，抵抗外到內(nèi)的攻擊； 2）

　軍營網(wǎng)吧上網(wǎng)安全方案：營區(qū)網(wǎng)吧計算機(jī)通過當(dāng)?shù)氐幕ヂ?lián)網(wǎng)出口上網(wǎng)，為了滿足《規(guī)定》中上互聯(lián)網(wǎng)的安全保密原則，在每個支隊/中隊出口放 1 臺上網(wǎng)行為管理網(wǎng)關(guān)設(shè)備，做上網(wǎng)身份認(rèn)證、非法網(wǎng)頁過濾、敏感信息外發(fā)管控、USB 口等外設(shè)的封堵、上網(wǎng)時長提醒和控制、上網(wǎng)行為和內(nèi)容審計、防病毒等。為了集中管理，在師部部署 SC 集中管理平臺和日志集中管理平臺，對所有支隊網(wǎng)吧出口的行為管理做設(shè)備統(tǒng)一管控和日志集中匯總分析，降低運(yùn)維難度，保障信息安全。

　下面針對手機(jī)上網(wǎng)和網(wǎng)吧上網(wǎng)兩個不同場景做平臺項目描述：

　4.3 、部隊手機(jī)上網(wǎng)安全平臺架構(gòu) 手機(jī)上網(wǎng)網(wǎng)絡(luò)由當(dāng)?shù)剡\(yùn)營商單獨(dú)為部隊提供，部隊官兵在內(nèi)部登記后在運(yùn)營商統(tǒng)一購買指定手機(jī) SIM 卡和智能手機(jī)。該智能手機(jī)通過運(yùn)營商 4G 網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，或通過師部的互聯(lián)網(wǎng)統(tǒng)一出口實現(xiàn)互聯(lián)網(wǎng)接入。為了保障部隊官兵在手機(jī)使用過程中滿足可管控的要求，所有智能機(jī)在使用之前必須安裝特定的 EMM 終端管理軟件（aWork 客戶端），實現(xiàn)對手機(jī)操作系統(tǒng)、應(yīng)用程序、攝像頭、語音、定位等手機(jī)應(yīng)用的統(tǒng)一管理。

　圖 圖 1 1 ：

　手機(jī)上網(wǎng)安全平臺拓?fù)鋱D

　手機(jī)接入?yún)^(qū)的網(wǎng)絡(luò)由運(yùn)營商搭建，手機(jī)通過 VPDN 專線的方式接入運(yùn)營商/營區(qū)內(nèi)網(wǎng)區(qū)域。通過 EMM 等方案對手機(jī)接入者進(jìn)行身份認(rèn)證，手機(jī)識別和管理。

　通過在運(yùn)營商出口部署 EMM 設(shè)備，在下手的手機(jī)終端中安裝一個 APP，可實現(xiàn)針對手機(jī)終端的操作系統(tǒng)、APP、進(jìn)程等進(jìn)行控制，并能實現(xiàn)針對手機(jī)終端的審計和內(nèi)容擦除，滿足部隊對手機(jī)上網(wǎng)的管控要求。

　除了針對手機(jī)終端的管控外，手機(jī)上互聯(lián)網(wǎng)的內(nèi)容安全也需要滿足《規(guī)定》中的安全要求，因此運(yùn)營商/師部的手機(jī)互聯(lián)網(wǎng)集中出口 部署 上網(wǎng)行為管理和下一代防火墻設(shè)備，構(gòu)建安全域防護(hù)、泄密風(fēng)險防控、全網(wǎng)安全統(tǒng)一監(jiān)測的手機(jī)接

　入互聯(lián)網(wǎng)上網(wǎng)安全平臺。

　4.4、 、 部隊營區(qū)網(wǎng)吧上網(wǎng)安全平臺架構(gòu) 按照總參規(guī)劃，各總隊級（省級）單位通過屬地運(yùn)營商線路直接聯(lián)接互聯(lián)網(wǎng)，不再統(tǒng)一匯聚連接長城網(wǎng)。為確保網(wǎng)絡(luò)安全，需要安裝具有防火墻、上網(wǎng)行為管理、防病毒、流量控制等功能的安全防護(hù)設(shè)備，提高對出入互聯(lián)網(wǎng)信息的安全防范能力。同時《規(guī)定》 中提出軍營網(wǎng)吧計算機(jī)聯(lián)接互聯(lián)網(wǎng)，應(yīng)當(dāng)經(jīng)總隊（師）級單位信息化（通信）部門審批、保密部門備案。

　利用上網(wǎng)行為管理技術(shù)構(gòu)建一套符合《關(guān)于進(jìn)一步規(guī)范基層工作指導(dǎo)和管理秩序若干規(guī)定》、《部隊手機(jī)和互聯(lián)網(wǎng)使用規(guī)定》相關(guān)指示，建設(shè)滿足部隊網(wǎng)吧接入互聯(lián)網(wǎng)整體安全的方案。其中管控要求具體包括網(wǎng)絡(luò)安全隔離，網(wǎng)絡(luò)抗攻擊，上網(wǎng)行為控制、上網(wǎng)行為和內(nèi)容審計、泄密風(fēng)險防控、統(tǒng)一管控，日志集中等，拓?fù)鋱D如下：

　圖 圖 2 2 ：總隊營區(qū)網(wǎng)吧上網(wǎng)安全平臺拓?fù)鋱D

　在師部機(jī)房部署上網(wǎng)行為管理集中平臺與上網(wǎng)日志服務(wù)器各一套，在各地市支隊、中隊營區(qū)網(wǎng)吧互聯(lián)網(wǎng)出口位置分布式部署上網(wǎng)行為管理網(wǎng)關(guān)一臺，通過總隊上網(wǎng)安全集中管理平臺使用IPSEC VPN技術(shù)與下屬各營區(qū)網(wǎng)吧上網(wǎng)行為管理設(shè)備建立數(shù)據(jù)加密傳輸隧道，統(tǒng)一控制下屬各營區(qū)網(wǎng)吧上網(wǎng)行為管理設(shè)備，統(tǒng)一下發(fā)控制策略、審計策略。同時設(shè)定策略，規(guī)定各營區(qū)上網(wǎng)行為管理網(wǎng)關(guān)每天定時

　將其所審計數(shù)據(jù)通過 IPSEC VPN 隧道傳輸至統(tǒng)一控制區(qū)上網(wǎng)日志服務(wù)器中，各營區(qū)上網(wǎng)行為管理網(wǎng)關(guān)不留存數(shù)據(jù)，統(tǒng)一控制區(qū)上網(wǎng)日志服務(wù)器日志留存至少 60天。

　各營區(qū)網(wǎng)吧上互聯(lián)網(wǎng)數(shù)據(jù)由各營區(qū)上網(wǎng)行為管理網(wǎng)關(guān)控制、審計后經(jīng)由網(wǎng)吧互聯(lián)網(wǎng)線路直接訪問互聯(lián)網(wǎng)資源。

　為保障管理數(shù)據(jù)、日志審計數(shù)據(jù)在互聯(lián)網(wǎng)上安全傳輸，各營區(qū)上網(wǎng)行為管理控制數(shù)據(jù)，通過總隊統(tǒng)一控制區(qū)上網(wǎng)安全集中管理平臺與各營區(qū)上網(wǎng)行為管理網(wǎng)關(guān)建立的 IPSEC VPN 加密傳輸隧道進(jìn)行傳輸，并與互聯(lián)網(wǎng)數(shù)據(jù)隔離。在數(shù)據(jù)傳輸區(qū)通過加密隧道傳輸日志審計、管理控制數(shù)據(jù)，互聯(lián)網(wǎng)數(shù)據(jù)則以明文數(shù)據(jù)方式直接訪問互聯(lián)網(wǎng)資源。

　通過上述拓?fù)渑c數(shù)據(jù)流示意，營區(qū)上網(wǎng)安全平臺實現(xiàn)如下功能：

　1、網(wǎng)吧有線網(wǎng)絡(luò)用戶統(tǒng)一管理，不同類型用戶訪問權(quán)限靈活劃分�？舍槍ξ恢�、應(yīng)用、終端、用戶、四種維度做權(quán)限控制，包括過濾非法網(wǎng)頁、封堵非法網(wǎng)絡(luò)應(yīng)用、禁止代理翻墻、控制上網(wǎng)時長、封堵 USB 接口、上網(wǎng)行為審計等； 2、總隊控制區(qū)和營區(qū)互聯(lián)網(wǎng)上網(wǎng)安全區(qū)通過各自出口的行為管理設(shè)備做IPsec 組網(wǎng)，保證不同地域間上網(wǎng)行為管理網(wǎng)關(guān)能夠與總隊上網(wǎng)安全集中管理平臺互聯(lián)，同時保證數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩�性�?3、總隊統(tǒng)一控制區(qū)部署上網(wǎng)安全集中控制平臺，對全網(wǎng)的行為管理設(shè)備做統(tǒng)一管控，全網(wǎng)行為管理設(shè)備可以統(tǒng)一升級、統(tǒng)一更新、統(tǒng)一配置并下發(fā)。

　4、總隊統(tǒng)一控制區(qū)部署上網(wǎng)日志服務(wù)器，同步全網(wǎng)行為管理設(shè)備的日志，進(jìn)行統(tǒng)一匯總、統(tǒng)一查詢、統(tǒng)一呈現(xiàn)。

　5 、 互聯(lián)網(wǎng)控制解決方案 5.1 、APN 控制解決方案 過去的 EMM 解決方案都是使用以下的部署方式：通過運(yùn)營商的 APN 專線，將流量引入到軍營機(jī)房，通過路由狀態(tài)的 AC 去上網(wǎng)，如下圖所示。

　 圖 1 APN 組網(wǎng)模式拓普圖 但由于只有省會機(jī)房具備支持 APN 的交換機(jī)，需要從省會的運(yùn)營商機(jī)房拉 APN 專線到地市，這給部署帶來了很大障礙，所以我們推出了 VPN 部署方案；以下部分為 VPN 和APN 部署方案。

　5.2 、APN 數(shù)據(jù)訪問流程

　第一步，手機(jī)客戶端通過 APN 專線網(wǎng)絡(luò)接入到 SSLVPN 完成認(rèn)證 第二步，認(rèn)證成功之后 SSLVPN 會把認(rèn)證之后的信息發(fā)送給 AC 第三步，SSLVPN 認(rèn)證成功之后會把 AC 的地址和端口通過 VPN 網(wǎng)絡(luò)發(fā)送給手機(jī)客戶端，手機(jī)通過隧道連接到 AC 維持心跳 第四步，AC 做代理上網(wǎng)之后把數(shù)據(jù)取回來之后通過 SSL 加密發(fā)送給手機(jī)客戶端

　5.3 、VPN 控制解決方案 考慮到更多的客戶是手機(jī)直接連接互聯(lián)網(wǎng)的情況，環(huán)境如下所示：

　 圖 2 VPN 部署拓?fù)鋱D

　注：AC 使用的是路由模式，VPN 使用的是單臂模式。

　1. SSLVPN 在 AC 上做端口映射出來讓互聯(lián)網(wǎng)另一端的手機(jī)能訪問。

　2. 手機(jī)通過互聯(lián)網(wǎng)訪問 SSLVPN 后，通過 VPN 代理上網(wǎng)。

　5.4 、VPN 數(shù)據(jù)訪問過程

　第一步，手機(jī)通過互聯(lián)網(wǎng)建立 VPN 隧道，AC/AF 做端口映射到 SSL 設(shè)備 第二步，SSL 把認(rèn)證成功的信息發(fā)送給 AC 第三步，手機(jī)跟 AC/AF 維持心跳，保活已有連接

　 第四步，手機(jī)上網(wǎng)互聯(lián)網(wǎng)的流量先是發(fā)送到 SSLVPN 然后又 SSLVPN 發(fā)送給 AF/AF 做代理上網(wǎng) 第五步，數(shù)據(jù)返回之后經(jīng)由 SSL 做加密處理返回給手機(jī)客戶端

　5.5 、VPN 數(shù)據(jù)訪問配置步驟 5.5.1、 、 網(wǎng)絡(luò)拓?fù)?/p>

　 步驟一、AC 配置，在 AC 上面配置端口映射到 SSLVPN 設(shè)備 因為這里 AC 的 WAN 口有 2 個 IP 地址，所以下面直接將第 2 個 IP 地址映射出去（102.4.136.202）。下圖就是在 AC 的端口映射中添加高級規(guī)則，將訪問 102.4.136.202 這個 IP 的所有協(xié)議數(shù)據(jù)映射給 100.100.136.5（VPN IP 地址）上去。

　******Tips****** 問題：如果 AC 的 WAN 口只有一個 IP 地址怎么辦？ 答案：可以在端口映射中配置規(guī)則，將 WAN 口的某個端口映射到 VPN 上需要被外網(wǎng)訪問的端口上去。下圖就是例子，在端口映射中新增簡單規(guī)則，將訪問 AC WAN 口的 1443 端口映射到 VPN 的 443 端口上去。不過注意，如果這樣配置的話，還需要將 VPN 的下列端口映射出去：

�。�1）4430 端口，映射后外網(wǎng)就可以遠(yuǎn)程訪問 VPN 控制臺； （2）51111 端口，映射后外網(wǎng)就可以遠(yuǎn)程升級 VPN； （3）441 端口，映射后手機(jī)才能與 VPN 建立 MDM 服務(wù)；

　 步驟二、NAT 配置 NAT 代理需要將 AC 本身的內(nèi)網(wǎng) IP 網(wǎng)段和手機(jī)的虛擬 IP 網(wǎng)段都進(jìn)行代理。這里手機(jī)的虛擬 IP 網(wǎng)段是 2.0.0.0/255.255.0.0，所以除了配置代理 LAN 口網(wǎng)段上網(wǎng)外，還需要添加2.0.0.0/16 的代理，如下圖所示。

　步驟三、配置靜態(tài)路由 配置了靜態(tài)路由，AC 才能將到虛擬 IP 網(wǎng)段的數(shù)據(jù)發(fā)送給 VPN 設(shè)備。

　在【靜態(tài)路由】中新增 IPv4 的路由，配置到目的網(wǎng)段 2.0.0.0/255.255.0.0 的所有數(shù)據(jù)包，下一跳是 100.100.136.5，如下圖所示。

　 步驟四、 配置認(rèn)證選項 被 設(shè)置了認(rèn)證選項，手機(jī)的心跳數(shù)據(jù)才能被 AC 正確接收，然后虛擬 IP 對應(yīng)的用戶名才被 能認(rèn)證上線，這之后才能被 AC 放通去訪問互聯(lián)網(wǎng)。

　在認(rèn)證高級選項-定制擴(kuò)展中配置 AC 與 SSLVPN 約定的參數(shù)。各個參數(shù)配置與說明如下：

　heartbeat_sso_enable = 1

　//是否開啟心跳，1-開啟，0-不開啟 heartbeat_sso_pwd = AbCd1234 //心跳密鑰，8 位大小寫字母和數(shù)字的混合字符串 heartbeat_sso_timeout = 180 //心跳用戶超時時間，單位為秒；這里 180 的意思是在沒有收到距離上次心跳數(shù)據(jù)包接收時間的 180 秒后，該心跳用戶自動注銷 Sync_use_enable = 0 //用戶同步功能，1-開啟，0-關(guān)閉；下一階段功能，目前研發(fā)中，這里需要關(guān)閉！��！

　這里需要關(guān)閉�。�！

　步驟五、 配置認(rèn)證策略 置 配置 VPN 不需要認(rèn)證的策略，手機(jī)與 VPN 之間的數(shù)據(jù)連接才能連通；配置其他所有數(shù)據(jù)均需要單點(diǎn)登錄上網(wǎng)的策略，手機(jī)才能認(rèn)證后上網(wǎng)。

　1、配置 VPN 不需要認(rèn)證的策略 在認(rèn)證策略中新增策略，在認(rèn)證范圍中配置 VPN 的 IP 地址（100.100.136.5），然后認(rèn)證方式配置為不需要認(rèn)證+以 IP 地址作為用戶名，然后點(diǎn)擊提交。

　 2、配置其他所有數(shù)據(jù)均需要單點(diǎn)登錄上網(wǎng)的策略 這里直接使用默認(rèn)策略進(jìn)行修改（當(dāng)然也可以新建策略進(jìn)行配置），認(rèn)證范圍不需要修改，認(rèn)證方式修改為單點(diǎn)登錄+單點(diǎn)登錄失敗跳轉(zhuǎn)到內(nèi)置提示頁面后點(diǎn)擊提交。

　 步驟六 、SSLVPN 配置 ，配置 MDM 參數(shù) 了 配置了 mdm 的 的 IP 地址，手機(jī)才能從外網(wǎng)訪問 VPN ；配置了 mdm 的心跳參數(shù)，手機(jī)被 才獲取正確的參數(shù)，然后發(fā)送能被 AC 正確識別的心跳數(shù)據(jù)包。

　在【移動設(shè)備管理】中點(diǎn)擊【設(shè)置】。配置客戶端接入地址為 AC 配置-端口映射的 IP地址，這里因為前面端口映射的是 102.4.136.202 的 IP 地址，所以這里填寫的就是 IP 102.4.136.202。如果配置的是 441 端口映射到 VPN 的 441 端口，那么這里就填寫 AC WAN口的 IP 地址。

　然后還要勾選啟用 AC 準(zhǔn)入控制，配置 AC 接入 IP 和心跳包密鑰。這個是告訴手機(jī)如何正確地連接 AC，因為方案中互聯(lián)網(wǎng)連接過來的手機(jī)數(shù)據(jù)被 VPN 代理，所以這里只需要填寫 VPN 能訪問到的 AC IP 地址即可，例如下圖的 100.100.137.104。心跳包密鑰請與 AC 配置-認(rèn)證選項保持一致。

　 企業(yè)移動管理，移動設(shè)備策略，全局配置策略，啟用 L3VPN 虛擬專線。

　步驟七、SSLVPN 基礎(chǔ)配置 配置了客戶端選項，手機(jī)才能自動登錄。

　在【系統(tǒng)選項】-【客戶端選項】中，勾選允許客戶端自動登錄（勾選時會自動勾選允許客戶端保存密碼），然后點(diǎn)擊保存配置。

　 1、配置虛擬 IP 池 擬 配置了虛擬 IP 地址池，VPN 才能給連接成功后的手機(jī)分配虛擬 IP ，然后以虛擬 IP 為源地址代理該手機(jī)上網(wǎng)。

　在【系統(tǒng)選項】-【虛擬 IP 池】中配置虛擬 IP 池。這里編輯下默認(rèn)的 IP 地址池，擴(kuò)展下起始和結(jié)束地址即可，具體參考下圖。

　 2、修改資源的訪問形式為“使用分配的虛擬 IP 地址作為源地址”

　3、配置全網(wǎng)資源，然后通過角色綁定給對應(yīng)的用戶或者是用戶組

　4、配置內(nèi)網(wǎng) DNS 解析 網(wǎng) 配置了內(nèi)網(wǎng) DNS 解析，VPN 才能代理手機(jī)的 DNS 解析請求，進(jìn)而去訪問互聯(lián)網(wǎng)。

　在【系統(tǒng)選項】-【內(nèi)網(wǎng)域名解析】的【內(nèi)網(wǎng) DNS 規(guī)則設(shè)置】中新增域為“*”的域名解析規(guī)則，然后確定并保存，如下圖所示。

　 合 步驟八、結(jié)合 AC 做微信 QQ 審計 1、在移動設(shè)備策略中開啟微信/QQ 審計功能

　2、封裝微信和 QQ 下載微信和 QQ 進(jìn)行封裝 注意在封裝的時候在高級選項需要輸入單獨(dú)的定制版本號SSLPK-APKAUDIT

　封裝之后的 APP 需要發(fā)布到應(yīng)用商店即可

　3、通過應(yīng)用商店發(fā)布該 APP 發(fā)布完成之后就可以在應(yīng)用商店看到封裝好的 APP。

　配置 EMM 應(yīng)用商店，應(yīng)用商店外網(wǎng)接入地址這個是接入 VPN 的地址

　注意事項 其他 EMM 封裝問題請參考 《 SANGFOR_EMM 企業(yè)應(yīng)用封裝測試指導(dǎo)書_20150821.doc 》 擬 步驟九、內(nèi)網(wǎng)服務(wù)器資源池添加虛擬 IP 池的回包路由 在 WINDOWS 進(jìn)入 CMD 命令行模式輸入

　格式如下：

　Route add 目的網(wǎng)段 mask 掩碼 下一跳 -p（表示永久保存）

　注意事項 如果服務(wù)器和 SSL 設(shè)備之間通過路由進(jìn)行通信需要在路由設(shè)備上面寫一條回包路由指向 SSL 設(shè)備。格式為：目的地址為 2.0.0.0/16，下一跳為 100.100.136.5。

　5.5.2 、手機(jī)使用方式 認(rèn) 步驟一、輸入登錄地址（默認(rèn) 443 端口）

　如果 AC 配置-端口映射配置的是映射外網(wǎng) IP 102.4.136.202 到內(nèi)網(wǎng) VPN，那么 aWork的 VPN 地址就填寫 102.4.136.202，如下圖。

　如果配置的 AC WAN 口 1443 端口映射到內(nèi)網(wǎng) VPN 的 443 端口，那么手機(jī)上 VPN 的地址就填寫 http://[AC WAN 口 IP 地址]:1443 即可。

　 步驟二、選擇對應(yīng)的認(rèn)證方式以及可選的是否保存密碼以及自動登錄

　 在 步驟三、在 AC 查看認(rèn)證結(jié)果

　在 AC 上查看虛擬 IP 對應(yīng)的用戶名上線，在 SSLVPN 上的在線用戶檢查手機(jī)登錄用戶名對應(yīng)的虛擬 IP 地址是否與該虛擬 IP 對應(yīng)，再檢查是否是手機(jī)上 aWork 上的用戶名，這 2個都對應(yīng)的上就代表該手機(jī)已經(jīng)在 AC 上線，手機(jī)可以通過 VPN 代理去訪問互聯(lián)網(wǎng)了。

　注意事項 1.手機(jī)登錄 aWork 后，1 分鐘內(nèi)用戶在 AC 上線。如果登錄后立即訪問互聯(lián)網(wǎng)失敗，請等 1分鐘后再試。

　產(chǎn)品功能介紹 參考 SANGFOR_SSLM7.2-EMM 智慧軍營指導(dǎo)書_20160410 SANGFOR_SSLM7.2-EMM 智慧軍營指導(dǎo)書_beta7

相關(guān)熱詞搜索：培訓(xùn) 軍營 階段