国家 / 地区

10-安全配置指导

14-SSL VPN配置

本章节下载  (3.28 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_CG-R2603(V1.15)/10/201212/766659_30005_0.htm

14-SSL VPN配置


1 SSL VPN配置

1.1  SSL VPN简介

SSL VPN是以SSL(Secure Sockets Layer,安全套接层)为基础的VPN(Virtual Private Network,虚拟专用网)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。

SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图1-1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS(Hypertext Transfer Protocol Secure,安全超文本传输协议)连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。

目前,设备可以通过命令行和Web两种方式配置SSL VPN。

图1-1 SSL VPN典型组网架构

 

SSL VPN的工作机制为:

(1)        管理员登录SSL VPN网关的Web界面,在SSL VPN网关上创建与服务器对应的资源。

(2)        远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。

(3)        HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。

(4)        用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。

(5)        SSL VPN网关解析请求,与服务器交互后将应答发送给用户。

1.2  SSL VPN的优点

SSL VPN利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点:

(1)        支持各种应用协议

任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。SSL VPN将应用协议提供的服务资源划分为三类:

l              Web接入方式下的访问资源:是指用户使用浏览器以HTTPS方式通过SSL VPN网关对服务器提供的Web代理服务器资源进行访问。

l              TCP接入方式下的访问资源:用于实现用户应用程序对服务器开放端口的安全访问,包括远程访问服务、桌面共享服务、电子邮件服务、Notes服务和通用TCP服务资源。

l              IP接入方式下的访问资源:用于实现用户终端与服务器网络层之间的安全通信,进而实现所有基于IP的应用与服务器的互通。

(2)        部署简单

目前SSL协议已被集成到大部分的浏览器(如Internet Explorer浏览器)中,这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。通过这些浏览器访问Web接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问TCP接入方式下和IP接入方式下的资源,则在用户登录SSL VPN时,会自动运行SSL VPN客户端专用软件,也不需要用户进行额外的操作。

(3)        支持多种用户认证方式

除了可以利用SSL协议本身提供的证书认证机制,对SSL客户端进行身份确认外,SSL VPN还支持以下四种认证方式,以及基于这些认证方式的组合认证:

l              本地认证

l              RADIUS认证

l              LDAP认证

l              AD认证

(4)        实现了对网络资源的细粒度的控制访问

管理员可以配置多个资源和用户,将资源加入到不同的资源组中,将用户加入到不同的用户组,然后为每个用户组指定可以访问的资源组。用户登录后,SSL VPN网关根据用户所在的用户组找到其可以访问的资源组,进而找到可以访问的资源列表,从而实现对资源访问权限的细粒度的控制。

 


2 命令行方式配置SSL VPN

SSL VPN网关配置包括如下内容:

l              指定SSL VPN服务使用的SSL服务器端策略:用户访问SSL VPN网关和内网资源时,需要首先通过HTTPS登录SSL VPN网关的Web页面,管理员配置用户访问权限时,需要首先通过HTTP登录SSL VPN网关的Web页面。因此,SSL VPN网关上需要指定使用的SSL服务器端策略,以便确定SSL VPN服务使用的SSL参数。

l              指定SSL VPN服务使用的TCP端口号:SSL VPN网关作为HTTPS服务器为用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号。

l              使能SSL VPN服务:只有使能SSL VPN服务后,用户才能通过Web页面访问SSL VPN网关。

2.1  配置准备

配置SSL VPN之前,需要先创建SSL服务器端策略。SSL服务器端策略的配置方法,请参见“安全配置指导”中的“SSL”。

2.2  配置SSL VPN

表2-1 配置SSL VPN

操作

命令

说明

进入系统视图

system-view

-

配置SSL VPN服务使用的SSL服务器端策略和端口号

ssl-vpn server-policy server-policy-name [ port port-number ]

必选

缺省情况下,没有配置SSL VPN服务使用的SSL服务器端策略

使能SSL VPN服务

ssl-vpn enable

必选

缺省情况下,SSL VPN服务处于关闭状态

 

2.3  SSL VPN典型配置举例

1. 组网需求

在SSL VPN中,为了使普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关访问企业内部资源,需要在SSL VPN网关上进行SSL相关配置,并使能SSL VPN服务。

在本配置举例中:

l              SSL VPN网关的地址为10.1.1.1/24;

l              为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,认证机构)地址为10.2.1.1/24,CA名称为CA server。

2. 组网图

图2-1 SSL VPN配置组网图

 

3. 配置步骤

l          本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

l          进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

 

(1)        为SSL VPN网关Router申请证书

# 配置PKI实体en,指定实体的通用名为http-server。

<Router> system-view

[Router] pki entity en

[Router-pki-entity-en] common-name http-server

[Router-pki-entity-en] quit

# 配置PKIsslvpn,指定信任的CA名称为ca server、注册服务器的URLhttp://10.2.1.1/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en

[Router] pki domain sslvpn

[Router-pki-domain-sslvpn] ca identifier ca server

[Router-pki-domain-sslvpn] certificate request url http://10.2.1.1/certsrv/mscep/mscep.dll

[Router-pki-domain-sslvpn] certificate request from ra

[Router-pki-domain-sslvpn] certificate request entity en

[Router-pki-domain-sslvpn] quit

# 生成本地的RSA密钥对。

[Router] public-key local create rsa

# 获取CA的证书。

[Router] pki retrieval-certificate ca domain sslvpn

# 为Router申请证书。

[Router] pki request-certificate domain sslvpn

(2)        配置SSL VPN服务使用的SSL服务器端策略

# 创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn。

[Router] ssl server-policy myssl

[Router-ssl-server-policy-myssl] pki-domain sslvpn

[Router-ssl-server-policy-myssl] quit

(3)        配置SSL VPN

# 指定SSL VPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443。

[Router] ssl-vpn server-policy myssl

# 使能SSL VPN服务。

[Router] ssl-vpn enable

(4)        验证配置结果

远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.1.1.1/svpn/,即可打开SSL VPN网关Router的Web登录页面。

l          PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;

l          public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;

l          SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。

 


3 Web方式配置SSL VPN

3.1  SSL VPN网关配置任务简介

表3-1 SSL VPN网关配置任务简介

步骤

配置任务

说明

1

3.2  SSL VPN服务配置

必选

开启SSL VPN,配置SSL VPN服务的端口号和使用的PKI域

2

3.3  SSL VPN访问资源配置

必选

配置各种访问资源,将资源加入到不同的资源组

3

3.4  SSL VPN用户配置

可选

l      配置本地认证的SSL VPN用户,将用户加入到不同的用户组,并指定用户组可以访问的资源组

l      查看在线用户信息和历史用户信息,将在线用户强制下线

4

3.5  SSL VPN域配置

可选

配置SSL VPN域的域策略、缓存策略、公告信息、认证策略和安全策略

 

3.2  SSL VPN服务配置

3.2.1  配置准备

配置SSL VPN服务前,需要先在“证书管理”中配置PKI域,并获取证书。SSL VPN网关的证书用于对其进行身份认证,以免管理员或用户登录到非法的SSL VPN网关。详细配置请参见“安全配置指导”中的“PKI”。

3.2.2  配置SSL VPN服务

在导航栏中选择“VPN > SSL VPN > 服务管理”,进入如图3-1所示的页面。

图3-1 服务管理

 

SSL VPN服务的详细配置如表3-2所示。

表3-2 SSL VPN服务的详细配置

配置项

说明

启用SSL VPN

设置启用SSL VPN服务

端口

设置SSL VPN服务使用的端口号,缺省值为443

PKI域

设置SSL VPN服务使用PKI域

 

3.3  SSL VPN访问资源配置

在SSL VPN的Web配置界面中,可以看到管理员授权其能够访问的各种资源的信息。

l              对于Web站点资源,用户直接点击资源的名称,即可弹出相应站点的访问窗口。

l              对于TCP应用资源,如果管理员配置了正确的命令行,则用户直接点击资源的名称,即可执行相应的命令,实现对该资源的访问;如果管理员未配置命令行,用户可以根据资源名称提供的信息进行设置,例如用户可以根据电子邮件服务资源名称提供的信息设置Outlook的接收邮件服务器和发送邮件服务器,并使用当前用户的用户名和密码登录,即可使用该电子邮件服务资源正常处理邮件。

l              对于IP网络资源,用户可以根据页面上显示的允许访问的网段信息,访问属于该网段的任何主机;可以直接点击快捷方式的名称,即可执行相应的快捷方式命令。

表3-3 SSL VPN访问资源的配置步骤

步骤

配置任务

说明

1

配置资源

3.3.1  配置Web代理服务器资源

三者至少选其一

缺省情况下,不存在任何资源

3.3.2  配置TCP应用资源

3.3.3  配置IP网络资源

2

3.3.4  配置资源组

必选

缺省情况下,存在名为autohome和autostart的资源组

 

3.3.1  配置Web代理服务器资源

Web服务器的服务一般是以网页的形式提供的,用户可以通过点击网页中的超链接,在不同的网页之间跳转,以浏览网页获取信息。在Internet上,这种服务器与用户的交互是通过明文方式传输的,任何人都可以通过截取HTTP数据的方式非法获取信息。SSL VPN为用户访问Web服务器的过程提供了安全的访问链接,并且可以阻止非法用户访问受保护的Web服务器。

在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”,进入Web代理服务器资源的显示页面,如图3-2所示。单击<新建>按钮,进入新建Web代理服务器资源的页面,如图3-3所示。

图3-2 Web代理

 

图3-3 新建Web代理服务器资源

 

Web代理服务器资源的详细配置如表3-4所示。

表3-4 Web代理服务器资源的详细配置

配置项

说明

资源名称

设置Web代理服务器资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

站点地址

设置提供Web服务的站点地址,必须以“http://”开头,以“/”结尾,例如:http://www.domain.com/web1/

站点地址可以设置为IP地址或域名,当设置为域名时,需要配置域名解析

缺省页面

设置用户登录Web站点后的首页面,例如:index.htm

站点匹配模式

设置描述站点地址的模式

站点匹配模式可以使用通配符“*”进行模糊匹配。例如,要能够访问站点www.domain.com下的sports.domain.com、news.domain.com等网页,站点匹配模式可以配置为*.domain.com。多个匹配模式之间以“|”隔开,例如:www.domain1.com|www.domain2.*

启用页面保护

设置启用页面保护功能

启用页面保护功能时,用户登录Web站点后,不能对该站点的页面进行截屏、页面保存、页面打印的操作

单点登录

设置是否启用单点登录

启用单点登录并正确设置单点登录参数后,当用户通过SSL VPN服务界面点击访问该资源时,如果用户访问站点的用户名、密码与用户登录SSL VPN的用户名、密码相同,则用户可以自动登录相应的站点,简化了用户访问资源的操作过程

当启用单点登录时,可以设置下面的配置项

除了在配置Web代理服务器资源时配置单点登录功能,还可以在如图3-2所示的Web代理服务器资源显示页面单击某资源对应的图标进行配置。单击此图标后,在弹出的页面中输入任意的用户名和密码(二者不能相同),单击<确定>按钮,弹出此资源中站点的登录页面。在登录页面再次输入之前指定的用户名和密码并登录,当看到单点登录配置成功的提示后,即完成单点登录功能的配置,系统会从这个过程中自动提取用户名参数名和密码参数名。需要注意的是,当站点登录页面还需要设置除用户名和密码外的其他参数时,可能无法通过这种方式配置

使用IP网络方式

设置是否使用IP网络方式登录,不使用此方式时使用Web代理方式登录

对于不能使用Web代理方式登录的站点,如HTTPS站点,需要设置为使用IP网络方式登录

当使用IP网络方式登录时,系统采用IP接入来访问资源,此时需要配置相应的IP网络资源,并将该资源与相关的用户进行关联

登录请求路径

l      当使用IP网络方式时,设置单点登录时系统自动提交的路径。此时如果不设置登录请求路径,则使用Web代理方式登录

l      当不使用IP网络方式时,设置Web代理方式登录的相对站点地址的路径

用户名参数

设置系统自动登录时提交的用户名参数名

密码参数

设置系统自动登录时提交的密码参数名

其他参数

设置系统自动登录时提交的其他参数

单击<新建>按钮,在弹出的对话框中设置参数名和参数值,单击<确定>按钮,即可添加一个参数

 

3.3.2  配置TCP应用资源

配置TCP服务资源必须保证所配置的资源和SSL VPN用户之间路由可达,或者是在SSL VPN网关的内网资源接口配置NAT使用户能访问资源。

 

TCP应用资源包括以下几种:

l              远程访问服务资源

l              桌面共享资源

l              电子邮件资源

l              Notes邮件服务资源

l              通用TCP服务资源

1. 配置远程访问服务资源

远程访问服务是一类服务的总称,包括Telnet、SSH等常见的远程字符终端服务,还包括IBM3270等一些传统的终端服务。这些服务一般是用于方便用户管理远程主机的,通过软件模拟一个服务器终端窗口,使得在本地主机上的操作就像是在远程主机上操作一样。SSL VPN使用SSL加密技术,将这些原本在Internet上以明文方式传输的服务通过SSL来进行加密,保证了数据传输的安全性。

在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,默认进入“远程访问服务”页签的页面,如图3-4所示。单击<新建>按钮,进入新建远程访问服务的页面,如图3-5所示。

图3-4 远程访问服务

 

图3-5 新建远程访问服务

 

远程访问服务资源的详细配置如表3-5所示。

表3-5 远程访问服务资源的详细配置

配置项

说明

资源名称

设置远程访问服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置提供远程访问服务的远程主机的主机名或IP地址

远程端口

设置远程主机的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,建议设置为大于1024的非常用端口号

命令行

设置该资源的Windows命令行

正确配置命令行后,用户可以在SSL VPN服务界面上通过点击该资源名称的链接,直接启动相应的应用程序,访问远程服务器

例如:Telnet远程访问服务的命令行可以设置为“telnet 本地地址 本地端口”,如“telnet 127.0.0.1 2300”。需要注意的是,如果本地端口使用的是远程访问服务缺省的端口号,则在命令行中可以省略本地端口信息

 

2. 配置桌面共享服务资源

使用桌面共享(又称为“远程桌面”)服务,用户可以从本地计算机上访问运行在远程计算机上的会话。这意味着用户可以从家里连接到办公室里的工作计算机,并访问所有应用程序、文件和网络资源,就好像坐在工作计算机前面一样。常用的桌面共享服务有Windows远程桌面、VNC(Virtual Network Computing)桌面共享。某些桌面共享应用使用明文压缩方式发送数据,在网络上传输容易被攻击者截获并还原。通过SSL VPN加密后,可以提高数据传输的安全性。

在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,单击“桌面共享”页签,进入如图3-6所示的页面。单击<新建>按钮,进入新建桌面共享服务的页面,如图3-7所示。

图3-6 桌面共享

 

图3-7 新建桌面共享服务

 

桌面共享服务资源的详细配置如表3-6所示。

表3-6 桌面共享服务资源的详细配置

配置项

说明

资源名称

设置桌面共享服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置提供桌面共享服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,建议设置为大于1024的非常用端口号

命令行

设置该资源的Windows命令行

例如:Windows桌面共享服务的命令行可以设置为“mstsc /v 本地地址:本地端口”,如“mstsc /v 127.0.0.2:20000”。需要注意的是,如果本地端口使用的是桌面共享服务缺省的端口号,则在命令行中可以省略本地端口信息

 

3. 配置电子邮件服务资源

电子邮件服务是日常生活、工作中的一种常用服务,用于在网络上使用电子信件的方式在邮件服务用户之间交换各种文字、图形形式的信息。一般情况下,这些信息交换都是以明文方式在网络上传输的,存在一定的安全隐患。用户可以通过实现将邮件加密的方式提高内容安全性,但是无法保证传输过程的安全。使用SSL VPN,可以提高邮件传输过程的安全性。

电子邮件服务必须至少配置两个资源才能正常使用,一个接收服务器、一个发送服务器。

 

在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,单击“电子邮件”页签,进入,进入如图3-8所示的页面。单击<新建>按钮,进入新建电子邮件服务的页面,如图3-9所示。

图3-8 电子邮件

 

图3-9 新建电子邮件服务

 

电子邮件服务资源的详细配置如表3-7所示。

表3-7 电子邮件服务资源的详细配置

配置项

说明

资源名称

设置电子邮件服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

服务类型

设置电子邮件服务的类型,包括POP3、IMAP和SMTP

远程主机

设置电子邮件服务器的主机名或IP地址

服务端口

设置电子邮件服务器的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,必须设置为各类电子邮件服务的缺省端口号

命令行

设置该资源的Windows命令行

用户必须手动启动电子邮件服务应用程序,故此项不需要配置

 

4. 配置Notes邮件服务资源

Notes是实现和运行办公自动化的平台,能够提供基于C/S结构的电子邮件服务。使用SSL VPN,可以提高Notes服务的安全性。

在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,单击“Notes服务”页签,进入,进入如图3-10所示的页面。单击<新建>按钮,进入新建Notes服务的页面,如图3-11所示。

图3-10 Notes服务

 

图3-11 新建Notes服务

 

Notes邮件服务资源的详细配置如表3-8所示。

表3-8 Notes邮件服务资源的详细配置

配置项

说明

资源名称

设置Notes邮件服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置Notes邮件服务器的主机名或IP地址

服务端口

设置Notes邮件服务器的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

本地主机字符串必须和Notes程序中的邮件服务器名称符串相同才能正常使用该资源

本地端口

本地主机的端口号,必须设置为Notes邮件服务的缺省端口号

命令行

设置该资源的命令行

用户必须手动启动Notes邮件服务应用程序,故此项不需要配置

 

5. 配置通用TCP服务资源

通用TCP服务是SSL VPN为了满足多种多样的C/S(客户端/服务器)程序而设计的,具有良好的普遍适用性。一般情况下,管理员在通用TCP服务中配置应用程序服务可能使用的所有网络端口,用户只要将应用程序的访问地址、端口号配置为通用TCP服务列表中列出的地址和端口号,即可正确运行应用程序。

在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,单击“TCP服务”页签,进入,进入如图3-12所示的页面。单击<新建>按钮,进入新建TCP服务的页面,如图3-13所示。

图3-12 TCP服务

 

图3-13 新建TCP服务

 

通用TCP服务资源的详细配置如表3-9所示。

表3-9 通用TCP服务资源的详细配置

配置项

说明

资源名称

设置通用TCP服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

服务类型

设置通用TCP服务的类型

远程主机

设置提供通用TCP服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号

命令行

设置该资源的Windows命令行

 

3.3.3  配置IP网络资源

配置IP网络资源必须保证所配置的资源和IP应用资源中设定的全局地址或固定IP之间路由可达,或者是在SSL VPN网关的内网资源接口配置NAT使用户能访问资源。

 

SSL VPN网络服务访问提供了IP层以上的所有应用支持,可以保证用户与服务器的通讯安全。用户不需要关心应用的种类和配置,仅通过登录SSL VPN服务界面,即可自动下载并启动ActiveX SSL VPN客户端程序,从而完全地访问特定主机的管理员所授权的服务。

表3-10 配置IP网络资源

步骤

配置任务

说明

1

3.3.3  1. 配置全局参数

必选

配置地址池、网关地址、超时时间、WINS/DNS服务器地址等IP网络资源访问的全局参数

2

2. 配置主机资源

必选

配置用户通过IP网络接入方式可以访问的主机资源

3

3. 配置固定IP

可选

配置将用户名与固定IP地址进行绑定。配置了固定IP后,当该用户访问IP网络资源时,系统不会再从全局地址池中为客户端分配虚拟网卡IP地址,而是直接将绑定的固定IP分配给客户端

4

4. 配置预置域名

可选

配置了预置域名后,网关将预先指定的域名与IP地址的映射下发给客户端。当客户端要访问该域名时,直接使用相应的IP地址,不需要再进行域名解析

 

1. 配置全局参数

在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面,如图3-14所示。

图3-14 全局配置

 

全局参数的详细配置如表3-11所示。

表3-11 全局参数的详细配置

配置项

说明

起始IP

设置为客户端虚拟网卡分配IP地址的地址池

终止IP

子网掩码

设置为客户端虚拟网卡分配的子网掩码

网关地址

设置为客户端虚拟网卡分配的默认网关IP地址

超时时间

设置客户端连接的空闲超时时间。如果网关在超时时间内没有收到客户端发来的任何报文,则断开与该客户端的连接

WINS服务器地址

设置为客户端虚拟网卡分配的WINS服务器IP地址

DNS服务器地址

设置为客户端虚拟网卡分配的DNS服务器IP地址

允许客户端互通

设置是否允许不同的在线用户之间通过IP接入相互通信

只允许访问VPN

设置用户上线之后是否能够同时访问Internet

如果设置为只允许访问VPN,则用户上线之后不能同时访问Internet

用户网络服务显示方式

设置用户上线后看到的网络服务的显示方式,包括:

l      显示描述信息:显示主机资源中允许访问的网络服务的描述信息

l      显示IP地址:显示主机资源中允许访问的网络服务的目的地址、子网掩码和协议类型

 

2. 配置主机资源

在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,单击“主机配置”页签,进入如图3-15所示的页面。单击<新建>按钮,进入新建主机资源的页面,如图3-16所示。

图3-15 主机配置

 

图3-16 新建主机资源

 

主机资源的详细配置如表3-12所示。

表3-12 主机资源的详细配置

配置项

说明

资源名

设置主机资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

允许访问的网络服务

设置该资源提供的允许用户访问的网络服务,详细配置请参见“(1)配置允许访问的网络服务

快捷方式

设置该资源提供的允许用户进行快捷访问的网络服务,详细配置请参见“(2)配置快捷方式

 

(1)        配置允许访问的网络服务

单击允许访问的网络服务列表下的<新建>按钮,弹出如图3-17所示的窗口,详细配置如表3-13所示。

图3-17 允许访问的网络服务

 

表3-13 允许访问的网络服务的详细配置

配置项

说明

目的地址

设置网络服务的目的地址

子网掩码

设置网络服务的子网掩码

协议类型

设置网络服务的协议类型,包括IP、TCP和UDP

描述信息

设置网络服务的描述信息

当在全局配置中设置了用户网络服务显示方式为“显示描述信息”时,建议描述信息中要包含允许访问的网段信息,以便用户登录到SSL VPN后能够查看到所需的信息

 

(2)        配置快捷方式

单击快捷方式列表下的<新建>按钮,弹出如图3-18所示的窗口,详细配置如表3-14所示。

图3-18 快捷方式

 

表3-14 快捷方式的详细配置

配置项

说明

快捷方式名称

设置该快捷方式的名称

快捷方式命令

设置该快捷方式的Windows命令行

 

3. 配置固定IP

在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,单击“固定IP”页签,进入如图3-19所示的页面。单击<新建>按钮,进入新建固定IP的页面,如图3-20所示。

图3-19 固定IP

 

图3-20 新建固定IP

 

固定IP的详细配置如表3-15所示。

表3-15 固定IP的详细配置

配置项

说明

用户名

设置要与IP地址绑定的用户名,必须为完全用户名格式,例如:aaa@local

绑定IP地址

设置绑定的IP地址,必须与全局配置中的地址池在同一网段,但不能包含在地址池中,且不能与网关地址相同

 

4. 配置预置域名

在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,单击“预置域名”页签,进入如图3-21所示的页面。单击<新建>按钮,进入新建预置域名的页面,如图3-22所示。

图3-21 预置域名

 

图3-22 新建预置域名

 

预置域名的详细配置如表3-16所示。

表3-16 预置域名的详细配置

配置项

说明

域名

设置下发给客户端的域名

获取IP方式

设置域名对应IP地址的获取方式,包括:

l      动态:选择此项时,需要先配置域名解析,网关会先进行域名解析,再将解析的结果下发给客户端

l      静态:选择此项时,需要设置配置项“IP”,网关会直接将域名与IP的映射关系下发给客户端

IP

设置域名对应的IP地址

当获取IP方式为“动态”时,此设置无效

 

3.3.4  配置资源组

在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”,进入如图3-23所示的页面。单击<新建>按钮,进入新建资源组的页面,如图3-24所示。

图3-23 资源组

 

图3-24 新建资源组

 

资源组的详细配置如表3-17所示。

表3-17 资源组的详细配置

配置项

说明

资源组名

设置资源组的名称

资源

设置该资源组中包含的资源

 

3.4  SSL VPN用户配置

表3-18 SSL VPN用户的配置步骤

步骤

配置任务

说明

1

3.4.1  配置本地用户

必选

配置以本地认证方式登录的SSL VPN用户信息,有两种配置方法:

l      手工逐个进行配置

l      先将用户信息编写成文本文件,然后进行批量导入

缺省情况下,存在名为guest(没有密码)的本地用户,其状态为禁用

2

3.4.2  配置用户组

必选

配置将本地用户加入到不同的用户组,并指定用户组可以访问的资源组

缺省情况下,存在名为Guests的用户组,该组未配置任何成员,且未与任何资源组关联

如果有已经存在的用户组,也可以在配置本地用户时直接将用户加入已经存在的用户组中

3

3.4.3  查看用户信息

可选

查看在线用户信息和历史用户信息,将在线用户强制下线

 

3.4.1  配置本地用户

1. 手工配置本地用户

在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”,进入如图3-25所示的页面。单击<新建>按钮,进入新建本地用户的页面,如图3-26所示。

图3-25 本地用户

 

图3-26 新建本地用户

 

本地用户的详细配置如表3-19所示。

表3-19 本地用户的详细配置

配置项

说明

用户名

设置本地用户的名称

用户描述

设置用户的描述信息

用户密码

设置用户的密码

输入的密码确认必须与用户密码一致

密码确认

证书序号

设置与用户名绑定的证书序列号,用于用户的身份验证

启用公共账号

设置是否将该用户账号作为公共账号

当启用公共账号时,允许多个用户同时使用该账号登录SSL VPN;否则,同一时刻只允许一个用户使用该账号登录SSL VPN

公共账号允许登录的最大用户数

当启用公共账号时,设置允许同时使用该账号登录的最大用户数

用户状态

设置该用户的使能状态,包括:允许、有效期限内允许、禁止

有效期限

当用户状态为“有效期限内允许”时,设置允许该用户登录的有效期限

MAC地址

设置与用户名绑定的MAC地址,用于用户的身份验证

要实现这两个功能,还需要在域策略中启用MAC地址绑定,详细配置请参见“3.5.1  1. 配置域策略

启用MAC地址自学习

设置是否自动学习用户的MAC地址

启用MAC地址自学习功能后,当用户使用此账号登录时,SSL VPN系统会自动学习该用户主机的MAC地址,并记录于“MAC地址”配置项中,同一个账号最多可以学习并记录3个不同的MAC地址。记录的MAC地址在禁用此功能后仍然有效

所属用户组

设置用户所属的用户组

 

2. 批量导入本地用户

在导航栏中选择“VPN > SSL VPN > 用户管理 > 批量导入”,进入如图3-27所示的页面。通过单击<浏览…>按钮正确设置用户信息文件保存在本地主机的路径及文件名后,单击<确定>按钮将文件中的用户信息批量导入到设置。用户信息文件的编写说明参见图3-27

图3-27 本地用户

 

 

3.4.2  配置用户组

在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”,进入如图3-28所示的页面。单击<新建>按钮,进入新建用户组的页面,如图3-29所示。

图3-28 用户组

 

图3-29 新建用户组

 

用户组的详细配置如表3-20所示。

表3-20 用户组的详细配置

配置项

说明

用户组名

设置用户组的名称

资源组

设置与该用户组相关联的资源组,用户组中的用户就可以访问资源组中的资源

本地用户

设置用户组中的本地用户成员

 

3.4.3  查看用户信息

1. 查看在线用户信息及强制下线

在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”,进入“在线用户”页签的页面,如图3-30示。选中用户信息前的复选框,单击<强制下线>,即可将选中用户强制下线。直接单击某用户对应的图标,也可将该用户强制下线。

图3-30 在线用户

 

在线用户信息的详细说明如表3-21所所示。

表3-21 在线用户信息的详细说明

标题项

说明

登录时间

该用户登录到SSL VPN的时间

用户名

该用户的用户名,完全用户名格式

IP地址

该用户的主机IP地址

 

2. 查看历史用户信息

在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”,单击“历史信息”页签,进入如图3-31所示的页面。可以查看历史最大并发用户数和历史最大并发连接数的信息。

图3-31 历史信息

 

3.5  SSL VPN域配置

表3-22 SSL VPN域的配置步骤

步骤

配置任务

说明

1

3.5.1  配置域基本策略

可选

配置域策略、缓存策略和公告管理

l      域策略:是针对SSL VPN域的一些通用参数或功能的设置,包括是否启用安全策略、是否启用校验码验证、是否启用单独客户端策略、是否启用MAC地址绑定、是否启用自动登录、用户超时时间、默认认证方式等

l      缓存策略:是针对用户退出SSL VPN时,需要清除的缓存内容的设置

l      公告管理:通过公告管理实现在企业中为不同的用户发布不同的消息、通知的功能

2

3.5.2  配置认证策略

可选

启用SSL VPN域的各种认证方式,并配置具体的认证参数

SSL VPN支持本地认证、RADIUS认证、LDAP认证和AD认证4种认证方式。每种认证方式支持3种认证策略(RADIUS认证只支持密码认证和密码+证书认证2种):

l      密码认证:只认证用户密码

l      密码+证书认证:同时认证用户密码和客户端证书

l      证书认证:只认证客户端证书

同上,SSL VPN还支持由上述4种认证方式中的任意2种组合进行组合认证

本地认证固定是启用的,其余认证方式都需要通过配置启用后才能使用

3

3.5.3  配置安全策略

可选

安全策略定义了对用户主机进行安全检查的方法,明确了需要检查的项目。再通过为安全策略配置保护资源,保证了只有满足安全策略的用户主机才能访问相应的资源

要实现对用户主机的安全性检查,还必须在域策略中启用安全策略

 

3.5.1  配置域基本策略

1. 配置域策略

在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”,进入“域策略”页签的页面,如图3-32所示。

图3-32 域策略

 

域策略的详细配置如表3-23所示。

表3-23 域策略的详细配置

配置项

说明

启用安全策略

设置是否启用安全策略

启用安全策略时,SSL VPN系统会在用户登录时对用户主机的安全状况进行检查,根据检查结果来决定用户能够使用哪些资源。

要实现此功能,还需要配置具体的安全策略,详细配置请参见“3.5.3  配置安全策略

启用校验码验证

设置是否启用校验码验证

启用校验码验证时,用户需要在SSL VPN登录页面输入正确的校验码,才能登录

启用单独客户端策略

设置是否启用单点客户端策略

启用单独客户端策略时,当用户登录SSL VPN系统,SSL VPN客户端自动运行后,SSL VPN系统的网页会自动关闭,但客户端仍然正常运行

当资源组中只配置了WEB代理资源,启用单独客户端策略时,SSL VPN系统的网页不会自动关闭

启用MAC地址绑定

设置是否启用MAC地址绑定

启用MAC地址绑定时,系统会在用户登录时获取用户主机的MAC地址,用于验证用户身份或者学习用户MAC地址

启用自动登录

设置是否启用自动登录

启用自动登录时,系统会在用户访问SSL VPN登录页面时,根据默认认证方式中认证策略的不同,自动以guest账号或证书的账号进行登录

l      当认证策略为密码认证时,系统自动以guest账号登录

l      当认证策略为证书认证时,系统自动以客户端证书中携带的用户名登录

l      当认证策略为密码+证书认证时,系统自动以guest账号登录,并且要求用户必须有颁发给guest用户的客户端证书

用户超时时间

设置用户的空闲超时时间

用户登录SSL VPN时,如果长时间没有进行任何操作,则系统会将该用户强制下线

默认认证方式

设置SSL VPN登录页面缺省情况下选择的认证方式

要设置除本地认证外的其他认证方式为默认认证方式,还必须启用该认证方式,详细配置请参见“3.5.2  配置认证策略

证书用户名字段

设置当认证策略为证书认证时,采用证书中的哪个字段作为认证用户名。可选选择Common-Name或Email-Address字段

校验码超时时间

设置SSL VPN登录页面上显示的校验码图片的有效时间。超过指定的时间,校验码将失效,可以通过刷新页面获得新的校验码

 

2. 配置缓存策略

在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”,单击“缓存策略”页签,进入如图3-33所示的页面。可以设置当用户退出SSL VPN时,是否要将用户主机上的以下内容清除:

l              网页缓存

l              Cookie

l              下载程序:指用户登录SSL VPN时,自动下载并运行的SSL VPN客户端程序。

l              配置文件:指用户修改SSL VPN客户端程序的设置时,自动保存的配置文件。

图3-33 缓存策略

 

3. 配置公告

在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”,单击“公告管理”页签,进入如图3-34所示的页面。单击<新建>按钮,进入新建公告的页面,如图3-35所示。

图3-34 公告管理

 

图3-35 新建公告

 

公告的详细配置如表3-24所示。

表3-24 公告的详细配置

配置项

说明

公告标题

设置公告的标题

公告内容

设置公共的内容

用户组

设置可以查看到该公告的用户组

 

3.5.2  配置认证策略

1. 配置本地认证

本地认证主要是针对用户信息存储在SSL VPN设备上的认证方式。这种认证由于用户信息是存储在本地的,所以不需要同外部服务器进行交互,认证过程较快。但是由于设备本身容量有限,本地用户的数目也是有限制的。

在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,进入“本地认证”页签的页面,如图3-36所示。

图3-36 本地认证

 

本地认证的详细配置如表3-25所示。

表3-25 本地认证的详细配置

配置项

说明

认证策略

设置本地认证的认证策略,包括:密码认证、密码+证书认证、证书认证

 

2. 配置RADIUS认证

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。SSL VPN系统通过配置RADIUS认证,能够实现与企业原有RADIUS认证服务器的无缝集成,平滑实现对企业原RADIUS用户进行认证,避免企业为用户重复创建账号的问题。

要成功进行RADIUS认证,还需要配置RADIUS服务器和RADIUS参数。

RADIUS配置的推荐步骤如表3-26所示。

表3-26 RADIUS配置步骤

步骤

配置任务

说明

1

3.5.2  2. (1)配置RADIUS服务器信息

认证服务器为必选项,计费服务器为可选项

配置RADIUS主/备份的认证/计费服务器的相关信息

缺省情况下,未配置各服务器

建议在不需要备份的情况下,只配置主RADIUS认证/计费服务器即可

2

3.5.2  2. (2)配置RADIUS参数

必选

配置设备和RADIUS服务器之间进行信息交互所需的一些参数

 

(1)        配置RADIUS服务器信息

在导航栏中选择“用户管理 > RADIUS > RADIUS服务器配置”,进入RADIUS服务器配置页面,如图3-37所示。

图3-37 RADIUS服务器配置

 

RADIUS服务器的详细配置如表3-27所示。

表3-27 RADIUS服务器的详细配置

配置项

说明

服务类型

设置要配置的RADIUS服务器的类型,包括:认证服务器、计费服务器

主服务器IP地址

设置主服务器的IP地址

未配置该主服务器时,输入框的值显示0.0.0.0

并且文本框为0.0.0.0时,表示删除配置的主服务器

主服务器与备份服务器的IP地址不能相同

主服务器共享密钥

设置主服务器的认证/计费报文的共享密钥

设备与主服务器通信时优先使用此处指定的共享密钥,如果此处未指定,则使用“RADIUS参数设置”中指定的认证/计费服务器共享密钥

必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致

主UDP端口

设置主服务器的UDP端口号

当未配置主服务器IP地址或者删除主服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813

由于RADIUS协议采用不同的UDP端口来收发认证和计费报文,因此必须将认证/端口号和计费端口号配置得不同

主服务器状态

设置主服务器的状态:

l      active:处于正常工作状态

l      block:处于宕机状态

当未配置主服务器IP地址或者删除主服务器IP地址时,状态为block

备份服务器IP地址

设置备份服务器的IP地址

未配置该备份服务器时,文本框的值显示0.0.0.0

并且文本框为0.0.0.0时,表示删除配置的备份服务器

主服务器与备份服务器不能相同,否则将提示错误

备服务器共享密钥

设置备份服务器的认证/计费报文的共享密钥

设备与备份服务器通信时优先使用此处指定的共享密钥,如果此处未指定,则使用“RADIUS参数设置”中指定的认证/计费服务器共享密钥

必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致

备份UDP端口

设置备份服务器的UDP端口号

当未配置备份服务器IP地址或者删除备份服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813

由于RADIUS协议采用不同的UDP端口来收发认证和计费报文,因此必须将认证/端口号和计费端口号配置得不同

备份服务器状态

设置备份服务器的状态:

l      active:处于正常工作状态

l      block:处于宕机状态

当未配置备份服务器IP地址或者删除备份服务器IP地址时,状态为block

 

可点击返回“表3-26 RADIUS配置步骤”。

(2)        配置RADIUS参数

在导航栏中选择“用户管理 > RADIUS > RADIUS参数设置”,进入RADIUS参数设置页面,如图3-38所示。

图3-38 RADIUS参数设置

 

RADIUS参数的详细设置如表3-28所示。

表3-28 设置RADIUS参数详细信息

配置项

说明

服务类型

设置设备支持的RADIUS服务器类型:

l      extended:指定extended的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互

l      standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互

认证服务器共享密钥

设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥

RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应

l      必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致

l      设备优先采用“RADIUS服务器信息”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器信息”中未指定相应共享密钥的情况下使用

确认认证密钥

计费服务器共享密钥

确认计费密钥

NAS-IP

设备向RADIUS服务器发送RADIUS报文时使用的源IP地址

为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址

超时时间

设置RADIUS服务器应答超时时间

超时时间和超时重发次数的乘积不能超过75秒,且不同接入模块配置的超时时间与超时重发次数的乘积不能大于等于接入模块的超时时间。比如对于语音接入,其超时时间为10秒,则此乘积不能大于等于10秒;对于Telnet接入,其超时时间为30秒,则此乘积不能大于等于30秒。否则会造成计费停止报文不能被缓存,以及主备服务器不能切换的问题

超时重发次数

设置最大传送次数

实时计费间隔

设置实时计费的时间间隔,取值必须为3的整数倍

为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系如表3-29所示

实时计费报文重发次数

设置允许实时计费请求无响应的最大次数

在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接

停止计费缓存

设置允许/禁止在设备上缓存没有得到响应的停止计费请求报文

l      enable:表示允许缓存报文

l      disable:表示禁止该功能

如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,且设备使能了停止计费缓存功能,设备应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃

停止计费报文重发次数

设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数

Quiet时间间隔

设置RADIUS服务器恢复active状态的时间

当Quiet时间间隔设置为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理

若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将Quiet时间间隔设置为0,使得用户尽可能的集中在主服务器上进行认证和计费

用户名格式

设置发送给RADIUS服务器的用户名格式

接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器(比如某些较早期的RADIUS服务器)不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器

l      without-domain:表示发送给RADIUS服务器的用户名不带域名

l      with-domain:表示发送给RADIUS服务器的用户名带域名

如果设置不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时使用该RADIUS方案,否则,会出现虽然实际用户不同(在不同的ISP域中)、但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误

流量数据的单位

设置发送到RADIUS服务器的流量数据的单位

l      byte:表示流量数据的单位为字节

l      kilo-byte:表示流量数据的单位为千字节

l      mega-byte:表示流量数据的单位为兆字节

l      giga-byte:表示流量数据的单位为千兆字节

设备向RADIUS服务器发送流量数据的单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费

数据包的单位

设置发送到RADIUS服务器的数据包的单位

l      one-packet:表示数据包的单位为包

l      kilo-packet:表示数据包的单位为千包

l      mega-packet:表示数据包的单位为兆包

l      giga-packet:表示数据包的单位为千兆包

设备向RADIUS服务器发送数据包的单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费

 

表3-29 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

可点击返回“表3-26 RADIUS配置步骤”。

在RADIUS认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备对每个用户最多能属于的用户组数是有限制的——上限是100,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

(3)        配置RADIUS认证

在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,单击“RADIUS认证”页签,进入如图3-39所示的页面。

图3-39 RADIUS认证

 

RADIUS认证的详细配置如表3-30所示。

表3-30 RADIUS认证的详细配置

配置项

说明

启用RADIUS认证

设置是否启用RADIUS认证功能

认证策略

设置RADIUS认证的认证策略,包括:密码认证、密码+证书认证

启动RADIUS计费

设置是否启用RADIUS计费功能

上传虚地址

设置RADIUS计费成功后,是否向RADIUS服务器上传客户端虚拟网卡的IP地址

 

3. 配置LDAP认证

LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种基于TCP/IP的目录访问协议,用于提供跨平台的、基于标准的目录服务。它是在继承了X.500协议优点的基础上发展起来的,并对X.500在读取、浏览和查询操作方面进行了改进,适合于存储那些不经常改变的数据。

LDAP协议的典型应用是用来保存系统的用户信息,如Microsoft的Windows操作系统就使用了Active Directory Server来保存操作系统的用户、用户组等信息。SSL VPN系统通过配置LDAP认证,可以实现对存储在LDAP服务器上的用户进行身份认证,并得到其资源访问权限。

要成功进行LDAP认证,还需要在LDAP认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备对每个用户最多能属于的用户组数是有限制的——上限是100,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,单击“LDAP认证”页签,进入如图3-40所示的页面。

图3-40 LDAP认证

 

LDAP认证的详细配置如表3-31所示。

表3-31 LDAP认证的详细配置

配置项

说明

启用LDAP认证

设置是否启用LDAP认证功能

LDAP服务器IP地址

设置LDAP服务器的IP地址

服务器端口

设置LDAP认证服务器所使用的TCP端口号

版本

设置LDAP认证中所支持的LDAP协议的版本号

认证策略

设置LDAP认证的认证策略,包括:密码认证、密码+证书认证、证书认证

用户组LDAP属性

设置在服务器上定义的用户所在组的属性名

使用查询检查用户DN

设置是否使用查询检查用户DN

管理员DN

当使用查询检查用户DN时,设置具有管理员权限(可以查询登录用户信息)的用户DN

密码

当使用查询检查用户DN时,设置具有管理员权限的用户密码

输入的确认密码必须和密码一致

确认密码

搜索库DN

当使用查询检查用户DN时,设置搜索库DN

搜索查询模板

当使用查询检查用户DN时,设置查询模板

使用模板查询用户DN

设置是否使用模板查询用户DN

用户DN模板

当使用模板查询用户DN时,设置用户DN模板

 

4. 配置AD认证

AD(Active Directory,活动目录)是Windows 2000 Server及以上版本的目录服务,用于存储网络上各种对象的有关信息,便于管理员和用户查找和使用。AD目录服务使用结构化的数据存储,是目录信息的逻辑层次结构的基础。SSL VPN通过配置AD认证,可以实现与企业原有AD域认证的无缝集成。

要成功进行AD认证,还需要在AD认证服务器上配置用户信息。同时,由于AD服务器本身具有组的概念,用户只要创建用户组,然后把用户加入到组中即可。但必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备对每个用户最多能属于的用户组数是有限制的——上限是100,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,单击“AD认证”页签,进入如图3-41所示的页面。

图3-41 AD认证

 

AD认证的详细配置如表3-32所示。

表3-32 AD认证的详细配置

配置项

说明

启用AD认证

设置是否启用AD认证功能

AD域名

设置AD域的名称

AD服务器IP地址

设置AD服务器的IP地址

最多可以配置4个AD服务器。当一台服务器发生故障时,可以切换到其他服务器上进行认证。4个服务器按照顺序优先使用配置在前的服务器。

认证策略

设置AD认证的认证策略,包括:密码认证、密码+证书认证、证书认证

服务器故障恢复时间

设置AD服务器出现故障时,系统重新检测AD服务器是否恢复正常的间隔时间

管理员账号

设置管理员账号,必须为AD域中User目录下具有查询目录权限的用户账号

密码

设置管理员密码

输入的确认密码必须与密码一致

确认密码

用户名格式

设置登录AD服务器的用户名的格式,包括:用户登录名不带AD域名、用户登录名带AD域名、用户姓名

 

5. 配置组合认证

组合认证是系统其他四种认证策略的任意组合而形成的一种二次认证策略。管理员可以任意指定用户的第一次及第二次分别采用何种认证策略,并且可以指定两次认证之间是否需要重新输入密码。

对于组合认证,用户可访问的资源以及在线用户名均由第一次认证采用的用户名决定;用户在访问单点登录资源时,采用第一次认证的密码作为登录密码。

 

在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,单击“组合认证”页签,进入如图3-42所示的页面。

图3-42 组合认证

 

组合认证的详细配置如表3-33所示。

表3-33 组合认证的详细配置

配置项

说明

启用组合认证

设置是否启用组合认证功能

第一次认证方式

设置第一次认证采用的认证方式

第二次认证方式

设置第二次认证采用的认证方式

第二次认证时重新输入密码

设置用户第一次认证成功后,系统是否重新输出登录页面让用户输入二次认证的密码

如果不设置重新输入密码,则系统自动采用第一次认证的密码作为第二次认证的密码

此功能只在启用完全定制界面,并且定制的界面具有二次输出登录页面功能时有效

 

3.5.3  配置安全策略

不安全用户主机的接入有可能对内部网络造成安全隐患。通过安全策略功能可以在用户登录SSL VPN时,对用户主机的操作系统、浏览器、杀毒软件、防火墙、文件和进程的部署情况进行检查,根据检查的结果来判断该用户主机能够访问哪些资源。

每条安全策略可以包含多个检查类,这些检查类之间是逻辑与的关系,即所有检查类都满足时,才认为符合该安全策略;每个检查类中又包含多个检查规则,检查规则之间是逻辑或的关系,即只要满足其中一个检查规则,就认为符合该检查类。

在导航栏中选择“VPN > SSL VPN > 域管理 > 安全策略”,进入如图3-43所示的页面。单击<新建>按钮,进入新建安全策略的页面,如图3-44所示。

图3-43 安全策略

 

图3-44 新建安全策略

 

安全策略的详细配置如表3-34所示。

表3-34 安全策略的详细配置

配置项

说明

名称

设置安全策略的名称

级别

设置安全策略的级别,数字越大,级别越高

对用户主机进行安全检查时,如果同时定义了多条安全策略,则从级别最高的安全策略开始检查,如果没有通过则检查级别次高的安全策略,直到通过某一条安全策略为止。用户可以使用的是其所能通过的级别最高的安全策略所对应的资源,所以配置安全策略时,应该为级别较高的安全策略配置较多资源

描述

设置安全策略的描述信息

策略配置

设置安全策略的检查规则

检查规则分为7类:操作系统、浏览器、防病毒软件、防火墙、证书、文件和进程

同一个检查类中配置的所有规则,只要满足其中一个,就认为符合该检查类;安全策略中配置的所有检查类都满足时,才认为符合该安全策略

单击某检查类前的扩展按钮,可以查看该类检查规则的信息。单击相应的<新建>按钮,弹出新建该类检查规则的窗口。检查规则的详细配置如表3-35所示

资源配置

设置符合该安全策略的用户主机可以访问的资源

可以直接选择所有Web网站、所有TCP应用、所有IP网络;也可以单击展开“Web网站”、“TCP应用”、“IP网络”前的扩展按钮,在相应资源的列表中进行选择

 

表3-35 检查规则的详细配置

配置项

说明

操作系统

规则名称

设置操作系统检查规则的名称

系统类型

设置操作系统的类型,用户主机的操作系统必须符合指定类型才能通过检查

版本

设置操作系统的版本,用户主机的操作系统必须符合指定版本才能通过检查

目前仅可以设置为Windows类型的操作系统,但暂不支持设置为Windows Vista类型

补丁

设置操作系统的补丁,用户主机的操作系统必须安装了指定补丁才能通过检查

浏览器

规则名称

设置浏览器检查规则的名称

类型

设置浏览器的类型,用户主机的浏览器必须符合指定类型才能通过检查

条件

设置浏览器版本检查的条件

l      >=:用户主机的浏览器必须大于或等于指定版本才能通过检查

l      >:用户主机的浏览器必须大于指定版本才能通过检查

l      =:用户主机的浏览器必须等于指定版本才能通过检查

l      <=:用户主机的浏览器必须小于或等于指定版本才能通过检查

l      <:用户主机的浏览器必须小于指定版本才能通过检查

版本

设置浏览器的版本

对于IE浏览器的版本,必须为合法的浮点数,并且小数点后面最多只能有两位数字

补丁

设置浏览器的补丁,用户主机的浏览器必须安装了指定补丁才能通过检查

防病毒软件

规则名称

设置防病毒软件检查规则的名称

类型

设置防病毒软件的类型,用户主机的防病毒软件必须符合指定类型才能通过检查

条件

设置防病毒软件版本检查和病毒库版本检查的条件

l      >=:用户主机的防病毒软件及其病毒库必须大于或等于指定版本才能通过检查

l      >:用户主机的防病毒软件及其病毒库必须大于指定版本才能通过检查

l      =:用户主机的防病毒软件及其病毒库必须等于指定版本才能通过检查

l      <=:用户主机的防病毒软件及其病毒库必须小于或等于指定版本才能通过检查

l      <:用户主机的防病毒软件及其病毒库必须小于指定版本才能通过检查

版本

设置防病毒软件的版本

病毒库版本

设置防病毒软件的病毒库版本

防火墙

规则名称

设置防火墙检查规则的名称

类型

设置防火墙的类型,用户主机的防火墙必须符合指定类型才能通过检查

条件

设置防火墙版本检查的条件

l      >=:用户主机的防火墙必须大于或等于指定版本才能通过检查

l      >:用户主机的防火墙必须大于指定版本才能通过检查

l      =:用户主机的防火墙必须等于指定版本才能通过检查

l      <=:用户主机的防火墙必须小于或等于指定版本才能通过检查

l      <:用户主机的防火墙必须小于指定版本才能通过检查

版本

设置防火墙的版本

证书

规则名称

设置证书检查规则的名称

颁发者

设置证书的颁发者,用户主机上用户证书的颁发者必须符合指定条件才能通过检查

文件

规则名称

设置文件检查规则的名称

文件名

设置文件的名称,用户主机上必须有指定文件才能通过检查

进程

规则名称

设置进程检查规则的名称

进程名

设置进程的名称,用户主机上必须有指定进程才能通过检查

 

3.6  SSL VPN典型配置举例

3.6.1  组网需求

在SSL VPN中,为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要在SSL VPN网关上进行SSL相关配置,并使能SSL VPN服务。

在本配置举例中:

l              SSL VPN网关的地址为10.1.1.1/24,为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,认证机构)地址为10.2.1.1/24,CA名称为CA server。

l              对SSL VPN用户进行RADIUS认证,由一台CAMS/iMC服务器(IP地址为10.153.10.131/24)担当RADIUS认证服务器。SSL VPN用户通过认证后,可以访问公司内部提供技术网站(IP地址为10.153.1.223);可以访问10.153.2.0/24网段中的所有主机,并提供通过FTP协议快捷访问Security Server(IP地址为10.153.2.25)的服务。

l              提供一个公共账号usera,对其进行本地认证(不进行RADIUS认证),且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后,可以访问公司内部主机10.153.70.120的共享桌面。

l              SSL VPN域的默认认证方式为RADIUS认证,并且启用校验码验证。

图3-45 SSL VPN配置组网图

 

3.6.2  配置步骤

l          本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

l          进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

l          进行下面的配置之前,需要确保已完成RADIUS服务器的配置,保证用户的认证功能正常运行。本例中,RADIUS服务器上需要配置共享密钥为expert;还需要配置用户帐户信息及用户所属的用户组属性,将用户划分到用户组“user_gr2”中。

 

1. 配置SSL VPN服务

(1)        为SSL VPN网关Router申请证书

# 配置PKI实体en。

l              在导航栏中选择“VPN > 证书管理 > PKI实体”,单击<新建>按钮,进行如下配置,如图3-46所示。

图3-46 配置PKI实体en

 

l              输入PKI实体名称为“en”。

l              输入通用名为“http-server”。

l              单击<确定>按钮完成操作。

# 配置PKI域sslvpn。

l              在导航栏中选择“VPN > 证书管理 > PKI域”,单击<新建>按钮,进行如下配置,如图3-47所示。

图3-47 配置PKI域sslvpn

 

 

l              输入PKI域名称为“sslvpn”。

l              输入CA标识符为“CA server”。

l              选择本端实体为“en”。

l              选择注册机构为“RA”。

l              输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

l              选择证书申请方式为“Manual”。

l              单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证”,再次单击<确定>按钮完成操作。

# 生成RSA密钥对。

l              在导航栏中选择“VPN > 证书管理 > 证书”,单击<创建密钥>按钮,进行如下配置,如图3-48所示。

图3-48 生成RSA密钥对

 

l              单击<确定>按钮开始生成RSA密钥对。

# 获取CA证书至本地。

l              生成密钥对成功后,单击<获取证书>按钮,进行如下配置,如图3-49所示。

图3-49 获取CA证书至本地

 

l              选择PKI域为“sslvpn”。

l              选择证书类型为“CA”。

l              单击<确定>按钮开始获取CA证书。

# 申请本地证书。

l              获取CA证书成功后,单击<申请证书>按钮,进行如下配置,如图3-50所示。

图3-50 申请本地证书

 

l              选择PKI域为“sslvpn”。

l              单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框,单击<确定>安全完成操作。

l              完成上述配置后,可以在证书显示页面上看到获取到的CA证书和本地证书,如图3-51所示。

图3-51 获取到的CA证书和本地证书

 

(2)        配置SSL VPN服务

# 启用SSL VPN,并配置SSL VPN服务的端口号和使用的PKI域。

l              在导航栏中选择“VPN > SSL VPN > 服务管理”,进入如图3-52所示的页面。

图3-52 配置SSL VPN服务

 

l              选中“启用SSL VPN”前的复选框。

l              输入端口为“443”。

l              选择PKI域为“sslvpn”。

l              单击<确定>安全完成操作。

2. 配置SSL VPN访问资源

(1)        配置资源

# 配置访问公司内部技术网站的Web代理服务器资源tech。

l              在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”,单击<新建>按钮,进入如下配置,如图3-53所示。

图3-53 配置Web代理服务器资源

 

 

l              输入资源名称为“tech”。

l              输入站点地址为“http://10.153.1.223/”。

l              单击<确定>按钮完成操作。

# 配置主机10.153.70.120的桌面共享服务资源desktop。

l              在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,单击“桌面共享”页签,单击<新建>按钮,进入如下配置,如图3-54所示。

图3-54 配置桌面共享服务资源

 

l              输入资源名称为“desktop”。

l              输入远程主机为“10.153.70.120”。

l              输入服务端口为“3389”。

l              输入本地主机为“127.0.0.2”。

l              输入本地端口为“20000”。

l              输入命令行为“mstsc /v 127.0.0.2:20000”。

l              单击<确定>按钮完成操作。

# 配置IP网络资源的全局参数。

l              在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面,进行如下配置,如图3-55所示。

图3-55 配置IP网络资源的全局参数

 

l              输入起始IP为“192.168.0.1”。

l              输入终止IP为“192.168.0.100”。

l              输入子网掩码为“24”。

l              输入网关地址为“192.168.0.101”。

l              单击<确定>按钮完成操作。

# 在 SSL VPN网关与企业网内服务器组连接的接口出方向配置NAT

<Router> system-view

[Router] acl 3000

[Router-acl-adv-3000] rule 0 permit ip

[Router-acl-adv-3000] quit

[Router] nat outbound 3000

# 配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

l              单击“主机配置”页签,单击<新建>按钮,进行如下配置,如图3-56所示。

图3-56 配置主机资源

 

l              输入资源名为“sec_srv”。

l              在“允许访问的网络服务”中单击<新建>按钮,在弹出的窗口中进行如下配置。

l              输入目的地址为“10.153.2.0”。

l              输入子网掩码为“24”。

l              选择协议类型为“IP”。

l              输入描述信息为“10.153.2.0/24”。

l              单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

l              在“快捷方式”中单击<新建>按钮,在弹出的窗口中进行如下配置。

l              输入快捷方式名称为“ftp_security-server”。

l              输入快捷方式命令为“ftp 10.153.2.25”。

l              单击<确定>按钮向该主机资源中添加一个快捷方式。

l              单击<确定>按钮完成操作。

(2)        配置资源组

# 配置资源组res_gr1,包含资源desktop。

l              在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”,单击<新建>按钮,进行如下配置,如图3-57所示。

图3-57 配置资源组res_gr1

 

 

l              输入资源组名为“res_gr1”。

l              在可用资源中选中“desktop”,单击“<<”按钮。

l              单击<确定>按钮完成操作。

# 配置资源组res_gr2,包含资源tech和sec_srv。

l              单击<新建>按钮,进行如下配置,如图3-58所示。

图3-58 配置资源组res_gr2

 

l              输入资源组名为“res_gr2”。

l              在可用资源中选中“sec_srv”和“tech”,单击“<<”按钮。

l              单击<确定>按钮完成操作。

3. 配置SSL VPN用户

(1)        配置本地用户

# 配置本地用户usera。

l              在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”,单击<新建>按钮,进行如下配置,如图3-59所示。

图3-59 配置本地用户usera

 

 

l              输入用户名为“usera”。

l              输入用户密码为“passworda”。

l              输入密码确认为“passworda”。

l              选中“启用公共账号”前的复选框。

l              输入公共账号允许登录的最大用户数为“1”。

l              选择用户状态为“允许”。

l              单击<确定>按钮完成操作。

(2)        配置用户组

# 配置用户组user_gr1,包含资源组res_gr1和本地用户usera。

l              在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”,单击<新建>按钮,进行如下配置,如图3-60所示。

图3-60 配置用户组user_gr1

 

 

l              输入用户组名为“user_gr1”。

l              在可用资源组中选中“res_gr1”,单击“<<”按钮。

l              在可用资源组中选中“usera”,单击“<<”按钮。

l              单击<确定>按钮完成操作。

# 配置用户组user_gr2,包含资源组res_gr2。

l              单击<新建>按钮,进行如下配置,如图3-61所示。

图3-61 配置用户组user_gr2

 

 

l              输入用户组名为“user_gr2”。

l              在可用资源组中选中“res_gr2”,单击“<<”按钮。

l              单击<确定>按钮完成操作。

4. 配置SSL VPN

(1)        配置域策略

# 配置SSL VPN域的默认认证方式为RADIUS认证,并启用校验码验证。

l              在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”,进行如下配置,如图3-62所示。

图3-62 配置域策略

 

 

l              选中“启用校验码验证”前的复选框。

l              选择默认认证方式为“RADIUS认证”。

l              单击<确定>按钮完成操作。

(2)        配置RADIUS认证

# 启用RADIUS认证。

l              在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,单击“RADIUS认证”页签,进行如下配置,如图3-63所示

图3-63 启用RADIUS认证

 

l              选中“启用RADIUS认证”前的复选框。

l              单击<确定>按钮完成操作。

# 配置RADIUS认证服务器。

l              在导航栏中选择“用户管理 > RADIUS > RADIUS服务器配置”,进行如下配置,如图3-64所示。

图3-64 配置RADIUS认证服务器

 

 

l              选择服务类型为“认证服务器”。

l              输入主服务器IP地址为“10.153.10.131”。

l              输入主UDP端口为“1812”。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作。

# 配置RADIUS参数。

l              在导航栏中选择“用户管理 > RADIUS > RADIUS参数设置”,进行如下配置,如图3-65所示。

图3-65 配置RADIUS参数

 

 

l              选择服务器类型为“extended”。

l              选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。

l              输入确认认证密钥为“expert”。

l              选择用户名格式为“without-domain”。

l              单击<确定>按钮完成操作。

3.6.3  配置结果验证

完成上述配置后,SSL VPN用户在其主机上启动浏览器,在浏览器的地址栏中输入“https:// 10.1.1.1/svpn/”后回车,进入SSL VPN的登录页面,如图3-66所示,可以看到默认的认证方式(即类别)为RADIUS,并且需要输入验证码。

图3-66 SSL VPN登录页面

 

用户使用公共账号usera登录SSL VPN,登录时类别参数设置为“Local”。usera登录SSL VPN后,可以看到其可访问的资源desktop,如图3-67所示。单击此资源名称,即可弹出如图3-68所示的窗口,访问指定主机的共享桌面。

图3-67 公共账号usera可访问的资源

 

图3-68 访问桌面共享资源

 

假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”,用户使用该账号登录SSL VPN,登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后,可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机,以及通过FTP访问Security Server,如图3-69所示。单击tech资源名称,即可弹出技术网站的访问窗口;单击快捷方式ftp_security-server,即可弹出如图3-70所示的窗口,通过FTP协议访问Security Server。

图3-69 非公共账号可访问的资源

 

图3-70 访问IP网络资源

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!