选择区域语言: EN CN HK

11-安全配置指导

13-SSL VPN配置

本章节下载  (158.83 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG-Release_2104(V1.10)/11/201311/803426_30005_0.htm

13-SSL VPN配置


1 SSL VPN配置

1.1  SSL VPN简介

SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。

SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图1-1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。

图1-1 SSL VPN典型组网架构

 

SSL VPN的工作机制为:

(1)        管理员以HTTPS方式登录SSL VPN网关的Web管理界面,在SSL VPN网关上创建与服务器对应的资源。

(2)        远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。

(3)        HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。

(4)        用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。

(5)        SSL VPN网关解析请求,与服务器交互后将应答发送给用户。

1.2  配置SSL VPN

SSL VPN网关配置包括如下内容:

l              指定SSL VPN服务使用的SSL服务器端策略:管理员和用户对SSL VPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSL VPN网关的Web页面。因此,SSL VPN网关上需要指定使用的SSL服务器端策略,以便确定SSL VPN服务使用的SSL参数。

l              指定SSL VPN服务使用的TCP端口号:SSL VPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号。

l              使能SSL VPN服务:只有使能SSL VPN服务后,管理员和用户才能通过Web页面访问SSL VPN网关。

1.2.1  配置准备

配置SSL VPN之前,需要先创建SSL服务器端策略。SSL服务器端策略的配置方法,请参见“安全配置指导”中的“SSL”。

1.2.2  配置SSL VPN

表1-1 配置SSL VPN

操作

命令

说明

进入系统视图

system-view

-

配置SSL VPN服务使用的SSL服务器端策略和端口号

ssl-vpn server-policy server-policy-name [ port port-number ]

必选

缺省情况下,没有配置SSL VPN服务使用的SSL服务器端策略

使能SSL VPN服务

ssl-vpn enable

必选

缺省情况下,SSL VPN服务处于关闭状态

 

1.3  SSL VPN典型配置举例

1. 组网需求

在SSL VPN中,为了使管理员和普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要在SSL VPN网关上进行SSL相关配置,并使能SSL VPN服务。

在本配置举例中:

l              SSL VPN网关的地址为10.1.1.1/24;

l              为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,认证机构)地址为10.2.1.1/24,CA名称为CA server。

2. 组网图

图1-2 SSL VPN配置组网图

 

3. 配置步骤

l    本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

l    进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

 

(1)        为SSL VPN网关Device申请证书

# 配置PKI实体en,指定实体的通用名为http-server。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server

[Device-pki-entity-en] quit

# 配置PKI域sslvpn,指定信任的CA名称为ca server、注册服务器的URL为http://10.2.1.1/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。

[Device] pki domain sslvpn

[Device-pki-domain-sslvpn] ca identifier ca server

[Device-pki-domain-sslvpn] certificate request url http://10.2.1.1/certsrv/mscep/mscep.dll

[Device-pki-domain-sslvpn] certificate request from ra

[Device-pki-domain-sslvpn] certificate request entity en

[Device-pki-domain-sslvpn] quit

# 生成本地的RSA密钥对。

[Device] public-key local create rsa

# 获取CA的证书。

[Device] pki retrieval-certificate ca domain sslvpn

# 为Device申请证书。

[Device] pki request-certificate domain sslvpn

(2)        配置SSL VPN服务使用的SSL服务器端策略

# 创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain sslvpn

[Device-ssl-server-policy-myssl] quit

(3)        配置SSL VPN

# 指定SSL VPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443。

[Device] ssl-vpn server-policy myssl

# 使能SSL VPN服务。

[Device] ssl-vpn enable

(4)        验证配置结果

远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.1.1.1/svpn/cn/index.htm,即可打开SSL VPN网关Device的Web登录页面。

l    PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;

l    public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;

l    SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。

 


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!