选择区域语言: EN CN HK

11-安全配置指导

14-SSL VPN配置

本章节下载  (187.51 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_900/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2511P07-V1.14/11/201808/1106949_30005_0.htm

14-SSL VPN配置


1 SSL VPN

1.1  SSL VPN简介

SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。

SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如1-1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。

图1-1 SSL VPN典型组网架构

 

SSL VPN的工作机制为:

(1)      管理员登录SSL VPN网关的Web界面,在SSL VPN网关上创建与服务器对应的资源。

(2)      远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。

(3)      HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。

(4)      用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。

(5)      SSL VPN网关解析请求,与服务器交互后将应答发送给用户。

1.2  配置SSL VPN

SSL VPN网关配置包括如下内容:

·              指定SSL VPN服务使用的SSL服务器端策略:用户访问SSL VPN网关和内网资源时,需要首先通过HTTPS登录SSL VPN网关的Web页面。因此,SSL VPN网关上需要指定使用的SSL服务器端策略,以便确定SSL VPN服务使用的SSL参数。

·              指定SSL VPN服务使用的TCP端口号:SSL VPN网关作为HTTPS服务器为用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号。

·              使能SSL VPN服务:只有使能SSL VPN服务后,用户才能通过Web页面访问SSL VPN网关。

1.2.1  配置准备

配置SSL VPN之前,需要先创建SSL服务器端策略。SSL服务器端策略的配置方法,请参见“安全配置指导”中的“SSL”。

1.2.2  配置SSL VPN

表1-1 配置SSL VPN

操作

命令

说明

进入系统视图

system-view

-

配置SSL VPN服务使用的SSL服务器端策略和端口号

ssl-vpn server-policy server-policy-name [ port port-number ]

必选

缺省情况下,没有配置SSL VPN服务使用的SSL服务器端策略

使能SSL VPN服务

ssl-vpn enable

必选

缺省情况下,SSL VPN服务处于关闭状态

 

·          HTTPS服务和SSL VPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时使能HTTPS服务和SSL VPN服务。

·          HTTPS服务和SSL VPN服务同时使能,并使用相同的端口号时,若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSL VPN服务,修改SSL服务器端策略后,再使能HTTPS服务和SSL VPN服务,修改后的SSL服务器端策略才能生效。

·          SSL VPN服务处于使能状态时,对使用的端口号、与其关联的SSL服务器端策略进行的修改不会生效。如果修改了端口号或SSL服务器端策略,则建议重新使能SSL VPN服务,以使新的配置生效。

 

1.3  SSL VPN典型配置举例

1. 组网需求

在SSL VPN中,为了使普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关访问企业内部资源,需要在SSL VPN网关上进行SSL相关配置,并使能SSL VPN服务。

在本配置举例中:

·              SSL VPN网关的地址为10.1.1.1/24;

·              为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。

2. 组网图

图1-2 SSL VPN配置组网图

 

3. 配置步骤

·          本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·          进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

 

(1)      为SSL VPN网关Device申请证书

# 配置PKI实体en,指定实体的通用名为http-server。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server

[Device-pki-entity-en] quit

# 配置PKI域sslvpn,指定信任的CA名称为ca server、注册服务器的URL为http://10.2.1.1/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。

[Device] pki domain sslvpn

[Device-pki-domain-sslvpn] ca identifier ca server

[Device-pki-domain-sslvpn] certificate request url http://10.2.1.1/certsrv/mscep/mscep.dll

[Device-pki-domain-sslvpn] certificate request from ra

[Device-pki-domain-sslvpn] certificate request entity en

[Device-pki-domain-sslvpn] quit

# 生成本地的RSA密钥对。

[Device] public-key local create rsa

# 获取CA的证书。

[Device] pki retrieval-certificate ca domain sslvpn

# 为Device申请证书。

[Device] pki request-certificate domain sslvpn

(2)      配置SSL VPN服务使用的SSL服务器端策略

# 创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain sslvpn

[Device-ssl-server-policy-myssl] quit

(3)      配置SSL VPN

# 指定SSL VPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443。

[Device] ssl-vpn server-policy myssl

# 使能SSL VPN服务。

[Device] ssl-vpn enable

(4)      验证配置结果

远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.1.1.1/svpn,即可打开SSL VPN网关Device的Web登录页面。

·          PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;

·          public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;

·          SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。

·          SSL VPN功能主要通过Web页面进行配置,详细介绍请参见《H3C MSR系列路由器 Web配置指导》中的“SSL VPN”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!