38-SSL VPN
本章节下载: 38-SSL VPN (553.31 KB)
目 录
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。
SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
配置任务 |
说明 |
详细配置 |
配置用户/用户组 |
详见“用户和用户认证”章节 |
|
配置SSL VPN资源 |
必选 |
|
配置SSL VPN门户网站 |
可选 |
|
配置SSL VPN策略 |
必选 |
|
配置SSL VPN 全局配置 |
必选 |
|
配置SSL VPN安全设置 |
可选 |
在导航栏中选择“VPN > SSL VPN > 资源”,进入SSL VPN资源配置的显示页面,单击<新建>按钮,或者点击对应资源的右侧<编辑>按钮,进入资源的配置页面,如图1-1所示。
页面的详细说明如表1-2所示。
项目 |
说明 |
名称 |
资源策略名称。 |
描述 |
资源策略的描述。 |
资源地址 |
授权资源的IP地址。 |
资源类型 |
授权资源的类型,可选择:any、http、https、ftp、icmp、ssh、telnet、邮件、自定义tcp端口和自定义udp端口。 |
输入完毕后,点击<提交>按钮,应用配置。
在资源显示页面,点击对应资源的<删除>按钮,可以删除对应的资源,如图1-2所示。
在资源显示页面,点击<导入><导出>按钮,可以将所有的资源导出成csv文件。点击<导入>按钮可以将导出的csv文件中的资源导入到系统中,如图1-3所示。
在导航栏中选择“VPN > SSL VPN > 资源”,选择门户网站页签,进入门户网站的配置页面,如图1-4所示。
页面的详细说明如表1-3所示。
项目 |
说明 |
页面标题 |
网站标题。 |
网页logo |
网站标题的logo。 |
公告 |
网站的公告内容。 |
客户端下载 |
填写VPN客户端下载地址。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“VPN > SSL VPN > 策略”,进入策略配置的显示页面,单击<新建>按钮,或者点击对应SSL VPN策略的右侧<编辑>按钮,进入SSL VPN策略的配置页面,如图1-5所示。
图1-5 SSL VPN策略页面
页面的详细说明如表1-4所示。
表1-4 SSL VPN策略配置的详细说明
项目 |
说明 |
启用 |
SSL VPN启用/禁用开关。 |
名称 |
SSL VPN策略名称。 |
描述 |
SSL VPN策略描述。 |
用户 |
SSL VPN授权登录用户。 |
授权资源 |
SSL VPN授权资源。 |
拨入时间段 |
SSL VPN授权拨入时间段。 |
强制下线时间 |
SSL VPN用户强制下线时间。 |
输入完毕后,点击<提交>按钮,应用配置。
在策略显示页面,点击对应策略的<删除>按钮,可以删除对应的策略。如图1-6所示。
在资源策略显示页面,点击<上移>、<下移>按钮,可以调整策略的优先级。如图1-7所示。
在策略显示页面,点击<导入><导出>按钮,可以将所有的策略导出成csv文件。点击<导入>按钮可以将导出的csv文件中的策略导入到系统中。如图1-8所示。
在导航栏中选择“VPN > SSL VPN > 全局配置”,进入全局配置的配置页面。如图1-9所示。
页面的详细说明如表1-5。
表1-5 SSL VPN全局配置的详细说明
项目 |
说明 |
启用 |
全局配置启用/禁用开关 |
拨入接口 |
SSL VPN客户端拨入IP地址所在接口。 |
SSL VPN端口 |
SSL VPN客户端拨入端口号 |
全局DNS设置 |
SSL VPN客户端拨入成功,客户端获取到的DNS地址。 |
地址池 |
SSL VPN客户端拨入成功,客户端分配到的IP地址。 |
子网路由 |
SSL VPN客户端拨入成功,客户端允许访问的地址。 |
允许多处登录 |
勾选后,可支持同一个SSL VPN用户在多地同时登录。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“VPN > SSL VPN > 全局配置”,选择安全设置页签,进入安全设置配置页面,如图1-10所示。
页面的详细说明如表1-6。
项目 |
说明 |
防暴力破解功能 |
防暴力破解功能启用/禁用开关。 |
同名用户登录 |
同名用户登录启用/禁用开关。 |
同名用户登录连续出错 |
同名用户登录连续出错次数设置。 |
同名用户登录锁定时间 |
同名用户登录连续出错次数达到阈值后锁定时间设置。 |
同IP用户登录 |
同IP用户登录启用/禁用开关。 |
同IP用户登录连续出错 |
同一IP,用户登录连续出错次数设置。 |
同IP用户登录锁定时间 |
同一IP,用户登录连续出错次数达到阈值后锁定时间设置。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“VPN > SSL VPN > 在线用户”,进入在线用户显示页面。页面中显示了已经拨入成功的SSL VPN用户。如图1-11所示。
页面的详细说明如表1-7。
项目 |
说明 |
名称 |
SSL VPN拨入用户的名称。 |
源IP |
SSL VPN拨入用户的源IP:一般是SSL VPN拨入用户公网出口IP地址 |
源端口 |
SSL VPN拨入用户的源端口。 |
虚拟IP |
SSL VPN拨入用户分配到IP地址。 |
发送字节数 |
统计SSL VPN拨入用户发送字节数。 |
接收字节数 |
统计SSL VPN拨入用户接收字节数。 |
登录时间 |
SSL VPN用户登录成功时间。 |
在线时长 |
SSL VPN用户拨入后在线时长。 |
状态 |
SSL VPN拨入用户状态展示 |
操作 |
可以对相应SSL VPN拨入用户进行的操作。 |
在线用户显示页面,点击<强制注销>按钮,可以将对应在线用户进行注销。如图1-12所示
在线用户显示页面,点击<冻结>按钮,可以将对应的在线用户进行冻结。如图1-13所示
在线用户显示页面,点击<解除冻结>按钮,可以将对应的已冻结用户解除冻结。如图1-14所示
如图1-15所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。
图1-15 SSL VPN功能配置组网图
(1) 按照组网图组网。
(2) 配置接口。
(3) 配置用户。
(4) 配置SSL VPN全局配置。
(5) 配置SSL VPN资源。
(6) 配置SSL VPN策略
(7) 配置静态路由。
如图1-16所示,进入“网络管理>接口>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。
如图1-17所示,进入“用户管理> 用户>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。
图1-17 配置用户
如图1-18所示,进入“VPN> SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。
如图1-19和图1-20所示,进入“VPN> SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。
图1-19 配置HTTP资源
如图1-21所示,进入“VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。
如图1-22所示,进入“网络管理>路由>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。
(1) 查看SSL VPN在线用户
如图1-23所示,SSL VPN连接成功后,进入“VPN>SSL VPN>在线用户”页面,查看在线用户。
图1-23 SSL VPN在线用户
(2) 查看客户端路由表
如图1-24所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。
(3) 访问SSL VPN资源
SSL VPN连接成功后,访问内网的http和web资源,能够访问成功,如图1-25和图1-26所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!