- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
26-可信增强客户端、服务端配置举例
本章节下载: 26-可信增强客户端、服务端配置举例 (1.01 MB)
目 录
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)可信增强通道的配置举例。
平台为了加强对Windows终端的身份鉴别能力,新增了可信增强功能。允许在平台内自定义用户账号。通道开启可信增强功能后,只有经过用户身份鉴别的Windows终端,才允许通过该通道访问对端应用服务。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。配置所需客户端“可信增强客户端Setup”在H3C官网下载。本文假设您已了解平台特性。
支持可信增强功能的通道类型有以下这些:TCP,HTTP,HTTPS,HTTP_PROXY,FTP,ORACLE,POP3,SMTP,OPC,MODBUS,SIP_28181_TCP,IMAP,ORACLE_RAC,MYSQL,ORACLE_SHARED,IEC_104,GAT_1400,S7COMM,DNP3_TCP,CIP,PROFINET,下文以TCP通道类型进行举例。
内网客户端为可信Windows终端,需要通过可信增强TCP通道去访问外网服务器。
· 在监听侧,前置admin权限下的应用用户管理,自定义合法用户账号。(和Windows系统账号无关)
· 配置前置机、后置机网络设置。
· 在监听侧,前置secrecy权限下,配置TRUST认证通道,关联允许通过的用户账号。
· 前置新建TCP监听通道,开启可信增强功能。后置新建TCP连接通道。
· Windows可信终端,安装并打开“可信增强客户端”软件。输入TRUST通道参数及自定义合法用户,向平台进行身份认证。
· Windows可信终端,访问可信增强TCP通道。
表1 业务梳理:
|
访问源IP (源端发起访问的主机地址) |
监听地址 (连接客户端侧的接口地址) |
连接地址 (连接服务器侧的接口地址) |
目的地址 (服务器IP) |
|
192.168.90.2/24 |
192.168.90.183/24 |
192.168.90.182/24 |
192.168.90.32/24 |
本举例是在ESS 6702P01版本上进行配置和验证的。
通过平台前置MAN管理口登录平台,打开浏览器输入https://192.168.0.1,(MAN口为前置专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 前置登录页面
登录前置admin,点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置前置的IP。
图3 添加前置IP
图4 添加ip
设置完后点“保存”退出。
图5 IP设置完成
在前置应用账户管理配置应用账号,比如:admin2003。
图6 添加账号集
添加应用账号集
图7 添加admin2003账号集
设置完后点“保存”退出。
在应用账号集中添加应用账号
图8 添加应用账号
添加应用账号和密码
图9 添加admin2003用户
设置完后点“保存”退出。
应用账号集admin2003创建完成
图10 创建完成
通过平台后置MAN管理口登录平台,打开浏览器输入https://192.168.0.2,(MAN口为后置专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图11 后置登录页面
登录后置admin账号,点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置后置的IP。
图12 设置后置IP
添加IP地址和掩码
图13 添加IP地址
设置完后点“保存”退出。
图14 保存后置IP设置
登录前置secrecy,在监听侧添加TRUST认证通道。
添加TRUST监听通道,并关联允许通过的应用账号。该通道仅用作身份认证,只需在监听端配置,无需配置对应的连接通道。
表2 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的前后置接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
||
|
策略集 |
勾选admin管理员添加的应用账号 |
TRUST认证通道只接受勾选的应用账号进行可信认证 |
图15 TRUST监听通道配置界面
保存并启用TRUST通道。
图16 TRUST通道
在前置secrecy账号下建立TCP监听通道,并开启可信增强。
表3 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的前后置接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
||
|
可信增强 |
点击按钮启用 |
开启后,只有TRUST认证通道认证过的应用账号,其终端发送过来的请求才允许通过此通道。其他未经认证的终端,其发送过来的请求,都被视为非法访问,全都会遭到拦截。 |
图17 TCP监听通道,开启可信增强
在后置secrecy账号下建立TCP连接通道。
表4 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
连接地址 |
出口地址即连接服务器侧的前后置接口地址,重新封装数据包时,会以此IP作为源地址发出。 |
选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
图18 TCP连接通道
由于TRUST通道仅需要在监听侧配置,会单独占一个通道ID。后续新增其他通道时,两边的通道ID递增值可能错位,请注意监听通道和连接通道的ID是否一致。
在192.168.90.2的Windows可信终端上,安装“可信增强客户端”软件。当前版本仅支持Windows10、Windows11。
图19 “可信增强客户端”安装包
安装完成后,打开“可信增强客户端”
图20 “可信增强客户端”启动图标
“可信源端客户端”启动后,输入TRUST通道的监听地址和监听端口,账号密码输入允许通过的自定义用户账号及其密码,最后点击“保存”即可。
图21 可信源客户端
使用通讯测试工具连接,输入通道监听地址和监听端口。
图22 访问192.168.90.183端口1234成功,并且数据推送正常
接收端可收到发送端的数据,代表访问成功,并且数据推送正常。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
