- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-SSL VPN配置
本章节下载: 14-SSL VPN配置 (564.80 KB)
目 录
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。
SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
如图1-1所示,SSL VPN的工作机制为:
(1) 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
(2) 远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
(3) 用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
(4) SSL VPN网关将资源访问请求转发给企业网内的服务器。
(5) SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
图1-1 SSL VPN示意图
SSL VPN的典型组网方式主要有两种:网关模式和单臂模式。
在网关模式中,SSL VPN网关直接作为网关设备连接用户和内网服务器,所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护,但是由于SSL VPN网关处在内网与外网通信的关键路径上,其性能对内外网之间的数据传输有很大的影响。
图1-2 网关模式
在单臂模式中,SSL VPN网关不作为网关设备。用户访问内网服务器时,流量将先由网关设备转发到SSL VPN网关,经SSL VPN网关处理后再转发到网关设备,由网关设备转发到内网服务器。在单臂模式中,SSL VPN网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。
图1-3 单臂模式
IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。
用户通过IP接入方式访问内网服务器前,需要安装专用的IP接入客户端软件,该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。
IP接入方式下,管理员在SSL VPN网关上创建SSL VPN AC接口,并配置下发给SSL VPN客户端的路由表项。
如图1-4所示,IP方式接入过程如下:
(1) 用户在客户端上安装IP接入客户端软件后,启动该软件并登录。
(2) SSL VPN网关对其进行认证和授权。认证、授权通过后,SSL VPN网关为客户端的虚拟网卡分配IP地址,并将授权用户访问的IP接入资源(即路由表项)发送给客户端。
(3) 客户端为虚拟网卡设置IP地址,并添加路由表项,路由的出接口为虚拟网卡。
(4) 用户在客户端上访问企业内网服务器时,访问请求报文匹配添加的路由表项,该报文将进行SSL封装,并通过虚拟网卡发送给SSL VPN网关的SSL VPN AC接口。
(5) SSL VPN网关对SSL报文进行解封装,并将IP报文转发给内网服务器。
(6) 内网服务器将应答报文发送给SSL VPN网关。
(7) SSL VPN网关对报文进行SSL封装后,通过SSL VPN AC接口将其发送给客户端。
图1-4 IP接入方式的工作过程
SSL VPN用户认证是SSL VPN网关对SSL VPN用户身份的认证,用户身份认证通过后,才能访问对应的内网服务器资源。用户认证包括:用户名密码认证、证书认证、验证码验证、自定义认证和SMP认证。这几种认证方式可以同时开启,也可以只开启其中的一个或多个。若同时开启多种认证方式,则多种认证方式同时生效,用户需要同时通过多个验证才能访问企业内网资源。用户名密码认证功能和证书认证功能都开启的情况下,可以通过authentication use命令来控制SSL VPN用户认证的认证模式。有关用户的详细介绍,请参见“用户接入与认证配置指导”中的“AAA”。
用户名密码认证指通过认证SSL VPN用户的用户名和密码从而认证用户身份。该认证的过程如下:
(1) SSL VPN用户在登录界面输入用户名和密码,用户设备会将用户名和密码发送给SSL VPN网关;
(2) SSL VPN网关将用户名和密码提交给AAA模块进行认证、授权和计费,或者交给自定义认证服务器进行认证和授权。
证书认证指通过认证SSL VPN用户证书从而认证用户身份。该认证的过程如下:
(1) SSL VPN用户选择自己的SSL VPN用户证书,用户设备会将该证书发送给SSL VPN网关;
(2) SSL VPN网关用CA证书检查SSL VPN用户证书是否可信:如果可信,则继续进行下一步;如果不可信,则不能建立SSL连接。如果开启了CRL检查功能,SSL VPN网关还会检查可信的SSL VPN用户证书是否被吊销:如果没有被吊销,则进行下一步;如果已经被吊销,则不能建立SSL连接。有关CRL检查功能的详细介绍,请参见“安全配置指导”中的“PKI”。
(3) SSL VPN网关从SSL VPN用户证书中的指定字段(默认为CN字段)提取用户名,并将该用户名提交给AAA模块进行授权和计费,或者交给自定义认证服务器进行授权。
SSL VPN用户证书中的指定字段必须和该SSL VPN用户的用户名一致。
图1-5 证书认证过程
用户名密码和证书组合认证是指SSL VPN网关对SSL VPN用户的证书以及用户名密码进行双重认证。该认证的过程如下:
(1) SSL VPN用户选择自己的SSL VPN用户证书,用户设备会将该证书发送给SSL VPN网关;
(2) SSL VPN网关用CA证书检查SSL VPN用户证书是否可信:如果可信,则继续进行下一步;如果不可信,则不能建立SSL连接。如果开启了CRL检查功能,SSL VPN网关还会检查可信的SSL VPN用户证书是否被吊销:如果没有被吊销,则进行下一步;如果已经被吊销,则不能建立SSL连接。
(3) SSL VPN网关从SSL VPN用户证书中提取用户名与输入的用户名进行比较:
¡ 若一致,则网关将用户名和密码提交给AAA模块进行认证、授权和计费,或者交给自定义认证服务器进行认证和授权;
¡ 若不一致,则认证不通过。
自定义认证是指用户根据实际需求,在本地搭建自定义的认证服务器,并配置自定义认证参数,实现对SSL VPN登录用户的认证和授权。自定义认证暂不支持计费功能。
SSL VPN网关可以通过SMP对接第三方认证平台,实现对SSL VPN用户的身份认证。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3500X系列 |
· WX3510X · WX3520X · WX3540X |
· EWP-WX3510X · EWP-WX3520X · EWP-WX3540X |
支持 |
|
WX3500X-E系列 |
WX3508X-E |
EWP-WX3508X-E |
支持 |
|
AC插卡系列 |
LSEM1WBC120G0 |
LSEM1WBC120G0 |
不支持 |
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3500X-G系列 |
WX3520X-G |
EWP-WX3520X-G |
支持 |
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3800X系列 |
· WX3820X · WX3840X |
· EWP-WX3820X · EWP-WX3840X |
支持 |
以下SSL VPN相关配置在SSL VPN网关设备上进行。SSL VPN配置任务如下:
(1) 配置SSL VPN网关
(2) 配置SSL VPN资源访问控制
a. 配置IP接入服务
c. 配置HTTP重定向
(3) (可选)控制SSL VPN用户接入
(4) (可选)配置SSL VPN页面
(5) (可选)开启SSL VPN日志功能
进行SSL VPN配置前,需要在SSL VPN网关上完成以下操作:
· 配置PKI,为SSL VPN网关获取数字证书,配置方法请参见“安全配置指导”中的“PKI”。
· 配置SSL服务器端策略,配置方法请参见“安全配置指导”中的“SSL”。
SSL VPN网关使用的接口的IP地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSL VPN网关页面,而不能访问设备的管理页面。
如果引用的SSL服务器策略有变化,需要重新开启SSL VPN网关才能生效。
远程接入用户使用浏览器与SSL VPN网关建立HTTPS连接的过程中,SSL VPN网关支持向对端提供两种类型的本地证书,设备签发的自签名证书和CA为SSL VPN网关签发的本地证书,以便远程接入用户对SSL VPN网关进行基于数字证书的身份验证。远程接入用户可根据安全性要求和配置复杂度在如下两种方案中进行选择:
· 采用设备签发的自签名证书,此方式配置简单,但安全性较低。在该方式下,无需配置SSL VPN网关引用的SSL服务器端策略,使用的SSL参数均为缺省值。但由于自签名证书不是由可信的CA签发而不受远程接入用户的浏览器信任,当远程接入用户使用HTTPS方式访问SSL VPN网关时,远程接入用户的浏览器上将会弹出安全风险提示,若远程接入用户能够接受使用自签名证书带来的安全风险,可选择忽略此提示,继续浏览网页。
· 采用CA为SSL VPN网关签发的本地证书,此方式配置相对复杂但安全性较强。在该方式下,SSL VPN网络管理员需要获取CA证书并向CA申请本地证书,同时配置SSL服务器端策略,并将其与SSL VPN网关进行关联,来增强SSL VPN服务的安全性。
有关数字证书和SSL服务器端策略的详细介绍,请分别参见“安全配置指导”中的“PKI”和“SSL”。
为了提高报文传输的安全性,设备SSL服务端策略缺省情况下仅支持TLS1.1及以上的SSL协议版本,因此要求iNode客户端也支持TLS1.1及以上的SSL协议版本,否则缺省情况下,无法成功登录iNode客户端。SSL VPN管理员可以将iNode客户端升级到最新版本,从而解决此问题。
(1) 进入系统视图。
system-view
(2) 创建SSL VPN网关,并进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置SSL VPN网关使用的接口。
interface interface-type interface-number
缺省情况下,未配置SSL VPN网关使用的接口。
(4) 配置SSL VPN网关使用的HTTPS端口号。
https-port port-number
缺省情况下,SSL VPN网关使用的HTTPS端口号为443。
(5) 配置SSL VPN网关引用的SSL服务器端策略。
ssl server-policy policy-name
缺省情况下,SSL VPN网关引用自签名证书的SSL服务器端策略。
(6) (可选)配置SSL VPN会话保持空闲状态的最长时间。
timeout idle minutes
缺省情况下,SSL VPN会话保持空闲状态的最长时间为30分钟。
(7) (可选)配置SSL VPN会话保持空闲状态的流量阈值。
idle-cut traffic-threshold kilobytes
缺省情况下,未配置SSL VPN会话保持空闲状态的流量阈值。
(8) 开启当前SSL VPN网关服务。
service { ipv4 | ipv6 } * enable
缺省情况下,当前SSL VPN网关服务均处于关闭状态。
SSL VPN用户认证配置任务如下:
(1) 配置基础认证功能
请至少选择如下一种或多种认证方式:
¡ 配置证书认证功能
(2) 配置组合认证功能
(3) (可选)配置认证参数
¡ 配置用户认证模式
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启用户名/密码认证功能。
password-authentication enable
缺省情况下,用户名/密码认证功能处于开启状态。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启证书认证功能。
certificate-authentication enable
缺省情况下,证书认证功能处于关闭状态。
(4) 配置SSL VPN用户证书中的指定字段取值作为SSL VPN用户名。
certificate username-attribute { cn | email-prefix | oid extern-id }
缺省情况下,使用SSL VPN用户证书中主题部分内的CN字段取值作为SSL VPN用户名。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启验证码验证功能。
verify-code enable
缺省情况下,验证码验证功能处于关闭状态。
用户名密码认证功能和证书认证功能都开启的情况下,可以通过authentication use命令来控制SSL VPN用户认证的认证模式。
· 若认证模式选用any-one,则用户只需要通过其中一种认证即可登录SSL VPN网关。
· 若认证模式选用all,则用户必须通过这两种认证(即用户名密码和证书的组合认证)方可登录SSL VPN网关。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置SSL VPN用户登录网关的认证模式。
authentication use { all | any-one }
用户可以在SSL VPN网关的资源页面,单击修改密码按钮,自助修改SSL VPN登录密码。目前仅支持通过iMC服务器认证的远程用户自助修改密码。
当用户自助修改密码功能关闭时,SSL VPN资源页面的个人设置按钮将处于隐藏状态,用户无法修改密码。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启用户修改SSL VPN登录密码功能。
password-changing enable
缺省情况下,用户修改SSL VPN登录密码功能处于开启状态。
关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
(4) 进入SSL VPN用户视图。
user username
(5) 开启用户修改SSL VPN登录密码功能。
password-changing enable
缺省情况下,用户修改SSL VPN登录密码功能处于开启状态。
本命令用于开启和关闭特定用户修改SSL VPN登录密码功能。
(6) 退回SSL VPN网关视图。
quit
(7) 配置iMC认证用户自助修改密码使用的iMC服务器。
self-service imc address { ip-address | ipv6 ipv6-address } port port-number
缺省情况下,未配置iMC认证用户自助修改密码使用的iMC服务器。
仅当iMC认证用户需要修改SSL VPN网关登录密码时,需要配置本命令指定改密使用的iMC服务器。
SSL VPN用户认证服务器类型包括:
· AAA认证服务器:设备使用AAA服务器对SSL VPN用户进行认证、授权和计费。有关AAA的配置,请参见“安全配置指导”中的“AAA”。
· 自定义认证服务器:用户根据实际需求,在本地搭建自定义的认证服务器,并配置自定义认证参数,实现对SSL VPN登录用户的认证和授权。自定义认证暂不支持计费功能。自定义认证参数的具体配置请参见“配置自定义认证服务器参数”。
· SMP认证服务器:SSL VPN网关可以通过SMP对接第三方认证平台,实现对SSL VPN用户的身份认证。SMP认证参数的具体配置请参见“配置SMP认证服务器参数”。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置认证服务器类型。
authentication server-type { aaa domain-name | custom custom-scheme-name | smp smp-scheme-name }
缺省情况下,未配置SSL VPN认证服务器类型。
SSL VPN用户认证、授权采用自定义认证服务器时,需要配置以下参数:
· 自定义认证服务器的URL地址:SSL VPN网关采用HTTP协议将认证请求报文发送到指定的URL地址。
· 自定义认证超时时间:SSL VPN网关向自定义认证服务器发送HTTP请求报文后,如果在超时时间内没有收到服务器的应答报文,则SSL VPN网关向SSL VPN客户端返回认证失败信息。
· 自定义认证的请求报文信息:SSL VPN网关根据该信息构造HTTP认证请求报文。认证请求报文信息包括HTTP请求方式、HTTP请求报文首部字段和认证信息请求模板。
· 自定义认证的应答报文信息:SSL VPN网关根据该信息解析接收到的认证应答报文。应答报文信息包括HTTP应答报文格式、HTTP应答报文中标识认证成功的应答值、HTTP应答报文的应答字段名和自定义应答模板。
(1) 进入系统视图。
system-view
(2) 创建自定义认证方案视图,并进入自定义认证方案视图。
sslvpn custom-authentication scheme scheme-name
(3) 配置自定义认证服务器的URL地址。
url url
缺省情况下,未配置自定义认证服务器的URL地址。
(4) 配置自定义认证的超时时间。
timeout seconds
缺省情况下,自定义认证的超时时间为15秒。
(5) 配置自定义认证的请求报文信息。
a. 配置自定义认证的HTTP请求方式。
request-method { get | post }
缺省情况下,自定义认证的HTTP请求方式为GET。
b. 配置自定义认证的HTTP请求报文首部字段。
request-header-field field-name value value
缺省情况下,自定义认证的HTTP请求报文首部字段内包含如下内容:Content-type:application/x-www-form-urlencoded
User-Agent:nodejs 4.1
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q
c. 配置自定义认证的认证信息请求模板。
request-template template
缺省情况下,未配置自定义认证的认证信息请求模板。
(6) 配置自定义认证的应答报文信息。
a. 配置自定义认证的HTTP应答报文格式。
response-format { custom | json | xml }
缺省情况下,自定义认证的HTTP应答报文格式为JSON。
b. 配置自定义认证的HTTP应答报文中标识认证成功的应答值。
response-success-value success-value
缺省情况下,未配置HTTP应答报文中标识认证成功的应答值。
c. 配置自定义认证的HTTP应答报文的应答字段名。
response-field { message message | result result }
缺省情况下,未配置HTTP应答报文的应答字段名。
当选择HTTP应答报文格式为JSON或XML时,需要配置HTTP应答报文的应答字段名。
d. 配置自定义认证的自定义应答模板。
response-custom-template { message | result } template
缺省情况下,未配置自定义认证的自定义应答模板。
只有HTTP应答报文格式选择了custom格式,才需要配置自定义认证的自定义应答模板。
SMP(Security Management Platform,安全业务管理平台),是一个可以对各安全产品进行统一管理的智能管理平台。SSL VPN网关可以通过SMP对接第三方认证平台,实现对SSL VPN用户的身份认证。通过SMP对接第三方认证平台,相对于SSL VPN网关直接对接第三方认证平台,可以简化SSL VPN网关的配置,且方便后续业务的扩展。
SSL VPN用户认证采用SMP认证服务器时,需要先创建SMP认证方案视图,并在该视图中配置以下参数:
· SMP对接的第三方认证平台类型:SSL VPN网关通过SMP对SSL VPN用户进行身份认证时,SSL VPN网关将通知SMP需要对接的第三方认证平台类型。SMP与该认证平台对接成功后,由该平台对SSL VPN用户进行身份认证,并将认证结果返回给SMP,SMP再将认证结果返回给SSL VPN网关。
· SMP的主机名或IP地址:SSL VPN网关将与本配置指定的SMP进行信息交互,从而对SSL VPN用户进行身份认证。此SMP的主机名由SMP提供,需要联系SMP管理员获取。
· SSL VPN网关与SMP建立连接时使用的密钥:SSL VPN网关与SMP建立连接时,SSL VPN网关需要向SMP提供本功能配置的密钥,SMP会使用该密钥验证SSL VPN网关的身份,验证通过后,才能建立连接。此密钥由SMP提供。
· SMP关联的VPN实例:配置本参数后,SMP包含的资源将属于关联的VPN实例,否则,SMP包含的资源将属于公网。
删除SMP认证方案视图的同时,该视图下的所有内容都将被删除,请慎重操作。
(1) 进入系统视图。
system-view
(2) 创建SMP认证方案视图,并进入SMP认证方案视图。
sslvpn smp-authentication scheme scheme-name
(3) 配置SMP对接的第三方认证平台类型。
smp-platform type paraview
缺省情况下,未配置SMP对接的第三方认证平台类型。
(4) 配置SMP的主机名或IP地址。
server-host host-name
缺省情况下,未配SMP的主机名或IP地址。
(5) 配置SSL VPN网关与SMP建立连接时使用的密钥。
secret-key { cipher | simple } string
缺省情况下,未配置SSL VPN网关与SMP建立连接时使用的密钥。
为了使内部服务器的应答报文正确返回给SSL VPN客户端,在内部服务器上需要配置到达SSL VPN客户端虚拟网卡所在网段的静态路由。
当设备上安装了多个安全业务板时,IP接入方式需要与NAT配合使用,确保同一条流量的正反向报文被引流到同一个安全业务板。
IP接入服务配置任务如下:
(1) 进入系统视图。
system-view
(2) 创建SSL VPN AC接口,并进入SSL VPN AC接口视图。
interface sslvpn-ac interface-number
(3) 配置接口的IPv4地址。
ip address ip-address { mask | mask-length }
缺省情况下,没有指定接口的IPv4地址。
(4) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽为10000000kbps。
期望带宽供业务模块使用,不会对接口实际带宽造成影响。
(5) (可选)配置当前接口的描述信息。
description text
缺省情况下,接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
(6) (可选)配置接口的MTU值。
mtu size
缺省情况下,接口的MTU值为1500字节。
(7) 开启当前接口。
undo shutdown
缺省情况下,SSL VPN AC接口均处于开启状态。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN AC接口视图。
interface sslvpn-ac interface-number
(3) 恢复当前接口的缺省配置。
default
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
SSL VPN网关下创建SSL VPN IP接入的地址池,在客户端通过验证后,SSL VPN网关将从创建的IP接入地址池中为客户端软件的虚拟网卡分配IP地址。
在SSL VPN网关下配置下发给IP接入客户端的IPv4和IPv6路由后,IP接入客户端将可以通过该路由访问指定网段内的服务器。
配置强制将客户端的IPv4或IPv6流量转发给SSL VPN网关后,SSL VPN网关将在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。
地址池中配置的网段需要满足以下要求:
· 不能和客户端物理网卡的IP地址在同一个网段。
· 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
· 不能和欲访问的内网地址在同一个网段。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置IP接入引用的SSL VPN AC接口。
ip-tunnel interface sslvpn-ac interface-number
缺省情况下,IP接入未引用SSL VPN AC接口。
(4) 创建SSL VPN IP接入的IPv4地址池。
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
(5) 创建SSL VPN IP接入的IPv6地址池。
ip-tunnel ipv6 address-pool start-ipv6-address end-ipv6-address prefix prefix-length
(6) 配置下发给客户端的IPv4路由。
ip-tunnel access-route ipv4-address { mask | mask-length }
缺省情况下,不存在下发给客户端的IPv4路由。
(7) 配置下发给客户端的IPv4例外路由。
ip-tunnel exclude-route ipv4-address { mask | mask-length }
缺省情况下,不存在下发给客户端的IPv4例外路由。
(8) 配置下发给客户端的IPv6路由。
ip-tunnel ipv6 access-route ipv6-address prefix-length
缺省情况下,不存在下发给客户端的IPv6路由。
(9) 配置下发给客户端的IPv6例外路由。
ip-tunnel ipv6 exclude-route ipv6-address prefix-length
缺省情况下,不存在下发给客户端的IPv6例外路由。
(10) (可选)配置强制将客户端的IPv4流量转发给SSL VPN网关。
ip-tunnel access-route force-all
缺省情况下,未配置强制将客户端的IPv4流量转发给SSL VPN网关。
(11) (可选)配置强制将客户端的IPv6流量转发给SSL VPN网关。
ip-tunnel ipv6 access-route force-all
缺省情况下,未配置强制将客户端的IPv6流量转发给SSL VPN网关。
(12) (可选)配置保活报文的发送时间间隔。
ip-tunnel keepalive seconds
缺省情况下,保活报文的发送时间间隔为30秒。
(13) (可选)配置为客户端指定的内网DNS服务器IPv4地址。
ip-tunnel dns-server { primary | secondary } ip-address
缺省情况下,未配置为客户端指定的DNS服务器IPv4地址。
(14) (可选)配置为客户端指定的内网DNS服务器IPv6地址。
ip-tunnel ipv6 dns-server { primary | secondary } ipv6-address
缺省情况下,未配置为客户端指定的DNS服务器IPv6地址。
(15) (可选)配置为客户端指定的内网WINS服务器地址。
ip-tunnel wins-server { primary | secondary } ip-address
缺省情况下,未配置为客户端指定的WINS服务器地址。
(16) (可选)开启通过Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
web-access ip-client auto-activate
缺省情况下,通过Web方式成功登录SSL VPN网关后自动启动IP客户端功能处于关闭状态。
(17) (可选)开启IP接入方式的限速功能,并配置限速速率。
ip-tunnel rate-limit { downstream | upstream } { kbps | pps } value
缺省情况下,IP接入方式的限速功能处于关闭状态。
为移动客户端配置SSL VPN接入服务配置任务如下:
(1) 为移动客户端指定EMO服务器
(2) (可选)为移动客户端指定Message服务器
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便移动客户端通过EMO服务器获取可以访问的服务资源。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置为客户端指定的EMO服务器。
ip-tunnel emo-server address { host-name | ipv4-address } port port-number
缺省情况下,未配置为客户端指定的EMO服务器。
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置为客户端指定的Message服务器。
ip-tunnel message-server address { host-name | ipv4-address } port port-number
缺省情况下,未配置为客户端指定的Message服务器。
缺省情况下,SSL VPN网关只允许用户以HTTPS方式登录访问,不允许用户以HTTP方式登录访问。配置HTTP重定向功能后,SSL VPN网关将监听指定的端口号,并把指定端口号的HTTP流量重定向到HTTPS服务监听的端口,向客户端发送重定向报文,让客户端重新以HTTPS方式登录。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启HTTP流量的重定向功能。
http-redirect [ port port-number ]
缺省情况下,未开启HTTP流量的重定向功能,SSL VPN网关不会处理HTTP流量。
SSL VPN支持基于角色对用户进行资源授权与访问控制,相同角色的用户具有相同的访问权限。角色是连接用户和资源的桥梁,可以将权限相同的用户加入某个角色,并在角色中引用资源,以及配置用户对资源的访问方式。
在角色中配置资源及配置用户对资源的访问方式的具体方法如下:
· 通过ip-tunnel address-pool命令或ip-tunnel ipv6 address-pool命令配置地址池,定义角色可分配的地址。
· 通过ip-tunnel access-route命令或ip-tunnel ipv6 access-route命令配置接入路由,定义角色可访问的内网路由。
· 通过ip-tunnel enable命令配置该角色中的用户对资源的IP接入访问方式。
SSL VPN用户成功登录SSL VPN网关后,SSL VPN网关通过身份识别模块查询该用户所属的身份识别角色信息,并查询所配置的SSL VPN网关中是否存在该角色,若存在该角色,则将该角色所拥有的资源授权给用户访问,并限定用户对资源的访问方式。当某个用户属于多个角色时,SSL VPN将对该用户进行合并授权,即该用户所具有的资源访问权限是多个角色内资源的合集。
如果SSL VPN网关通过身份识别模块查询到的用户所属身份识别角色在SSL VPN网关中没有配置,或者用户所属的身份识别角色中未配置任何资源,用户将无法通过角色授权方式访问资源。此时,用户仅可访问网关下的IP接入资源。
本功能配置的角色名称需要与身份识别模块配置的身份识别角色名称一一对应。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 创建角色,并进入角色视图。
role role-name
(4) 创建IPv4地址池。
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
缺省情况下,未配置IPv4地址池。
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
(5) 配置下发给客户端的IPv4路由。
ip-tunnel access-route ipv4-address { mask | mask-length }
缺省情况下,未配置下发给客户端的IPv4路由。
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,将通过虚拟网卡发送报文给SSL VPN网关,防止报文进入Internet。
(6) 配置下发给客户端的IPv4例外路由。
ip-tunnel exclude-route ipv4-address { mask | mask-length }
缺省情况下,不存在下发给客户端的IPv4例外路由。
(7) 配置强制将客户端的IPv4流量转发给SSL VPN网关。
ip-tunnel access-route force-all
缺省情况下,未配置强制将客户端的IPv4流量转发给SSL VPN网关。
配置本功能后,SSL VPN网关将在客户端上添加优先级最高的缺省IPv4路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的IPv4流量都通过虚拟网卡发送给SSL VPN网关。
(8) 配置下发给客户端的IPv6路由表项。
ip-tunnel ipv6 access-route ipv6-address prefix-length
缺省情况下,未指定下发给客户端的IPv6路由表项。
客户端通过IP接入方式访问网关时,网关将指定的IPv6路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。
(9) 配置下发给客户端的IPv6例外路由。
ip-tunnel ipv6 exclude-route ipv6-address prefix-length
缺省情况下,不存在下发给客户端的IPv6例外路由。
(10) 配置强制将客户端的IPv6流量转发给SSL VPN网关。
ip-tunnel ipv6 access-route force-all
缺省情况下,未配置强制将客户端的IPv6流量转发给SSL VPN网关。
执行本命令后,SSL VPN网关将在客户端上添加优先级最高的缺省IPv6路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv6路由表项的IPv6流量都通过虚拟网卡发送给SSL VPN网关。
(11) 开启角色的IP接入功能。
ip-tunnel enable
缺省情况下,角色的IP接入功能处于关闭状态。
通过配置SSL VPN在线用户控制,可以控制SSL VPN登录用户的上下线和在线数量。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 强制在线用户下线。
force-logout { all | user-id user-id | username user-name }
(4) 配置SSL VPN网关的最大在线用户数。
max-online-users per-gateway max-number
缺省情况下,SSL VPN网关的最大在线用户数为1048575。
(5) 配置同一用户名的同时最大在线数。
max-onlines per-account number
缺省情况下,同一用户名的同时最大在线数为32。
(6) 开启达到最大在线数时的用户强制下线功能。
force-logout max-onlines per-account enable
缺省情况下,达到最大在线数时的用户强制下线功能处于关闭状态。
本功能用于限制SSL VPN网关下SSL VPN会话的速率,超过此速率之后,此SSL VPN会话相应方向的报文将会被丢弃。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启SSL VPN会话的限速功能,并配置限速速率。
rate-limit { downstream | upstream } value
缺省情况下,SSL VPN会话的限速功能处于关闭状态。
SSL VPN防暴力破解功能指,通过限制同一IP地址尝试登录SSL VPN网关的次数,降低登录信息被暴力破解的风险。
当同一IP地址连续登录SSL VPN网关失败(即两次登录失败的间隔在45秒内)的次数达到SSL VPN网关管理员设置的限制次数时,SSL VPN网关将冻结该IP地址,在冻结期间内,禁止该IP地址再次登录此SSL VPN网关。当达到冻结时间后,被冻结的IP地址将自动解冻。如果想立即解冻被冻结的IP地址,可以执行prevent-cracking unfreeze-ip命令手工解冻。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启防暴力破解冻结IP地址功能。
prevent-cracking freeze-ip enable
缺省情况下,防暴力破解冻结IP地址功能处于关闭状态。
(4) (可选)设置防暴力破解冻结IP地址功能参数。
prevent-cracking freeze-ip login-failures login-failures freeze-time freeze-time
缺省情况下,允许同一IP地址连续登录网关失败的次数为64次,IP地址被冻结的时间为30秒。
(5) 开启防暴力破解验证码验证功能。
prevent-cracking verify-code enable
缺省情况下,防暴力破解验证码验证功能处于关闭状态。
(6) (可选)设置防暴力破解验证码验证功能参数。
prevent-cracking verify-code login-failures login-failures
缺省情况下,允许同一IP地址连续登录SSL VPN网关失败的次数为5次。
(7) (可选)手工解冻防暴力破解冻结的IP地址。
prevent-cracking unfreeze-ip { all | { ipv4 | ipv6 } ip-address }
当需要限制用户使用某些类型的接入客户端软件登录SSL VPN网关时,可通过配置本功能禁用该类型接入客户端软件。
浏览器被禁用后,已登录用户和新用户均无法使用浏览器登录SSL VPN网关;当浏览器解除禁用后,用户需要刷新登录页面重新登录。其他类型接入客户端软件被禁用后,仅对新登录用户生效,已登录用户不受影响。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置禁用的SSL VPN接入客户端软件类型。
access-deny-client { browser | mobile-inode | pc-inode } *
缺省情况下,不限制SSL VPN用户登录SSL VPN网关使用的接入客户端软件类型。
正常情况下,SSL VPN用户下载的IP接入客户端是存储在设备上的,但是对于一些存储空间较小的设备,无法在设备上部署IP接入客户端。
为了解决此问题,SSL VPN网关管理员可以通过本功能配置IP接入客户端的下载路径为官网或者自定义的URL地址。此时,设备既可以节省存储空间,同时SSL VPN用户也可以正常的下载IP接入客户端。设备支持配置Windows、Mac、Linux系统的IP接入客户端下载路径。
(1) 进入系统视图。
system-view
(2) 配置Windows、Mac、Linux系统的IP接入客户端下载路径。
sslvpn ip-client download-path { { common | kylin | uos } { linux-arm | linux-loongarch | linux-mips | linux-x86 } url url | mac url url | windows { local | official | url url } }
缺省情况下,Mac、Linux系统的IP接入客户端下载路径为官网。对于Windows系统,若设备已打包了IP接入客户端,则IP接入客户端的下载路径为设备的根目录;若设备未打包IP接入客户端,则IP接入客户端的下载路径为官网。
若在SSL VPN网关视图下设置了自定义页面模板(即执行webpage-template命令),则SSL VPN页面定制视图下定制的页面信息不再生效。
管理员可以根据需要对SSL VPN页面进行个性化定制。目前,支持的页面定制项包括:登录页面欢迎信息、登录页面是否显示密码输入框、页面标题、logo图标、登录页面和资源页面公告信息、资源页面供用户下载的资源文件、修改密码页面密码复杂度提示信息、改写服务器返回信息。
(1) 进入系统视图。
system-view
(2) 创建SSL VPN页面定制视图,并进入SSL VPN页面定制视图。
webpage customization
(3) 配置SSL VPN登录页面的欢迎信息。
login-message { chinese chinese-message | english english-message }
缺省情况下,英文登录页面的欢迎信息为“Welcome to SSL VPN”,中文登录页面的欢迎信息为“欢迎进入SSL VPN”。
(4) 隐藏SSL VPN登录页面的密码输入框。
password-box hide
缺省情况下,SSL VPN登录页面显示密码输入框。
(5) 配置SSL VPN页面的标题信息。
title { chinese chinese-title | english english-title }
缺省情况下,SSL VPN页面的标题为“SSL VPN”。
(6) 配置SSL VPN页面上显示的logo。
logo { file file-name | none }
缺省情况下,SSL VPN页面上显示“H3C”logo图标。
(7) 配置登录页面和资源页面的公告信息。
notify-message { login-page | resource-page } { chinese chinese-message | english english-message }
缺省情况下,未配置公告消息。
(8) 配置SSL VPN资源页面供用户下载的资源文件。
resources-file { chinese chinese-filename | english english-filename }
缺省情况下,未配置SSL VPN资源页面供用户下载的资源文件。
(9) 配置修改密码页面的密码复杂度提示信息。
password-complexity-message { chinese chinese-message | english english-message }
缺省情况下,未配置密码复杂度提示信息。
本命令配置的中英文页面密码复杂度提示信息将在SSL VPN修改密码页面显示,用于提示用户输入满足密码复杂度要求的新密码。
(10) 改写服务器返回信息。
rewrite server-response-message server-response-message { chinese chinese-message | english english-message }
缺省情况下,SSL VPN网关不改写服务器返回信息。
SSL VPN页面模板起到限定SSL VPN网关登录页面和资源页面风格的作用。设备支持在系统视图与SSL VPN网关视图下分别设置SSL VPN页面模板,两种模板的作用域不同:
· 对于在系统视图下设置的SSL VPN页面模板,称为SSL VPN全局页面模板,其作用域为所有SSL VPN网关。
· 对于在SSL VPN网关视图下设置的SSL VPN页面模板,其作用域为该SSL VPN网关。
若在系统视图与SSL VPN网关视图下同时设置了页面模板,SSL VPN网关视图下设置的页面模板生效。
在Web管理页面,上传自定义页面模板至设备的文件系统中。
(1) 进入系统视图。
system-view
(2) 设置SSL VPN全局页面模板。
sslvpn webpage-template template-name
缺省情况下,SSL VPN全局页面模板为系统缺省模板。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 设置SSL VPN页面模板。
webpage-template template-name
缺省情况下,未设置SSL VPN页面模板,使用SSL VPN全局页面模板。
开启SSL VPN日志记录功能后,SSL VPN网关会记录日志信息,并发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。(有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。)
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启用户上下线日志生成功能。
log user-login enable
缺省情况下,用户上下线日志生成功能处于关闭状态。
(4) 开启用户资源访问日志生成功能。
log resource-access enable [ brief | filtering ] *
缺失情况下,用户访问资源日志生成功能处于关闭状态。
(5) 开启IP接入的日志生成功能。
log ip-tunnel { address-alloc-release | connection-close | packet-drop }
缺省情况下,IP接入的日志功能处于关闭状态。
可在任意视图下执行以下命令:
· 显示SSL VPN AC接口的相关信息。
display interface sslvpn-ac [ interface-number ] [ brief [ description | down ] ]
· 显示SSL VPN网关的信息。
display sslvpn gateway [ brief | name gateway-name ]
· 显示通过IP接入的SSL VPN用户的报文统计信息。
display sslvpn ip-tunnel statistics [ gateway gateway-name ] [ user user-name ]
· 显示被防暴力破解功能冻结的IP地址信息。
display sslvpn prevent-cracking frozen-ip { statistics | table } [ gateway gateway-name ]
· 显示SSL VPN页面模板信息。
display sslvpn webpage-template
请在用户视图下执行以下命令:
· 清除SSL VPN AC接口的统计信息。
reset counters interface [ sslvpn-ac [ interface-number ] ]
· 清除通过IP接入的SSL VPN在线用户的报文统计信息。
reset sslvpn ip-tunnel statistics [ gateway gateway-name [ user-id user-id ] ]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
