資源描述:
《華為USG配置SSLVPN》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1��、華為USG配置SSLVPN說明:本文將在USG2200平臺(tái)創(chuàng)建SSLVPN����,使用LDAP做認(rèn)證服務(wù)器,做網(wǎng)絡(luò)擴(kuò)展���。如下1-4點(diǎn)是個(gè)人的理解��,不認(rèn)同可跳過�����。本文使用網(wǎng)頁為主要配置手段���,CLI輔助,網(wǎng)頁配置之后��,CLI是可以查看配置信息的����。1.前提a)USG接口配置完畢,外部IP可以跟接口公網(wǎng)IP互通�����;b)SSLVPN連接成功后���,USG將作為外部IP的“代理”���,所以必須確保所部署的服務(wù)器都必須跟USG連通。(WEB代理��、端口映射必須跟被代理/映射的服務(wù)器連通���,網(wǎng)絡(luò)拓展必須跟被訪問的網(wǎng)絡(luò)互通)���。2.VPN類型a)WEB代理/文件共享USG將后端服務(wù)以W
2、EB的形式呈現(xiàn)給SSLVPN用戶�����,通俗理解就是轉(zhuǎn)碼;b)端口映射USG將后端服務(wù)跟SSLVPN互通���,除了NAT等必須的轉(zhuǎn)換之外��,USG不做其他的內(nèi)容改變����;c)網(wǎng)絡(luò)拓展USG不是嚴(yán)格意義上的代理��,只是用戶地址段的直連路由器�,用戶能訪問策略允許的任何內(nèi)網(wǎng)資源。3.VPN業(yè)務(wù)流程a)客戶端跟USG之間的SSL連接這一步還未涉及到用戶信息驗(yàn)證�����,使用華為的SVN客戶端一般都沒問題�����。b)USG將用戶通過SSL上傳的認(rèn)證信息做驗(yàn)證(本地����、LDAP、RADIUS)建議先做本地的VPNDB認(rèn)證��,成功之后再考慮LDAP、RADIUS認(rèn)證�����,有序排錯(cuò)�。c)用戶訪問指定資
3��、源這一步主要是涉及用戶策略和USG到后臺(tái)的互聯(lián)互通問題����。4.注意事項(xiàng)a)USG的網(wǎng)頁兼容性不好,可能會(huì)給配置過程造成困擾�����;b)IE11��、火狐��、Chrome均有問題�,360瀏覽器沒問題(我是做廣告的嗎?)��。主要是在填寫IP地址��,搜索外部服務(wù)器組的時(shí)候。c)網(wǎng)頁版的配置�����,有些在CLI找不到����,比如VPNDB,外部服務(wù)器組�。(能力有限?)d)創(chuàng)建VPN虛擬網(wǎng)關(guān)的時(shí)候�,USG會(huì)默認(rèn)創(chuàng)建AAA組和LDAP/RADIUS組(煩!)e)虛擬網(wǎng)關(guān)的認(rèn)證域是不能指定的��,名字必須是網(wǎng)關(guān)名字.dom�,這個(gè)它會(huì)自己生成。但是這個(gè)域下面的認(rèn)證配置是可以修改的5.配置LDAP
4�����、服務(wù)器使用微軟的WIN2008SERVERR2的AD�����,創(chuàng)建test.com的域,并在該域下面創(chuàng)建一級(jí)OU����,名字“公司”;二級(jí)OU���,名字“測(cè)試部”���,測(cè)試部門下面放的用戶是test�����;二級(jí)OU����,名字“管理員”,用戶admin�。所以,使用LDAP瀏覽器(Xplore�����,LDAP瀏覽器)可以看到test的DN是”cn=test,ou=測(cè)試部,ou=公司,dc=test,dc=com”��;admin的DN是”cn=admin,ou=管理員,ou=公司,dc=test,dc=com”。Admin是用來對(duì)用戶的信息做認(rèn)證和同步的��,test是VPN用戶�。6.配置USG
5、a)新建虛擬網(wǎng)關(guān)VPN?SSLVPN?虛擬網(wǎng)關(guān)管理�,新建;填寫網(wǎng)關(guān)名字���,類型獨(dú)占��,IP地址�����,域名�����,最大并發(fā)用戶數(shù)�����;關(guān)于類型是共享或者獨(dú)占����、網(wǎng)關(guān)域名究竟是什么用,我沒查到相關(guān)資料��。b)創(chuàng)建完成之后���,可以在虛擬網(wǎng)關(guān)列表看到當(dāng)前所擁有的網(wǎng)關(guān)列表��。USG支持多網(wǎng)關(guān)并發(fā)��,并且互相之間不影響�。在創(chuàng)建虛擬網(wǎng)關(guān)之后��,系統(tǒng)默認(rèn)自動(dòng)創(chuàng)建了LDAP���,RADIUS,AAA的認(rèn)證��、授權(quán)模板�����。(視需要�����,我們可以使用自己配置的信息,刪除自動(dòng)生成的配置�。)如下圖,我們可以配置的內(nèi)容:i.網(wǎng)絡(luò)配置(必選)��,包括DNS信息����。這是下發(fā)給SSLVPN客戶端的;ii.SSL配置(可選)����,
6、這是配置客戶端跟USG協(xié)商SSL連接的����,建議按最嚴(yán)格配置,視懶惰情況勾選“生命周期無限制”iii.認(rèn)證授權(quán)配置(必選)��,這是配置SSL連接建立后��,USG如何處理客戶端拋上來的用戶認(rèn)證信息����。建議先用本地認(rèn)證(VPNDB)做測(cè)試,再做成LDAP或者RADIUS�。一步到位可能不是好事�����,特別是在配置不成功需要排錯(cuò)的情況下����。iv.策略配置(必選)��,默認(rèn)是全部允許的�。v.VPNDB配置(可選),這是本地用戶信息配置��,在上述認(rèn)證授權(quán)配置選擇“VPNDB”時(shí)候必須配置��。vi.外部組配置(可選)���,這是將認(rèn)證服務(wù)器上面的組信息同步到本地,在上述認(rèn)證授權(quán)配置選擇“LD
7��、AP“或者”RADIUS“時(shí)必選�����。(有說法是下一代防火墻是可以不配置的���,沒測(cè)試���,沒發(fā)言權(quán))vii.WEB代理�、文件共享����、端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)擴(kuò)展(可選)�����,這是對(duì)應(yīng)USG提供的SSLVPN功能的�����,視需要開啟��。本文介紹網(wǎng)絡(luò)擴(kuò)展��。viii.日志管理�����、在線監(jiān)控��、虛擬網(wǎng)關(guān)維護(hù)(可選),這是監(jiān)控和排錯(cuò)用的���。c)通過上述說明����,我們需要做的配置包括:網(wǎng)絡(luò)配置�,SSL配置,認(rèn)證授權(quán)配置��,策略配置��,外部組配置����,網(wǎng)絡(luò)擴(kuò)展。VPNDB配置不介紹����,就是新建用戶而已。i.網(wǎng)絡(luò)配置���,填寫內(nèi)網(wǎng)DNS信息即可。用戶VPN回來經(jīng)常要使用內(nèi)部資源����,所以使用內(nèi)外DNS�。ii.SSL配置使用最
8�、高算法的SSL,勾選生命周期無限制(懶…�����,或者叫用戶體驗(yàn)吧?。_@部分在官方文檔有比較好的說明���。iii.認(rèn)證授權(quán)配置認(rèn)證方式使用LDAP
