F1060 V7防火墙SSLvpn 配合AD域的配置案例

IP接入方式配置举例（LDAP认证）

组网需求

一、配置需求

如图-161 所示，SSL VPN 网关设备连接公网用户和企业私有网络。用户通过SSL VPN 网关、采用IP 接入方式能够安全地访问私有网络内的Server。具体需求如下：

• SSL VPN 网关设备通过LDAP Server 对用户进行远程认证和授权。

• 为了增强安全性，需要验证客户端证书。

• 为了增强安全性，服务器端证书不使用缺省证书，需向CA 申请。

图-161 配置IP 接入方式组网图（LDAP 认证）

 

二、配置注意事项

• 为客户端地址池配置的网段需要满足以下要求：

○ 不能和客户端物理网卡的IP 地址在同一个网段。

○ 不能包含SSL VPN 网关所在设备的接口地址，否则会导致地址冲突。

○ 不能和欲访问的内网地址在同一个网段。

• SSL VPN AC 接口需要加入安全域，且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。

配置步骤

三、配置步骤

Device的配置

1. 配置接口IP 地址和安全域

# 选择“网络> 接口> 接口”，进入接口配置页面。

# 选中接口GE1/0/1 前的复选框，单击<编辑>按钮，参数配置如下：

• 加入安全域：Untrust

• IP 地址/掩码：1.1.1.2/24

• 其他配置项使用缺省值

# 选中接口GE1/0/2 前的复选框，单击<编辑>按钮，参数配置如下：

• 加入安全域：Trust

• IP 地址/掩码：2.2.2.2/24

• 其他配置项使用缺省值

# 选中接口GE1/0/3 前的复选框，单击<编辑>按钮，参数配置如下：

• 加入安全域：Trust

• IP 地址/掩码：3.3.3.1/24

• 其他配置项使用缺省值

2. 配置安全策略，过程略

3. 申请服务器端证书

# 选择“对象> PKI > 证书主题”，进入证书主题界面，单击<新建>按钮，参数配置如下图所示。

图-162 证书主题配置

# 单击<确定>按钮。

# 选择“对象> PKI > 证书”，进入证书页面，单击<新建PKI 域>按钮，参数配置如下图所示。

图-163 PKI 域配置

# 单击<确定>按钮。

# 单击<提交申请>按钮，申请服务器端证书，参数配置如下图所示。

图-164 申请服务器端证书

# 单击<确定>按钮，页面会显示公钥，如下图所示。

图-165 公钥信息

# 将公钥信息复制，向CA 申请服务器端证书（本例CA 服务器为Windows Server 2008 R2）。单击<确定>按钮。

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-166 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-167 证书申请页面

# 单击<高级证书申请>按钮，将复制的公钥信息粘贴至“Base-64 编码的证书申请”输入框，如下图所示。

图-168 证书申请页面

# 单击<提交>按钮，完成证书申请。

# 待CA 管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-169 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-170 查看挂起的证书申请的状态

# 单击<保存的证书申请>按钮，跳转页面如下图所示。

图-171 下载申请的证书

# 单击<下载证书>按钮，下载申请的服务器端证书，并保存好。

4. 下载 CA 证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-172 证书申请页面

# 单击<下载CA 证书、证书链或CRL>按钮，跳转页面如下图所示。

图-173 下载CA 证书

# 单击<下载CA 证书>按钮，下载CA 证书，并保存好。至此，证书申请工作已全部完成。

5. 导入证书

# 选择“对象> PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的CA 证书，配置如下图所示。

图-174 导入CA 证书

# 单击<确定>按钮，完成CA 证书的导入。

# 选择“对象> PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的服务器端证书，配置如下图所示。

图-175 导入本地证书

# 单击<确定>按钮，完成本地证书的导入。

6. 配置 SSL 的服务器端策略

# 选择“对象> SSL > 服务器端策略”，进入SSL 服务器端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-176 配置服务器端策略

# 单击<确定>按钮，完成配置。

7. 配置 SSL 的客户端策略

# 选择“对象> SSL > 客户端策略”，进入SSL 客户端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-177 配置客户端策略

# 单击<确定>按钮，完成配置。

8. 配置 LDAP 服务器、LDAP 方案、LDAP 属性映射表和ISP 域

# 配置LDAP 服务器ldap1。

<Device> system-view

[Device] ldap server ldap1

[Device-ldap-server-ldap1] login-dn

cn=administrator,cn=users,dc=ldap,dc=com

[Device-ldap-server-ldap1] search-base-dn

ou=sslvpn_usergroup,dc=ldap,dc=com

[Device-ldap-server-ldap1] ip 3.3.3.3

[Device-ldap-server-ldap1] login-password simple 123456

[Device-ldap-server-ldap1] quit

134

# 配置LDAP 属性映射表test。

[Device] ldap attribute-map test

[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn=

delimiter , aaa-attribute user-group

[Device-ldap-attr-map-test] quit

# 配置LDAP 方案shm1。

[Device] ldap scheme shm1

[Device-ldap-shm1] authentication-server ldap1

[Device-ldap-shm1] authorization-server ldap1

[Device-ldap-shm1] attribute-map test

[Device-ldap-shm1] quit

# 配置ISP 域sslvpn。

[Device] domain sslvpn

[Device-isp-sslvpn] state active

[Device-isp-sslvpn] authentication sslvpn ldap-scheme shm1

[Device-isp-sslvpn] authorization sslvpn ldap-scheme shm1

[Device-isp-sslvpn] accounting sslvpn none

[Device-isp-sslvpn] quit

9. 配置用户组

# 选择“对象> 用户> 用户管理> 本地用户> 用户组”，进入用户组页面，参数配置如下图所示。

图-178 配置用户组

# 单击<确定>按钮，完成配置。

10. 配置 SSL VPN 网关

# 选择“网络> SSL VPN > 网关”，进入SSL VPN 网关页面，单击<新建>按钮，创建SSL VPN 网

关，参数配置如下图所示。

图-179 配置SSL VPN 网关

# 单击<确定>按钮，完成配置。

11. 创建 SSL VPN AC 接口

# 选择“网络> SSL VPN > IP 接入接口”，进入SSL VPN 接入接口页面。单击<新建>按钮，创建SSL VPN 接入接口，参数配置如下图所示。

图-180 创建IP 接入接口

# 单击<确定>按钮。

# 将该接口加入到Untrust 安全域，过程略。

12. 创建 SSL VPN 客户端地址池

# 选择“网络> SSL VPN > 客户端地址池”，进入SSL VPN 客户端地址池页面。单击<新建>按钮，创建SSL VPN 客户端地址池，参数配置如下图所示。

图-181 创建客户端地址池

# 单击<确定>按钮。

13. 配置 SSL VPN 访问实例

# 选择“网络> SSL VPN > 访问实例”，进入SSL VPN 访问实例页面，单击<新建>按钮，创建SSL

VPN 访问实例，参数配置如下图所示。

图-182 新建访问实例

# 单击<下一步>，在跳转的页面选择“IP 业务”，单击<下一步>。配置IP 业务，参数配置如下图所示。

图-183 配置IP 业务

# 单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示（本例的IPv4 ACL 3999 规则为允许通过所有流量）。

图-184 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-185 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-186 使能访问实例

LDAP Server的配置

本例使用的Windows Server 2008 R2 作为LDAP Server。

1. 创建用户组

在 LDAP 服务器上，选择[开始/管理工具]中的[Active Directory 用户和计算机]，打开Active Directory用户管理界面，在Active Directory 用户管理界面的左侧导航树中，单击“***.***”，右键单击“Users”，新建组“sslvpn_usergroup”，如下图所示。

图-187 创建用户组

# 单击<确定>按钮，完成配置。

2. 创建用户

在 LDAP 服务器上，选择[开始/管理工具]中的[Active Directory 用户和计算机]，打开Active Directory用户管理界面，在Active Directory 用户管理界面的左侧导航树中，右键单击“***.***”，新建组织单位“sslvpn_usergroup”，如下图所示。

图-188 新建组织单位

# 右键单击“sslvpn_usergroup”，新建用户，参数配置如下图所示。

图-189 创建用户

# 单击<下一步>，设置密码（密码为123456）。

图-190 设置密码

# 单击<下一步>，完成用户的创建。

# 右键单击创建的用户“user1”，选择属性，设置该用户隶属于用户组“sslvpn_usergroup”，如下图所示。

图-191 设置用户所示用户组

# 单击<确定>，完成配置。

Host配置

1. 配置 IP 地址、网关，保证到SSL VPN 网关、CA 服务器的路由可达。

2. 申请客户端证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-192 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-193 证书申请页面

# 单击<高级证书申请>按钮，在跳转的页面选择<创建并向此CA 提交一个申请>，申请客户端证书，参数配置如下图所示。

图-194 申请客户端证书

# 其余选用默认配置，单击页面最下方的<提交>按钮，提交客户端证书申请。

# 待CA 管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-195 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-196 查看挂起的证书申请的状态

# 单击<客户端身份验证证书>，跳转页面如下图所示

图-197 安装客户端证书

# 单击<安装此证书>，如果之前没有安装CA 证书，那么会出现如下图所示的页面（如果之前已安装过CA 证书，则不会出现该提示）。

图-198 提示安装CA 证书

# 单击<请安装该CA 证书>，安装CA 证书，CA 证书安装成功后，再单击<安装此证书>，显示如下图所示的页面代表客户端证书安装成功。

图-199 证书安装成功

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后跳转到域列表选择页面，如下图所示。

图-200 域列表界面

# 单击“domainip”，跳转到SSL VPN 登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-201 SSL VPN 登录界面

# 单击<登录>按钮，可以成功登录。

# 成功登录后在浏览器页面找到如下图所示的区域。

图-202 启动IP 客户端

# 单击<启动>按钮，启动IP 客户端，系统会自动下载iNode客户端（如果Host之前没有安装过iNode客户端），下载完成后会自动启动iNode 客户端，并登录SSL VPN 网关，成功登录后如下图所示。

图-203 iNode 客户端