• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

V7防火墙SSLVPN配合IMC密码+动态短信验证码认证配置指导

2018-04-25 发表
  • 3关注
  • 16收藏 9605浏览
粉丝:25人 关注:0人

此配置指导为sslvpn用户提供用户名 密码认证+短信动态密码验证,验证成功后不同的用户访问不同的资源,此处短信验证码由IMC模拟生成,也就是此处短信验证网关为IMC。

SSLVPN网关配置:

object-group ip address client

 security-zone Trust

 0 network subnet 100.0.0.0 255.255.255.0

#连接radius服务器接口     

interface GigabitEthernet1/0/0

 port link-mode route

 ip address 192.168.207.109 255.255.255.0

#连接客户端接口

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 10.0.0.1 255.255.255.0

#连接server

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 20.0.0.1 255.255.255.0

#连接server

interface GigabitEthernet1/0/5

 port link-mode route

 ip address 30.0.0.1 255.255.255.0

#

interface SSLVPN-AC0

 ip address 100.0.0.1 255.255.255.0

#

object-policy ip test

 rule 0 pass

#

security-zone name Local

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name DMZ

 import interface GigabitEthernet1/0/0

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

 import interface GigabitEthernet1/0/5

 import interface SSLVPN-AC0

#

line class console

 authentication-mode scheme

 user-role network-admin

#

line class vty

 user-role network-operator

#

snmp-agent

 snmp-agent community write simple public

 snmp-agent community read simple private

 snmp-agent sys-info version all #

 ssh server enable

#

acl advanced 3000

 rule 0 permit ip

#定义用户1要放通的资源

acl advanced 3001

 rule 0 permit ip destination 192.168.207.21 0

 rule 5 permit ip destination 20.0.0.0 0.0.0.255

#定义用户2要放通的资源

acl advanced 3002

 rule 0 permit ip destination 192.168.207.21 0

 rule 5 permit ip destination 30.0.0.0 0.0.0.255

#定义radius策略

radius scheme sslvpn

 primary authentication 192.168.207.21 key cipher $c$3$boCg8c0zTBdZfNqxnwb+lfY5np1v0A==

 primary accounting 192.168.207.21 key cipher $c$3$sGszy2vBnB1kqAh4zBjSPq6fmAEziQ==

 key authentication cipher $c$3$x128ZL/hdtnZnH977NGlgHp/wP0T1w==

 key accounting cipher $c$3$toEtuJMyfuE6m7QeGThQVBwdyS/oCQ==

 user-name-format without-domain

#

domain sslvpn

 authentication sslvpn radius-scheme sslvpn

 authorization sslvpn radius-scheme sslvpn

 accounting sslvpn radius-scheme sslvpn

#

 

#

user-group usergroup

 authorization-attribute sslvpn-policy-group pgroup

#

user-group usergroup1

 authorization-attribute sslvpn-policy-group pgroup1

#配置PKI

pki domain sslvpn

 public-key rsa general name sslvpn

 undo crl check enable

#配置ssl策略

ssl server-policy ssl

 pki-domain sslvpn

#配置netconf参数

 netconf soap http enable

 netconf soap https enable

 netconf ssh server enable

#

 ip https enable

 webui log enable

#配置SSLVPN IP接入地址池

sslvpn ip address-pool ippool 100.0.0.2 100.0.0.254

#配置SSLVPN网关

sslvpn gateway gw

 ip address 10.0.0.1 port 2000

 ssl server-policy ssl

 service enable

#

sslvpn context ctx

 gateway gw

 ip-tunnel interface SSLVPN-AC0

 ip-tunnel address-pool ippool mask 255.255.255.0

#配置用户1可以访问的路由列表

 ip-route-list iplist

  include 20.0.0.0 255.255.255.0

  include 192.168.206.0 255.255.254.0

#配置用户2可以访问的路由列表

 ip-route-list iplist1

  include 30.0.0.0 255.255.255.0

  include 192.168.206.0 255.255.254.0

#配置IP接入要访问的资源快捷方式

 shortcut resource1

  execution url('20.0.0.3:81')

 shortcut-list resource1

  resources shortcut resource1

 

shortcut resource2

  execution url('30.0.0.3:81')

 shortcut-list resource2

  resources shortcut resource2

#配置用户1的资源池

 policy-group pgroup

  filter ip-tunnel acl 3001

  ip-tunnel access-route force-all

  ip-tunnel access-route ip-route-list iplist

  resources shortcut-list resource1

#配置用户2的资源池

 policy-group pgroup1

  filter ip-tunnel acl 3002

  ip-tunnel access-route ip-route-list iplist1

  resources shortcut-list resource2

 aaa domain sslvpn

#配置短信网关

 sms-imc address 192.168.207.21 port 8080

 sms-imc enable

 service enable

#配置安全策略

security-policy ip

 rule 0 name test

  action pass

  source-zone Trust

  source-zone Local

  destination-zone Local

  destination-zone Trust

 rule 1 name managent

  action pass

  source-zone DMZ

  source-zone Local

  destination-zone Local

  destination-zone DMZ

 rule 2 name sslvpn

  action pass

  source-zone Trust

  destination-zone Untrust

  source-ip client

 rule 3 name radius

  action pass

  source-zone Trust

  source-zone DMZ

  destination-zone Trust

  destination-zone DMZ

 rule 4 name untrust-untrust

  action pass

  source-zone Untrust

  destination-zone Untrust

 rule 5 name dmz-untrust

  action pass

  counting enable

  source-zone Untrust

  destination-zone DMZ

#

 

客户端配置:

 

INODE客户端默认是不支持短信验证码的,需要手工定制SSLVPN支持短信验证码。

1) 打开INODE管理中心,点击客户端定制,在网络接入组件中勾选SSLVPN,点击高级定制,进入高级定制配置页面

 

2) 进入“基本功能项”,勾选“启用短信动态密码校验”,输入短信网关的地址和端口,这的地址和端口随便输入,因为短信网关在sslvpn网关设备上配置了。

 

3) 点完成进入客户端定制页面,此处勾选生成客户端安装包或者静默安装都可以

 

4) 安装定制好的inode客户端。

 

IMC配置:

 

1)资源---增加设备

 

2)增加接入设备

 

点击增加。

 

输入 认证端口 计费端口 共享密钥,选择接入设备。

选择接入设备。

3)配置接入策略,不同的用户组下发不同的接入策略。

进入接入策略配置视图,点击增加。

 

配置用户1的接入策略sslvpn,下发用户组usegroup,认证密码方式选择 账号密码+动态密码。

配置用户2的接入策略,下发用户组usergroup1,认证密码方式选择 账号密码+动态密码。

3)配置接入服务

配合用户1的接入服务sslvpn,引用用户1的接入策略sslvpn。

配置用户2的接入服务sslvpn1,引用用户2的接入策略sslvpn。

4) 配置接入用户

配置用户1,引用接入服务sslvpn。

配置用户2,引用接入服务sslvpn1。

5) 配置短信网关

放入jar包,将imc_sms_test(2014-2-11.new).jar包放入iMC安装环境下的一下目录

C:\Program Files\iMC\client\repository\imc\jars

iMC前台短信网关配置,进入以下“短信业务中心配置”页面,选择“其他厂商短信平台”,点击“确定”即可。

 

重启jserver进程即可,短信验证码记录在日志文件\iMC\client\log\imcforeground.log中。

请注意:必须是先放入jar包,再重启jserver,配置才能生效。有些旧的平台版本不支持,E0303版本及以上应该都支持。

 

注意事项:

Inode默认定制好后,虽然定制了短信验证码功能,但是短信验证码默认是不启用的,需要手工启用。

打开inode客户端,点击右下角管理中心进入管理中心配置页面,选择SSL VPN右键属性,勾选“使用短信动态密码校验”。

 

输入sslvpn网关地址和端口号,用户名 密码 短信验证码点击连接。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
2 个评论
粉丝:0人 关注:0人

iNode EMO  有没有这个功能?jar包哪里可以下载。?

粉丝:19人 关注:12人

目前防火墙只支持HTTP接入短信网关,注意防火墙配置的短信网关地址写IMC地址,端口固定8080,IMC新版本开启了仅启用HTTPS访问,这个需要关闭,关闭需要重启IMC所有进程生效

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作