华三SecPath F100-E-G如何配置ssl vpn

1.5.3  SSL VPN典型配置举例

1. 组网需求

在SSL VPN中，为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面，通过SSL VPN网关管理和访问企业内部资源，需要为SSL VPN网关申请证书，并启用SSL VPN服务。

在本配置举例中：

·            SSL VPN网关的地址为10.1.1.1/24，为SSL VPN网关和远程接入用户颁发证书的CA（Certificate Authority，证书颁发机构）地址为10.2.1.1/24，CA名称为CA server。

·            对SSL VPN用户进行RADIUS认证，由一台CAMS/iMC服务器（IP地址为10.153.10.131/24）担当RADIUS认证服务器。SSL VPN用户通过认证后，可以访问公司内部提供技术网站（IP地址为10.153.1.223）；可以访问10.153.2.0/24网段中的所有主机，并可以通过FTP协议快捷访问Security Server（IP地址为10.153.2.25）。

·            提供一个公共账号usera，对其进行本地认证（不进行RADIUS认证），且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后，可以访问公司内部主机10.153.70.120的共享桌面。

·            SSL VPN域的默认认证方式为RADIUS认证，并且启用校验码验证。

图1-58 SSL VPN配置组网图

2. 配置步骤

(1)       配置SSL VPN服务

·            配置PKI实体en。

步骤1：在导航栏中选择“VPN > 证书管理 > PKI实体”。

步骤2：单击<新建>按钮。

步骤3：如下图所示，输入PKI实体名称为“en”，输入通用名为“http-server”。

步骤4：单击<确定>按钮完成操作。

图1-59 配置PKI实体en

·            配置PKI域sslvpn。

步骤1：在导航栏中选择“VPN > 证书管理 > PKI域”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

¡  输入PKI域名称为“sslvpn”。

¡  输入CA标识符为“CA server”。

¡  选择本端实体为“en”。

¡  选择注册机构为“RA”。

¡  输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

¡  选择证书申请方式为“Manual”。

步骤4：单击<确定>按钮，弹出的对话框提示“未指定根证书指纹，在获取CA证书时将不对根证书指纹进行验证，确认要继续吗？”

步骤5：单击对话框中的<确定>按钮完成操作。

图1-60 配置PKI域sslvpn

·            生成RSA密钥对。

步骤1：在导航栏中选择“VPN > 证书管理 > 证书”。

步骤2：单击<创建密钥>按钮。

步骤3：如下图所示，输入密钥长度为“1024”。

步骤4：单击<确定>按钮开始生成RSA密钥对。

图1-61 生成RSA密钥对

·            获取CA证书至本地。

步骤1：生成密钥对成功后，在证书列表页面单击<获取证书>按钮。

步骤2：如下图所示，选择PKI域为“sslvpn”，选择证书类型为“CA”。

步骤3：单击<确定>按钮开始获取CA证书。

图1-62 获取CA证书至本地

·            申请本地证书。

步骤1：获取CA证书成功后，在证书列表页面单击<申请证书>按钮。

步骤2：如下图所示，选择PKI域名称为“sslvpn”。

图1-63 申请本地证书

步骤3：单击<确定>按钮开始申请本地证书，弹出“证书申请已提交”的提示框。

步骤4：单击提示框中的<确定>按钮完成操作。

步骤5：完成上述配置后，在证书列表页面可以看到获取到的CA证书和本地证书，如下图所示。

图1-64 获取到的CA证书和本地证书

·            启用SSL VPN，并配置SSL VPN服务的端口号和使用的PKI域。

步骤1：在导航栏中选择“VPN > SSL VPN > 服务管理”。

步骤2：进行如下配置，如下图所示。

¡  选中“启用SSL VPN”前的复选框。

¡  输入端口为“443”。

¡  选择PKI域为“sslvpn”。

步骤3：单击<确定>安全完成操作。

图1-65 配置SSL VPN服务

(2)       配置SSL VPN访问资源

·            配置访问公司内部技术网站的Web代理服务器资源tech。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”。

步骤2：单击<新建>按钮。

步骤3：如下图所示，输入资源名称为“tech”，输入站点地址为“http://10.153.1.223/”。

步骤4：单击<确定>按钮完成操作。

图1-66 配置Web代理服务器资源

·            配置主机10.153.70.120的桌面共享服务资源desktop。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

步骤2：单击“桌面共享”页签。

步骤3：单击<新建>按钮。

步骤4：进入如下配置，如下图所示。

¡  输入资源名称为“desktop”。

¡  输入远程主机为“10.153.70.120”。

¡  输入服务端口为“3389”。

¡  输入本地主机为“127.0.0.2”。

¡  输入本地端口为“20000”。

¡  输入命令行为“mstsc /v 127.0.0.2:20000”。

步骤5：单击<确定>按钮完成操作。

图1-67 配置桌面共享服务资源

·            配置IP网络资源的全局参数。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”，进入“全局配置”页签的页面:。

步骤2：进行如下配置，如下图所示。

¡  输入起始IP为“192.168.0.1”。

¡  输入终止IP为“192.168.0.100”。

¡  输入子网掩码为“24”。

¡  输入网关地址为“192.168.0.101”。

步骤3：单击<确定>按钮完成操作。

图1-68 配置IP网络资源的全局参数

·            配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

步骤1：单击“主机配置”页签。

步骤2：单击<新建>按钮。

步骤3：输入资源名为“sec_srv”。

步骤4：在“允许访问的网络服务”中单击<新建>按钮。

步骤5：在弹出的窗口中进行如下配置，如下图所示。

¡  输入目的地址为“10.153.2.0”。

¡  输入子网掩码为“24”。

¡  选择协议类型为“IP”。

¡  输入描述信息为“10.153.2.0/24”。

步骤6：单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

图1-69 配置允许访问的网络访问

步骤7：在“快捷方式”中单击<新建>按钮。

步骤8：如下图所示，输入快捷方式名称为“ftp_security-server”，输入快捷方式命令为“ftp 10.153.2.25”。

步骤9：单击<确定>按钮向该主机资源中添加一个快捷方式。

图1-70 配置允许访问的网络访问

步骤10：完成上述配置后的新建主机资源页面如下图所示，单击<确定>按钮完成操作。

图1-71 配置主机资源

·            配置资源组res_gr1，包含资源desktop。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

¡  输入资源组名为“res_gr1”。

¡  在可用资源中选中“desktop”，单击“<<”按钮。

步骤4：单击<确定>按钮完成操作。

图1-72 配置资源组res_gr1

·            配置资源组res_gr2，包含资源tech和sec_srv。

步骤1：在资源组列表页面单击<新建>按钮。

步骤2：进行如下配置，如下图所示。

¡  输入资源组名为“res_gr2”。

¡  在可用资源中选中“sec_srv”和“tech”，单击“<<”按钮。

步骤3：单击<确定>按钮完成操作。

图1-73 配置资源组res_gr2

(3)       配置SSL VPN用户

·            配置本地用户usera。

步骤1：在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

¡  输入用户名为“usera”。

¡  输入用户密码为“passworda”。

¡  输入密码确认为“passworda”。

¡  选中“启用公共账号”前的复选框。

¡  输入公共账号允许登录的最大用户数为“1”。

¡  选择用户状态为“允许”。

步骤4：单击<确定>按钮完成操作。

图1-74 配置本地用户usera

·            配置用户组user_gr1，包含资源组res_gr1和本地用户usera。

步骤1：在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

¡  输入用户组名为“user_gr1”。

¡  在可用资源组中选中“res_gr1”，单击“<<”按钮。

¡  在可用本地用户中选中“usera”，单击“<<”按钮。

步骤4：单击<确定>按钮完成操作。

图1-75 配置用户组user_gr1

·            配置用户组user_gr2，包含资源组res_gr2。

步骤1：在用户组列表页面单击<新建>按钮。

步骤2：进行如下配置，如下图所示。

¡  输入用户组名为“user_gr2”。

¡  在可用资源组中选中“res_gr2”，单击“<<”按钮。

步骤3：单击<确定>按钮完成操作。

图1-76 配置用户组user_gr2

(4)       配置SSL VPN域

·            配置SSL VPN域的默认认证方式为RADIUS认证，并启用校验码验证。

步骤1：在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

步骤2：如下图所示，选中“启用校验码验证”前的复选框，选择默认认证方式为“RADIUS认证”。

步骤3：单击<确定>按钮完成操作。

图1-77 配置域策略

·            配置RADIUS方案system。

步骤1：在导航栏中选择“用户管理 > RADIUS”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置。

¡  输入方案名称为“system”。

¡  选择服务类型为“Extended”。

¡  选择用户名格式为“不带域名”。

步骤4：在RADIUS服务器配置中单击<添加>按钮。

步骤5：在弹出的页面上进行如下配置，如下图所示。

¡  选择服务器类型为“主认证服务器”。

¡  输入IP地址为“10.153.10.131”。

¡  输入端口为“1812”。

¡  输入密钥为“expert”。

¡  输入确认密钥为“expert”。

步骤6：单击<确定>按钮向RADIUS方案中添加一个主认证服务器。

图1-78 配置主认证服务器

步骤7：完成上述配置后的新建RADIUS方案页面如下图所示，单击<确定>按钮完成操作。

图1-79 配置RADIUS方案system

·            对SSL VPN域启用RADIUS认证。

步骤1：在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

步骤2：单击“RADIUS认证”页签。

步骤3：如下图所示，选中“启用RADIUS认证”前的复选框。

步骤4：单击<确定>按钮完成操作。

图1-80 启用RADIUS认证

3. 配置结果验证

完成上述配置后，SSL VPN用户在其主机上启动浏览器，在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车，进入SSL VPN的登录页面，如下图所示，可以看到默认的认证方式（即类别）为RADIUS，并且需要输入验证码。

图1-81 SSL VPN登录页面

用户使用公共账号usera登录SSL VPN，登录时类别参数设置为“Local”。usera登录SSL VPN后，可以看到其可访问的资源desktop，如图1-82所示。单击此资源名称，即可弹出如图1-83所示的窗口，访问指定主机的共享桌面。

图1-82 公共账号usera可访问的资源

图1-83 访问桌面共享资源

假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”，用户使用该账号登录SSL VPN，登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后，可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机，以及通过FTP访问Security Server，如图1-84所示。单击tech资源名称，即可弹出技术网站的访问窗口；单击快捷方式ftp_security-server，即可弹出如图1-85所示的窗口，通过FTP协议访问Security Server。

图1-84 非公共账号可访问的资源

图1-85 访问IP网络资源