secpath f1070 vpn
- 0关注
- 0收藏,53浏览
可以的
通过用户的路由或者资源限制。
防火墙上限制SSL VPN用户访问特定IP资源的配置步骤如下:
1. 创建访问控制列表(ACL)
定义允许访问的目标IP地址范围:
acl advanced 3999 创建高级ACL
rule 0 permit ip destination 192.168.10.0 0.0.0.255 放行目标网段
2. 配置SSL VPN策略组
在SSL VPN上下文中关联ACL实现过滤:
sslvpn context SSL_VPN_CTX 进入SSL VPN上下文
policy-group Group_ZhangSan 创建策略组
filter ip-tunnel acl 3999 绑定ACL限制IP接入
ip-tunnel access-route ip-route-list RESOURCE_LIST 关联资源路由表
3. 用户绑定策略组
将用户授权属性关联到策略组:
local-user ZhangSan class network
authorization-attribute sslvpn-policy-group Group_ZhangSan
完整配置示例
1. 创建ACL放行目标网段
acl advanced 3999
rule 0 permit ip destination 192.168.10.0 0.0.0.255 仅允许访问192.168.10.0/24
2. 配置SSL VPN策略组
sslvpn context SSL_VPN_CTX
policy-group Group_ZhangSan
filter ip-tunnel acl 3999 关键过滤命令
ip-tunnel access-route ip-route-list RESOURCE_LIST 需预先定义资源路由表
3. 用户授权绑定
local-user ZhangSan class network
password cipher $cipher$ 加密密码
service-type sslvpn
authorization-attribute sslvpn-policy-group Group_ZhangSan 绑定策略组
关键说明
1. ACL控制
使用高级ACL(3000-3999)精确控制目标IP/网段
未匹配ACL的流量默认被拒绝
2. 策略组生效范围
filter ip-tunnel 限制仅对IP接入方式生效(如iNode客户端),Web/TCP接入需单独配置filter web-access或filter tcp-access
3. 资源路由表
需预先通过ip-route-list定义可访问的网络资源(参考案例中的RESOURCE_LIST)
你这个要配置web资源接入的方式,但是目前不推荐这种,都是用tcp资源方式做SSL VPN的
1.23 SSL VPN典型配置举例
1.23.1 Web接入配置举例(缺省证书)
1. 组网需求
Device为SSL VPN网关设备,连接公网用户和企业私有网络。SSL VPN用户通过Device能够安全地访问位于企业私有网络内的Server A和Server B。其中,Server A和Server B均为Web服务器,Sever A使用HTTP协议和80端口号,Sever B使用HTTPS协议和443端口号。具体需求如下:
· Device对SSL VPN用户进行本地认证和本地授权;
· User1仅能访问Server A;
· User2仅能访问Server B。
2. 组网图
图1-11 Web接入组网图(缺省证书)
3. 配置步骤
· 请确保SSL VPN用户和SSL VPN网关设备Device间的路由可达。
· 请确保SSL VPN网关设备Device与Server A、Server B间的路由可达。
(1) 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略
(2) 配置SSL VPN网关
# 配置SSL VPN网关gw的IP地址为1.1.1.2,端口号为4430。
<Device> system-view
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 4430
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(3) 配置SSL VPN访问实例
# 配置SSL VPN访问实例ctxweb1,引用SSL VPN网关gw,指定域名为domainweb1。
[Device] sslvpn context ctxweb1
[Device-sslvpn-context-ctxweb1] gateway gw domain domainweb1
# 创建URL列表urllist。
[Device-sslvpn-context-ctxweb1] url-list urllist
# 配置URL列表标题为web。
[Device-sslvpn-context-ctxweb1-url-list-urllist] heading web
# 创建一个URL表项,链接名为serverA,对应的URL为http://20.2.2.2。
[Device-sslvpn-context-ctxweb1-url-list-urllist] url serverA url-value http://20.2.2.2
[Device-sslvpn-context-ctxweb1-url-list-urllist] quit
# SSL VPN访问实例ctx1下创建策略组resourcegrp1,引用URL列表urllist。
[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] resources url-list urllist
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] quit
# 开启SSL VPN访问实例ctxweb1。
[Device-sslvpn-context-ctxweb1] service enable
[Device-sslvpn-context-ctxweb1] quit
# 配置SSL VPN访问实例ctxweb2,引用SSL VPN网关gw,指定域名为domainweb2。
[Device] sslvpn context ctxweb2
[Device-sslvpn-context-ctxweb2] gateway gw domain domainweb2
# 创建URL列表urllist。
[Device-sslvpn-context-ctxweb2] url-list urllist
# 配置URL列表标题为web。
[Device-sslvpn-context-ctxweb2-url-list-urllist] heading web
# 创建一个URL表项,链接名为serverA,对应的URL为https://30.3.3.3。
[Device-sslvpn-context-ctxweb2-url-list-urllist] url serverB url-value https://30.3.3.3
[Device-sslvpn-context-ctxweb2-url-list-urllist] quit
# SSL VPN访问实例ctx1下创建策略组resourcegrp2,引用URL列表urllist。
[Device-sslvpn-context-ctxweb2] policy-group resourcegrp2
[Device-sslvpn-context-ctxweb2-policy-group-resourcegrp2] resources url-list urllist
[Device-sslvpn-context-ctxweb2-policy-group-resourcegrp2] quit
# 开启SSL VPN访问实例ctxweb2。
[Device-sslvpn-context-ctxweb2] service enable
[Device-sslvpn-context-ctxweb2] quit
(4) 配置SSL VPN用户
# 创建SSL VPN用户sslvpnuser1,密码为123456,用户角色为network-operator,授权用户的SSL VPN策略组为resourcegrp1。
[Device] local-user sslvpnuser1 class network
[Device-luser-network-sslvpnuser1] password simple 123456
[Device-luser-network-sslvpnuser1] service-type sslvpn
[Device-luser-network-sslvpnuser1] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser1] authorization-attribute sslvpn-policy-group resourcegrp1
[Device-luser-network-sslvpnuser1] quit
# 创建SSL VPN用户sslvpnuser2,密码为123456,用户角色为network-operator,授权用户的SSL VPN策略组为resourcegrp2。
[Device] local-user sslvpnuser2 class network
[Device-luser-network-sslvpnuser2] password simple 123456
[Device-luser-network-sslvpnuser2] service-type sslvpn
[Device-luser-network-sslvpnuser2] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser2] authorization-attribute sslvpn-policy-group resourcegrp2
[Device-luser-network-sslvpnuser2] quit
4. 验证配置
# 在Device上查看SSL VPN网关状态,可见SSL VPN网关gw处于Up状态。
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 4430
Front VPN instance: Not configured
# 在Device上查看SSL VPN访问实例状态,可见SSL VPN访问实例ctxweb1和ctxweb2均处于Up状态。
[Device] display sslvpn context
Context name: ctxweb1
Operation state: Up
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
Dynamic password: Disabled
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw
Domain name: domainweb1
Maximum users allowed: 1048575
VPN instance: Not configured
Idle timeout: 30 min
Context name: ctxweb2
Operation state: Up
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
Dynamic password: Disabled
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw
Domain name: domainweb2
Maximum users allowed: 1048575
VPN instance: Not configured
Idle timeout: 30 min
# SSL VPN用户sslvpnuser1在PC浏览器上输入https://1.1.1.2:4430/,进入Domain List页面,如下图所示。
因为SSL VPN网关设备使用缺省证书(自签名),因此在访问SSL VPN网关的时候浏览器会提示非安全连接。
图1-12 Domain List页面
# 选择domainweb1进入登录页面,输入用户sslvpnuser1和密码123456。
图1-13 登录页面
# 单击<登录>按钮,可以成功登录SSL VPN网关。网关首页的“书签”栏显示用户可以访问的Web资源serverA,如下图所示。
图1-14 网关首页
# 单击链接“serverA”,即可访问企业私网服务器Server A,显示信息略。
# SSL VPN用户sslvpnuser2在PC浏览器上输入https://1.1.1.2:4430/,进入Domain List页面,如下图所示。
图1-15 Domain List页面
# 选择domainweb2进入登录页面,输入用户sslvpnuser2和密码123456。
图1-16 登录页面
# 单击<登录>按钮,可以成功登录SSL VPN网关。网关首页的“书签”栏显示用户可以访问的Web资源serverB,如下图所示。
图1-17 网关首页
# 单击链接“serverB”,即可访问企业私网服务器Server B,显示信息略。
# 用户登录成功后,在Device上可以看到用户会话信息。
[Device] display sslvpn session
Total users: 2
SSL VPN context: ctxweb1
Users: 1
Username Connections Idle time Created User IP
sslvpnuser1 6 0/00:00:23 0/00:00:23 40.1.1.1
SSL VPN context: ctxweb2
Users: 1
Username Connections Idle time Created User IP
sslvpnuser2 6 0/00:00:03 0/00:00:03 50.1.1.1
1.9 配置Web接入服务资源
1.9.1 创建Web接入服务
为了使用户能够通过Web接入方式访问企业内网资源,SSL VPN网关上需要创建Web接入服务资源,创建方法为:
(1) 在SSL VPN访问实例中定义Web接入方式可访问的资源,即URL列表,并在URL列表中定义一个或多个URL表项。每个URL表项对应一个企业网内的Web资源。
(2) 在SSL VPN策略组视图下引用URL列表。SSL VPN用户被授权某个策略组后,该策略组引用的URL列表指定的Web资源将同时授权给SSL VPN用户,SSL VPN用户可以访问这些Web资源。
表1-7 创建Web接入服务资源
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入SSL VPN访问实例视图 | sslvpn context context-name | - |
创建URL列表,并进入URL列表视图 | url-list name | 缺省情况下,设备上不存在URL列表 |
配置URL列表标题 | heading string | 缺省情况下,URL列表的标题为“Web” |
添加一个URL表项 | url name url-value url [ uri-acl uri-acl-name ] | 缺省情况下,设备上不存在URL表项 执行本配置时,如果url中没有指定协议类型,则默认为HTTP |
退回SSL VPN访问实例视图 | quit | - |
进入SSL VPN策略组视图 | policy-group group-name | - |
配置策略组引用URL列表 | resources url-list url-list-name | 缺省情况下,策略组没有引用URL列表 |
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论