• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1060 V7防火墙SSLvpn 配合AD域的配置案例

2020-01-03提问
  • 0关注
  • 1收藏,1661浏览
粉丝:0人 关注:0人

问题描述:

请教V7 防火墙,F10X0系列,做SSLvpn 结合AD域的配置案例,谢谢

最佳答案

sss 五段
粉丝:3人 关注:0人

IP接入方式配置举例(LDAP认证)

组网需求

一、配置需求

如图-161 所示,SSL VPN 网关设备连接公网用户和企业私有网络。用户通过SSL VPN 网关、采用IP 接入方式能够安全地访问私有网络内的Server。具体需求如下:

SSL VPN 网关设备通过LDAP Server 对用户进行远程认证和授权。

为了增强安全性,需要验证客户端证书。

为了增强安全性,服务器端证书不使用缺省证书,需向CA 申请。

-161 配置IP 接入方式组网图(LDAP 认证)

 

二、配置注意事项

为客户端地址池配置的网段需要满足以下要求:

○ 不能和客户端物理网卡的IP 地址在同一个网段。

○ 不能包含SSL VPN 网关所在设备的接口地址,否则会导致地址冲突。

○ 不能和欲访问的内网地址在同一个网段。

SSL VPN AC 接口需要加入安全域,且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。

配置步骤

三、配置步骤

Device的配置

1. 配置接口IP 地址和安全域

# 选择“网络> 接口> 接口”,进入接口配置页面。

# 选中接口GE1/0/1 前的复选框,单击<编辑>按钮,参数配置如下:

加入安全域:Untrust

IP 地址/掩码:1.1.1.2/24

其他配置项使用缺省值

# 选中接口GE1/0/2 前的复选框,单击<编辑>按钮,参数配置如下:

加入安全域:Trust

IP 地址/掩码:2.2.2.2/24

其他配置项使用缺省值

# 选中接口GE1/0/3 前的复选框,单击<编辑>按钮,参数配置如下:

加入安全域:Trust

IP 地址/掩码:3.3.3.1/24

其他配置项使用缺省值

2. 配置安全策略,过程略

3. 申请服务器端证书

# 选择“对象> PKI > 证书主题”,进入证书主题界面,单击<新建>按钮,参数配置如下图所示。

-162 证书主题配置

# 单击<确定>按钮。

# 选择“对象> PKI > 证书”,进入证书页面,单击<新建PKI >按钮,参数配置如下图所示。

-163 PKI 域配置

# 单击<确定>按钮。

# 单击<提交申请>按钮,申请服务器端证书,参数配置如下图所示。

-164 申请服务器端证书

# 单击<确定>按钮,页面会显示公钥,如下图所示。

-165 公钥信息

# 将公钥信息复制,向CA 申请服务器端证书(本例CA 服务器为Windows Server 2008 R2)。单击<确定>按钮。

# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。

-166 证书申请页面

# 单击<申请证书>按钮,跳转页面如下图所示。

-167 证书申请页面

# 单击<高级证书申请>按钮,将复制的公钥信息粘贴至“Base-64 编码的证书申请”输入框,如下图所示。

-168 证书申请页面

# 单击<提交>按钮,完成证书申请。

# CA 管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。

-169 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。

-170 查看挂起的证书申请的状态

# 单击<保存的证书申请>按钮,跳转页面如下图所示。

-171 下载申请的证书

# 单击<下载证书>按钮,下载申请的服务器端证书,并保存好。

4. 下载 CA 证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。

-172 证书申请页面

# 单击<下载CA 证书、证书链或CRL>按钮,跳转页面如下图所示。

-173 下载CA 证书

# 单击<下载CA 证书>按钮,下载CA 证书,并保存好。至此,证书申请工作已全部完成。

5. 导入证书

# 选择“对象> PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的CA 证书,配置如下图所示。

-174 导入CA 证书

# 单击<确定>按钮,完成CA 证书的导入。

# 选择“对象> PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的服务器端证书,配置如下图所示。

-175 导入本地证书

# 单击<确定>按钮,完成本地证书的导入。

6. 配置 SSL 的服务器端策略

# 选择“对象> SSL > 服务器端策略”,进入SSL 服务器端策略页面,单击<新建>按钮,创建客户端策略,参数配置如下图所示。

-176 配置服务器端策略

# 单击<确定>按钮,完成配置。

7. 配置 SSL 的客户端策略

# 选择“对象> SSL > 客户端策略”,进入SSL 客户端策略页面,单击<新建>按钮,创建客户端策略,参数配置如下图所示。

-177 配置客户端策略

# 单击<确定>按钮,完成配置。

8. 配置 LDAP 服务器、LDAP 方案、LDAP 属性映射表和ISP

# 配置LDAP 服务器ldap1

<Device> system-view

[Device] ldap server ldap1

[Device-ldap-server-ldap1] login-dn

cn=administrator,cn=users,dc=ldap,dc=com

[Device-ldap-server-ldap1] search-base-dn

ou=sslvpn_usergroup,dc=ldap,dc=com

[Device-ldap-server-ldap1] ip 3.3.3.3

[Device-ldap-server-ldap1] login-password simple 123456

[Device-ldap-server-ldap1] quit

134

# 配置LDAP 属性映射表test

[Device] ldap attribute-map test

[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn=

delimiter , aaa-attribute user-group

[Device-ldap-attr-map-test] quit

# 配置LDAP 方案shm1

[Device] ldap scheme shm1

[Device-ldap-shm1] authentication-server ldap1

[Device-ldap-shm1] authorization-server ldap1

[Device-ldap-shm1] attribute-map test

[Device-ldap-shm1] quit

# 配置ISP sslvpn

[Device] domain sslvpn

[Device-isp-sslvpn] state active

[Device-isp-sslvpn] authentication sslvpn ldap-scheme shm1

[Device-isp-sslvpn] authorization sslvpn ldap-scheme shm1

[Device-isp-sslvpn] accounting sslvpn none

[Device-isp-sslvpn] quit

9. 配置用户组

# 选择“对象> 用户> 用户管理> 本地用户> 用户组”,进入用户组页面,参数配置如下图所示。

-178 配置用户组

# 单击<确定>按钮,完成配置。

10. 配置 SSL VPN 网关

# 选择“网络> SSL VPN > 网关”,进入SSL VPN 网关页面,单击<新建>按钮,创建SSL VPN

关,参数配置如下图所示。

-179 配置SSL VPN 网关

# 单击<确定>按钮,完成配置。

11. 创建 SSL VPN AC 接口

# 选择“网络> SSL VPN > IP 接入接口”,进入SSL VPN 接入接口页面。单击<新建>按钮,创建SSL VPN 接入接口,参数配置如下图所示。

-180 创建IP 接入接口

# 单击<确定>按钮。

# 将该接口加入到Untrust 安全域,过程略。

12. 创建 SSL VPN 客户端地址池

# 选择“网络> SSL VPN > 客户端地址池”,进入SSL VPN 客户端地址池页面。单击<新建>按钮,创建SSL VPN 客户端地址池,参数配置如下图所示。

-181 创建客户端地址池

# 单击<确定>按钮。

13. 配置 SSL VPN 访问实例

# 选择“网络> SSL VPN > 访问实例”,进入SSL VPN 访问实例页面,单击<新建>按钮,创建SSL

VPN 访问实例,参数配置如下图所示。

-182 新建访问实例

# 单击<下一步>,在跳转的页面选择“IP 业务”,单击<下一步>。配置IP 业务,参数配置如下图所示。

-183 配置IP 业务

# 单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示(本例的IPv4 ACL 3999 规则为允许通过所有流量)。

-184 配置资源组

# 单击<确定>按钮,资源组如下图所示。

-185 资源组

# 单击<完成>按钮,完成配置。

# <使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。

-186 使能访问实例

LDAP Server的配置

本例使用的Windows Server 2008 R2 作为LDAP Server

1. 创建用户组

LDAP 服务器上,选择[开始/管理工具]中的[Active Directory 用户和计算机],打开Active Directory用户管理界面,在Active Directory 用户管理界面的左侧导航树中,单击“***.***”,右键单击“Users”,新建组“sslvpn_usergroup”,如下图所示。

-187 创建用户组

# 单击<确定>按钮,完成配置。

2. 创建用户

LDAP 服务器上,选择[开始/管理工具]中的[Active Directory 用户和计算机],打开Active Directory用户管理界面,在Active Directory 用户管理界面的左侧导航树中,右键单击“***.***”,新建组织单位“sslvpn_usergroup”,如下图所示。

-188 新建组织单位

# 右键单击“sslvpn_usergroup”,新建用户,参数配置如下图所示。

-189 创建用户

# 单击<下一步>,设置密码(密码为123456)。

-190 设置密码

# 单击<下一步>,完成用户的创建。

# 右键单击创建的用户“user1”,选择属性,设置该用户隶属于用户组“sslvpn_usergroup”,如下图所示。

-191 设置用户所示用户组

# 单击<确定>,完成配置。

Host配置

1. 配置 IP 地址、网关,保证到SSL VPN 网关、CA 服务器的路由可达。

2. 申请客户端证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。

-192 证书申请页面

# 单击<申请证书>按钮,跳转页面如下图所示。

-193 证书申请页面

# 单击<高级证书申请>按钮,在跳转的页面选择<创建并向此CA 提交一个申请>,申请客户端证书,参数配置如下图所示。

-194 申请客户端证书

# 其余选用默认配置,单击页面最下方的<提交>按钮,提交客户端证书申请。

# CA 管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。

-195 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。

-196 查看挂起的证书申请的状态

# 单击<客户端身份验证证书>,跳转页面如下图所示

-197 安装客户端证书

# 单击<安装此证书>,如果之前没有安装CA 证书,那么会出现如下图所示的页面(如果之前已安装过CA 证书,则不会出现该提示)。

-198 提示安装CA 证书

# 单击<请安装该CA 证书>,安装CA 证书,CA 证书安装成功后,再单击<安装此证书>,显示如下图所示的页面代表客户端证书安装成功。

-199 证书安装成功

# 在浏览器地址栏输入https://1.1.1.2,回车确认之后跳转到域列表选择页面,如下图所示。

-200 域列表界面

# 单击“domainip”,跳转到SSL VPN 登录界面,输入用户名密码(用户名user1,密码123456),如下图所示。

-201 SSL VPN 登录界面

# 单击<登录>按钮,可以成功登录。

# 成功登录后在浏览器页面找到如下图所示的区域。

-202 启动IP 客户端

# 单击<启动>按钮,启动IP 客户端,系统会自动下载iNode客户端(如果Host之前没有安装过iNode客户端),下载完成后会自动启动iNode 客户端,并登录SSL VPN 网关,成功登录后如下图所示。

-203 iNode 客户端

回复木马先森:

已发

sss 发表时间:2020-01-03 更多>>

有链接吗?我这个没有图片,不太好理解

木马先森 发表时间:2020-01-03

额,这个没法粘贴图片,没有连接

sss 发表时间:2020-01-03

那能发我邮箱吗?511733065@qq.com,感谢

木马先森 发表时间:2020-01-03
回复木马先森:

已发

sss 发表时间:2020-01-03
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明