天融信防火墙VPN配置笔记

PPTP配置要点：1，配置远程用户：选择用户认证用户管理，在“用户列表”页签中点击“增加用户”添加用户“pptpuser”。2，配置用户角色：为PPTP用户设置所属角色，不属于任何用户角色的用户无法通过认证服务器的认证。选择用户认证角色管理，在“用户角色”页签，点击“添加”按钮，设置PPTP用户角色。3，开放相关接口的PPTP服务：开放相关接口的PPTP服务。选择系统管理配置，在“开放服务”页签中点击“添加”开放PPTP服务。4，配置PPTP服务：配置PPTP服务选择虚拟专网PPTP菜单，在“PPTP设定”处设置PPTP服务属性5，配置PPTP客户端:(pc端配置，略）6，配置PPTP的访问控制：访问控制。L2TP配置要点同上（略）GRE(通用路由封装）配置要点：1，分别在VPNA与VPNB上配置GRE隧道：2，分别在VPNA与VPNB上设置GRE隧道路由信息：IPsec笔记IPsec远程用户本地认证(VRC)配置要点：1，配置VPN开放服务：开放Eth0口的IPSecVPN服务，绑定虚接口。a）选择资源管理区域，设置Eth0、Eth1所属区域，缺省访问权限为“允许”。配置区域area_eth0为允许访问。开放Eth2口相关服务系统管理配置，然后激活“开放服务”页签，点击“添加”增加一条规则。2，配置PKI功能配置：配置PKI功能a）选择PKI设置本地CA策略，然后选择“根证书”页签。b）在“客户端根证书”界面中点击“获取证书”获取客户端根证书，选择PKI设置本地CA策略，激活“签发证书”页签，点击“生成新证书”，为VRC用户（test）生成一个新证书。点击“下载”图标，将客户端证书下载到本地。选择证书类型为“PKCS12格式”，输入密码，然后点击“导出证书”按钮.3，VRC功能配置:配置VRC功能a）配置地址池，并启动lo接口的DHCP服务。选择网络管理DHCP地址池，然后激活“DHCP服务器”页签，点击“添加地址池”设置为VRC用户分配的地址池。设置认证管理模式为本地管理选择虚拟专网VRC管理，然后激活“基本设置”页签，设置相关内容。设置VRC用户的默认权限。选择虚拟专网VRC管理，然后激活“权限对象”页签，点击“权限对象”左侧的“添加”。绑定虚接口为Eth0虚拟专网虚接口绑定，点击“添加”。选择用户认证用户管理，然后激活“用户管理”页签，点击“添加用户”设置VRC用户。选择虚拟专网VRC管理，然后激活“用户权限”页签，点击VRC用户“test”右侧的“权限设置”图标，配置VRC用户权限，4，VRC客户端（PC端配置，略）IPsec静态隧道互联配置要点：1，配置VPN开放IPSecVPN服务：开放VPN1的Eth0口的IPSecVPN服务，并绑定虚接口。2，配置VPN静态隧道参数：2）在导航菜单栏选择虚拟专网静态隧道，点击“添加隧道”在VPN1上设置VPN静态隧道参数。a）选择“第一阶段协商”，设置参数。选择“第二阶段协商”，设置参数。3，验证：通过选择虚拟专网静态隧道，查看到协商状态,当“状态”显示为“第二阶段协商成功”，表示隧道成功建立，可以使用。GREoverIPSEC配置要点注意：IPSec的缺陷，只支持单播流量；组播和广播流量是不会穿过IPSEC隧道；如视频、OSPF等应用无法通过IPSec隧道。解决办法：（GREOverIPSec）将组播和广播数据包封装在一个单播数据包里；IPSEC封装GRE，从而解决了IPSEC的问题。1，GRE口及地址：配置GRE隧道在VPNA上添加GRE隧道gre-ipsec；选择虚拟专网GRE，并点击“添加”添加隧道，2，绑定IPSEC接口：绑定VPNA虚接口Eth0的地址虚拟专网虚接口绑定，点击“添加”。3，GREoverIPSEC隧道：在导航菜单栏选择虚拟专网静态隧道，点击“添加隧道”在VPNA上设置VPN静态隧道参数。a）选择“第一阶段协商”，设置参数，选择“第二阶段协商”，设置参数。（注：第二阶段协商，不用写子网，直接选择启用GRE隧道关联，选择相应GRE隧道）4，组播路由：在导航菜单栏选择网络管理路由多播路由，点击“添加“。5，验证（pc端，略）（注意：此时隧道两边是不能ping通的，需要添加默认单播路由。）附：IPsec配置DDNS：VPN在建立隧道时，如果VPN的IP地址是动态变化的，就可以使用域名来代替IP地址，使用的前提是该VPN必需设置DDNS来注册动态域名解析服务。（VRC、静态隧道均适用）SSLVPN配置笔记SSLVPN之WEB转发配置要点:1,添加用户和角色；添加用户a）点击导航菜单用户认证用户管理，然后选择“用户管理”页签，点击“添加用户”。b）分别添加普通职员用户user1和经理用户manager1。添加普通职员用户user1，禁止多点登录，2,分配角色及权限：a）点击导航菜单用户认证角色管理，点击“添加角色”。b）分别添加普通职员级角色user和经理级角色manager。添加普通职员级角色user，并为其添加成员“user1”。c）添加经理级角色manager，并为其添加成员“manager1”。3．配置授权资源。a）点击导航菜单SSLVPN资源管理，然后点击资源列表左上方的“添加”，配置web转发资源“webforward_218”，如下图所示。b）点击导航菜单SSLVPN资源管理，然后点击资源列表左上方的“添加”，配置web转发资源“webforward_235”。4．配置ACL规则。默认禁止远程用户访问内网资源，然后配置两条ACL规则，分别允许访问内网资源“webforward_218”和“webforward_235”。a）点击导航菜单SSLVPNACL管理，然后在右侧界面中选中“ACL默认策略”右侧的“禁止”。5．配置安全策略。3,设置用户登录方式：配置虚拟门户。点击导航菜单SSLVPN虚拟门户。点击虚拟门户列表左上方的“添加”，自定义远程用户访问SSLVPN网关的用户界面。自定义虚拟门户时，参数“地址”必须配置为远程用户登录SSLVPN网关时的地址，即SSLVPN网关的对外IP“172.16.1.6”，参数“认证服务器名称”必须配置为对远程用户进行认证的服务器名称，此案例为本地认证服务器“localdb”，而且必须启用WEB转发开关，5,验证：在SSLVPN网关的用户界面中，用户成功登录后可以访问授权资源。在SSLVPN网关的用户界面中，用户成功登录后可以访问授权资源。1）在浏览器的URL地址栏输入SSLVPN网关的外网地“”，进入用户登录界面，SSLVPN之端口转发配置要点：1，在出口防火墙上进行相关配置：2，配置域名参数：点击网络管理域名解析，DNS服务器的配置步骤：1）创建DNS正向解析区域“bbs.com”。2）在区域“bbs.com”中创建主机记录，（注：可修改host表记录）3，配置授权资源：配置角色“test”1）点击导航菜单用户认证用户管理，然后激活“用户管理”页签，点击“添加用户”，进入用户的添加界面。设置用户“test1”的用户信息。2）设置角色“test”的信息，3）设置用户“test1”的信息，归为角色test。配置授权资源。1）点击导航菜单SSLVPN资源管理，然后点击资源列表左上方的“添加”，配置端口转发资源“ftp_220”。2）b）点击导航菜单SSLVPN资源管理，然后点击资源列表左上方的“添加”，配置端口转发资源“web_235”。4，配置安全策略：配置ACL规则。默认禁止远程用户访问内网资源，然后配置两条ACL规则，分别允许访问内网资源“ftp_220”和“ftp_235”。a）点击导航菜单SSLVPNACL管理，然后在右侧界面中选中“ACL默认策略”右侧的“禁止5，添加角色“test”.添加用户“test1”信息,将用户“test1”添加到该组中。6，配置ACL规则。7，验证：用户“test1”登录成功后，可以访问授权的端口转发资源“forum”SSLVPN之全网接入配置要点1，SSLVPN网络配置2，开启Eth1所属区域的SSLVPN服务：：开放接口的SSLVPN服务3，配置全网接入模块：选择SSLVPN模块管理，点击“全网接入”条目右侧的“模块设置”图标，配置全网接入参数，4，配置网关提供DHCP服务的接口和DHCP地址池：配置网关提供DHCP服务的接口和DHCP地址池。选择网络管理DHCP，然后选择“DHCP服务器”页签，点击“添加地址池”，添加作用域为“12.12.12.0/24”的DHCP地址池（用于分配给全网接入客户端），将DHCP服务器的“运行接口”设置为“lo”，然后点击“运行”按钮启动DHCP服务器进程，5，配置源地址转换，将用户的虚拟网卡所在网段转换为SSLVPN网关的接口地址：选择资源管理地址，然后选择“子网”页签，点击“添加”，添加子网地址资源，子网地址必须与分配给远程用户的虚拟地址所属的地址池一致，选择VPN地址转换，点击“添加”，勾选“源转换”前的单选按钮，然后设定源地址转换规则的源为“sv_12.12.12.0”，设置源地址转换为“eth0[属性]”，最后点击“确定”按钮。6，添加用户“user”和“manager”。添加角色“doc_role”，然后将用户“user”和“manager”添加到该组中。7，配置授权资源：点击导航菜单SSLVPN资源管理，然后点击资源列表左上方的“添加”，配置全网接入资源8，配置ACL规则：默认禁止远程用户访问内网资源，然后配置两条ACL规则，分别允许访问内网资源“ftp_220”和“web_235”。点击导航菜单SSLVPNACL管理，然后在右侧界面中选中“ACL默认策略”右侧的“禁止”，点击ACL规则列表左上方的“添加规则”，配置允许访问“ftp_220”和“Web_235”的ACL规则，参数设置完成后，点击“确定”按钮。9，配置安全策略：为角色“doc_role”配置一条安全策略，允许该用户访问公司内网的Web服务器“192.168.83.235”；为用户“manager”配置一条安全策略，允许该用户访问公司内网的FTP服务器“192.168.83.220”。为角色“doc_role”配置安全策略。①点击导航菜单SSLVPN安全策略，然后选择“角色安全策略”页签，点击角色“doc_role”条目右侧的“安全策略设置”图标。②勾选“自定义模块设置”，然后选中“启用全网接入”。点击“添加规则”，将允许访问公司内网Web资源的ACL规则“web服务器_235”赋予该角色，配置虚拟门户。点击导航菜单SSLVPN虚拟门户。点击虚拟门户列表左上方的“添加”，自定义远程用户访问SSLVPN网关的用户界面。自定义虚拟门户时，参数“地址”必须配置为远程用户登录SSLVPN网关时的地址，即SSLVPN网关的对外IP“172.16.1.6”，10，验证：用户“user”登录成功后，可以访问授权的全网接入资源“web_235”；用户“manager”登录成功后，可以访问授权的全网接入资源“web_235”和“ftp_220”。SSLVPN之文件共享配置要点：1，开启Eth1所属区域的SSLVPN服务。2，在网关的管理员界面中，添加用户“test1”信息。在网关的管理员界面中，添加角色“test”，然后将用户“test1”添加到该组中。3，在网关的管理员界面中，配置授权资源。4，在网关的管理员界面中，配置ACL规则。5，在网关的管理员界面中，配置安全策略。6，在网关的管理员界面中，配置虚拟门户。7，验证：用户“test1”登录成功后，可以访问授权资源“ftp_220”。