H3C-VPN配置指导-SSL VPN配置

i目录1SSLVPN简介····································································································································1-1 1.1概述···················································································································································1-1 1.2SSLVPN的工作机制·························································································································1-2 1.3SSLVPN的优点································································································································1-2 1.4配置SSLVPN时命令行涉及的部分···································································································1-3 1.4.1配置SSLVPN·························································································································1-3 1.4.2配置SSLVPN时命令行部分的典型配置举例··········································································1-4 1.5在Web页面上配置SSLVPN··············································································································1-5 1.5.1SSLVPN网关配置··················································································································1-6 1.5.2用户访问SSLVPN················································································································1-46 1.5.3SSLVPN典型配置举例·········································································································1-51 1-11SSLVPN简介防火墙和UTM各款型对于本章所描述的特性的支持情况有所不同，详细差异信息如下：特性F100-C-G/F100-S-GF100-M-G/F100-A-G/F100-E-GF1000-A-EI/F1000-E-SI/F1000-S-AI配置SSLVPN支持支持支持F5000-A5F1000-EFirewallmodule不支持支持不支持F1000-S-EIU200-A/U200-M/U200-CAU200-S/U200-CS/U200-CM支持支持支持1.1概述SSLVPN是以SSL（SecureSocketsLayer，安全套接字层）为基础的VPN（VirtualPrivateNetwork，虚拟专用网络）技术，工作在传输层和应用层之间。SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSLVPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。SSLVPN的典型组网架构如下图所示。管理员在SSLVPN网关上创建企业网内服务器对应的资源；远程接入用户访问企业网内的服务器时，首先与SSLVPN网关建立HTTPS（HypertextTransferProtocolSecure，超文本传输协议的安全版本）连接，选择需要访问的资源，由SSLVPN网关将资源访问请求转发给企业网内的服务器。SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制，实现了对企业网内服务器的保护。图1-1SSLVPN典型组网应用1-21.2SSLVPN的工作机制SSLVPN的工作机制为：(1)管理员登录SSLVPN网关的Web界面，在SSLVPN网关上创建与服务器对应的资源。(2)远程接入用户与SSLVPN网关建立HTTPS连接，通过SSL提供的基于证书的身份验证功能，SSLVPN网关和远程接入用户可以验证彼此的身份。(3)HTTPS连接建立成功后，用户登录到SSLVPN网关的Web页面，输入用户名、密码和认证方式，SSLVPN网关验证用户的信息是否正确。(4)用户成功登录后，在Web界面上找到其可以访问的资源，通过SSL连接将访问请求发送给SSLVPN网关。(5)SSLVPN网关解析请求，与服务器交互后将应答发送给用户。1.3SSLVPN的优点SSLVPN利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保证。SSLVPN具有如下优点：(1)支持各种应用协议任何一个应用程序都可以直接享受SSLVPN提供的安全性而不必理会具体细节。SSLVPN将应用协议提供的服务资源划分为三类：•Web接入方式下的访问资源：是指用户使用浏览器以HTTPS方式通过SSLVPN网关对服务器提供的Web代理服务器资源进行访问。•TCP接入方式下的访问资源：用于实现用户应用程序对服务器开放端口的安全访问，包括远程访问服务、桌面共享服务、电子邮件服务、Notes服务和通用TCP服务资源。•IP接入方式下的访问资源：用于实现用户终端与服务器网络层之间的安全通信，进而实现所有基于IP的应用与服务器的互通。(2)部署简单目前SSL协议已被集成到大部分的浏览器（如InternetExplorer浏览器）中，这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。通过这些浏览器访问Web接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问TCP接入方式下和IP接入方式下的资源，则在用户登录SSLVPN时，会自动运行SSLVPN客户端专用软件，也不需要用户进行额外的操作。(3)支持多种用户认证方式除了可以利用SSL协议本身提供的证书认证机制，对SSL客户端进行身份确认外，SSLVPN还支持以下四种认证方式，以及基于这些认证方式的组合认证：•本地认证•RADIUS认证•LDAP认证•AD认证(4)实现了对网络资源的细粒度的控制访问管理员可以配置多个资源和用户，将资源加入到不同的资源组中，将用户加入到不同的用户组，然后为每个用户组指定可以访问的资源组。用户登录后，SSLVPN网关根据用户所在的用户组找到其可以访问的资源组，进而找到可以访问的资源列表，从而实现对资源访问权限的细粒度的控制。1-31.4配置SSLVPN时命令行涉及的部分1.4.1配置SSLVPNSSLVPN网关配置包括如下内容：•指定SSLVPN服务使用的SSL服务器端策略：用户访问SSLVPN网关和内网资源时，需要首先通过HTTPS登录SSLVPN网关的Web页面。因此，SSLVPN网关上需要指定使用的SSL服务器端策略，以便确定SSLVPN服务使用的SSL参数。•指定SSLVPN服务使用的TCP端口号：SSLVPN网关作为HTTPS服务器为用户提供Web登录页面，可以根据需要指定HTTPS服务的TCP端口号。•使能SSLVPN服务：只有使能SSLVPN服务后，用户才能通过Web页面访问SSLVPN网关。1.配置准备配置SSLVPN之前，需要先创建SSL服务器端策略。SSL服务器端策略的配置方法，请参见“系统管理与维护配置指导”中的“SSL”。2.配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下，没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下，SSLVPN服务处于关闭状态•HTTPS服务和SSLVPN服务使用相同的端口号时，二者引用的SSL服务器端策略必须相同，否则无法同时使能HTTPS服务和SSLVPN服务。•HTTPS服务和SSLVPN服务同时使能，并使用相同的端口号时，若要修改引用的SSL服务器端策略，则需要先关闭HTTPS服务和SSLVPN服务，修改SSL服务器端策略后，再使能HTTPS服务和SSLVPN服务，修改后的SSL服务器端策略才能生效。•SSLVPN服务处于使能状态时，对使用的端口号、与其关联的SSL服务器端策略进行的修改不会生效。如果修改了端口号或SSL服务器端策略，则建议重新使能SSLVPN服务，以使新的配置生效。1-41.4.2配置SSLVPN时命令行部分的典型配置举例1.组网需求在SSLVPN中，为了使普通用户能够以HTTPS方式登录SSLVPN网关的Web页面，通过SSLVPN网关访问企业内部资源，需要在SSLVPN网关上进行SSL相关配置，并使能SSLVPN服务。在本配置举例中：•SSLVPN网关的地址为10.1.1.1/24；•为SSLVPN网关和远程接入用户颁发证书的CA（CertificateAuthority，证书颁发机构）地址为10.2.1.1/24，CA名称为CAserver。2.组网图图1-2SSLVPN配置组网图3.配置步骤•本配置举例中，采用WindowsServer作为CA。在CA上需要安装SCEP（SimpleCertificateEnrollmentProtocol，简单证书注册协议）插件。•进行下面的配置之前，需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达，并确保CA上启用了证书服务，可以为设备和主机颁发证书。(1)为SSLVPN网关Firewall申请证书#配置PKI实体en，指定实体的通用名为http-server。Firewallsystem-view[Firewall]pkientityen[Firewall-pki-entity-en]common-namehttp-server[Firewall-pki-entity-en]quit#配置PKI域sslvpn，指定信任的CA名称为caserver、注册服务器的URL为、证书申请的注册受理机构为RA、实体名称为en。[Firewall]pkidomainsslvpn[Firewall-pki-domain-sslvpn]caidentifiercaserver1-5[Firewall-pki-domain-sslvpn]certificaterequesturl