目录
1 SSL VPN配置 ···································································································································· 1-1
1.1 SSL VPN简介···································································································································· 1-1
1.2 配置SSL VPN ···································································································································· 1-1
1.2.1 配置准备 ································································································································· 1-2
1.2.2 配置SSL VPN ························································································································· 1-2
1.3 SSL VPN典型配置举例 ····················································································································· 1-2
1 SSL VPN配置
1.1 SSL VPN简介
SSL VPN是以SSL(Secure Sockets Layer,安全套接层)为基础的VPN(Virtual Private Network,虚拟专用网)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。
SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
SSL VPN的典型组网架构如图1-1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS(Hypertext Transfer Protocol Secure,安全超文本传输协议)连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。
图1-1SSL VPN典型组网架构
SSL VPN的工作机制为:
(1) 管理员登录SSL VPN网关的Web界面,在SSL VPN网关上创建与服务器对应的资源。
(2) 远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,
SSL VPN网关和远程接入用户可以验证彼此的身份。
(3) HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证
方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。
(4) 用户成功登录后,在Web页面上到其可以访问的资源,通过SSL连接将访问请求发送给
SSL VPN网关。
(5) SSL VPN网关解析请求,与服务器交互后将应答发送给用户。
1.2 配置SSL VPN
SSL VPN网关配置包括如下内容:
•指定SSL VPN服务使用的SSL服务器端策略:用户访问SSL VPN网关和内网资源时,需要首先通过HTTPS登录SSL VPN网关的Web页面。因此,SSL VPN网关上需要指定使用的
SSL服务器端策略,以便确定SSL VPN服务使用的SSL参数。
•
指定SSL VPN 服务使用的TCP 端口号:SSL VPN 网关作为HTTPS 服务器为用户提供Web 登录页面,可以根据需要指定HTTPS 服务的TCP 端口号。 • 使能SSL VPN 服务:只有使能SSL VPN 服务后,用户才能通过Web 页面访问SSL VPN 网
关。
1.2.1 配置准备
配置SSL VPN 之前,需要先创建SSL 服务器端策略。SSL 服务器端策略的配置方法,请参见“安全配置指导”中的“SSL ”。
1.2.2 配置SSL VPN
表1-1 配置SSL VPN 操作
命令 说明 进入系统视图
system-view - 配置
SSL VPN 服务使用的SSL 服
务器端策略和端口号 ssl-vpn server-policy server-policy-name [ port port-number ] 必选 缺省情况下,没有配置SSL VPN 服务使用的SSL 服务器端策略
使能SSL VPN 服务 ssl-vpn enable 必选
ssl协议是指什么缺省情况下,SSL VPN 服务处于关闭
状态
• HTTPS 服务和SSL VPN 服务使用相同的端口号时,二者引用的SSL 服务器端策略必须相同,
否则无法同时使能HTTPS 服务和SSL VPN 服务。
• HTTPS 服务和SSL VPN 服务同时使能,并使用相同的端口号时,若要修改引用的SSL 服务器
端策略,则需要先关闭HTTPS 服务和SSL VPN 服务,修改SSL 服务器端策略后,再使能HTTPS 服务和SSL VPN 服务,修改后的SSL 服务器端策略才能生效。
• SSL VPN 服务处于使能状态时,对使用的端口号、与其关联的SSL 服务器端策略进行的修改不
会生效。如果修改了端口号或SSL 服务器端策略,则建议重新使能SSL VPN 服务,以使新的配置生效。
1.3 SSL VPN 典型配置举例
1. 组网需求
在SSL VPN 中,为了使普通用户能够以HTTPS 方式登录SSL VPN 网关的Web 页面,通过SSL VPN 网关访问企业内部资源,需要在SSL VPN 网关上进行SSL 相关配置,并使能SSL VPN 服务。 在本配置举例中:
•
SSL VPN 网关的地址为10.1.1.1/24; • 为SSL VPN 网关和远程接入用户颁发证书的CA (Certificate Authority ,认证机构)地址为
10.2.1.1/24,CA 名称为CA server 。
2. 组网图
图1-2SSL VPN配置组网图
3. 配置步骤
•本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
•进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。
(1) 为SSL VPN网关Device申请证书
# 配置PKI实体en,指定实体的通用名为http-server。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server
[Device-pki-entity-en] quit
# 配置PKI域sslvpn,指定信任的CA名称为ca server、注册服务器的URL为10.2.1.1/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] ca identifier ca server
[Device-pki-domain-sslvpn] certificate request url 10.2.1.1/certsrv/mscep/mscep.dll [Device-pki-domain-sslvpn] certificate request from ra
[Device-pki-domain-sslvpn] certificate request entity en
[Device-pki-domain-sslvpn] quit
# 生成本地的RSA密钥对。
[Device] public-key local create rsa
# 获取CA的证书。
[Device] pki retrieval-certificate ca domain sslvpn
# 为Device申请证书。
[Device] pki request-certificate domain sslvpn
(2) 配置SSL VPN服务使用的SSL服务器端策略
# 创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain sslvpn
[Device-ssl-server-policy-myssl] quit
(3) 配置SSL VPN
# 指定SSL VPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443。
[Device] ssl-vpn server-policy myssl
# 使能SSL VPN服务。
[Device] ssl-vpn enable
(4) 验证配置结果
远程接入用户在终端主机Host上打开IE浏览器,输入网址10.1.1.1/svpn,即可打开SSL VPN 网关Device的Web登录页面。
•PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;
•public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;•SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。
•SSL VPN功能主要通过Web页面进行配置,详细介绍请参见《H3C ICG系列信息通信网关 Web 配置指导》中的“SSL VPN”。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论