用户远程访问公司内网---防火墙配置SSL VPN,操作及原理讲解

发布于:2024-04-17 ⋅ 阅读:(29) ⋅ 点赞:(0)

SSL VPN

SSL VPN(Secure Sockets Layer Virtual Private Network)是一种利用SSL/TLS协议来提供安全的远程访问解决方案。与IPSec VPN相比,SSL VPN的优势在于它不需要在客户端安装特定的软件,用户可以通过任何支持SSL/TLS的Web浏览器来访问企业网络。

SSL VPN的工作原理如下:

  1. 客户端认证:用户通过浏览器访问SSL VPN网关,输入认证信息(如用户名和密码)。

  2. 服务器端处理:SSL VPN服务器接收客户端的请求,并进行身份验证。一旦认证成功,服务器会与客户端建立一个加密的通道。

  3. 数据传输:通过建立的加密通道,客户端可以安全地访问企业网络资源,如内部网站、应用程序和文件共享服务。

  4. 会话管理:SSL VPN服务器管理用户的会话,确保会话的安全性,并在用户下线或超时后终止会话。

拓扑搭建

vmnet1虚拟网卡连接防火墙g0/0/0口,配置接口地址为192.168.20.100作为管理接口用于登录防火墙web页面。

防火墙g1/0/1连接企业内网,网段为192.168.1.0/24,g1/0/1为网关接口,地址为192.168.1.254

防火墙g1/0/0与外网路由器相连,网段为100,1,1,0/24。

R1路由器与vmnet8相连,用于虚拟机模拟外网用户进行vpn登录内网

 基础配置

FW1:

<USG6000V1>sys

[USG6000V1]sys FW1

[FW1]interface g0/0/0

[FW1-GigabitEthernet0/0/0]ip address 192.168.20.100 24 /配置ip

[FW1-GigabitEthernet0/0/0]service-manage enable /开启服务

[FW1-GigabitEthernet0/0/0]service-manage all permit /开启服务

[FW1-GigabitEthernet0/0/0]q

[FW1]user-interface console 0

[FW1-ui-console0]idle-timeout 0 /设置终端命令行超时时间

[FW1]web-manager timeout 1440 /设置web管理界面超时时间

AR1配置

sys

[Huawei]sys AR1

[AR1]interface g0/0/0

[AR1-GigabitEthernet0/0/0]ip address 192.168.10.254 24

[AR1-GigabitEthernet0/0/0]q

[AR1]interface g0/0/1

[AR1-GigabitEthernet0/0/1]ip address 100.1.1.2 24

[AR1-GigabitEthernet0/0/1]q

物理机vmnet8网卡配置

 web登录防火墙配置接口地址及安全区域

配置安全策略使区域数据流通 

 配置nat策略出接口地址转换

 配置默认路由指向外部路由器

测试[此时内网主机可以和外部路由器进行数据通信]

SSL-VPN搭建

1. 创建用户和认证策略
  • 用户创建:首先,需要在VPN服务器上创建用户账户。这些账户将用于远程用户登录SSL VPN。每个用户账户通常包括用户名、密码以及其他可能的身份验证信息,如数字证书或一次性密码(OTP)。

  • 认证策略:认证策略定义了用户登录SSL VPN所需的身份验证过程。这可能包括密码验证、多因素认证(MFA)或使用数字证书。认证策略的目的是确保只有经过授权的用户才能访问内部网络资源。

2. 创建VPN虚拟网关
  • VPN虚拟网关创建:VPN虚拟网关是远程用户访问内部网络的入口点。在配置过程中,需要指定VPN虚拟网关的接口(如GigabitEthernet 1/0/0),分配端口号(如4430),并设置域名(如www.a.com)。

 进入命令行进行配置【防火墙配置会报错】

[FW1]v-gateway sslvpn1 interface GigabitEthernet 1/0/0 port 4430 private www.a.com

v-gateway sslvpn1:这条命令用于创建一个名为sslvpn1的虚拟网关。v-gateway是创建虚拟网关的命令,sslvpn1是为这个虚拟网关指定的名称。interface GigabitEthernet 1/0/0:这部分指定了虚拟网关将要使用的物理接口。在这个例子中,虚拟网关将使用GigabitEthernet 1/0/0接口。这个接口是防火墙上的一个网络端口,用于处理进出的VPN流量。

port 4430:这条命令设置了虚拟网关监听的端口号。在这个例子中,端口号被设置为4430。这是一个非标准端口,通常用于SSL VPN服务以避免与标准的HTTPS端口(443)冲突。

private www.a.com:这部分指定了虚拟网关的域名。private关键字表示这是一个私有的域名,www.a.com是用户用来访问SSL VPN服务的域名。用户将通过这个域名来启动他们的SSL VPN连接。

  • 接口、端口号和域名配置:接口是VPN连接的物理或逻辑通道。端口号指定了VPN服务监听的网络端口,而域名则是用户访问VPN服务的网络地址。这些配置确保了VPN服务可以在网络上被正确地识别和访问。

3. 修改VPN虚拟网关
  • 网关配置修改:对VPN虚拟网关的进一步配置,如端口号的修改(将其修改为443,这是HTTPS的标准端口)。

  • 网络扩展:网络扩展配置允许VPN客户端在连接到企业网络时,通过用户端安装插件,为其分配虚拟内网ip地址

新建安全策略

 

虚拟win-sever2016配置vmnet8网卡,通过浏览器【https://100.1.1.1】访问公司内网