網(wǎng)絡(luò)運維|通過SSL VPN進行網(wǎng)絡(luò)擴展

2020-06-16 21:20 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護相關(guān)的內(nèi)容，在這里介紹下通過SSL VPN進行網(wǎng)絡(luò)擴展的配置， 網(wǎng)絡(luò)安全運維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運維大神。
網(wǎng)絡(luò)維護是一種日常維護，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務(wù)器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護，北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護信息

通過SSL VPN進行網(wǎng)絡(luò)擴展

在用戶啟用網(wǎng)絡(luò)擴展功能后，網(wǎng)絡(luò)擴展客戶端會自動從網(wǎng)關(guān)上獲得IP地址并激活虛擬網(wǎng)卡進行SSL通信，使用戶如同工作在企業(yè)內(nèi)網(wǎng)一樣，快速、安全地訪問企業(yè)內(nèi)網(wǎng)的資源。配置手動模式的網(wǎng)絡(luò)擴展功能后，除了增加對遠程企業(yè)內(nèi)網(wǎng)的訪問權(quán)限外，不影響客戶端原先可訪問的網(wǎng)絡(luò)資源，除非網(wǎng)絡(luò)資源與遠程企業(yè)內(nèi)網(wǎng)沖突。

前提條件

已加載License文件，且USG可以正常訪問內(nèi)網(wǎng)資源。
 說明：
本舉例中USG內(nèi)網(wǎng)接口IP地址、地址池地址和內(nèi)網(wǎng)服務(wù)器的IP地址在同一網(wǎng)段。如果USG內(nèi)網(wǎng)接口IP地址和內(nèi)網(wǎng)服務(wù)器的IP地址不在同一網(wǎng)段，可以按照如下方法配置：
將地址池和USG內(nèi)網(wǎng)接口配置在同一網(wǎng)段，并保證USG的內(nèi)網(wǎng)接口與內(nèi)網(wǎng)服務(wù)器路由可達，確保業(yè)務(wù)的連通性。

組網(wǎng)需求

如圖10-94所示，USG作為企業(yè)網(wǎng)絡(luò)的出口網(wǎng)關(guān)連接Internet。
具體需求如下：
外網(wǎng)用戶會獲取到192.168.1.50/24～192.168.1.150/24范圍內(nèi)的IP地址，且能夠像工作在內(nèi)網(wǎng)一樣，快速、安全地訪問內(nèi)網(wǎng)的192.168.1.0/24網(wǎng)段的資源。
本地PC中已有有效的CA證書ca.crt。采用用戶提供證書和VPNDB結(jié)合的認證授權(quán)方式。
由于經(jīng)常受到來自7.1.1.0/24網(wǎng)段的網(wǎng)絡(luò)攻擊，禁止員工在7.1.1.0/24網(wǎng)段的客戶端上訪問虛擬網(wǎng)關(guān)。
圖  網(wǎng)絡(luò)擴展組網(wǎng)圖 

配置思路

在USG創(chuàng)建一個名為test的虛擬網(wǎng)關(guān)，外網(wǎng)用戶可通過此虛擬網(wǎng)關(guān)訪問企業(yè)內(nèi)網(wǎng)的資源。虛擬網(wǎng)關(guān)的IP地址為202.10.10.1/24。
配置內(nèi)網(wǎng)的DNS服務(wù)器地址和域名，使用戶可通過域名訪問虛擬網(wǎng)關(guān)的業(yè)務(wù)。
配置網(wǎng)絡(luò)擴展功能，為外網(wǎng)用戶分配IP地址和添加外網(wǎng)用戶可訪問的內(nèi)網(wǎng)資源。
從本地PC上將有效CA證書導(dǎo)入設(shè)備中，并進行激活。
配置認證方式為證書挑戰(zhàn)（輔助認證方式：VPNDB），授權(quán)方式配置為VPNDB。
添加VPNDB用戶。VPNDB的用戶名即是客戶端證書的名稱，VPNDB的密碼即是外網(wǎng)用戶登錄虛擬網(wǎng)關(guān)時需要輸入的密碼。
配置虛擬網(wǎng)關(guān)源IP策略，禁止IP網(wǎng)段為7.1.1.0/24的客戶端訪問虛擬網(wǎng)關(guān)。
在需要訪問虛擬網(wǎng)關(guān)的PC端安裝CA證書對應(yīng)的客戶端證書。

操作步驟

配置接口基本參數(shù)。
選擇“網(wǎng)絡(luò) > 接口 > 接口”。
選擇“接口”頁簽。
在“接口列表”中，單擊GE0/0/1對應(yīng)的。
在“修改GigabitEthernet”界面中，配置如下：
安全區(qū)域：trust
IP地址：192.168.1.1
子網(wǎng)掩碼：255.255.255.0
其他配置項采用缺省值。
單擊“應(yīng)用”。
在“接口列表”中，單擊GE0/0/2對應(yīng)的。
在“修改GigabitEthernet”界面中，配置如下：
安全區(qū)域：untrust
IP地址：202.10.10.1
子網(wǎng)掩碼：255.255.255.0
其他配置項采用缺省值。
單擊“應(yīng)用”。
對于USG系列，配置域間包過濾，以保證網(wǎng)絡(luò)基本通信正常。對于USG BSR/HSR系列，不需要執(zhí)行此步驟。
配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
選擇“防火墻 > 安全策略 > 本地策略”。
在“對設(shè)備訪問控制列表”中，單擊“Untrust”下的“默認”所在行的。
在“修改對設(shè)備訪問控制”界面中，選擇“動作”為“permit”。
單擊“應(yīng)用”。
配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
在“轉(zhuǎn)發(fā)策略列表”中，單擊“untrust->trust”下的“默認”所在行的。
在“修改轉(zhuǎn)發(fā)策略”界面中，選擇“動作”為“permit”。
單擊“應(yīng)用”。
在“轉(zhuǎn)發(fā)策略列表”中，單擊“trust->untrust”下的“默認”所在行的。
在“修改轉(zhuǎn)發(fā)策略”界面中，選擇“動作”為“permit”。
單擊“應(yīng)用”。
創(chuàng)建虛擬網(wǎng)關(guān)。
選擇“VPN > SSL VPN > 虛擬網(wǎng)關(guān)管理”。
單擊“新建”。
配置虛擬網(wǎng)關(guān)參數(shù)。
單擊“應(yīng)用”。
配置DNS服務(wù)器。
選擇“VPN > SSL VPN > 虛擬網(wǎng)關(guān)列表”。
在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹中選擇“虛擬網(wǎng)關(guān)列表 > test > 網(wǎng)絡(luò)配置”。
單擊“首選DNS服務(wù)器 ”和“DNS domain”對應(yīng)的，配置DNS服務(wù)器地址和域名。
單擊“首選DNS服務(wù)器”和“DNS domain”對應(yīng)的，完成配置。
配置網(wǎng)絡(luò)擴展。
在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹中選擇“虛擬網(wǎng)關(guān)列表 > test > 網(wǎng)絡(luò)擴展”。
選中“啟用網(wǎng)絡(luò)擴展功能”前的復(fù)選框，啟用網(wǎng)絡(luò)擴展功能。
選中“保持連接”、“啟用點對點通訊”前的復(fù)選框。
 說明：
啟用保持連接功能后，客戶端會定時向網(wǎng)關(guān)發(fā)送報文，確?？蛻舳撕吞摂M網(wǎng)關(guān)的網(wǎng)絡(luò)擴展連接不會因為SSL會話超時而斷開。
啟用點對點通訊功能后，接入同一虛擬網(wǎng)關(guān)的用戶可以互相通訊，如同在一個局域網(wǎng)內(nèi)部。
在“客戶端IP分配方式”區(qū)域框中，分配客戶端使用的IP地址。
 注意：
在配置虛擬IP地址池時，虛擬IP地址池范圍內(nèi)的IP地址不能為虛擬網(wǎng)關(guān)或接口的IP地址，也不能為內(nèi)網(wǎng)存在的IP地址。
在“客戶端路由方式”區(qū)域框中，選中“手動模式”前的單選按鈕。
單擊“添加網(wǎng)段”，添加客戶端可以通過虛擬網(wǎng)關(guān)訪問的內(nèi)網(wǎng)資源。
 說明：
選擇“手動模式”，外網(wǎng)用戶可以訪問遠端企業(yè)內(nèi)網(wǎng)特定網(wǎng)段的資源，對Internet和本地局域網(wǎng)的訪問不受影響。網(wǎng)段沖突時優(yōu)先訪問遠端企業(yè)內(nèi)網(wǎng)。
在“用戶虛擬IP處理方式”區(qū)域框中，選中“清除不在新地址范圍內(nèi)的用戶虛擬IP”前的單選按鈕，清除虛擬網(wǎng)關(guān)內(nèi)不在新地址段內(nèi)的用戶虛擬IP。
單擊“應(yīng)用”。
導(dǎo)入CA證書。
在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹中選擇“虛擬網(wǎng)關(guān)列表 > test > SSL配置”。
在“CA證書信息”區(qū)域框中，單擊“導(dǎo)入CA證書”文本框右側(cè)的“瀏覽”，定位CA證書。
單擊“上傳”。
配置證書挑戰(zhàn)。
在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹中選擇“虛擬網(wǎng)關(guān)列表 > test > 認證授權(quán)配置”。
選擇“認證授權(quán)方式”頁簽。
選中“需要用戶提供證書”前的復(fù)選框。
單擊優(yōu)先級“1”對應(yīng)的操作，選擇認證授權(quán)方式為證書挑戰(zhàn)，輔助認證方式為VPNDB。并設(shè)置為需要用戶提供證書。
單擊，完成認證授權(quán)方式配置。
選擇“證書認證配置”頁簽。
在“證書挑戰(zhàn)”區(qū)域框中，單擊“修改”，配置提取證書用戶過濾字段為缺省值。
單擊“確定”，完成證書挑戰(zhàn)的配置。
配置VPNDB用戶。
在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹中選擇“虛擬網(wǎng)關(guān)列表 > test > VPNDB配置”。
選擇“用戶管理”頁簽，單擊“新建”。
在“添加用戶”區(qū)域框中，配置VPNDB用戶user，密碼為User12345。 說明：
此處的用戶名要和客戶端證書的名稱保持一致。
單擊“應(yīng)用”。
重復(fù)上述配置步驟，將所有需要訪問內(nèi)網(wǎng)資源的用戶添加到USG。
 說明：
如果用戶較多，可以在“批量導(dǎo)入用戶”區(qū)域框中，批量導(dǎo)入用戶。
配置虛擬網(wǎng)關(guān)源IP策略，禁止IP網(wǎng)段為7.1.1.0/24的客戶端訪問虛擬網(wǎng)關(guān)。
在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹中選擇“虛擬網(wǎng)關(guān)列表 > test > 策略配置”。
選擇“虛擬網(wǎng)關(guān)源IP策略”頁簽，單擊“新建”。
配置源IP策略。
單擊“應(yīng)用”。
在需要訪問虛擬網(wǎng)關(guān)的PC端安裝客戶端證書。
 注意：
PC端必須要安裝與設(shè)備上導(dǎo)入的CA證書相對應(yīng)的客戶端證書，才能認證通過。
在PC上打開IE瀏覽器，在工具欄中依此選擇“工具 > Internet選項”。
在“內(nèi)容”界面中選擇“證書”。
單擊“導(dǎo)入”，根據(jù)證書導(dǎo)入向?qū)В瑥谋镜剡x擇客戶端證書user.p12，導(dǎo)入到PC中。
 說明：
如果證書中設(shè)置了私鑰密碼，請在“密碼”界面中輸入相應(yīng)的私鑰密碼。
證書導(dǎo)入成功后，會彈出“導(dǎo)入成功”的提示框。
證書導(dǎo)入完畢后，關(guān)閉“證書”窗口，并單擊“確定”，退出“Internet選項”窗口。

結(jié)果驗證

企業(yè)員工在外部網(wǎng)絡(luò)（非7.1.1.0/24網(wǎng)段）的IE瀏覽器中輸入https://202.10.10.1，進入虛擬網(wǎng)關(guān)登錄界面。
輸入在USG上配置的密碼，并在下拉列表中選擇有效證書為“user”，單擊“登錄”，通過客戶端證書認證，登錄虛擬網(wǎng)關(guān)。顯示界面如圖10-103所示。
圖10-103  虛擬網(wǎng)關(guān)客戶端 

在“網(wǎng)絡(luò)擴展”區(qū)域框中，單擊“啟動”，啟用網(wǎng)絡(luò)擴展功能后，客戶端可以獲取192.168.1.50/24～192.168.1.150/24范圍內(nèi)的IP地址，訪問企業(yè)內(nèi)網(wǎng)資源，同時訪問Internet不受限制。
 說明：
客戶端第一次啟用網(wǎng)絡(luò)擴展功能時，客戶端可能會收到虛擬網(wǎng)關(guān)發(fā)送的Active控件，需要按提示安裝后才能正常使用網(wǎng)絡(luò)擴展功能。
不同版本的虛擬網(wǎng)關(guān)會要求客戶端安裝不同版本的Active控件。當客戶端訪問不同版本虛擬網(wǎng)關(guān)時，請在訪問新的虛擬網(wǎng)關(guān)前先將舊的Active控件刪除，再安裝新的Active控件，以免由于Active控件版本不一致導(dǎo)致網(wǎng)絡(luò)擴展功能不可用。
以客戶端為一臺PC為例，執(zhí)行以下命令來刪除控件：
PC> regsvr32 SVNIEAgt.ocx -u -s
PC> del %systemroot%\SVNIEAgt.ocx /q
PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q
PC> cd  %appdata%
PC> rmdir svnclient /q /s
7.1.1.0/24網(wǎng)段的客戶端在IE瀏覽器中輸入https://202.10.10.1后，頁面提示訪問受限，無法訪問虛擬網(wǎng)關(guān)。
以上文章由北京艾銻無限科技發(fā)展有限公司整理