- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-SSL VPN配置
本章節下載: 13-SSL VPN配置 (185.46 KB)
SSL VPN是以SSL(Secure Sockets Layer,安全套接字層)為基礎的VPN(Virtual Private Network,虛擬專用網絡)技術,工作在傳輸層和應用層之間。SSL VPN充分利用了SSL協議提供的基於證書的身份認證、數據加密和消息完整性驗證機製,可以為應用層之間的通信建立安全連接。
SSL VPN廣泛應用於基於Web的遠程安全接入,為用戶遠程訪問公司內部網絡提供了安全保證。SSL VPN的典型組網架構如圖1-1所示。管理員在SSL VPN網關上創建企業網內服務器對應的資源;遠程接入用戶訪問企業網內的服務器時,首先與SSL VPN網關建立HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)連接,選擇需要訪問的資源,由SSL VPN網關將資源訪問請求轉發給企業網內的服務器。SSL VPN通過在遠程接入用戶和SSL VPN網關之間建立SSL連接、SSL VPN網關對用戶進行身份認證等機製,實現了對企業網內服務器的保護。
圖1-1 SSL VPN典型組網架構
SSL VPN的工作機製為:
(1) 管理員登錄SSL VPN網關的Web界麵,在SSL VPN網關上創建與服務器對應的資源。
(2) 遠程接入用戶與SSL VPN網關建立HTTPS連接。通過SSL提供的基於證書的身份驗證功能,SSL VPN網關和遠程接入用戶可以驗證彼此的身份。
(3) HTTPS連接建立成功後,用戶登錄到SSL VPN網關的Web頁麵,輸入用戶名、密碼和認證方式(如RADIUS認證),SSL VPN網關驗證用戶的信息是否正確。
(4) 用戶成功登錄後,在Web頁麵上找到其可以訪問的資源,通過SSL連接將訪問請求發送給SSL VPN網關。
(5) SSL VPN網關解析請求,與服務器交互後將應答發送給用戶。
SSL VPN網關配置包括如下內容:
· 指定SSL VPN服務使用的SSL服務器端策略:用戶訪問SSL VPN網關和內網資源時,需要首先通過HTTPS登錄SSL VPN網關的Web頁麵。因此,SSL VPN網關上需要指定使用的SSL服務器端策略,以便確定SSL VPN服務使用的SSL參數。
· 指定SSL VPN服務使用的TCP端口號:SSL VPN網關作為HTTPS服務器為用戶提供Web登錄頁麵,可以根據需要指定HTTPS服務的TCP端口號。
· 使能SSL VPN服務:隻有使能SSL VPN服務後,用戶才能通過Web頁麵訪問SSL VPN網關。
配置SSL VPN之前,需要先創建SSL服務器端策略。SSL服務器端策略的配置方法,請參見“安全配置指導”中的“SSL”。
表1-1 配置SSL VPN
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
配置SSL VPN服務使用的SSL服務器端策略和端口號 |
ssl-vpn server-policy server-policy-name [ port port-number ] |
必選 缺省情況下,沒有配置SSL VPN服務使用的SSL服務器端策略 |
|
使能SSL VPN服務 |
ssl-vpn enable |
必選 缺省情況下,SSL VPN服務處於關閉狀態 |
· HTTPS服務和SSL VPN服務使用相同的端口號時,二者引用的SSL服務器端策略必須相同,否則無法同時使能HTTPS服務和SSL VPN服務。
· HTTPS服務和SSL VPN服務同時使能,並使用相同的端口號時,若要修改引用的SSL服務器端策略,則需要先關閉HTTPS服務和SSL VPN服務,修改SSL服務器端策略後,再使能HTTPS服務和SSL VPN服務,修改後的SSL服務器端策略才能生效。
· SSL VPN服務處於使能狀態時,對使用的端口號、與其關聯的SSL服務器端策略進行的修改不會生效。如果修改了端口號或SSL服務器端策略,則建議重新使能SSL VPN服務,以使新的配置生效。
在SSL VPN中,為了使普通用戶能夠以HTTPS方式登錄SSL VPN網關的Web頁麵,通過SSL VPN網關訪問企業內部資源,需要在SSL VPN網關上進行SSL相關配置,並使能SSL VPN服務。
在本配置舉例中:
· SSL VPN網關的地址為10.1.1.1/24;
· 為SSL VPN網關和遠程接入用戶頒發證書的CA(Certificate Authority,證書頒發機構)地址為10.2.1.1/24,CA名稱為CA server。
圖1-2 SSL VPN配置組網圖
· 本配置舉例中,采用Windows Server作為CA。在CA上需要安裝SCEP(Simple Certificate Enrollment Protocol,簡單證書注冊協議)插件。
· 進行下麵的配置之前,需要確保SSL VPN網關、CA和遠程接入用戶使用的主機Host之間的路由可達,並確保CA上啟用了證書服務,可以為設備和主機頒發證書。
(1) 為SSL VPN網關Device申請證書
# 配置PKI實體en,指定實體的通用名為http-server。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server
[Device-pki-entity-en] quit
# 配置PKI域sslvpn,指定信任的CA名稱為ca server、注冊服務器的URL為http://10.2.1.1/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] ca identifier ca server
[Device-pki-domain-sslvpn] certificate request url http://10.2.1.1/certsrv/mscep/mscep.dll
[Device-pki-domain-sslvpn] certificate request from ra
[Device-pki-domain-sslvpn] certificate request entity en
[Device-pki-domain-sslvpn] quit
# 生成本地的RSA密鑰對。
[Device] public-key local create rsa
# 獲取CA的證書。
[Device] pki retrieval-certificate ca domain sslvpn
# 為Device申請證書。
[Device] pki request-certificate domain sslvpn
(2) 配置SSL VPN服務使用的SSL服務器端策略
# 創建SSL服務器端策略myssl,並指定該策略使用PKI域sslvpn。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain sslvpn
[Device-ssl-server-policy-myssl] quit
(3) 配置SSL VPN
# 指定SSL VPN服務使用的SSL服務器端策略為myssl,端口號為缺省端口號443。
[Device] ssl-vpn server-policy myssl
# 使能SSL VPN服務。
[Device] ssl-vpn enable
(4) 驗證配置結果
遠程接入用戶在終端主機Host上打開IE瀏覽器,輸入網址https://10.1.1.1/svpn,即可打開SSL VPN網關Device的Web登錄頁麵。
· PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI”;
· public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”;
· SSL配置命令的詳細介紹請參見“安全命令參考”中的“SSL”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
