【简介】当分公司需要访问总公司的内网资料的时候,为了保证流量在Internet传输过程中的安全性,希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,需要在总公司与分公司之间的网络上建立SSL VPN,它即能实现分公司与总公司之间的网络连接,也能对数据传输进行加密,保证数据的安全性 。
SSL VPN 简介
SSL VPN原理:SSL VPN指的是利用SSL协议封包处理功能,利用公司内部SSL VPN网关,通过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。
SSL VPN工作模式:Web模式,也叫做代理Web页面,它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。Tunnel模式,需要下载运行的客户端支持。客户端和防火墙设备建立SSL隧道后,防火墙为客户端分配IP地址,客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。
防火墙配置
这里我们采用WatchGuard x1250e作为示例,学习怎样配置SSL VPN,配置软件为WatchGuard System Manager (软件的下载及安装请参考相应文档)。
① 打开WatchGuard System Manager软件,输入防火墙的内网或外网IP,默认内网IP是192.168.1.99,这里因为是远程登录设备,所以输入的是外网IP。默认登录帐户是status,不能修改,输入status帐户密码,默认的status帐号密码为readonly。
② 进入主介面后,点击Policy Manager图标;
③ 在策略管理介面选择菜单【VPN】-【Mobile VPN】-【SSL】;
④ 选择激活Moblie VPN with SSL,在Firefox IP地址中输入防火墙的外网地址,如果有多条外网,也可以输入备份地址,这样在有一根外网出现问题时可以走另一根外网登录。连接成功后,防火墙会自动给连接设备分配一个IP地址,在虚拟地址池里可以使用默认地址范围,也可以修改为自己想要的地址范围,前题是不要和已有的内网地址在同一网段;
⑤ 点击【身份验证】子菜单,可以看到默认是通过设防火墙设备进行身份证验证,通过配置添加的用户会自动加入SSLVPN-Users组中;
⑥ 点击配置后,进入身份验证介面,在这里可以自行添加用户,添加的用户将保存在防火墙中;
⑦ 可用的组里并没有出现SSLVPN-Users组,那是因为在选择激活Moblie VPN with SSL后并没有点确定,也就没有自动生成SSLVPN-Users组,所以在这里选择取消;
⑧ 回到配置介面中直接点击【确定】,要注意的是这里没有配置任何用户,现在点确定是需要自动生成SSLVPN-Users用户组;
⑨ 因为是通过外网IP远程配置防火墙,所以会出现提示当前的外部IP与输入的远程IP地址不匹配,这里直接点击【是】;
⑩ 再次返回身份验证服务器介面,可以发现已经多出了一个SSLVPN-Users用户组;
⑪ 添加用户的时候,输入用户名称,密码需要输入两次,密码长度最少为8个字符,当密码长度不够时,会出现红字提示,确认按钮为灰色。需要将右边的可用组SSLVPN-Users选择后,点击左剑头键移到左边;
⑫ 只有用户属于SSLVPN-Users组,才可以在SSL VPN登录的时候起做用,如果不是则验证通不过。
⑬ 子菜单【高级】下面是SSL VPN的加密方式及通道等设置参数,通常保留默认值,也可以根据需要进行修改;
⑭ 激活Moblie VPN with SSL后,会自动创建三条策略;
⑮ 需要将配置写入到防火墙后,才会起作用,点击保存到Firefox图标;
⑯ 输入admin帐号密码(默认为readwrite),保存配置文件到本地硬盘,配置完成。
客户端下载与安装
WatchGuard 的 SSL VPN 客户端保存在防火墙上,可以通过浏览器登录下载,只有激活了 Mobile VPN with SSL 后才可以访问。
① 打开 Firefox 浏览器,输入地址 https://外网IP/sslvpn.html,可以看到登录介面,输入刚才设置的 SSL VPN 用户名和密码,点击【Login】登录;
② 如果一切都顺利的话,可以看到 SSL VPN 客户端的下载介面,分为 Windows 版和 Mac 版,这里选择 Windows 版的进行下载;
③ 下载后的安装文件只有不到2M;
④ 安装 SSL VPN 客户端。
客户端连接
安装好的客户端体积很小,相当于一个拨号软件。
① 打开安装好的客户端,输入防火墙外网IP,用户名和密码,点击【连接】;
② 提示建立安全连接,点击【是】;
③ 显示连接状况,连接成功后会缩入右下角,并显示已经连接成功;
④ 双击缩小的终端图标,可以看到连接后的详细信息。
连通测试
通过Ping防火墙的接口地址或内部电脑IP地址,我们可以验证SSL VPN通道是否生成。
① 通过ipconfig命令,可以看到本机已经多出一个以太网适配器,IP地址为192.168.113.2, 而上面的介面里可以看到网关是192.168.113.1;
② 通过WatchGuard System Manager软件查看防火墙的接口IP地址;
③ Ping防火墙的内网接口,都可以Ping通,说明已经可以安全的进行远程访问了。