华为防火墙ssl xxx配置

最新推荐文章于 2024-06-09 22:30:31 发布
最新推荐文章于 2024-06-09 22:30:31 发布
阅读量8.2k 收藏 57
点赞数 5
分类专栏: 网络技术 文章标签: 华为 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cx2csdn/article/details/122991978
版权

ipsec vpn,gre vpn 适合企业间的连接,要求连接的两端设备都可以配置;如果是出差的员工,或员工在家想连接到企业网的内部,这两类vpn就不能满足条件。

可以使用PPTP VPN ,L2TP VPN,SSL VPN,EZVPN(CISOCO 专有),其中以SSL VPN最为安全,应用最普遍。

SSL VPN(CISCO称为 web vpn),使用SSL(安全套接层)协议,实现隧道加密数据传输,客户端使用浏览器即可(L2TP要手工在系统中建立一个连接),浏览器使用HTTPS协议加密数据,客户端只要能上网,连接到SSLVPN设备即可。

本实验使用 EVE-NG平台,华为USG6K防火墙和思科的路由交换机实现。

拓扑:

在这里插入图片描述

图中,内网使用ospf 协议,防火墙使用默认路由访问外网。内网服务器使用eve-ng中的linux服务器模拟,如EVE中 没有的话也可以使用桥接到Vmware 中的虚拟机,外网用户模拟客户端,使用vmware中的windows。

准备:eve-ng中添加两块网卡,用于桥接到vmware虚拟机

在eve-ng中查看ip

目标:在防火墙上配置SSL VPN,使windows10客户端,可以访问到内网的web服务器、文件共享服务器、可以远程管理内网交换机、可以访问内网的指定网段。

配置步骤:

1、交换机配置

sw
ena
conf t

ip routing
int lo 0
ip add 172.16.100.254 255.255.255.255
int g0/0
ip add 192.168.10.2 255.255.255.0
no sh
int g0/1
ip add 172.16.10.1 255.255.255.0
no sh
int g0/2
ip add 172.16.20.1 255.255.255.0
no sh
exit

router ospf 1
net 172.16.10.0 0.0.0.255 area 0
net 172.16.10.0 0.0.0.255 area 0
net 192.168.10.0 0.0.0.255 area 0
net 172.16.100.254 0.0.0.0 area 0
exit

line vty 0 4
login
password 1234
exit

========intnet路由器配置
ena
conf t

int g0/0
ip add 11.1.1.2 255.255.255.0
no sh
int g0/1
ip add 192.168.20.20 255.255.255.0
no sh
exit
=======防火墙修改默认的ip地址,使其与宿主机一个网段,
sys
int g0/0/0
ip add 192.168.8.100 24

2、配置防火墙

使用web 配置,eve-ng中console密码为admin,web默认用户名、密码为:admin\Admin@123,首次登录要修改密码

​ 配置网络接口、加入到相应的域

​ 配置对象

​ 配置路由

​ 配置ssl vpn

​ 配置策略

​ 2.1 配置接口

image-20220217192419853

​ 2.2 配置路由

​ 默认路由,访问外网

image-20220217192651588

OSPF 访问内网

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s2jn7gEn-1645103076269)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217192922820.png)]

​ 注,web界面配置ospf时,先新建ospf进程,确定后,点后面的“高级”,配置区域、网段等

​ 另:web界面没有引入默认路由的选项,在终端自行配置

​ default-route-advertise always

​ 查看路由表.,防火墙已经学到了内网的路由,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNkt67M4-1645103076291)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194236231.png)]

2.3 配置对象

​ 地址对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jypFvcTD-1645103076293)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194441446.png)]

​ 用户对象,这里为ssl vpn的4种应用分别创建了4个用户,应用于web访问、

image-20220217194705779

2.4 配置ssl vpn

image-20220217194947055

​ 在模拟 器中,如果不能点下一步配置,配置完后点下一步没有反应,这时点“取消”,然后可以在SSL 配置进到下一步继续配置

​ ssl 配置默认,不用修改。

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IgLD6g0D-1645103076302)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195244940.png)]

​ 业务功能选择,即防火墙ssl vpn所支持的ssl vpn类型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q5EIHhDf-1645103076305)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195434445.png)]

​ 配置web代理,填写相应资源

image-20220217195633749

​ 文件共享

image-20220217200321132

​ 端口转发

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gcT6k2TJ-1645103076311)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217200520501.png)]

角色授权、用户,:创建角色授权资源,将资源关联到相应用户。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wDFIdOf9-1645103076313)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217201010342.png)]

​ 分别为不同的类型vpn创建相应的用户和授权,完成

image-20220217201335393

4、创建相应的安全策略

​ 4。1 ssl vpn用户访问防火墙,

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sEtCN0lg-1645103076317)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217203216038.png)]

​ 4。2 防火墙代理 访问内网的资源,web代理、文件共享都是这个策略生效

5、验证:在vmware 中的windows10虚拟机上访问防火墙外网接口,使用firefox,chrome浏览器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ui0M9l4u-1645103076319)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217204401730.png)]

诚心的技术宅
关注
  • 5
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙SSL VPN隧道连接实验配置
加油!
05-20 5732
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
华为防火墙 配置 SSLVPN
一直被模仿,从未被超越
11-02 5052
公司域环境,大陆客户端居家办公室需要连到公司域,这里可以在上海防火墙上面开通SSLVPN,员工就可以透过SSLVPN连通上海公司的内网,但是由于公司有域控有2个站点,一个在台北,一个在上海,所以还需要拨通VPN后,也实现跟台北的内网互通。可访问内网网段列表:拨通VPN后,客户端可以访问的内网地址,如果内网是IPSec VPN中的地址,还需要进入 IPSec 进行设置,本例10.3.0.0/24是上海防火墙的内网地址,10.3.6.0/24 是 台北的。1、打开防火墙进入 SSL VPN,新建。
华为防火墙(以USG6330为例)配置SSL,限制公司员工在公司外只能访问指定的服务器
爱新觉罗启钰的CSDN博客
08-14 4836
目录 一、部署用户认证策略 1、操作入口 2、华为技术文档原文链接 3、华为技术文档原文快照(2021年8月14日) 一、部署用户认证策略 1、操作入口 对象-用户。 2、华为技术文档原文链接 Web举例:SSL VPN接入用户+本地认证 3、华为技术文档原文快照(2021年8月14日) 二、 部署用户认证策略 ...
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
zz12345600354的博客
05-21 835
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Y/N]: y #同意修改密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。
企业网 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 5941
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加网卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子网处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白玩-通了之后再往下玩。
华为防火墙配置 SSL VPN
最新发布
走马
06-09 1837
哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。
华为防火墙配置SSL+自签CA证书挑战登录
qq948718360的博客
06-08 6767
华为防火墙配置SSLVPN+证书挑战登录 前言 关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考! 了解证书 公钥CA:理解为母体,公开信息,唯一 公钥RSA:理解为母体的密码 私钥CA:理解为包含公钥信息+个人用户名的子证书 私钥RSA:理解为私钥的密码,可以与公钥共用一个密码 证书导出密码:文件的解压密码(文件=私钥CA+私钥RSA) 在华为USG的作用: 公钥CA:服务器证书,验证客户端证书是否通过公钥签发 私钥CA:客户端证书,用于识别用户名 证书导出密码:客户端导入时解压密码 自签
华为USG6308配置ssl vpn
JackNiMaBaBa的博客
09-07 1566
接下来就是配置vpn的安全策略,一般建议配置两条,一条用户控制用户登陆,只对vpn服务(需要预先在服务中手动添加一个针对开始创建的vpn端口的服务)放行,允许登陆;另一条是针对用户登陆访问内网设备的策略。可以参考下方的策略配置。uniVPN客户端或者web浏览器访问。
【Nginx+SSL】在华为云和腾讯云上配置Nginx+SSL,实现Http转Https
God_WZH的博客
06-30 1538
华为云和腾讯云上配置Nginx+SSL,实现Http转Https
华为防火墙snmp配置.pdf
06-21
华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf
EVE-NG的华为USG6000V镜像
08-02
EVE-NG模拟华为USG6000V镜像包 华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用。产品具备丰富的网关业务能力,如vFW、vIPSec、vLB、vIPS、vAV、vURL过滤等,可根据对虚拟网关的业务需求,按需使用,灵活部署。 USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台,提供标准的API接口,可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理,构建统一的智能化云安全平台,实现业务灵活定制,资源弹性扩缩,网络可视化管理,满足企业业务快速上线、变化频繁,运维简单、高效等诉求。
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置和管理防火墙
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
华为防火墙初始化
weixin_33743248的博客
04-22 3447
本文简要介绍了华为防火墙USG6306的初始化步骤华为FW在出厂状态下,可以使用两种方式进行网管:1. 使用Console线连接Console接口2. 使用网线连接到网管接口G0/0/0,这个网口不能跑业务,用于网管。默认的IP地址是192.168.0.1/24,将笔记本设置为同网段使用网页登录。 默认的登录地址为https://192.168.0.1:8443。用户名:ad...
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 8975
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
华为ssl vpn配置案例
IT技术
11-10 2252
华为ssl vpn配置案例
ensp ssl vpn配置
04-25
我可以为你提供一些关于 SSL VPN 配置的基本信息。SSL VPN 是一种基于 SSL 协议的 VPN,其可以通过 SSL 加密协议在互联网上建立加密通道,保证用户数据的安全传输。通常,配置 SSL VPN 需要以下步骤: 1. 在 SSL VPN 服务器上配置用户身份验证,包括用户名、密码、证书等。 2. 配置 SSL VPN 网络访问站点,包括地址池、DNS 服务器、WINS 服务器等。 3. 配置 SSL VPN 访问策略,包括允许的用户、允许的流量类型、流量转发规则等。 4. 配置 SSL VPN 客户端,在客户端上安装 SSL VPN 客户端软件,配置 SSL VPN 客户端参数,包括服务器地址、端口、用户信息等。 关于具体的配置细节和技术要点,还需要根据具体厂商的产品手册和文档进行调研和学习。希望这些信息能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值