华为防火墙ssl xxx配置

ipsec vpn,gre vpn 适合企业间的连接,要求连接的两端设备都可以配置;如果是出差的员工,或员工在家想连接到企业网的内部,这两类vpn就不能满足条件。

可以使用PPTP VPN ,L2TP VPN,SSL VPN,EZVPN(CISOCO 专有),其中以SSL VPN最为安全,应用最普遍。

SSL VPN(CISCO称为 web vpn),使用SSL(安全套接层)协议,实现隧道加密数据传输,客户端使用浏览器即可(L2TP要手工在系统中建立一个连接),浏览器使用HTTPS协议加密数据,客户端只要能上网,连接到SSLVPN设备即可。

本实验使用 EVE-NG平台,华为USG6K防火墙和思科的路由交换机实现。

拓扑:

在这里插入图片描述

图中,内网使用ospf 协议,防火墙使用默认路由访问外网。内网服务器使用eve-ng中的linux服务器模拟,如EVE中 没有的话也可以使用桥接到Vmware 中的虚拟机,外网用户模拟客户端,使用vmware中的windows。

准备:eve-ng中添加两块网卡,用于桥接到vmware虚拟机

在eve-ng中查看ip

目标:在防火墙上配置SSL VPN,使windows10客户端,可以访问到内网的web服务器、文件共享服务器、可以远程管理内网交换机、可以访问内网的指定网段。

配置步骤:

1、交换机配置

sw
ena
conf t

ip routing
int lo 0
ip add 172.16.100.254 255.255.255.255
int g0/0
ip add 192.168.10.2 255.255.255.0
no sh
int g0/1
ip add 172.16.10.1 255.255.255.0
no sh
int g0/2
ip add 172.16.20.1 255.255.255.0
no sh
exit

router ospf 1
net 172.16.10.0 0.0.0.255 area 0
net 172.16.10.0 0.0.0.255 area 0
net 192.168.10.0 0.0.0.255 area 0
net 172.16.100.254 0.0.0.0 area 0
exit

line vty 0 4
login
password 1234
exit

========intnet路由器配置
ena
conf t

int g0/0
ip add 11.1.1.2 255.255.255.0
no sh
int g0/1
ip add 192.168.20.20 255.255.255.0
no sh
exit
=======防火墙修改默认的ip地址,使其与宿主机一个网段,
sys
int g0/0/0
ip add 192.168.8.100 24

2、配置防火墙

使用web 配置,eve-ng中console密码为admin,web默认用户名、密码为:admin\Admin@123,首次登录要修改密码

​ 配置网络接口、加入到相应的域

​ 配置对象

​ 配置路由

​ 配置ssl vpn

​ 配置策略

​ 2.1 配置接口

image-20220217192419853

​ 2.2 配置路由

​ 默认路由,访问外网

image-20220217192651588

OSPF 访问内网

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s2jn7gEn-1645103076269)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217192922820.png)]

​ 注,web界面配置ospf时,先新建ospf进程,确定后,点后面的“高级”,配置区域、网段等

​ 另:web界面没有引入默认路由的选项,在终端自行配置

​ default-route-advertise always

​ 查看路由表.,防火墙已经学到了内网的路由,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNkt67M4-1645103076291)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194236231.png)]

2.3 配置对象

​ 地址对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jypFvcTD-1645103076293)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194441446.png)]

​ 用户对象,这里为ssl vpn的4种应用分别创建了4个用户,应用于web访问、

image-20220217194705779

2.4 配置ssl vpn

image-20220217194947055

​ 在模拟 器中,如果不能点下一步配置,配置完后点下一步没有反应,这时点“取消”,然后可以在SSL 配置进到下一步继续配置

​ ssl 配置默认,不用修改。

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IgLD6g0D-1645103076302)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195244940.png)]

​ 业务功能选择,即防火墙ssl vpn所支持的ssl vpn类型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q5EIHhDf-1645103076305)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195434445.png)]

​ 配置web代理,填写相应资源

image-20220217195633749

​ 文件共享

image-20220217200321132

​ 端口转发

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gcT6k2TJ-1645103076311)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217200520501.png)]

角色授权、用户,:创建角色授权资源,将资源关联到相应用户。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wDFIdOf9-1645103076313)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217201010342.png)]

​ 分别为不同的类型vpn创建相应的用户和授权,完成

image-20220217201335393

4、创建相应的安全策略

​ 4。1 ssl vpn用户访问防火墙,

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sEtCN0lg-1645103076317)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217203216038.png)]

​ 4。2 防火墙代理 访问内网的资源,web代理、文件共享都是这个策略生效

5、验证:在vmware 中的windows10虚拟机上访问防火墙外网接口,使用firefox,chrome浏览器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ui0M9l4u-1645103076319)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217204401730.png)]

  • 5
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值