SSL vpn远程接入防火墙共享型配置实验

于 2024-07-25 15:00:09 发布
阅读量439 收藏 12
点赞数 22
文章标签: ssl 网络 服务器 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/earthtoearth/article/details/140683168
版权

一、实验目的及拓扑

实验目的:用户采用SSL方式接入服务器,在防火墙进行相应的SSLvpn共享型配置,在防火墙后的内网中这只两台服务器对应两项业务

二、基础配置

(一)如图所示配置路由器接口地址(此处配置省略)

(二)FW1地址和区域配置需区分根系统、虚拟系统OA和虚拟系统RD

[FW1]vsys enable 

[FW1]vsys name OA

[FW1]vsys name RD

[FW1-vsys-OA]assign interface g1/0/1

[FW1-vsys-RD]assign interface g1/0/2

3、切换到虚拟系统OA

[FW1]switch vsys OA

[FW1-OA-GigabitEthernet1/0/1]dis th
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip binding vpn-instance OA
 ip address 10.1.121.12 255.255.255.0
#

[FW1-OA]dis zone 
vpn-instance OA local
 priority is 100
 interface of the zone is (0):
#
vpn-instance OA trust
 priority is 85
 interface of the zone is (1):
    GigabitEthernet1/0/1
#
vpn-instance OA untrust
 priority is 5
 interface of the zone is (1):
    Virtual-if1
#
vpn-instance OA dmz
 priority is 50
 interface of the zone is (0):
#

[FW1-OA-policy-security]dis th
#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
#

4、切换到虚拟系统RD

[FW1]switch vsys RD

[FW1-RD]dis zone 
vpn-instance RD local
 priority is 100
 interface of the zone is (0):
#
vpn-instance RD trust
 priority is 85
 interface of the zone is (1):
    GigabitEthernet1/0/2
#
vpn-instance RD untrust
 priority is 5
 interface of the zone is (1):
    Virtual-if2
#
vpn-instance RD dmz
 priority is 50
 interface of the zone is (0):
#

[FW1-RD-policy-security]dis th
#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
#

5、在防火墙根系统测试两台服务器联通情况

[FW1]ping -vpn-instance OA 10.1.121.10
  PING 10.1.121.10: 56  data bytes, press CTRL_C to break
    Request time out
    Reply from 10.1.121.10: bytes=56 Sequence=2 ttl=255 time=1 ms
    Reply from 10.1.121.10: bytes=56 Sequence=3 ttl=255 time=1 ms

[FW1]ping -vpn-instance RD 10.1.122.10
  PING 10.1.122.10: 56  data bytes, press CTRL_C to break
    Request time out
    Reply from 10.1.122.10: bytes=56 Sequence=2 ttl=255 time=1 ms
    Reply from 10.1.122.10: bytes=56 Sequence=3 ttl=255 time=1 ms

三、详细配置

(一)设置共享型网关共享地址及共享域名

[FW1]v-gateway public-ip 155.1.121.12

[FW1]v-gateway public-domain www.qyw.com

[FW1]dis cu | in v-gate
2024-07-25 06:13:01.760 
 v-gateway public-ip 155.1.121.12
 v-gateway public-domain www.qyw.com
 v-gateway public ssl version tlsv11 tlsv12
 v-gateway public ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
 v-gateway ssl_gw_oa public-ip public www.qyw.com/OA
 v-gateway ssl_gw_oa alias SSL_GW_OA
v-gateway ssl_gw_oa

(二)切换至虚拟防火墙OA及防火墙RD新建共享型网关并对网络扩展进行相应属性配置

1、[FW1]switch vsys OA

[FW1-OA]v-gateway SSL_GW_OA public-ip public www.qyw.com/OA

#
 v-gateway ssl_gw_oa public-ip public www.qyw.com/OA
 v-gateway ssl_gw_oa alias SSL_GW_OA
#
#****BEGIN***ssl_gw_oa**1****#
v-gateway ssl_gw_oa
 basic
  ssl timeout 5
  ssl lifecycle 1440
 service
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 192.168.0.1 192.168.0.10 255.255.255.0
  netpool 192.168.0.1 default
  network-extension mode manual
  network-extension manual-route 10.1.121.0 255.255.255.0
 security
  policy-default-action permit vt-src-ip
  certification cert-anonymous cert-field user-filter subject cn group-filter su
bject cn
  certification cert-anonymous filter-policy permit-all
  certification cert-challenge cert-field user-filter subject cn
  certification user-cert-filter key-usage any
  undo public-user enable
 hostchecker
 cachecleaner
 vpndb
  group /default
 role
 role default
  role default condition all
#****END****#
 

2、[FW1]switch vsys RD

[FW1-RD]v-gateway SSL_GW_RD public-ip public www.qyw.com/RD

#
 v-gateway ssl_gw_rd public-ip public www.qyw.com/RD
 v-gateway ssl_gw_rd alias SSL_GW_RD
#
#****BEGIN***ssl_gw_rd**1****#
v-gateway ssl_gw_rd
 basic
  ssl timeout 5
  ssl lifecycle 1440
 service
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 192.168.0.11 192.168.0.20 255.255.255.0
  netpool 192.168.0.11 default
  network-extension mode manual
  network-extension manual-route 10.1.122.0 255.255.255.0
 security
  policy-default-action permit vt-src-ip
  certification cert-anonymous cert-field user-filter subject cn group-filter su
bject cn
  certification cert-anonymous filter-policy permit-all
  certification cert-challenge cert-field user-filter subject cn
  certification user-cert-filter key-usage any
  undo public-user enable
 hostchecker
 cachecleaner
 vpndb
  group /default
 role
 role default
  role default condition all
#****END****#

(三)设置安全策略

在根系统上设置

[FW1-policy-security]dis th
#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name OUT_TO_LOCAL
  source-zone untrust
  destination-zone local
  service protocol tcp destination-port 443
  action permit
#

在虚拟系统OA上设置

[FW1-OA-policy-security]DIS TH
#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name OUT_TO_IN
  source-zone untrust
  destination-zone trust
  source-address 192.168.0.0 mask 255.255.255.0
  destination-address 10.1.121.0 mask 255.255.255.0
  action permit
#

在虚拟系统RD上设置

[FW1-RD-policy-security]dis th
2024-07-25 06:24:09.270 
#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name OUT_TO_IN
  source-zone untrust
  destination-zone trust
  source-address 192.168.0.0 mask 255.255.255.0
  destination-address 10.1.122.0 mask 255.255.255.0
  action permit
#

(四)添加用户

四、结果验证

使用虚拟机登录共享型网关地址155.1.12.12

可以ping通内网

PS C:\Users\Administrator> ping 10.1.121.10

正在 Ping 10.1.121.10 具有 32 字节的数据:
来自 10.1.121.10 的回复: 字节=32 时间=6ms TTL=255
来自 10.1.121.10 的回复: 字节=32 时间=8ms TTL=255

可以ping通外网

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:
来自 150.1.1.1 的回复: 字节=32 时间=12ms TTL=255
来自 150.1.1.1 的回复: 字节=32 时间=14ms TTL=255

可以ping通直连网段

PS C:\Users\Administrator> ping 155.1.2.100

正在 Ping 155.1.2.100 具有 32 字节的数据:
来自 155.1.2.100 的回复: 字节=32 时间=9ms TTL=255
来自 155.1.2.100 的回复: 字节=32 时间=7ms TTL=255

earthtoearth
关注
  • 22
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL (一)
qq_28630099的博客
11-26 1284
安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。SSL是Netscape于1994年开发的,后来成为了世界上最著名的web安全机制,所有主要的浏览器都支持SSL协议目前有三个版本:2、3、3.1,最常用的是第3版,是1995年发布的。SSL协议的三个特性① 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。② 鉴别:可选的客户端认证,和强制的服务器端认证。
MySQL 使用 SSL 连接配置详解
09-09
MySQL 使用SSL连接配置详解 在现代数据库管理中,安全性是至关重要的,SSL(Secure Sockets Layer)连接为MySQL提供了一种加密数据传输的方式,确保了客户端和服务器之间的通信不被窃听或篡改。本文将详细介绍如何...
SSL/VPN远程接入技术架构
网络安全研究
02-18 2809
SSL VPN (Secure Sockets Layer Virtual Private Network) 通过SSL协议进行加密传输的VPN即可称之为SSL VPN,可通过Web浏览器或重客户端(OpenVPN,AnyConnect)访问。
华为防火墙SSL xxx
weixin_45123715的博客
08-05 3063
用于远程访问VPN,工作在应用层与传输层之间 SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。 SSL与IPSec、L2TP的区别: 1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。 2.IPSec、L2TP配置繁琐 3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。 SSL的特点: 1.B/S结构:浏览
安全防御------SSL VPN
heike_Ch的博客
05-25 430
一、SSL工作过程1.SSL握手协议的第一阶段2.SSL握手协议的第二阶段3.SSL握手协议的第三阶段​编辑4.SSL握手协议的第四阶段​编辑二、SSL预主密钥有什么作用?三、SSL VPN主要用于那些场景?四、SSL VPN的实现方式有哪些?1.虚拟网关2.WEB代理3.文件共享4.端口转发5.网络扩展五、SSL VPN客户端安全要求有哪些?1.主机检查2.缓存清除3. 认证授权六、SSL VPN的实现,防火墙需要放行哪些流量?七、SSL VPN 功能总结​。
网络入门:防火墙、路由器、交换机三者到底有啥区别?
最新发布
网络技术联盟站
06-12 1106
防火墙、路由器和交换机是网络架构中三个重要的设备,它们在保护网络安全、优化数据传输和管理网络连接方面发挥着各自的作用。防火墙主要用于保护网络免受威胁,通过过滤和检测数据包来控制网络流量。路由器负责在不同网络之间传输数据包,根据路由表选择最佳路径。交换机则用于在局域网内连接多个设备,通过MAC地址表进行数据帧的转发。交换机:交换机位于网络的底层,负责连接网络中的各种设备,如电脑、打印机等。当这些设备需要互相通信时,交换机会根据目标设备的MAC地址,将数据包直接发送到目标设备,从而实现高效的数据传输。路由器。
网络安全防火墙知识点全面图解(二)
书山有路,学海无涯。记录成长,追逐梦想
08-23 1633
防火墙不仅能够基于区域、IP 地址、端口号、应用程序等设置安全策略,还可以使用内容安全策略进行通信控制。内容安全策略包括反病毒、IPS(入侵防御系统)、URL 过滤、DLP(数据泄露防护)等基于内容的安全机制,能够拦截非法通信和避免不必要的通信流量。还可以对这些通信不进行拦截,而是记录到告警日志中后放行。
MPLS vpn和IPSEC vpn
weixin_69884785的博客
04-13 6006
vpn主要隧道技术协议有PPTP,L2TP,ipsec,ssl vpn,TLS vpnpptp和L2TP的区别和联系L2TP:第二层隧道协议,自身不提供认证加密和可靠性验证功能,可以与安全协议搭配使用,实现数据的加密传输。PPTP:PPTP是一种点对点的协议,将控制包和数据包分开,控制包采用tcp控制,数据包先封装在ppp协议中,然后封装到GRE V2中。
【隧道篇 / IPsec】(5.6) ❀ 01. IPsec 结构与需求 ❀ FortiGate 防火墙
防火墙技术专栏
09-03 4763
【简介】作为一个小白,看着别人建VPN时鼠标点的飞快,却不明所以然,那么就要学习一下VPN是怎么构成的,建VPN需要哪些参数。
教程篇(6.0) 11. SSL ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
09-29 4382
在这节课中,你将学习如何配置和使用SSL-VPNSSL-VPN是一种简单的方法,可以让远程用户访问你的私有网络。 在本次课程中,你将探讨以下主题: 描述SSL-VPN SSL-VPN 部署模式 配置SSL-VPN 域和个人书签 强化 SSL-VPN 访问 监控和故障排查 在完成这节课程之后,你应该能够: 定义一个虚拟专用网络VPN) 描述SSL-VPN和IP...
Jupyter notebook 远程配置SSL加密教程
09-17
主要介绍了Jupyter notebook 远程配置SSL加密教程,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
思科ASA防火墙SSL理论配置解析.docx
12-24
安全套接层,俗称Secure Socket Layer (SSL) ,是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。
USG-6000山石ssl客户端配置方法.docx
04-07
关于如何搭建山石防火墙SSL客户端配置方式,并把搭建过程的每个步骤都加以说明,搭配图文并茂,让工程师更容易上手和配置
解决SQLServer远程连接失败的问题
12-15
机房收费系统异地发布的时候,需要保证数据库能够远程连接,但连接的时候通常会报错: 要解决这个问题,首先需要检查SqlServer 的几项设置。(这些设置一般都是系统默认项,不过最好看一下) (一)检查SQL Server...
光大银行远程SSL安全接入技术方案.doc
06-01
光大银行远程SSL安全接入技术方案.doc
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、...
配置mysql允许远程连接的方法
09-10
MySQL数据库系统在默认设置下,只允许通过...总之,开启MySQL的远程连接涉及修改配置文件、赋权以及可能的防火墙设置调整。在整个过程中,一定要谨慎操作,确保系统的安全性。在测试无误后,再应用于生产环境。
思科ASA防火墙SSL远程拨号虚拟专用网络)理论配置解析.doc
10-16
安全套接层俗称Secure Socket Layer (SSL) 是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。
SSL VPN支持哪些接入方式
05-30
SSL VPN(Secure Sockets Layer Virtual Private Network)支持以下几种接入方式: 1. Web Portal:用户通过Web浏览器访问SSL VPN网关的Web界面,在界面中输入用户名和密码进行身份认证。认证通过后,用户可以访问内部网络资源,如Web应用、文件共享等。Web Portal接入方式无需安装客户端软件,适合在公共计算机上使用。 2. Clientless SSL VPN:类似于Web Portal,但支持更多的应用,如RDP、SSH、Telnet等。用户通过Web浏览器访问SSL VPN网关的Web界面,通过Java Applet或ActiveX控件实现对应用的访问。Clientless SSL VPN无需安装客户端软件,但需要在Web浏览器中安装Java或ActiveX插件。 3. Thin Client SSL VPN:用户需要安装SSL VPN客户端软件,但该软件比传统VPN客户端更轻量级。Thin Client SSL VPN客户端通过SSL协议与SSL VPN网关建立加密隧道,实现对内部网络资源的访问。Thin Client SSL VPN适合在移动设备上使用。 4. Full Tunnel SSL VPN:类似于传统VPN客户端,用户需要安装SSL VPN客户端软件,并通过该软件与SSL VPN网关建立加密隧道。Full Tunnel SSL VPN将用户的所有网络流量都通过加密隧道转发到内部网络,确保了数据的安全性。Full Tunnel SSL VPN适合在需要对所有网络流量进行加密保护的场景中使用。 以上四种接入方式可以根据实际需求进行选择,以实现远程接入内部网络资源的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值