【防火墙篇】02. SSL 与客户端 ❀ WatchGuard 防火墙

        【简介】当分公司需要访问总公司的内网资料的时候，为了保证流量在Internet传输过程中的安全性，希望资料在网络传输中不易被黑客截获破解窃取，保证资料的安全保密，需要在总公司与分公司之间的网络上建立SSL VPN，它即能实现分公司与总公司之间的网络连接，也能对数据传输进行加密，保证数据的安全性 。

---

  SSL VPN 简介

        SSL VPN原理：SSL VPN指的是利用SSL协议封包处理功能，利用公司内部SSL VPN网关，通过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。

        SSL VPN工作模式：Web模式，也叫做代理Web页面，它将来自远端浏览器的页面请求（采用HTTPS协议）转发给Web服务器，然后将服务器的响应回传给终端用户。Tunnel模式，需要下载运行的客户端支持。客户端和防火墙设备建立SSL隧道后，防火墙为客户端分配IP地址，客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。

  防火墙配置

        这里我们采用WatchGuard x1250e作为示例，学习怎样配置SSL VPN，配置软件为WatchGuard System Manager (软件的下载及安装请参考相应文档）。

        ① 打开WatchGuard System Manager软件，输入防火墙的内网或外网IP，默认内网IP是192.168.1.99，这里因为是远程登录设备，所以输入的是外网IP。默认登录帐户是status，不能修改，输入status帐户密码，默认的status帐号密码为readonly。

        ② 进入主介面后，点击Policy Manager图标；

        ③ 在策略管理介面选择菜单【VPN】-【Mobile VPN】-【SSL】；

        ④ 选择激活Moblie VPN with SSL，在Firefox IP地址中输入防火墙的外网地址，如果有多条外网，也可以输入备份地址，这样在有一根外网出现问题时可以走另一根外网登录。连接成功后，防火墙会自动给连接设备分配一个IP地址，在虚拟地址池里可以使用默认地址范围，也可以修改为自己想要的地址范围，前题是不要和已有的内网地址在同一网段；

        ⑤ 点击【身份验证】子菜单，可以看到默认是通过设防火墙设备进行身份证验证，通过配置添加的用户会自动加入SSLVPN-Users组中；

        ⑥ 点击配置后，进入身份验证介面，在这里可以自行添加用户，添加的用户将保存在防火墙中；

        ⑦ 可用的组里并没有出现SSLVPN-Users组，那是因为在选择激活Moblie VPN with SSL后并没有点确定，也就没有自动生成SSLVPN-Users组，所以在这里选择取消；

        ⑧ 回到配置介面中直接点击【确定】，要注意的是这里没有配置任何用户，现在点确定是需要自动生成SSLVPN-Users用户组；

        ⑨  因为是通过外网IP远程配置防火墙，所以会出现提示当前的外部IP与输入的远程IP地址不匹配，这里直接点击【是】；

        ⑩  再次返回身份验证服务器介面，可以发现已经多出了一个SSLVPN-Users用户组；

        ⑪ 添加用户的时候，输入用户名称，密码需要输入两次，密码长度最少为8个字符，当密码长度不够时，会出现红字提示，确认按钮为灰色。需要将右边的可用组SSLVPN-Users选择后，点击左剑头键移到左边；

        ⑫ 只有用户属于SSLVPN-Users组，才可以在SSL VPN登录的时候起做用，如果不是则验证通不过。

        ⑬ 子菜单【高级】下面是SSL VPN的加密方式及通道等设置参数，通常保留默认值，也可以根据需要进行修改；

        ⑭ 激活Moblie VPN with SSL后，会自动创建三条策略；

        ⑮ 需要将配置写入到防火墙后，才会起作用，点击保存到Firefox图标；

        ⑯ 输入admin帐号密码（默认为readwrite)，保存配置文件到本地硬盘，配置完成。

  客户端下载与安装

        WatchGuard 的 SSL VPN 客户端保存在防火墙上，可以通过浏览器登录下载，只有激活了 Mobile VPN with SSL 后才可以访问。

        ① 打开 Firefox 浏览器，输入地址 https://外网IP/sslvpn.html，可以看到登录介面，输入刚才设置的 SSL VPN 用户名和密码，点击【Login】登录；

        ② 如果一切都顺利的话，可以看到 SSL VPN 客户端的下载介面，分为 Windows 版和 Mac 版，这里选择 Windows 版的进行下载；

        ③ 下载后的安装文件只有不到2M；

        ④ 安装 SSL VPN 客户端。

  客户端连接

        安装好的客户端体积很小，相当于一个拨号软件。

        ① 打开安装好的客户端，输入防火墙外网IP，用户名和密码，点击【连接】；

        ② 提示建立安全连接，点击【是】；

        ③ 显示连接状况，连接成功后会缩入右下角，并显示已经连接成功；

        ④ 双击缩小的终端图标，可以看到连接后的详细信息。

  连通测试

        通过Ping防火墙的接口地址或内部电脑IP地址，我们可以验证SSL VPN通道是否生成。

        ① 通过ipconfig命令，可以看到本机已经多出一个以太网适配器，IP地址为192.168.113.2， 而上面的介面里可以看到网关是192.168.113.1；

        ② 通过WatchGuard System Manager软件查看防火墙的接口IP地址；

        ③ Ping防火墙的内网接口，都可以Ping通，说明已经可以安全的进行远程访问了。

---