华为防火墙SSL VPN隧道连接实验配置

远程拨号用户发起SSL VPN隧道连接实验配置



前言

用于远程访问VPN,工作在应用层与传输层之间
SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。

SSL与IPSec、L2TP的区别:
1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。
2.IPSec、L2TP配置繁琐
3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
SSL的特点:
1.B/S结构:浏览器/服务器结构,远程用户终端上无需安装额外的客户端软件,直接使用Web浏览器就可以安全、快捷的访问企业内网资源。
2.可以根据远程用户访问内网资源类型的不同,对其访问权限进行高细粒度控制。
3.提供了本地认证、服务器认证、证书匿名和证书挑战多种身份认证方式,提高了身份认证的灵活性。
4.主机检查策略可以检查远程用户终端的操作系统、端口、进程以及杀毒软件等是否符合安全要求,并且还具备防跳转、防截屏的能力,消除了潜藏在远程用户终端上的安全隐患。
5.缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问痕迹,加固了用户的信息安全。

SSL应用场景:
SSL VPN的主要应用场景是保证远程用户能够在企业外部安全、高效的访问企业内部的网络资源。
1.远程用户的SSL VPN接入网关
FW作为企业出口网关连接至Internet,并向远程用户提供SSL VPN接入服务。远程用户可以使用移动终端(如便携机、PAD或智能手机)随时随地访问FW并接入到企业内网,访问企业内网资源。

实验目的
  移动办公用户的便携机上装有VPN Client软件。用户期望使用VPN Client软件与企业出口网关LNS间建立SSL VPN隧道,从而通过VPN隧道访问企业内网!


一、实验拓扑

在这里插入图片描述

二、实验步骤:

1.AR1

>clock timezone beijing add 8
sys
sysname AR1
user-interface console 0
idle-timeout 0
quit

#
interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0 
quit
#
interface GigabitEthernet0/0/1
 ip address 3.3.3.2 255.255.255.0 
quit

2.LNS

代码如下(示例):

>clock timezone beijing add 8
sys
sysname LNS
user-interface console 0
idle-timeout 0
quit


interface GigabitEthernet0/0/0
 ip address 192.168.21.254 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
#
interface GigabitEthernet1/0/0
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit

#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#

#要配置安全策略
在这里插入图片描述

三、Web登录防火墙配置

#要实现SSLVPN功能,创建通道
在这里插入图片描述

#配置网络IP地址池
在这里插入图片描述

#配置FW1防火墙,创建SSLVPN隧道服务用户名
在这里插入图片描述


总结测试

#登录用户客户端,填写地址1.1.1.1:443,保存登录
在这里插入图片描述
在这里插入图片描述

#WEB登录测试,网址登录:https://1.1.1.1:443,显示成功!
在这里插入图片描述
在这里插入图片描述

简单的SSL VPN实验就配置完成了,如有错误,欢迎指出!!!

以下是一个华为防火墙ssl配置实例: 1. 登录防火墙,进入系统配置模式。 2. 创建证书:使用以下命令创建一个证书,例如名为“ssl-cert”: firewall(config)# ssl server-certificate ssl-cert 3. 配置HTTPS服务:使用以下命令配置HTTPS服务,将端口设置为443,将证书设置为ssl-cert。 firewall(config)# firewall interzone trust untrust firewall(config-if)# protocol https firewall(config-https)# port 443 firewall(config-https)# ssl server-certificate ssl-cert 4. 配置SSL VPN服务:使用以下命令配置SSL VPN服务,将端口设置为443,将证书设置为ssl-cert: firewall(config)# sslvpn service sslvpn firewall(config-sslvpn)# ip address 192.168.1.1 firewall(config-sslvpn)# port 443 firewall(config-sslvpn)# ssl server-certificate ssl-cert 5. 配置SSL VPN用户认证:使用以下命令配置SSL VPN用户认证,例如使用本地用户认证: firewall(config)# firewall local-user admin123 password cipher huawei123 firewall(config-sslvpn)# user-authentication local 6. 配置SSL VPN访问控制:使用以下命令配置SSL VPN访问控制,例如允许192.168.1.0/24网段的用户访问: firewall(config-sslvpn)# acl 3001 firewall(config-sslvpn-acl)# rule 5 permit source 192.168.1.0 0.0.0.255 firewall(config-sslvpn-acl)# quit firewall(config-sslvpn)# acl 3001 permit 7. 保存配置并退出系统配置模式: firewall(config)# save firewall(config)# quit 这样,华为防火墙SSL配置就完成了。可以通过HTTPS访问防火墙,并使用SSL VPN连接到内部网络。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柚橘.Goloso

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值