您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

华为USG6300防火墙通过Web网页配置SSL VPN案例

时间:2022-05-17 12:32:18  来源:  作者:热爱摇滚的网络工程师

组网需求

企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL VPN隧道访问公司内网的各种资源。

图1 移动办公用户使用SecoClient通过SSL VPN隧道访问企业内网

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

数据规划

项目

数据

接口

接口号:GigabitEthe.NET 0/0/1

IP地址:1.1.1.1/24

安全区域:UntRust

GigabitEthernet 0/0/2

IP地址:10.1.1.1/24

安全区域:Trust

虚拟网关

虚拟网关名称:sslvpn

接口:GigabitEthernet 0/0/1

最大用户数:150

最大用户在线数:100

移动办公用户

用户名:user0001

密码:Password@123

网络扩展

网络扩展地址池:172.16.1.1~172.16.1.100

说明:

若内网服务器IP地址与网络扩展地址池的IP地址不在同一网段,需要在内网服务器上配置到网络扩展地址池的路由。

路由模式:手动

网络扩展用户可访问的内网网段:10.1.2.0/24

操作步骤

配置FW。

1. 配置接口IP地址和安全区域,完成网络基本参数配置。

a. 选择“网络 > 接口”。

b. 单击GE0/0/1对应的修改图标,按如下参数配置。

安全区域

untrust

IPv4

IP地址

1.1.1.1/24

启用访问管理

HTTPS、Ping

c. 单击“确定”。

d. 参考上述步骤按如下参数配置GE0/0/2接口。

安全区域

trust

IPv4

IP地址

10.1.1.1/24

启用访问管理

HTTPS、Ping

2. 配置安全策略。

a. 选择“策略 > 安全策略 > 安全策略”。

b. 单击“新建”,按如下参数配置从Untrust到Local的安全策略,允许移动办公用户登录SSL VPN虚拟网关。

名称

sslvpn_ul

源安全区域

untrust

目的安全区域

local

服务

https, udp

说明:

如果修改了https端口号,则此处建议按照修改后的端口号开放安全策略。

动作

允许

c. 单击“确定”。

d. 参考上述步骤配置从Untrust到Trust的域间策略。

名称

sslvpn_ut

源安全区域

untrust

目的安全区域

trust

源地址/地区

172.16.1.0/24

目的地址/地区

10.1.2.0/24

动作

允许

3. 配置到Internet的路由。

假设FW通往Internet的路由下一跳的IP地址为1.1.1.2。

a. 选择“网络 > 路由 > 静态路由”。

b. 单击“新建”,按如下参数配置。

目的地址/掩码

0.0.0.0/0.0.0.0

下一跳

1.1.1.2

c. 单击“确定”。

4. 创建用户和用户组。

a. 选择“对象 > 用户 > default”。

b. “场景”选择“SSL VPN接入”,“用户所在位置”选择“本地”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

c. 单击“新建”,选择“新建用户组”,创建research用户组。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

d. 单击“确定”。

e. 单击“新建”,选择“新建用户”,创建用户user0001,密码Password@123

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

f. 单击“确定”。

g. 单击“应用”。

5. 创建并配置SSL VPN虚拟网关。

a. 配置SSL VPN虚拟网关。

设置网关IP地址、用户认证方式和最大并发用户数等参数,然后单击“下一步”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

b. 配置SSL的版本以及加密套件,然后单击“下一步”。

此处使用缺省算法即可。

c. 选择要开启的业务,然后单击“下一步”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

d. 配置网络扩展,然后单击“下一步”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

e. 配置SSL VPN的角色授权/用户。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

单击“角色授权列表”中default后的修改按钮图标,,选中“网络扩展”,然后单击“确定”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

f. 返回角色授权/用户界面,单击“完成”。

· 配置移动办公用户侧的SecoClient。

说明:SecoClient软件包获取方法:

  • 从所在企业的网络管理人员处直接获取软件安装包,上传并安装到您的终端设备上。
  • 使用具有SecoClient客户端软件安装包下载权限的账号登录华为技术支持网站下载软件安装包。登录网站http://support.huawei.com/enterprise,进入“企业网络 > 安全 > 防火墙&VPN网关 >(选择款型)”,选择“软件”和版本,下载对应版本的软件安装包。
  • 如果企业网络管理员在企业的出口网关上部署了SSL VPN虚拟网关,还可以通过浏览器登录SSL VPN虚拟网关页面下载软件安装包。

打开SecoClient,进入主界面。

1、在“连接”对应的下拉列表框中,选择“新建连接”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

2、配置SSL VPN连接参数。

在“新建连接”窗口左侧导航栏中选中“SSL VPN”,并配置相关的连接参数,然后单击“确定”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

3、登录SSL VPN虚拟网关。

a.在“连接”下拉列表框中选择已经创建的SSL VPN连接,单击“连接”。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

b.在登录界面输入用户名、密码。

勾选“自动”,表示存在多个虚拟网关时,系统会自动选择响应速度最快的虚拟网关建立SSL VPN隧道。只有一个网关的情况下,无需勾选“自动”单选框。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

说明:在隧道建立过程中,SecoClient侧为了保证所连接VPN网关身份的真实性,增加了对VPN网关设备证书的校验过程,在证书校验失败时系统会有如下告警提示。如果您确认当前所要连接的VPN网关真实可靠,可以单击“继续”。如果对VPN网关身份存疑,可以单击“取消”。

c.单击“登录”,发起VPN连接。

VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。

华为USG6300防火墙通过Web网页配置SSL VPN案例

 

检查配置结果

  1. 登录FW,选择“网络 > SSL VPN > 监控”,查看用户在线列表,发现user0001用户已经登录成功。
华为USG6300防火墙通过Web网页配置SSL VPN案例

 

2.移动办公用户可以正常访问企业内网资源。

配置脚本

#
sysname FW
#
interface GigabitEthernet 0/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit
#
interface GigabitEthernet 0/0/2
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit
#  
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
aaa
 domAIn default
  service-type ssl-vpn
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 0/0/2
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 0/0/1
#
 v-gateway sslvpn interface GigabitEthernet 0/0/1 private
 v-gateway sslvpn authentication-domain default
 v-gateway sslvpn alias sslvpn
#
#****BEGIN***sslvpn**1****#
v-gateway sslvpn
 basic
  ssl version tlsv10 tlsv11 tlsv12
  ssl timeout 5
  ssl lifecycle 1440
  ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
 service
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 172.16.1.1 172.16.1.100 255.255.255.0
  netpool 172.16.1.1 default
  network-extension mode manual
  network-extension manual-route 10.1.2.0 255.255.255.0
 security
  policy-default-action permit vt-src-ip
  certification cert-anonymous cert-field user-filter subject cn group-filter subject cn
  certification cert-anonymous filter-policy permit-all
  certification cert-challenge cert-field user-filter subject cn
  certification user-cert-filter key-usage any
  undo public-user enable
 hostchecker
 cachecleaner
 role
  role default condition all
  role default network-extension enable
#
security-policy
 rule name sslvpn_ul
  source-zone untrust
  destination-zone local
  service https
  action permit
 rule name sslvpn_ut
  source-zone untrust
  destination-zone trust
  source-address 172.16.1.0 mask 255.255.255.0
  destination-address 10.1.2.0 mask 255.255.255.0
  action permit
# 以下创建用户/组的配置保存于数据库,不在配置文件体现
user-manage group /default/research
user-manage user user0001
 parent-group /default/research
 password *********

本文源自华为官网。转载时请注明出处,谢谢。



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
VPN与MPLS:运维工程师揭秘两者差异,保障网络安全无忧
在当今的数字化时代,网络安全已成为企业和个人关注的焦点。VPN(虚拟专用网络)和MPLS(多协议标签交换)是两种常见的网络技术,它们在保障网络安全方面发挥着重要作用。本文将由运维...【详细内容】
2023-12-30  Search: VPN  点击:(76)  评论:(0)  加入收藏
SD-WAN相对VPN有什么优势,能否完全取代VPN
现在很多的企业,都有访问海外网络的需求,传统的访问海外网络,可能用VPN的据多,但VPN期实并不符合国家的规定。而后又出现SD-WAN的技术,那么相对VPN,SD-WAN有哪些优势呢。SD-WAN相...【详细内容】
2023-12-14  Search: VPN  点击:(113)  评论:(0)  加入收藏
什么叫分布式VPN?分布式VPN如何实现?
摘要 什么是分布式VPN?通过无线AP将分支节点与总部服务器组成内网。这个方案为客户解决了分支节点连接总部的网络需求,并提供了以下优势: 简单易用:本VPN是一种简单且易于部署的...【详细内容】
2023-12-08  Search: VPN  点击:(117)  评论:(0)  加入收藏
VPN与翻墙:合法与非法使用之间的边界
VPN(虚拟私人网络)是一种可以在公共网络上建立加密通道的技术,通过这种技术可以使远程用户访问公司内部网络资源时,实现安全的连接和数据传输。翻墙是指绕过相应的IP封锁、内容...【详细内容】
2023-11-22  Search: VPN  点击:(63)  评论:(0)  加入收藏
VPN技术在远程访问中的应用与实践
随着信息技术的发展,远程访问成为了一种常见的工作方式。为了保证远程访问的安全性和可靠性,VPN(VirtualPrivate Network)技术应运而生。本文将介绍VPN技术在远程访问中的应用与...【详细内容】
2023-11-22  Search: VPN  点击:(123)  评论:(0)  加入收藏
配置Cisco AnyConnect VPN的5个步骤,缺一不可
随着越来越多的人远程工作或在混合环境中工作,IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱,这会导致一些组织的配置错误(...【详细内容】
2023-11-14  Search: VPN  点击:(96)  评论:(0)  加入收藏
什么是VPN(虚拟私人网络)
VPN(虚拟私人网络)指的是在公用网络上建立专用网络的技术。VPN是一种在链路层实现加密/解密和数据验证功能,保障两点之间数据的机密性和完整性,并在中间节点能完成数字证书、签...【详细内容】
2023-09-05  Search: VPN  点击:(266)  评论:(0)  加入收藏
堡垒机、跳板机和VPN的区别与应用
前言:为了保护网络和数据的安全,许多技术和工具被开发出来。其中,堡垒机、跳板机和VPN是网络安全领域中的三个重要技术。它们可以帮助企业和个人保护内部网络的安全性,控制访问...【详细内容】
2023-06-14  Search: VPN  点击:(482)  评论:(0)  加入收藏
基于linux部署openvpn2.9 as
环境 CentOS7.9安装yum install -y open-vm-tools openvpn-as-bundled-clients-17.rpm yum install -y openvpn-as-2.9.2_04614689-CentOS7.x86_64.rpmyum install -y lrzsz...【详细内容】
2023-04-24  Search: VPN  点击:(376)  评论:(0)  加入收藏
VPN禁令背后的真相:保护信息安全与维护网络治理
国内为什么要构建一道与世界沟通的防火墙?国内对VPN(Virtual Private Network,虚拟私人网络)的使用进行了严格限制,甚至禁止在国内使用VPN。这一举措引发了广泛的讨论和争议。有...【详细内容】
2023-04-11  Search: VPN  点击:(378)  评论:(0)  加入收藏
▌简易百科推荐
手机就可以修改WiFi密码,进行网络提速,还能防止别人蹭网
随着网络的普及和使用频率的增加,很多人可能遇到了一些网络管理上的问题,比如忘记了WiFi密码、网络速度缓慢、或者发现有不明设备在家中蹭网。相信朋友们也曾遇到过吧?但是,你知...【详细内容】
2024-04-03  老毛桃    Tags:WiFi密码   点击:(9)  评论:(0)  加入收藏
手机WiFi信号满格却接收消息延迟?这里有妙招帮你解决!
在现代社会,手机已经成为了我们生活中不可或缺的一部分。无论是工作、学习还是娱乐,手机都扮演着重要的角色。然而,有时我们会遇到一些令人烦恼的问题,比如明明手机WiFi信号满格...【详细内容】
2024-04-03  蔡前进    Tags:手机WiFi   点击:(8)  评论:(0)  加入收藏
SASE技术应用落地的五个关键趋势
在Gartner 最新发布的《2023网络技术成熟度曲线》报告中认为,SASE技术已经开始走出最初的技术炒作期,将逐步迈向新一轮的实用落地阶段。在Gartner发布的《Hype Cycle for Ente...【详细内容】
2024-04-01    安全牛  Tags:SASE   点击:(13)  评论:(0)  加入收藏
提示“该网站安全证书存在问题,连接可能不安全”如何解决
在你输入网址并浏览网页时,如果你的浏览器弹出一个警告,提示“网站的安全证书存在问题”,或是显示一个红色的锁标志,这些都是网站不安全的警示。这些提示通常是由HTTPS协议中的S...【详细内容】
2024-03-18  倏然间    Tags:网站安全证书   点击:(13)  评论:(0)  加入收藏
如何有效排除CAN总线错误
控制器局域网(CAN)控制器局域网(CAN)是现代车辆中电子元件无缝运行的基础。在远程信息处理领域,CAN总线系统的效率至关重要,其能够实现支撑当今汽车技术的复杂功能。然而,CAN总...【详细内容】
2024-02-20    千家网  Tags:CAN   点击:(56)  评论:(0)  加入收藏
网络连接受限或无连接怎么办?这里提供几个修复办法
可能错误提示 连接受限或无连接:连接具有有限的连接或无连接。你可能无法访问Internet或某些网络资源。 连接受限。排除和解决“连接受限或无连接”错误此错误可能由计算机上...【详细内容】
2024-02-06  驾驭信息纵横科技    Tags:网络连接受限   点击:(52)  评论:(0)  加入收藏
如何将Mac连接到以太网?这里有详细步骤
在Wi-Fi成为最流行、最简单的互联网连接方式之前,每台Mac和电脑都使用以太网电缆连接。这是Mac可用端口的标准功能。如何将Mac连接到以太网如果你的Mac有以太网端口,则需要以...【详细内容】
2024-02-03  驾驭信息纵横科技    Tags:Mac   点击:(68)  评论:(0)  加入收藏
简易百科之什么是端口映射
端口映射,也称为端口转发,是一种网络通信中的技术手段,通过将内网中的一个端口上的数据流量转发到另一个端口,使得外部网络能够访问到内部网络中的特定服务。在实现上,端口映射通...【详细内容】
2024-01-26    简易百科  Tags:端口映射   点击:(165)  评论:(0)  加入收藏
ip因频繁登陆已被禁止访问 无法显示图片 怎么办
首先,我们要明白,部分网站为了有效遏制数据爬取和非法攻击,保证访问速度和普通用户查询,会在系统中增加网络安全设备,加强安全防护机制,并提前设置安全访问规则。因此,一旦用户的行...【详细内容】
2024-01-20  何福意思    Tags:ip   点击:(68)  评论:(0)  加入收藏
电脑连上wifi却上不了网怎么办
当电脑连接上 WiFi 却无法上网时,可能会让人感到困惑和沮丧。这个问题通常会有多种可能的原因,包括网络配置问题、路由器故障、无线适配器问题等。在面对这个问题时,可以尝试以...【详细内容】
2024-01-16  编程资料站    Tags:wifi   点击:(72)  评论:(0)  加入收藏
站内最新
站内热门
站内头条