用户远程访问公司内网---防火墙配置SSL VPN,操作及原理讲解

SSL VPN

SSL VPN(Secure Sockets Layer Virtual Private Network)是一种利用SSL/TLS协议来提供安全的远程访问解决方案。与IPSec VPN相比,SSL VPN的优势在于它不需要在客户端安装特定的软件,用户可以通过任何支持SSL/TLS的Web浏览器来访问企业网络。

SSL VPN的工作原理如下:

  1. 客户端认证:用户通过浏览器访问SSL VPN网关,输入认证信息(如用户名和密码)。

  2. 服务器端处理:SSL VPN服务器接收客户端的请求,并进行身份验证。一旦认证成功,服务器会与客户端建立一个加密的通道。

  3. 数据传输:通过建立的加密通道,客户端可以安全地访问企业网络资源,如内部网站、应用程序和文件共享服务。

  4. 会话管理:SSL VPN服务器管理用户的会话,确保会话的安全性,并在用户下线或超时后终止会话。

拓扑搭建

vmnet1虚拟网卡连接防火墙g0/0/0口,配置接口地址为192.168.20.100作为管理接口用于登录防火墙web页面。

防火墙g1/0/1连接企业内网,网段为192.168.1.0/24,g1/0/1为网关接口,地址为192.168.1.254

防火墙g1/0/0与外网路由器相连,网段为100,1,1,0/24。

R1路由器与vmnet8相连,用于虚拟机模拟外网用户进行vpn登录内网

基础配置

FW1:

<USG6000V1>sys

USG6000V1\]sys FW1 \[FW1\]interface g0/0/0 \[FW1-GigabitEthernet0/0/0\]ip address 192.168.20.100 24 /配置ip \[FW1-GigabitEthernet0/0/0\]service-manage enable /开启服务 \[FW1-GigabitEthernet0/0/0\]service-manage all permit /开启服务 \[FW1-GigabitEthernet0/0/0\]q \[FW1\]user-interface console 0 \[FW1-ui-console0\]idle-timeout 0 /设置终端命令行超时时间 \[FW1\]web-manager timeout 1440 /设置web管理界面超时时间

AR1配置

sys

Huawei\]sys AR1 \[AR1\]interface g0/0/0 \[AR1-GigabitEthernet0/0/0\]ip address 192.168.10.254 24 \[AR1-GigabitEthernet0/0/0\]q \[AR1\]interface g0/0/1 \[AR1-GigabitEthernet0/0/1\]ip address 100.1.1.2 24 \[AR1-GigabitEthernet0/0/1\]q

物理机vmnet8网卡配置

web登录防火墙配置接口地址及安全区域

配置安全策略使区域数据流通

配置nat策略出接口地址转换

配置默认路由指向外部路由器

测试[此时内网主机可以和外部路由器进行数据通信]

SSL-VPN搭建

1. 创建用户和认证策略
  • 用户创建 :首先,需要在VPN服务器上创建用户账户。这些账户将用于远程用户登录SSL VPN。每个用户账户通常包括用户名、密码以及其他可能的身份验证信息,如数字证书或一次性密码(OTP)。

  • 认证策略:认证策略定义了用户登录SSL VPN所需的身份验证过程。这可能包括密码验证、多因素认证(MFA)或使用数字证书。认证策略的目的是确保只有经过授权的用户才能访问内部网络资源。

2. 创建VPN虚拟网关
  • VPN虚拟网关创建:VPN虚拟网关是远程用户访问内部网络的入口点。在配置过程中,需要指定VPN虚拟网关的接口(如GigabitEthernet 1/0/0),分配端口号(如4430),并设置域名(如www.a.com)。

进入命令行进行配置【防火墙配置会报错】

[FW1]v-gateway sslvpn1 interface GigabitEthernet 1/0/0 port 4430 private www.a.com

v-gateway sslvpn1:这条命令用于创建一个名为sslvpn1的虚拟网关。v-gateway是创建虚拟网关的命令,sslvpn1是为这个虚拟网关指定的名称。interface GigabitEthernet 1/0/0:这部分指定了虚拟网关将要使用的物理接口。在这个例子中,虚拟网关将使用GigabitEthernet 1/0/0接口。这个接口是防火墙上的一个网络端口,用于处理进出的VPN流量。

port 4430:这条命令设置了虚拟网关监听的端口号。在这个例子中,端口号被设置为4430。这是一个非标准端口,通常用于SSL VPN服务以避免与标准的HTTPS端口(443)冲突。

private www.a.com:这部分指定了虚拟网关的域名。private关键字表示这是一个私有的域名,www.a.com是用户用来访问SSL VPN服务的域名。用户将通过这个域名来启动他们的SSL VPN连接。

  • 接口、端口号和域名配置:接口是VPN连接的物理或逻辑通道。端口号指定了VPN服务监听的网络端口,而域名则是用户访问VPN服务的网络地址。这些配置确保了VPN服务可以在网络上被正确地识别和访问。
3. 修改VPN虚拟网关
  • 网关配置修改:对VPN虚拟网关的进一步配置,如端口号的修改(将其修改为443,这是HTTPS的标准端口)。
  • 网络扩展:网络扩展配置允许VPN客户端在连接到企业网络时,通过用户端安装插件,为其分配虚拟内网ip地址
新建安全策略
虚拟win-sever2016配置vmnet8网卡,通过浏览器【https://100.1.1.1】访问公司内网
相关推荐
云盾安全防护1 小时前
CC攻击与WAF的对抗战
网络·安全·ddos
还是鼠鼠2 小时前
HTTP 请求协议简单介绍
java·开发语言·网络·网络协议·http
网硕互联的小客服3 小时前
如何在服务器上部署 Python Django 应用
linux·运维·服务器·网络·安全
一杯凉白开4 小时前
硬件工程师口中的取低八位,中八位,高八位是什么意思?
android·网络协议
轨迹H5 小时前
【春秋云镜】CVE-2023-2130漏洞复现exp
网络协议·网络安全·渗透测试·ctf·cve
wu~9706 小时前
计算机网络自定向下:第二章复习
服务器·网络·架构
Mylvzi6 小时前
Linux 性能利器:详解 `top` 命令的使用与输出信息解析
linux·服务器·网络
等风来不如迎风去6 小时前
【samba】umount:**** target is busy. ubuntu24.04 卸载挂载点
网络协议·远程桌面·nomachine
Dream Algorithm8 小时前
中国移动6周年!
网络·架构·信息与通信
菜鸟康8 小时前
C++实现分布式网络通信框架RPC(2)——rpc发布端
分布式·网络协议·rpc