用户远程访问公司内网---防火墙配置SSL VPN,操作及原理讲解

SSL VPN

SSL VPN（Secure Sockets Layer Virtual Private Network）是一种利用SSL/TLS协议来提供安全的远程访问解决方案。与IPSec VPN相比，SSL VPN的优势在于它不需要在客户端安装特定的软件，用户可以通过任何支持SSL/TLS的Web浏览器来访问企业网络。

SSL VPN的工作原理如下：

1. 客户端认证：用户通过浏览器访问SSL VPN网关，输入认证信息（如用户名和密码）。

2. 服务器端处理：SSL VPN服务器接收客户端的请求，并进行身份验证。一旦认证成功，服务器会与客户端建立一个加密的通道。

3. 数据传输：通过建立的加密通道，客户端可以安全地访问企业网络资源，如内部网站、应用程序和文件共享服务。

4. 会话管理：SSL VPN服务器管理用户的会话，确保会话的安全性，并在用户下线或超时后终止会话。

拓扑搭建

vmnet1虚拟网卡连接防火墙g0/0/0口，配置接口地址为192.168.20.100作为管理接口用于登录防火墙web页面。

防火墙g1/0/1连接企业内网，网段为192.168.1.0/24，g1/0/1为网关接口，地址为192.168.1.254

防火墙g1/0/0与外网路由器相连，网段为100,1,1,0/24。

R1路由器与vmnet8相连，用于虚拟机模拟外网用户进行vpn登录内网

基础配置

FW1：

<USG6000V1>sys

USG6000V1\]sys FW1 \[FW1\]interface g0/0/0 \[FW1-GigabitEthernet0/0/0\]ip address 192.168.20.100 24 /配置ip \[FW1-GigabitEthernet0/0/0\]service-manage enable /开启服务 \[FW1-GigabitEthernet0/0/0\]service-manage all permit /开启服务 \[FW1-GigabitEthernet0/0/0\]q \[FW1\]user-interface console 0 \[FW1-ui-console0\]idle-timeout 0 /设置终端命令行超时时间 \[FW1\]web-manager timeout 1440 /设置web管理界面超时时间

AR1配置

sys

Huawei\]sys AR1 \[AR1\]interface g0/0/0 \[AR1-GigabitEthernet0/0/0\]ip address 192.168.10.254 24 \[AR1-GigabitEthernet0/0/0\]q \[AR1\]interface g0/0/1 \[AR1-GigabitEthernet0/0/1\]ip address 100.1.1.2 24 \[AR1-GigabitEthernet0/0/1\]q

物理机vmnet8网卡配置

web登录防火墙配置接口地址及安全区域

配置安全策略使区域数据流通

配置nat策略出接口地址转换

配置默认路由指向外部路由器

测试[此时内网主机可以和外部路由器进行数据通信]

SSL-VPN搭建

1. 创建用户和认证策略

• 用户创建 ：首先，需要在VPN服务器上创建用户账户。这些账户将用于远程用户登录SSL VPN。每个用户账户通常包括用户名、密码以及其他可能的身份验证信息，如数字证书或一次性密码（OTP）。

• 认证策略：认证策略定义了用户登录SSL VPN所需的身份验证过程。这可能包括密码验证、多因素认证（MFA）或使用数字证书。认证策略的目的是确保只有经过授权的用户才能访问内部网络资源。

2. 创建VPN虚拟网关

• VPN虚拟网关创建：VPN虚拟网关是远程用户访问内部网络的入口点。在配置过程中，需要指定VPN虚拟网关的接口（如GigabitEthernet 1/0/0），分配端口号（如4430），并设置域名（如www.a.com）。

进入命令行进行配置【防火墙配置会报错】

[FW1]v-gateway sslvpn1 interface GigabitEthernet 1/0/0 port 4430 private www.a.com

v-gateway sslvpn1：这条命令用于创建一个名为sslvpn1的虚拟网关。v-gateway是创建虚拟网关的命令，sslvpn1是为这个虚拟网关指定的名称。interface GigabitEthernet 1/0/0：这部分指定了虚拟网关将要使用的物理接口。在这个例子中，虚拟网关将使用GigabitEthernet 1/0/0接口。这个接口是防火墙上的一个网络端口，用于处理进出的VPN流量。

port 4430：这条命令设置了虚拟网关监听的端口号。在这个例子中，端口号被设置为4430。这是一个非标准端口，通常用于SSL VPN服务以避免与标准的HTTPS端口（443）冲突。

private www.a.com：这部分指定了虚拟网关的域名。private关键字表示这是一个私有的域名，www.a.com是用户用来访问SSL VPN服务的域名。用户将通过这个域名来启动他们的SSL VPN连接。

• 接口、端口号和域名配置：接口是VPN连接的物理或逻辑通道。端口号指定了VPN服务监听的网络端口，而域名则是用户访问VPN服务的网络地址。这些配置确保了VPN服务可以在网络上被正确地识别和访问。

3. 修改VPN虚拟网关

• 网关配置修改：对VPN虚拟网关的进一步配置，如端口号的修改（将其修改为443，这是HTTPS的标准端口）。

• 网络扩展：网络扩展配置允许VPN客户端在连接到企业网络时，通过用户端安装插件，为其分配虚拟内网ip地址

新建安全策略

虚拟win-sever2016配置vmnet8网卡，通过浏览器【https://100.1.1.1】访问公司内网