網絡運維|通過SSL VPN進行網絡擴展

2020-06-16 21:20 作者：admin

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，在這里介紹下通過SSL VPN進行網絡擴展的配置， 網絡安全運維，從Web管理輕松學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

通過SSL VPN進行網絡擴展

在用戶啟用網絡擴展功能后，網絡擴展客戶端會自動從網關上獲得IP地址并激活虛擬網卡進行SSL通信，使用戶如同工作在企業內網一樣，快速、安全地訪問企業內網的資源。配置手動模式的網絡擴展功能后，除了增加對遠程企業內網的訪問權限外，不影響客戶端原先可訪問的網絡資源，除非網絡資源與遠程企業內網沖突。

前提條件

已加載License文件，且USG可以正常訪問內網資源。
 說明：
本舉例中USG內網接口IP地址、地址池地址和內網服務器的IP地址在同一網段。如果USG內網接口IP地址和內網服務器的IP地址不在同一網段，可以按照如下方法配置：
將地址池和USG內網接口配置在同一網段，并保證USG的內網接口與內網服務器路由可達，確保業務的連通性。

組網需求

如圖10-94所示，USG作為企業網絡的出口網關連接Internet。
具體需求如下：
外網用戶會獲取到192.168.1.50/24～192.168.1.150/24范圍內的IP地址，且能夠像工作在內網一樣，快速、安全地訪問內網的192.168.1.0/24網段的資源。
本地PC中已有有效的CA證書ca.crt。采用用戶提供證書和VPNDB結合的認證授權方式。
由于經常受到來自7.1.1.0/24網段的網絡攻擊，禁止員工在7.1.1.0/24網段的客戶端上訪問虛擬網關。
圖  網絡擴展組網圖 

配置思路

在USG創建一個名為test的虛擬網關，外網用戶可通過此虛擬網關訪問企業內網的資源。虛擬網關的IP地址為202.10.10.1/24。
配置內網的DNS服務器地址和域名，使用戶可通過域名訪問虛擬網關的業務。
配置網絡擴展功能，為外網用戶分配IP地址和添加外網用戶可訪問的內網資源。
從本地PC上將有效CA證書導入設備中，并進行激活。
配置認證方式為證書挑戰（輔助認證方式：VPNDB），授權方式配置為VPNDB。
添加VPNDB用戶。VPNDB的用戶名即是客戶端證書的名稱，VPNDB的密碼即是外網用戶登錄虛擬網關時需要輸入的密碼。
配置虛擬網關源IP策略，禁止IP網段為7.1.1.0/24的客戶端訪問虛擬網關。
在需要訪問虛擬網關的PC端安裝CA證書對應的客戶端證書。

操作步驟

配置接口基本參數。
選擇“網絡 > 接口 > 接口”。
選擇“接口”頁簽。
在“接口列表”中，單擊GE0/0/1對應的。
在“修改GigabitEthernet”界面中，配置如下：
安全區域：trust
IP地址：192.168.1.1
子網掩碼：255.255.255.0
其他配置項采用缺省值。
單擊“應用”。
在“接口列表”中，單擊GE0/0/2對應的。
在“修改GigabitEthernet”界面中，配置如下：
安全區域：untrust
IP地址：202.10.10.1
子網掩碼：255.255.255.0
其他配置項采用缺省值。
單擊“應用”。
對于USG系列，配置域間包過濾，以保證網絡基本通信正常。對于USG BSR/HSR系列，不需要執行此步驟。
配置Local安全區域和Untrust安全區域之間的安全策略。
選擇“防火墻 > 安全策略 > 本地策略”。
在“對設備訪問控制列表”中，單擊“Untrust”下的“默認”所在行的。
在“修改對設備訪問控制”界面中，選擇“動作”為“permit”。
單擊“應用”。
配置Trust安全區域和Untrust安全區域之間的安全策略。
選擇“防火墻 > 安全策略 > 轉發策略”。
在“轉發策略列表”中，單擊“untrust->trust”下的“默認”所在行的。
在“修改轉發策略”界面中，選擇“動作”為“permit”。
單擊“應用”。
在“轉發策略列表”中，單擊“trust->untrust”下的“默認”所在行的。
在“修改轉發策略”界面中，選擇“動作”為“permit”。
單擊“應用”。
創建虛擬網關。
選擇“VPN > SSL VPN > 虛擬網關管理”。
單擊“新建”。
配置虛擬網關參數。
單擊“應用”。
配置DNS服務器。
選擇“VPN > SSL VPN > 虛擬網關列表”。
在“虛擬網關列表”導航樹中選擇“虛擬網關列表 > test > 網絡配置”。
單擊“首選DNS服務器 ”和“DNS domain”對應的，配置DNS服務器地址和域名。
單擊“首選DNS服務器”和“DNS domain”對應的，完成配置。
配置網絡擴展。
在“虛擬網關列表”導航樹中選擇“虛擬網關列表 > test > 網絡擴展”。
選中“啟用網絡擴展功能”前的復選框，啟用網絡擴展功能。
選中“保持連接”、“啟用點對點通訊”前的復選框。
 說明：
啟用保持連接功能后，客戶端會定時向網關發送報文，確保客戶端和虛擬網關的網絡擴展連接不會因為SSL會話超時而斷開。
啟用點對點通訊功能后，接入同一虛擬網關的用戶可以互相通訊，如同在一個局域網內部。
在“客戶端IP分配方式”區域框中，分配客戶端使用的IP地址。
 注意：
在配置虛擬IP地址池時，虛擬IP地址池范圍內的IP地址不能為虛擬網關或接口的IP地址，也不能為內網存在的IP地址。
在“客戶端路由方式”區域框中，選中“手動模式”前的單選按鈕。
單擊“添加網段”，添加客戶端可以通過虛擬網關訪問的內網資源。
 說明：
選擇“手動模式”，外網用戶可以訪問遠端企業內網特定網段的資源，對Internet和本地局域網的訪問不受影響。網段沖突時優先訪問遠端企業內網。
在“用戶虛擬IP處理方式”區域框中，選中“清除不在新地址范圍內的用戶虛擬IP”前的單選按鈕，清除虛擬網關內不在新地址段內的用戶虛擬IP。
單擊“應用”。
導入CA證書。
在“虛擬網關列表”導航樹中選擇“虛擬網關列表 > test > SSL配置”。
在“CA證書信息”區域框中，單擊“導入CA證書”文本框右側的“瀏覽”，定位CA證書。
單擊“上傳”。
配置證書挑戰。
在“虛擬網關列表”導航樹中選擇“虛擬網關列表 > test > 認證授權配置”。
選擇“認證授權方式”頁簽。
選中“需要用戶提供證書”前的復選框。
單擊優先級“1”對應的操作，選擇認證授權方式為證書挑戰，輔助認證方式為VPNDB。并設置為需要用戶提供證書。
單擊，完成認證授權方式配置。
選擇“證書認證配置”頁簽。
在“證書挑戰”區域框中，單擊“修改”，配置提取證書用戶過濾字段為缺省值。
單擊“確定”，完成證書挑戰的配置。
配置VPNDB用戶。
在“虛擬網關列表”導航樹中選擇“虛擬網關列表 > test > VPNDB配置”。
選擇“用戶管理”頁簽，單擊“新建”。
在“添加用戶”區域框中，配置VPNDB用戶user，密碼為User12345。 說明：
此處的用戶名要和客戶端證書的名稱保持一致。
單擊“應用”。
重復上述配置步驟，將所有需要訪問內網資源的用戶添加到USG。
 說明：
如果用戶較多，可以在“批量導入用戶”區域框中，批量導入用戶。
配置虛擬網關源IP策略，禁止IP網段為7.1.1.0/24的客戶端訪問虛擬網關。
在“虛擬網關列表”導航樹中選擇“虛擬網關列表 > test > 策略配置”。
選擇“虛擬網關源IP策略”頁簽，單擊“新建”。
配置源IP策略。
單擊“應用”。
在需要訪問虛擬網關的PC端安裝客戶端證書。
 注意：
PC端必須要安裝與設備上導入的CA證書相對應的客戶端證書，才能認證通過。
在PC上打開IE瀏覽器，在工具欄中依此選擇“工具 > Internet選項”。
在“內容”界面中選擇“證書”。
單擊“導入”，根據證書導入向導，從本地選擇客戶端證書user.p12，導入到PC中。
 說明：
如果證書中設置了私鑰密碼，請在“密碼”界面中輸入相應的私鑰密碼。
證書導入成功后，會彈出“導入成功”的提示框。
證書導入完畢后，關閉“證書”窗口，并單擊“確定”，退出“Internet選項”窗口。

結果驗證

企業員工在外部網絡（非7.1.1.0/24網段）的IE瀏覽器中輸入https://202.10.10.1，進入虛擬網關登錄界面。
輸入在USG上配置的密碼，并在下拉列表中選擇有效證書為“user”，單擊“登錄”，通過客戶端證書認證，登錄虛擬網關。顯示界面如圖10-103所示。
圖10-103  虛擬網關客戶端 

在“網絡擴展”區域框中，單擊“啟動”，啟用網絡擴展功能后，客戶端可以獲取192.168.1.50/24～192.168.1.150/24范圍內的IP地址，訪問企業內網資源，同時訪問Internet不受限制。
 說明：
客戶端第一次啟用網絡擴展功能時，客戶端可能會收到虛擬網關發送的Active控件，需要按提示安裝后才能正常使用網絡擴展功能。
不同版本的虛擬網關會要求客戶端安裝不同版本的Active控件。當客戶端訪問不同版本虛擬網關時，請在訪問新的虛擬網關前先將舊的Active控件刪除，再安裝新的Active控件，以免由于Active控件版本不一致導致網絡擴展功能不可用。
以客戶端為一臺PC為例，執行以下命令來刪除控件：
PC> regsvr32 SVNIEAgt.ocx -u -s
PC> del %systemroot%\SVNIEAgt.ocx /q
PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q
PC> cd  %appdata%
PC> rmdir svnclient /q /s
7.1.1.0/24網段的客戶端在IE瀏覽器中輸入https://202.10.10.1后，頁面提示訪問受限，無法訪問虛擬網關。
以上文章由北京艾銻無限科技發展有限公司整理