- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-SSL VPN
本章节下载: 10-SSL VPN (1.09 MB)
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。
SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
(1) SSL VPN功能支持Windows7和Windows10操作系统,以及Android6.0以上的移动端,暂不支持苹果iOS、Mac OS系统和Linux操作系统。
(2) SSL VPN的最大并发用户数与授权有关,系统默认支持同时接入的最大用户数为10个。
|
配置任务 |
说明 |
详细配置 |
|
配置用户/用户组 |
详见“用户和用户认证”章节 |
|
|
配置SSL VPN资源 |
必选 |
|
|
配置SSL VPN门户网站 |
可选 |
|
|
配置SSL VPN策略 |
必选 |
|
|
配置SSL VPN 全局配置 |
必选 |
|
|
配置SSL VPN IP用户绑定 |
可选 |
|
|
配置SSL VPN安全设置 |
可选 |
在导航栏中选择“网络配置 > VPN > SSL VPN > 资源”,进入SSL VPN资源配置的显示页面,单击<新建>按钮,或者点击对应资源的右侧<编辑>按钮,进入资源的配置页面,如图1-1所示。
页面的详细说明如表1-2所示。
|
项目 |
说明 |
|
名称 |
资源策略名称。 |
|
描述 |
资源策略的描述。 |
|
资源地址 |
授权资源的IP地址,最多支持32组。 |
|
资源类型 |
授权资源的类型,可选择:any、http、https、ftp、icmp、ssh、telnet、邮件、自定义tcp端口和自定义udp端口。 |
输入完毕后,点击<提交>按钮,应用配置。
在资源显示页面,点击对应资源的<删除>按钮,可以删除对应的资源,如图1-2所示。
在资源显示页面,点击<导入><导出>按钮,可以将所有的资源导出成csv文件。点击<导入>按钮可以将导出的csv文件中的资源导入到系统中,如图1-3所示。
在导航栏中选择“网络配置 > VPN > SSL VPN > 资源”,选择门户网站页签,进入门户网站的配置页面,如图1-4所示。
页面的详细说明如表1-3所示。
|
项目 |
说明 |
|
页面标题 |
网站标题。 |
|
网页logo |
网站标题的logo。 |
|
公告 |
网站的公告内容。 |
|
客户端下载 |
填写VPN客户端下载地址。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“网络配置 > VPN > SSL VPN > 策略”,进入策略配置的显示页面,单击<新建>按钮,或者点击对应SSL VPN策略的右侧<编辑>按钮,进入SSL VPN策略的配置页面,如图1-5所示。
图1-5 SSL VPN策略页面
页面的详细说明如表1-4所示。
表1-4 SSL VPN策略配置的详细说明
|
项目 |
说明 |
|
启用 |
SSL VPN启用/禁用开关。 |
|
名称 |
SSL VPN策略名称。 |
|
描述 |
SSL VPN策略描述。 |
|
用户 |
SSL VPN授权登录用户。 |
|
授权资源 |
SSL VPN授权资源。 |
|
拨入时间段 |
SSL VPN授权拨入时间段。 |
|
强制下线时间 |
SSL VPN用户强制下线时间。 |
输入完毕后,点击<提交>按钮,应用配置。
在策略显示页面,点击对应策略的<删除>按钮,可以删除对应的策略。如图1-6所示。
在资源策略显示页面,点击<上移>、<下移>按钮,可以调整策略的优先级。如图1-7所示。
在策略显示页面,点击<导入><导出>按钮,可以将所有的策略导出成csv文件。点击<导入>按钮可以将导出的csv文件中的策略导入到系统中。如图1-8所示。
在导航栏中选择“网络配置 > VPN > SSL VPN > 全局配置”,进入全局配置的配置页面。如图1-9所示。
页面的详细说明如表1-5。
表1-5 SSL VPN全局配置的详细说明
|
项目 |
说明 |
|
启用 |
全局配置启用/禁用开关 |
|
拨入接口 |
SSL VPN客户端拨入IP地址所在接口。 |
|
SSL VPN端口 |
SSL VPN客户端拨入端口号,SSL VPN使用UDP协议进行通信,端口号为UDP端口,默认为1194,可配置为1024-65534之间未被系统使用的端口。 |
|
全局DNS设置 |
SSL VPN客户端拨入成功,客户端获取到的DNS地址。 |
|
地址池 |
SSL VPN客户端拨入成功,客户端分配到的IP地址。 |
|
子网路由 |
SSL VPN客户端拨入成功,客户端允许访问的地址。 |
|
允许多处登录 |
勾选后,可支持同一个SSL VPN用户在多地同时登录。 |
|
证书登录 |
勾选后,可支持指定证书进行SSL VPN登录 l CA证书:引用本地证书>证书>CA证书,支持PEM格式证书 l 本端证书:引用本地证书>证书>本地证书 l 对端证书:引用本地证书>证书>本地证书 |
|
心跳报文间隔 |
客户端和设备发送心跳报文间隔 |
|
心跳未反馈重连 |
超过设置心跳未反馈次数后客户端重连 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“网络配置 > VPN > SSL VPN > 全局配置 ”,选择IP用户绑定页签,单击<新建>按钮,进入IP 用户绑定策略的配置页面,如图1-10所示。
图1-10 IP 用户绑定配置页面
页面的详细说明如图1-6。
表1-6 IP 用户绑定配置页面的详细说明
|
项目 |
说明 |
|
启用 |
IP用户绑定功能启用/禁用开关。 |
|
用户 |
绑定的用户,单击输入框或后面的<选择用户>,弹出用户组成员选择窗口。 |
|
IP |
绑定的IP地址。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“网络配置 > VPN > SSL VPN > 全局配置”,选择安全设置页签,进入安全设置配置页面,如图1-11所示。
页面的详细说明如表1-7。
|
项目 |
说明 |
|
防暴力破解功能 |
防暴力破解功能启用/禁用开关。 |
|
同名用户登录 |
同名用户登录启用/禁用开关。 |
|
同名用户登录连续出错 |
同名用户登录连续出错次数设置。 |
|
同名用户登录锁定时间 |
同名用户登录连续出错次数达到阈值后锁定时间设置。 |
|
同IP用户登录 |
同IP用户登录启用/禁用开关。 |
|
同IP用户登录连续出错 |
同一IP,用户登录连续出错次数设置。 |
|
同IP用户登录锁定时间 |
同一IP,用户登录连续出错次数达到阈值后锁定时间设置。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“数据中心 > 系统监控 > SSL VPN在线用户”,进入在线用户显示页面。页面中显示了已经拨入成功的SSL VPN用户。如图1-12所示。
页面的详细说明如表1-8。
|
项目 |
说明 |
|
名称 |
SSL VPN拨入用户的名称。 |
|
源IP |
SSL VPN拨入用户的源IP:一般是SSL VPN拨入用户公网出口IP地址 |
|
源端口 |
SSL VPN拨入用户的源端口。 |
|
虚拟IP |
SSL VPN拨入用户分配到IP地址。 |
|
发送字节数 |
统计SSL VPN拨入用户发送字节数。 |
|
接收字节数 |
统计SSL VPN拨入用户接收字节数。 |
|
登录时间 |
SSL VPN用户登录成功时间。 |
|
在线时长 |
SSL VPN用户拨入后在线时长。 |
|
状态 |
SSL VPN拨入用户状态展示 |
|
操作 |
可以对相应SSL VPN拨入用户进行的操作。 |
在线用户显示页面,点击<强制注销>按钮,可以将对应在线用户进行注销。
在线用户显示页面,点击<冻结>按钮,可以将对应的在线用户进行冻结。
在线用户显示页面,点击<解除冻结>按钮,可以将对应的已冻结用户解除冻结。
如图1-13所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。
图1-13 SSL VPN功能配置组网图
(1) 按照组网图组网。
(2) 配置接口。
(3) 配置用户。
(4) 配置SSL VPN全局配置。
(5) 配置SSL VPN资源。
(6) 配置SSL VPN策略
(7) 配置静态路由。
如图1-14所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。
如图1-15所示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。
图1-15 配置用户
如图1-16所示,进入“网络配置>VPN> SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。
如图1-17和图1-18所示,进入“网络配置>VPN> SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。
图1-17 配置HTTP资源
如图1-19所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。
如图1-20所示,进入“网络管理>路由>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。
(1) 查看SSL VPN在线用户
如图1-21所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。
图1-21 SSL VPN在线用户
(2) 查看客户端路由表
如图1-22所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。
(3) 访问SSL VPN资源
SSL VPN连接成功后,访问内网的http和web资源,能够访问成功,如图1-23和图1-24所示。
SSL VPN客户端需使用与设备版本配套的安装软件,您可以登录www.h3c.com官网下载,下载路径与版本软件相同,具体路径请参见版本说明书。
SSL VPN客户端软件支持win7和win10操作系统,以及Android6.0以上系统,以下分别介绍Windows系统和Android系统的客户端安装及配置方法。
(1) 下载Windows系统的SSL VPN客户端软件并解压缩,点击运行安装程序,如下图所示。
(2) 弹出安装向导页面,点击“Next”进入下一步。
(3) 选择默认安装组件,点击“Next”进入下一步。
(4) 选择安装位置,点击“Install”开始安装。
(5) 弹出安全提示页面,点击“安装”。
(6) 点击“Finish”完成安装。
(1)
运行SSL VPN客户端程序
,进入添加配置文件界面,如下图所示。
表1-9 配置文件界面详细描述
|
标题项 |
说明 |
|
文件名 |
添加配置文件名称,任意 |
|
地址 |
SSL VPN设备IP |
|
端口 |
SSL VPN端口 |
(2)
添加完配置文件后,选择任务栏中的
图标点击右键,进行客户端连接,如下图所示。
表1-10 客户端设置界面详细描述
|
标题项 |
说明 |
|
连接 |
进行SSL VPN连接 |
|
断线 |
SSL VPN连接成功后断开 |
|
重新连接 |
SSL VPN连接成功后重连 |
|
修改密码 |
SSL VPN连接成功后修改登录密码 |
|
显示状态 |
SSLPVN连接成功后点击显示状态,弹出状态框 |
|
显示记录 |
点击显示记录,弹出SSL VPN连接的LOG记录 |
|
编辑配置文件 |
进行配置文件的修改 |
|
清除保存的密码 |
清除保存的SSL VPN用户密码 |
|
导入配置文件 |
进行配置文件的导入 |
|
新增配置文件 |
新建配置文件 |
|
选项 |
进行客户端的设置,包括:语言设置、开启是否自动启动、代理设置、配置文件以及log日志的目录、客户端版本信息 |
|
退出 |
关闭客户端 |
(3) 点击<连接>按钮,进行SSL VPN连接。弹出认证界面,如下图所示。
表1-11 认证界面详细描述
|
标题项 |
说明 |
|
用户名 |
SSL VPN登录用户名 |
|
密码 |
SSL VPN登录密码 |
|
保存密码 |
是否保存密码 |
(4) 输入正确的用户名密码后,SSL VPN连接成功。SSL VPN连接状态如图1-28所示,连接日志如图1-29所示。
(1) 将Android系统的SSL VPN客户端软件发送到手机上,点击运行安装程序。
(2) 选择“继续安装”。
(3) 安装成功。
(1)
运行SSL VPN客户端程序
,进入配置界面。
(2) 点击添加图标,添加新的VPN配置,输入配件文件的名字。
(3) 命名完成之后,点击编辑。
(4) 编辑基础配置,输入用户名和密码。
表1-12 基础配置界面详细描述
|
标题项 |
说明 |
|
用户名 |
SSL VPN登录用户名 |
|
密码 |
SSL VPN登录密码 |
|
认证失败行为 |
断开是否保存密码 |
(5) 编辑服务器列表,输入服务器地址和服务器端口:
表1-13 服务器列表界面详细描述
|
标题项 |
说明 |
|
服务器地址 |
SSL VPN设备IP |
|
服务器端口 |
SSL VPN端口 |
(6) 编辑允许的应用程序,默认为“VPN用于所有的应用程序,但排除选定”。
(7) 编辑完返回上级目录,点击配置文件名称“test-sslvpn”进行连接,连接成功日志如下。
连接成功的状态,如下图所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
