• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)-6W102

10-SSL VPN

本章节下载 10-SSL VPN  (1.09 MB)

10-SSL VPN


1 SSL VPN

1.1  SSL VPN概述

SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。

SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。

SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。

1.2  使用限制

(1)      SSL VPN功能支持Windows7和Windows10操作系统,以及Android6.0以上的移动端,暂不支持苹果iOS、Mac OS系统和Linux操作系统。

(2)      SSL VPN的最大并发用户数与授权有关,系统默认支持同时接入的最大用户数为10个。

1.3  配置SSL VPN

1.3.1  配置概述

SSL VPN配置的推荐步骤如表1-1所示。

表1-1 IPsec配置推荐步

配置任务

说明

详细配置

配置用户/用户组

必选

详见“用户和用户认证”章节

配置SSL VPN资源

必选

1.3.2 

配置SSL VPN门户网站

可选

1.3.3 

配置SSL VPN策略

必选

1.3.4 

配置SSL VPN 全局配置

必选

1.3.5 

配置SSL VPN IP用户绑定

可选

1.3.7 

配置SSL VPN安全设置

可选

1.3.7 

 

1.3.2  配置SSL VPN资源

在导航栏中选择“网络配置 > VPN > SSL VPN > 资源”,进入SSL VPN资源配置的显示页面,单击<新建>按钮,或者点击对应资源的右侧<编辑>按钮,进入资源的配置页面,如图1-1所示。

图1-1 资源新建页面

 

页面的详细说明如表1-2所示。

表1-2 资源配置的详细说明

项目

说明

名称

资源策略名称。

描述

资源策略的描述。

资源地址

授权资源的IP地址,最多支持32组。

资源类型

授权资源的类型,可选择:any、http、https、ftp、icmp、ssh、telnet、邮件、自定义tcp端口和自定义udp端口。

 

输入完毕后,点击<提交>按钮,应用配置。

在资源显示页面,点击对应资源的<删除>按钮,可以删除对应的资源,如图1-2所示。

图1-2 资源删除

 

在资源显示页面,点击<导入><导出>按钮,可以将所有的资源导出成csv文件。点击<导入>按钮可以将导出的csv文件中的资源导入到系统中,如图1-3所示。

图1-3 资源导入/导出

 

1.3.3  配置SSL VPN门户网站

在导航栏中选择“网络配置 > VPN > SSL VPN > 资源”,选择门户网站页签,进入门户网站的配置页面,如图1-4所示。

图1-4 门户网站配置页面

 

页面的详细说明如表1-3所示。

表1-3 门户网站配置的详细说明

项目

说明

页面标题

网站标题。

网页logo

网站标题的logo。

公告

网站的公告内容。

客户端下载

填写VPN客户端下载地址。

 

输入完毕后,点击<提交>按钮,应用配置。

1.3.4  配置SSL VPN策略

在导航栏中选择“网络配置 > VPN > SSL VPN > 策略”,进入策略配置的显示页面,单击<新建>按钮,或者点击对应SSL VPN策略的右侧<编辑>按钮,进入SSL VPN策略的配置页面,如图1-5所示。

图1-5 SSL VPN策略页面

 

页面的详细说明如表1-4所示。

表1-4 SSL VPN策略配置的详细说明

项目

说明

启用

SSL VPN启用/禁用开关。

名称

SSL VPN策略名称。

描述

SSL VPN策略描述。

用户

SSL VPN授权登录用户。

授权资源

SSL VPN授权资源。

拨入时间段

SSL VPN授权拨入时间段。

强制下线时间

SSL VPN用户强制下线时间。

 

输入完毕后,点击<提交>按钮,应用配置。

在策略显示页面,点击对应策略的<删除>按钮,可以删除对应的策略。如图1-6所示。

图1-6 策略删除

 

在资源策略显示页面,点击<上移>、<下移>按钮,可以调整策略的优先级。如图1-7所示。

图1-7 策略优先级调整

 

在策略显示页面,点击<导入><导出>按钮,可以将所有的策略导出成csv文件。点击<导入>按钮可以将导出的csv文件中的策略导入到系统中。如图1-8所示。

图1-8 策略导入/导出

 

1.3.5  配置SSL VPN全局配置

在导航栏中选择“网络配置 > VPN > SSL VPN > 全局配置”,进入全局配置的配置页面。如图1-9所示。

图1-9 全局配置页面

 

页面的详细说明如表1-5

表1-5 SSL VPN全局配置的详细说明

项目

说明

启用

全局配置启用/禁用开关

拨入接口

SSL VPN客户端拨入IP地址所在接口。

SSL VPN端口

SSL VPN客户端拨入端口号,SSL VPN使用UDP协议进行通信,端口号为UDP端口,默认为1194,可配置为1024-65534之间未被系统使用的端口。

全局DNS设置

SSL VPN客户端拨入成功,客户端获取到的DNS地址。

地址池

SSL VPN客户端拨入成功,客户端分配到的IP地址。

子网路由

SSL VPN客户端拨入成功,客户端允许访问的地址。

允许多处登录

勾选后,可支持同一个SSL VPN用户在多地同时登录。

证书登录

勾选后,可支持指定证书进行SSL VPN登录

l   CA证书:引用本地证书>证书>CA证书,支持PEM格式证书

l   本端证书:引用本地证书>证书>本地证书

l   对端证书:引用本地证书>证书>本地证书

心跳报文间隔

客户端和设备发送心跳报文间隔

心跳未反馈重连

超过设置心跳未反馈次数后客户端重连

 

输入完毕后,点击<提交>按钮,应用配置。

1.3.6  配置SSL VPN IP用户绑定    

在导航栏中选择“网络配置 > VPN > SSL VPN > 全局配置 ”,选择IP用户绑定页签,单击<新建>按钮,进入IP 用户绑定策略的配置页面,如图1-10所示。

图1-10 IP 用户绑定配置页面

 

页面的详细说明如图1-6

表1-6 IP 用户绑定配置页面的详细说明

项目

说明

启用

IP用户绑定功能启用/禁用开关。

用户

绑定的用户,单击输入框或后面的<选择用户>,弹出用户组成员选择窗口。

IP

绑定的IP地址。

 

输入完毕后,点击<提交>按钮,应用配置。

 

1.3.7  配置SSL VPN安全设置  

在导航栏中选择“网络配置 > VPN > SSL VPN > 全局配置”,选择安全设置页签,进入安全设置配置页面,如图1-11所示。

图1-11 安全设置配置页面

 

页面的详细说明如表1-7

表1-7 安全设置配置页面的详细说明

项目

说明

防暴力破解功能

防暴力破解功能启用/禁用开关。

同名用户登录

同名用户登录启用/禁用开关。

同名用户登录连续出错

同名用户登录连续出错次数设置。

同名用户登录锁定时间

同名用户登录连续出错次数达到阈值后锁定时间设置。

同IP用户登录

同IP用户登录启用/禁用开关。

同IP用户登录连续出错

同一IP,用户登录连续出错次数设置。

同IP用户登录锁定时间

同一IP,用户登录连续出错次数达到阈值后锁定时间设置。

 

输入完毕后,点击<提交>按钮,应用配置。

1.4  SSL VPN的查看和管理

1.4.1  在线用户

在导航栏中选择“数据中心 > 系统监控 > SSL VPN在线用户”,进入在线用户显示页面。页面中显示了已经拨入成功的SSL VPN用户。如图1-12所示。

图1-12 在线用户显示页面

 

页面的详细说明如表1-8

表1-8 在线用户显示页面的详细说明

项目

说明

名称

SSL VPN拨入用户的名称。

源IP

SSL VPN拨入用户的源IP:一般是SSL VPN拨入用户公网出口IP地址

源端口

SSL VPN拨入用户的源端口。

虚拟IP

SSL VPN拨入用户分配到IP地址。

发送字节数

统计SSL VPN拨入用户发送字节数。

接收字节数

统计SSL VPN拨入用户接收字节数。

登录时间

SSL VPN用户登录成功时间。

在线时长

SSL VPN用户拨入后在线时长。

状态

SSL VPN拨入用户状态展示

操作

可以对相应SSL VPN拨入用户进行的操作。

 

在线用户显示页面,点击<强制注销>按钮,可以将对应在线用户进行注销。

在线用户显示页面,点击<冻结>按钮,可以将对应的在线用户进行冻结。

在线用户显示页面,点击<解除冻结>按钮,可以将对应的已冻结用户解除冻结。

 

1.5  SSL VPN典型配置举例

1.5.1  组网需求

图1-13所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。

图1-13 SSL VPN功能配置组网图

 

1.5.2  配置思路

(1)      按照组网图组网。

(2)      配置接口。

(3)      配置用户。

(4)      配置SSL VPN全局配置。

(5)      配置SSL VPN资源。

(6)      配置SSL VPN策略

(7)      配置静态路由。

1.5.3  配置步骤

1. 配置接口

图1-14所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。

图1-14 配置接口

 

2. 配置用户

图1-15所示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。

图1-15 配置用户

 

 

3. 配置SSL VPN全局配置

图1-16所示,进入“网络配置>VPN> SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。

图1-16 配置全局配置

 

4. 配置SSL VPN资源

图1-17图1-18所示,进入“网络配置>VPN> SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。

图1-17 配置HTTP资源

 

图1-18 配置ftp资源

 

5. 配置SSL VPN策略

图1-19所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。

图1-19 策略配置

 

6. 配置静态路由

图1-20所示,进入“网络管理>路由>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。

图1-20 配置静态路由

 

1.5.4  验证配置

(1)    查看SSL VPN在线用户

图1-21所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。

图1-21 SSL VPN在线用户

 

(2)    查看客户端路由表

图1-22所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。

图1-22 客户端路由表

 

(3)    访问SSL VPN资源

SSL VPN连接成功后,访问内网的http和web资源,能够访问成功,如图1-23图1-24所示。

图1-23 访问FTP资源

 

图1-24 访问HTTP资源

 

 

1.6  SSL VPN客户端的安装及配置

1.6.1  SSL VPN客户端安装软件的获取

SSL VPN客户端需使用与设备版本配套的安装软件,您可以登录www.h3c.com官网下载,下载路径与版本软件相同,具体路径请参见版本说明书。

SSL VPN客户端软件支持win7和win10操作系统,以及Android6.0以上系统,以下分别介绍Windows系统和Android系统的客户端安装及配置方法。

1.6.2  Windows系统SSL VPN客户端安装及配置

1. 客户端安装

(1)      下载Windows系统的SSL VPN客户端软件并解压缩,点击运行安装程序,如下图所示。

 

(2)      弹出安装向导页面,点击“Next”进入下一步。

 

(3)      选择默认安装组件,点击“Next”进入下一步。

 

(4)      选择安装位置,点击“Install”开始安装。

 

(5)      弹出安全提示页面,点击“安装”。

 

 

(6)      点击“Finish”完成安装。

 

2. 客户端配置

(1)      运行SSL VPN客户端程序,进入添加配置文件界面,如下图所示。

图1-25 配置文件页面

 

表1-9 配置文件界面详细描述

标题项

说明

文件名

添加配置文件名称,任意

地址

SSL VPN设备IP

端口

SSL VPN端口

 

(2)      添加完配置文件后,选择任务栏中的图标点击右键,进行客户端连接,如下图所示。

图1-26 右键列表

 

表1-10 客户端设置界面详细描述

标题项

说明

连接

进行SSL VPN连接

断线

SSL VPN连接成功后断开

重新连接

SSL VPN连接成功后重连

修改密码

SSL VPN连接成功后修改登录密码

显示状态

SSLPVN连接成功后点击显示状态,弹出状态框

显示记录

点击显示记录,弹出SSL VPN连接的LOG记录

编辑配置文件

进行配置文件的修改

清除保存的密码

清除保存的SSL VPN用户密码

导入配置文件

进行配置文件的导入

新增配置文件

新建配置文件

选项

进行客户端的设置,包括:语言设置、开启是否自动启动、代理设置、配置文件以及log日志的目录、客户端版本信息

退出

关闭客户端

 

(3)      点击<连接>按钮,进行SSL VPN连接。弹出认证界面,如下图所示。

图1-27 认证界面

 

表1-11 认证界面详细描述

标题项

说明

用户名

SSL VPN登录用户名

密码

SSL VPN登录密码

保存密码

是否保存密码

 

(4)      输入正确的用户名密码后,SSL VPN连接成功。SSL VPN连接状态如图1-28所示,连接日志如图1-29所示。

图1-28 任务栏状态图

 

图1-29 连接日志

 

1.6.3  Android系统SSL VPN客户端安装及配置

1. 客户端安装

(1)      将Android系统的SSL VPN客户端软件发送到手机上,点击运行安装程序。

 

(2)      选择“继续安装”。

 

(3)      安装成功。

 

2. 客户端配置

(1)      运行SSL VPN客户端程序,进入配置界面。

 

(2)      点击添加图标,添加新的VPN配置,输入配件文件的名字。

 

(3)      命名完成之后,点击编辑。

 

(4)      编辑基础配置,输入用户名和密码。

 

表1-12 基础配置界面详细描述

标题项

说明

用户名

SSL VPN登录用户名

密码

SSL VPN登录密码

认证失败行为

断开是否保存密码

 

(5)      编辑服务器列表,输入服务器地址和服务器端口:

 

表1-13 服务器列表界面详细描述

标题项

说明

服务器地址

SSL VPN设备IP

服务器端口

SSL VPN端口

 

(6)      编辑允许的应用程序,默认为“VPN用于所有的应用程序,但排除选定”。

 

(7)      编辑完返回上级目录,点击配置文件名称“test-sslvpn”进行连接,连接成功日志如下。

连接成功的状态,如下图所示。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们