网络运维|通过SSL VPN进行网络扩展

2020-06-16 21:20 作者：admin

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下通过SSL VPN进行网络扩展的配置， 网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

通过SSL VPN进行网络扩展

在用户启用网络扩展功能后，网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信，使用户如同工作在企业内网一样，快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后，除了增加对远程企业内网的访问权限外，不影响客户端原先可访问的网络资源，除非网络资源与远程企业内网冲突。

前提条件

已加载License文件，且USG可以正常访问内网资源。
 说明：
本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。如果USG内网接口IP地址和内网服务器的IP地址不在同一网段，可以按照如下方法配置：
将地址池和USG内网接口配置在同一网段，并保证USG的内网接口与内网服务器路由可达，确保业务的连通性。

组网需求

如图10-94所示，USG作为企业网络的出口网关连接Internet。
具体需求如下：
外网用户会获取到192.168.1.50/24～192.168.1.150/24范围内的IP地址，且能够像工作在内网一样，快速、安全地访问内网的192.168.1.0/24网段的资源。
本地PC中已有有效的CA证书ca.crt。采用用户提供证书和VPNDB结合的认证授权方式。
由于经常受到来自7.1.1.0/24网段的网络攻击，禁止员工在7.1.1.0/24网段的客户端上访问虚拟网关。
图  网络扩展组网图 

配置思路

在USG创建一个名为test的虚拟网关，外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24。
配置内网的DNS服务器地址和域名，使用户可通过域名访问虚拟网关的业务。
配置网络扩展功能，为外网用户分配IP地址和添加外网用户可访问的内网资源。
从本地PC上将有效CA证书导入设备中，并进行激活。
配置认证方式为证书挑战（辅助认证方式：VPNDB），授权方式配置为VPNDB。
添加VPNDB用户。VPNDB的用户名即是客户端证书的名称，VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。
配置虚拟网关源IP策略，禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。
在需要访问虚拟网关的PC端安装CA证书对应的客户端证书。

操作步骤

配置接口基本参数。
选择“网络 > 接口 > 接口”。
选择“接口”页签。
在“接口列表”中，单击GE0/0/1对应的。
在“修改GigabitEthernet”界面中，配置如下：
安全区域：trust
IP地址：192.168.1.1
子网掩码：255.255.255.0
其他配置项采用缺省值。
单击“应用”。
在“接口列表”中，单击GE0/0/2对应的。
在“修改GigabitEthernet”界面中，配置如下：
安全区域：untrust
IP地址：202.10.10.1
子网掩码：255.255.255.0
其他配置项采用缺省值。
单击“应用”。
对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。
配置Local安全区域和Untrust安全区域之间的安全策略。
选择“防火墙 > 安全策略 > 本地策略”。
在“对设备访问控制列表”中，单击“Untrust”下的“默认”所在行的。
在“修改对设备访问控制”界面中，选择“动作”为“permit”。
单击“应用”。
配置Trust安全区域和Untrust安全区域之间的安全策略。
选择“防火墙 > 安全策略 > 转发策略”。
在“转发策略列表”中，单击“untrust->trust”下的“默认”所在行的。
在“修改转发策略”界面中，选择“动作”为“permit”。
单击“应用”。
在“转发策略列表”中，单击“trust->untrust”下的“默认”所在行的。
在“修改转发策略”界面中，选择“动作”为“permit”。
单击“应用”。
创建虚拟网关。
选择“VPN > SSL VPN > 虚拟网关管理”。
单击“新建”。
配置虚拟网关参数。
单击“应用”。
配置DNS服务器。
选择“VPN > SSL VPN > 虚拟网关列表”。
在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络配置”。
单击“首选DNS服务器 ”和“DNS domain”对应的，配置DNS服务器地址和域名。
单击“首选DNS服务器”和“DNS domain”对应的，完成配置。
配置网络扩展。
在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络扩展”。
选中“启用网络扩展功能”前的复选框，启用网络扩展功能。
选中“保持连接”、“启用点对点通讯”前的复选框。
 说明：
启用保持连接功能后，客户端会定时向网关发送报文，确保客户端和虚拟网关的网络扩展连接不会因为SSL会话超时而断开。
启用点对点通讯功能后，接入同一虚拟网关的用户可以互相通讯，如同在一个局域网内部。
在“客户端IP分配方式”区域框中，分配客户端使用的IP地址。
 注意：
在配置虚拟IP地址池时，虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址，也不能为内网存在的IP地址。
在“客户端路由方式”区域框中，选中“手动模式”前的单选按钮。
单击“添加网段”，添加客户端可以通过虚拟网关访问的内网资源。
 说明：
选择“手动模式”，外网用户可以访问远端企业内网特定网段的资源，对Internet和本地局域网的访问不受影响。网段冲突时优先访问远端企业内网。
在“用户虚拟IP处理方式”区域框中，选中“清除不在新地址范围内的用户虚拟IP”前的单选按钮，清除虚拟网关内不在新地址段内的用户虚拟IP。
单击“应用”。
导入CA证书。
在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > SSL配置”。
在“CA证书信息”区域框中，单击“导入CA证书”文本框右侧的“浏览”，定位CA证书。
单击“上传”。
配置证书挑战。
在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 认证授权配置”。
选择“认证授权方式”页签。
选中“需要用户提供证书”前的复选框。
单击优先级“1”对应的操作，选择认证授权方式为证书挑战，辅助认证方式为VPNDB。并设置为需要用户提供证书。
单击，完成认证授权方式配置。
选择“证书认证配置”页签。
在“证书挑战”区域框中，单击“修改”，配置提取证书用户过滤字段为缺省值。
单击“确定”，完成证书挑战的配置。
配置VPNDB用户。
在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > VPNDB配置”。
选择“用户管理”页签，单击“新建”。
在“添加用户”区域框中，配置VPNDB用户user，密码为User12345。 说明：
此处的用户名要和客户端证书的名称保持一致。
单击“应用”。
重复上述配置步骤，将所有需要访问内网资源的用户添加到USG。
 说明：
如果用户较多，可以在“批量导入用户”区域框中，批量导入用户。
配置虚拟网关源IP策略，禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。
在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 策略配置”。
选择“虚拟网关源IP策略”页签，单击“新建”。
配置源IP策略。
单击“应用”。
在需要访问虚拟网关的PC端安装客户端证书。
 注意：
PC端必须要安装与设备上导入的CA证书相对应的客户端证书，才能认证通过。
在PC上打开IE浏览器，在工具栏中依此选择“工具 > Internet选项”。
在“内容”界面中选择“证书”。
单击“导入”，根据证书导入向导，从本地选择客户端证书user.p12，导入到PC中。
 说明：
如果证书中设置了私钥密码，请在“密码”界面中输入相应的私钥密码。
证书导入成功后，会弹出“导入成功”的提示框。
证书导入完毕后，关闭“证书”窗口，并单击“确定”，退出“Internet选项”窗口。

结果验证

企业员工在外部网络（非7.1.1.0/24网段）的IE浏览器中输入https://202.10.10.1，进入虚拟网关登录界面。
输入在USG上配置的密码，并在下拉列表中选择有效证书为“user”，单击“登录”，通过客户端证书认证，登录虚拟网关。显示界面如图10-103所示。
图10-103  虚拟网关客户端 

在“网络扩展”区域框中，单击“启动”，启用网络扩展功能后，客户端可以获取192.168.1.50/24～192.168.1.150/24范围内的IP地址，访问企业内网资源，同时访问Internet不受限制。
 说明：
客户端第一次启用网络扩展功能时，客户端可能会收到虚拟网关发送的Active控件，需要按提示安装后才能正常使用网络扩展功能。
不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时，请在访问新的虚拟网关前先将旧的Active控件删除，再安装新的Active控件，以免由于Active控件版本不一致导致网络扩展功能不可用。
以客户端为一台PC为例，执行以下命令来删除控件：
PC> regsvr32 SVNIEAgt.ocx -u -s
PC> del %systemroot%\SVNIEAgt.ocx /q
PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q
PC> cd  %appdata%
PC> rmdir svnclient /q /s
7.1.1.0/24网段的客户端在IE浏览器中输入https://202.10.10.1后，页面提示访问受限，无法访问虚拟网关。
以上文章由北京艾锑无限科技发展有限公司整理