返回
华为USG配置SSLVPN

华为USG配置SSLVPN

ID:39747076

大小:325.34 KB

页数:7页

时间:2019-07-10

华为USG配置SSLVPN_第1页
华为USG配置SSLVPN_第2页
华为USG配置SSLVPN_第3页
华为USG配置SSLVPN_第4页
华为USG配置SSLVPN_第5页
华为USG配置SSLVPN_第6页
华为USG配置SSLVPN_第7页
资源描述:

《华为USG配置SSLVPN》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、华为USG配置SSLVPN说明:本文将在USG2200平台创建SSLVPN,使用LDAP做认证服务器,做网络扩展。如下1-4点是个人的理解,不认同可跳过。本文使用网页为主要配置手段,CLI辅助,网页配置之后,CLI是可以查看配置信息的。1.前提a)USG接口配置完毕,外部IP可以跟接口公网IP互通;b)SSLVPN连接成功后,USG将作为外部IP的“代理”,所以必须确保所部署的服务器都必须跟USG连通。(WEB代理、端口映射必须跟被代理/映射的服务器连通,网络拓展必须跟被访问的网络互通)。2.VPN类型a)WEB代理/文件共享USG将后端服务以W

2、EB的形式呈现给SSLVPN用户,通俗理解就是转码;b)端口映射USG将后端服务跟SSLVPN互通,除了NAT等必须的转换之外,USG不做其他的内容改变;c)网络拓展USG不是严格意义上的代理,只是用户地址段的直连路由器,用户能访问策略允许的任何内网资源。3.VPN业务流程a)客户端跟USG之间的SSL连接这一步还未涉及到用户信息验证,使用华为的SVN客户端一般都没问题。b)USG将用户通过SSL上传的认证信息做验证(本地、LDAP、RADIUS)建议先做本地的VPNDB认证,成功之后再考虑LDAP、RADIUS认证,有序排错。c)用户访问指定资

3、源这一步主要是涉及用户策略和USG到后台的互联互通问题。4.注意事项a)USG的网页兼容性不好,可能会给配置过程造成困扰;b)IE11、火狐、Chrome均有问题,360浏览器没问题(我是做广告的吗?)。主要是在填写IP地址,搜索外部服务器组的时候。c)网页版的配置,有些在CLI找不到,比如VPNDB,外部服务器组。(能力有限?)d)创建VPN虚拟网关的时候,USG会默认创建AAA组和LDAP/RADIUS组(烦!)e)虚拟网关的认证域是不能指定的,名字必须是网关名字.dom,这个它会自己生成。但是这个域下面的认证配置是可以修改的5.配置LDAP

4、服务器使用微软的WIN2008SERVERR2的AD,创建test.com的域,并在该域下面创建一级OU,名字“公司”;二级OU,名字“测试部”,测试部门下面放的用户是test;二级OU,名字“管理员”,用户admin。所以,使用LDAP浏览器(Xplore,LDAP浏览器)可以看到test的DN是”cn=test,ou=测试部,ou=公司,dc=test,dc=com”;admin的DN是”cn=admin,ou=管理员,ou=公司,dc=test,dc=com”。Admin是用来对用户的信息做认证和同步的,test是VPN用户。6.配置USG

5、a)新建虚拟网关VPNSSLVPN虚拟网关管理,新建;填写网关名字,类型独占,IP地址,域名,最大并发用户数;关于类型是共享或者独占、网关域名究竟是什么用,我没查到相关资料。b)创建完成之后,可以在虚拟网关列表看到当前所拥有的网关列表。USG支持多网关并发,并且互相之间不影响。在创建虚拟网关之后,系统默认自动创建了LDAP,RADIUS,AAA的认证、授权模板。(视需要,我们可以使用自己配置的信息,删除自动生成的配置。)如下图,我们可以配置的内容:i.网络配置(必选),包括DNS信息。这是下发给SSLVPN客户端的;ii.SSL配置(可选),

6、这是配置客户端跟USG协商SSL连接的,建议按最严格配置,视懒惰情况勾选“生命周期无限制”iii.认证授权配置(必选),这是配置SSL连接建立后,USG如何处理客户端抛上来的用户认证信息。建议先用本地认证(VPNDB)做测试,再做成LDAP或者RADIUS。一步到位可能不是好事,特别是在配置不成功需要排错的情况下。iv.策略配置(必选),默认是全部允许的。v.VPNDB配置(可选),这是本地用户信息配置,在上述认证授权配置选择“VPNDB”时候必须配置。vi.外部组配置(可选),这是将认证服务器上面的组信息同步到本地,在上述认证授权配置选择“LD

7、AP“或者”RADIUS“时必选。(有说法是下一代防火墙是可以不配置的,没测试,没发言权)vii.WEB代理、文件共享、端口转发、网络扩展(可选),这是对应USG提供的SSLVPN功能的,视需要开启。本文介绍网络扩展。viii.日志管理、在线监控、虚拟网关维护(可选),这是监控和排错用的。c)通过上述说明,我们需要做的配置包括:网络配置,SSL配置,认证授权配置,策略配置,外部组配置,网络扩展。VPNDB配置不介绍,就是新建用户而已。i.网络配置,填写内网DNS信息即可。用户VPN回来经常要使用内部资源,所以使用内外DNS。ii.SSL配置使用最

8、高算法的SSL,勾选生命周期无限制(懒…,或者叫用户体验吧!)。这部分在官方文档有比较好的说明。iii.认证授权配置认证方式使用LDAP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。