当前位置:   article > 正文

华为防火墙ssl xxx配置_华为防火墙ssl配置

华为防火墙ssl配置

ipsec vpn,gre vpn 适合企业间的连接,要求连接的两端设备都可以配置;如果是出差的员工,或员工在家想连接到企业网的内部,这两类vpn就不能满足条件。

可以使用PPTP VPN ,L2TP VPN,SSL VPN,EZVPN(CISOCO 专有),其中以SSL VPN最为安全,应用最普遍。

SSL VPN(CISCO称为 web vpn),使用SSL(安全套接层)协议,实现隧道加密数据传输,客户端使用浏览器即可(L2TP要手工在系统中建立一个连接),浏览器使用HTTPS协议加密数据,客户端只要能上网,连接到SSLVPN设备即可。

本实验使用 EVE-NG平台,华为USG6K防火墙和思科的路由交换机实现。

拓扑:

在这里插入图片描述

图中,内网使用ospf 协议,防火墙使用默认路由访问外网。内网服务器使用eve-ng中的linux服务器模拟,如EVE中 没有的话也可以使用桥接到Vmware 中的虚拟机,外网用户模拟客户端,使用vmware中的windows。

准备:eve-ng中添加两块网卡,用于桥接到vmware虚拟机

在eve-ng中查看ip

目标:在防火墙上配置SSL VPN,使windows10客户端,可以访问到内网的web服务器、文件共享服务器、可以远程管理内网交换机、可以访问内网的指定网段。

配置步骤:

1、交换机配置

sw
ena
conf t

ip routing
int lo 0
ip add 172.16.100.254 255.255.255.255
int g0/0
ip add 192.168.10.2 255.255.255.0
no sh
int g0/1
ip add 172.16.10.1 255.255.255.0
no sh
int g0/2
ip add 172.16.20.1 255.255.255.0
no sh
exit

router ospf 1
net 172.16.10.0 0.0.0.255 area 0
net 172.16.10.0 0.0.0.255 area 0
net 192.168.10.0 0.0.0.255 area 0
net 172.16.100.254 0.0.0.0 area 0
exit

line vty 0 4
login
password 1234
exit

========intnet路由器配置
ena
conf t

int g0/0
ip add 11.1.1.2 255.255.255.0
no sh
int g0/1
ip add 192.168.20.20 255.255.255.0
no sh
exit
=======防火墙修改默认的ip地址,使其与宿主机一个网段,
sys
int g0/0/0
ip add 192.168.8.100 24
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45

2、配置防火墙

使用web 配置,eve-ng中console密码为admin,web默认用户名、密码为:admin\Admin@123,首次登录要修改密码

​ 配置网络接口、加入到相应的域

​ 配置对象

​ 配置路由

​ 配置ssl vpn

​ 配置策略

​ 2.1 配置接口

image-20220217192419853

​ 2.2 配置路由

​ 默认路由,访问外网

image-20220217192651588

OSPF 访问内网
  • 1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s2jn7gEn-1645103076269)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217192922820.png)]

​ 注,web界面配置ospf时,先新建ospf进程,确定后,点后面的“高级”,配置区域、网段等

​ 另:web界面没有引入默认路由的选项,在终端自行配置

​ default-route-advertise always

​ 查看路由表.,防火墙已经学到了内网的路由,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNkt67M4-1645103076291)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194236231.png)]

2.3 配置对象

​ 地址对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jypFvcTD-1645103076293)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194441446.png)]

​ 用户对象,这里为ssl vpn的4种应用分别创建了4个用户,应用于web访问、

image-20220217194705779

2.4 配置ssl vpn

image-20220217194947055

​ 在模拟 器中,如果不能点下一步配置,配置完后点下一步没有反应,这时点“取消”,然后可以在SSL 配置进到下一步继续配置

​ ssl 配置默认,不用修改。

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IgLD6g0D-1645103076302)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195244940.png)]

​ 业务功能选择,即防火墙ssl vpn所支持的ssl vpn类型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q5EIHhDf-1645103076305)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195434445.png)]

​ 配置web代理,填写相应资源

image-20220217195633749

​ 文件共享

image-20220217200321132

​ 端口转发

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gcT6k2TJ-1645103076311)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217200520501.png)]

角色授权、用户,:创建角色授权资源,将资源关联到相应用户。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wDFIdOf9-1645103076313)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217201010342.png)]

​ 分别为不同的类型vpn创建相应的用户和授权,完成

image-20220217201335393

4、创建相应的安全策略

​ 4。1 ssl vpn用户访问防火墙,

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sEtCN0lg-1645103076317)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217203216038.png)]

​ 4。2 防火墙代理 访问内网的资源,web代理、文件共享都是这个策略生效

5、验证:在vmware 中的windows10虚拟机上访问防火墙外网接口,使用firefox,chrome浏览器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ui0M9l4u-1645103076319)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217204401730.png)]

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/567622
推荐阅读
相关标签
  

闽ICP备14008679号