2024年3月29日发(作者:)
网络创造价值 神州数码网络(北京)有限公司
SSL VPN使用USB KEY证书认证配置说明
SSL VPN使用USB KEY证书认证配置说明 ........................................................ 1
一、 网络拓扑.............................................................................................. 1
二、 需求描述.............................................................................................. 1
三、 配置步骤.............................................................................................. 1
第一步、创建KPI密钥 ....................................................................... 2
第二步、创建KPI信任域 .................................................................... 2
第三步、配置SCVPN地址池 ............................................................... 5
第四步:配置SSL VPN实例 ................................................................ 5
第五步:创建SSL VPN隧道接口所属安全域 .................................... 7
第六步:创建隧道接口并绑定SSL VPN隧道 .................................... 8
第七步:创建安全策略........................................................................ 8
第八步:添加SCVPN用户账号 ........................................................... 9
第九步:SCVPN登陆演示 .................................................................... 9
网络创造价值 神州数码网络(北京)有限公司
SSL VPN使用USB KEY证书认证配置说明
为解决远程用户安全访问私网数据的问题,DCFW-1800系列多核防火墙提
供基于SSL的远程登录解决方案——Secure Connect VPN,简称为SCVPN。
SCVPN功能可以通过简单易用的方法实现信息的远程连通。在认证服务器上为
SSL VPN用户创建账号,SSL VPN用户使用创建好的用户名、密码接入防火墙,
认证通过连接成功后防火墙可以下发路由到拨号用户端PC,这样拨号用户便可
以访问防火墙内部资源。
为了增加安全性,DCFW-1800系列防火墙支持客户端USB KEY证书认证。
只有当用户的神州数码USB Key中存储的证书合法时, 才能通过认证进而实
现网络连通的目的。
一、网络拓扑
二、需求描述
外网用户通过Internet用SSL VPN拨号到防火墙访问内网资源,基于安全性
的考虑,拨号用户通过神州数码USB Key使用证书认证验证,认证通过连接成
功后拨号用户可以访问公司内部资源。
三、配置步骤
简述其配置思路
1、创建KPI密钥
2、创建KPI信任域
1
网络创造价值 神州数码网络(北京)有限公司
3、设置SCVPN地址池
4、SCVPN实例配置
5、创建SCVPN要赋予的安全域
6、创建tunnle接口绑定安全域及SCVPN实例
7、添加安全策略,用于SCVPN用户访问内网
8、远程客户端登录使用SCVPN演示
详细配置步骤及抓图如下:
第一步、创建KPI密钥
在对象/PKI/密钥中创建一个名为test的密码类型选择rsa
注:也可将此步省略,使用默认存在的Default-key。
命令行配置如下:
hostname(config)# pki key generate rsa label test
第二步、创建KPI信任域
在对象/PKI/信任域中创建名为trust_domain_test的信任域
2
网络创造价值 神州数码网络(北京)有限公司
如上图,点应用弹出如下界面,并单击下一步
导入CA证书(CA证书位置)
点击导入
点击下一步
3
网络创造价值 神州数码网络(北京)有限公司
点击申请
4
网络创造价值 神州数码网络(北京)有限公司
点击下一步
点击确定即可
命令行配置如下:
hostname(config)# pki trust-domain trust_domain_test
hostname(config-trust-domain)# enrollment terminal
DCFW-1800(config-trust-domain)# keypair test
hostname(config-trust-domain)# exit
hostname# import pki trust_domain_test cacert from tftp server 192.168.1.2
第三步、配置SCVPN地址池
通过配置SSL VPN地址池为VPN接入用户分配IP地址,地址池需配置网路
中未使用网段。点击网络/SSL VPN在右侧任务栏处,点击SSL VPN地址池,然
后新建地址池名为scvpn-pool。
第四步:配置SSL VPN实例
按照下图流程在网络/SSL VPN中新建SSL VPN,设置SSL VPN的名称后点击
下一步
5
网络创造价值 神州数码网络(北京)有限公司
添加AAA服务器后,点击下一步,也可使用外置的AAA服务器方式。
选择出接口(拨号地址接口),并调用SSL VPN地址池,点击下一步
添加隧道路由,隧道路由就是防火墙下发给到客户端的本地路由,最后点
击完成。
6
网络创造价值 神州数码网络(北京)有限公司
第五步:创建SSL VPN隧道接口所属安全域
在网络/安全域中为创建的SCVPN新建一个安全域,安全域类型为“三层安
全域”
7
网络创造价值 神州数码网络(北京)有限公司
第六步:创建隧道接口并绑定SSL VPN隧道
为了SSL VPN客户端能与防火墙上其他接口所属区域之间正常路由转发,
需要配置一个隧道接口,并将创建好的SSL VPN实例绑定到该接口上来实现。
第七步:创建安全策略
在安全/策略中添加访问策略,允许通过SSL VPN到内网的访问。
8
网络创造价值 神州数码网络(北京)有限公司
上图中放行的策略是VPN用户可以访问内网所有资源,当然在制定安全策
略时,也可以指定服务器和服务做策略放行!
第八步:添加SCVPN用户账号
创建SSL VPN登陆账号,本例中SSL VPN实例使用local认证,所以需在AAA
服务器local中添加用户。
1
3
4
2
第九步:SCVPN登陆演示
在客户端上打开浏览器,在地址栏中键入:218.240.143.91:4433,
9
网络创造价值 神州数码网络(北京)有限公司
点击
下载
链接,下载并安装usb key驱动程序
在客户端PC上插入usb key,使用 软件管理usb key,
软件在(软件位置在ftp经验集锦目录下)
10
网络创造价值 神州数码网络(北京)有限公司
点击导入证书,选择SSL客户端证书(证书位置在ftp:zhujya/多核防火墙案例配置
指导中)
点击打开,会提示以下界面,要求输入证书文件保护口令
11
网络创造价值 神州数码网络(北京)有限公司
输入1111后点击确定,提示证书导入成功
12
网络创造价值 神州数码网络(北京)有限公司
从下图中我们可以看到证书已经导入到usb key中
13
网络创造价值 神州数码网络(北京)有限公司
再次输入登录url后提示选择数字证书,此时选择之前导入的证书点击确定
14
网络创造价值 神州数码网络(北京)有限公司
15
网络创造价值 神州数码网络(北京)有限公司
点击允许
输入口令1111,最终成功访问scvpn资源。
16
网络创造价值 神州数码网络(北京)有限公司
连接成功后在系统托
盘可以看到绿色
图标,双机该图表可以
查看IP及路由分配状
况
在上图中可以看到拨号客户端连接成后,防火墙会将内网网段的路由下
发到拨号客户端。
17
发布评论