单元6 远程接入安全配置 [单元学习目标] 知识目标1.了解隧道技术的基本原理和分类2.掌握SSL VPN的基本原理3.掌握SSL VPN在
防火墙上的配置方法4.掌握IPSEC VPN的基本原理5.掌握IPSEC VPN在防火墙上配置的方法6.了解VPDN的工作原理7.
掌握在路由器上配置VPDN的方法 [单元学习目标]能力目标1.具备在防火墙上配置SSL VPN的能力2.具备在防火墙上配置IPse
c VPN的方法3.具备在路由器上配置VPDN的方法 情感态度价值观1.培养认真细致的工作态度2.逐步形成网络安全的主动防御意识[
单元学习内容]远程访问是大多数企业网络的必备功能,员工出差、在家办公、分支部门与总部网络共享资源等都离不开远程访问。VPN(Vir
tual Private Network,虚拟专用网)是目前常用的远程访问技术之一,主要特点是安全可靠、机制灵活、费用低廉、易于实
现。现在作为网关设备的防火墙都集成了VPN功能,由于防火墙的安全性和可靠性,因此搭建的VPN服务器安全性也非常高,而且在防火墙上配
置VPN也减少了额外的投资。任务1 SSL VPN配置【任务描述】 齐威公司随着公司原有公司规模和业务量的不断扩大,越来越多的办
公人员都需要在齐威公司总部的外部(酒店、住处、网吧)进行移动远程办公,使用公司总部内网中的OA系统、客户管理系统及微软电子邮件系统
(Exchange)、腾讯通企业内部即时通信系统(RTX)。齐威公司急需一种可以实现远程办公的方案。这种方案主要应实现移动用户对公
司内部网络的接入功能。这种远程办公的方案需要有很高的安全性从而保证公司网络的商业安全。【任务分析】 本任务需要解决远程用户安全访问
私网数据的问题。为了完成公司交给的任务,网络管理员小齐查看了公司正在使用的神州数码多核防火墙产品手册,找到了神州数码多核防火墙提供
的基于SSL(Secure Socket Layer,安全套接层)的远程登录解决方案Secure Connect VPN(安全VP
N连接),简称SCVPN,在不增加任何设备的情况下即可实现安全的远程接入内网。任务1 SSL VPN配置【任务准备】注意:本任务
防火墙的内网口为Eth0/6,外网口为Eth0/7,防火墙除了Eth0/0端口有特殊含义外,其他端口可以随便使用。外网用户通过In
ternet使用SSL VPN接入内网,如图6-1所示。允许SSL VPN用户接入后访问内网的FTP Server:192.168
.2.10。允许SSL VPN用户接入后访问内网的Web Server:192.168.2.20。任务1 SSL VPN配置【任
务实战】1.防火墙的基础配置防火墙采用路由模式,Ethernet0/6口地址设置为192.168.2.1,Ethernet0/7口
地址设置为222.1.1.2,管理主机在内网,地址为192.168.1.10,连接到Ethernet0/1接口进行防火墙的配置。按
照如上的信息,对防火墙进行初始化配置。具体步骤参见单元5任务2的配置。2.SCVPN的配置步骤1 SCVPN地址池配置。在“VP
N”→“SCVPN”→“地址池”中, 新建一个名为“SCVPN地址池”的地址池。任务1 SSL VPN配置步骤2 配置SCVP
N实例。(1)创建实例。在“VPN”→“SCVPN” →“配置”中单击“新建”按钮,创建实例“scvpn_case1”。参数详解如
下。用户同名登录:此处为0表示多个客户端可以使用同一个用户名同时登录,如果一个账户要限制只能一个客户端登录,则此处填写1。HTTP
S端口:SCVPN登录验证使用的端口号,可以使用默认端口号,也可以自行设置。任务1 SSL VPN配置空闲时间:能够保持连接状态
的最长时间,超出空闲时间后,设备端将断开与客户端的连接。接口:SCVPN客户端通过防火墙的Eth0/7接口接入,也就是防火墙连接外
网的接口。地址池:该实例使用定义好的地址池为SCVPN客户端分配地址。隧道密码:加密算法和验证算法指的是客户端与防火墙创建VPN隧
道时使用的算法,可以是任意组合。客户端会自动与防火墙协商匹配。隧道路由和AAA服务器:在创建实例时是无法编辑的,需要再修改,单击已
编辑好的实例后的“修改”按钮,在弹出的编辑界面内单击“隧道路由”或“AAA服务器”后的“多个”按钮。任务1 SSL VPN配置(
2)编辑实例。创建完SCVPN实例并编辑完成各种参数后,还需要对该实例重新编辑。单击已编辑好的实例后的“修改”按钮。(3)配置隧道
路由。单击“隧道路由”右侧的“多个”按钮,此处添加的隧道路由条目,在客户端与防火墙的SCVPN创建成功后会下发到客户端的路由表中。
添加的网段就是客户端要通过VPN隧道访问的位于防火墙内网的网段。需要注意的是此处添加的路由条目的“度量”值比客户端上默认路由的度量
值要小。度量值越小的路由条目优先级越高,输入地址后,单击“添加”按钮。任务1 SSL VPN配置同样的方法将Web Server
服务器的隧道路由下发。(4)AAA服务器配置。同样方法,进行AAA服务器配置,AAA服务器是用来验证客户端登录的用户名、密码。在新
版本中防火墙支持防火墙本地验证、Radius验证、Active-Directory验证、LDAP验证4种验证方式。本任务采用防火墙
本地验证,所以这里就选择了防火墙默认自带的AAA服务器“local”。如果要采用Radius等其他的验证方式,需要首先在“对象”中
创建AAA服务器对象,然后在此调用。任务1 SSL VPN配置步骤3 绑定SCVPN实例到隧道接口。(1)创建SCVPN要服务
的安全域。在“网络”→“安全域”页面单击 “新建”按钮,建立一个名为“SCVPN安全域”的三层安全域,完成后直接单击“确定”按钮。
(2)创建隧道接口。为了SCVPN客户端能与防火墙上其他接口所属区域之间正常转发路由,需要为它们配置一个网关接口,这在防火墙上可以
通过创建一个隧道接口,并将创建好的SCVPN实例绑定到该接口上来实现,具体步骤如下。① 在“网络“→”接口”页面下创建一个新的隧道
接口,选择“隧道接口”,单击“新建”按钮。任务1 SSL VPN配置② 建立一个属于三层安全域名为“tunnel1”的隧道接口,
并将其加入创建好的“SCVPN_zone1”。③ 给接口配置一个IP地址,并将创建好的SCVPN实例绑定到该接口。参数详解如下。
名称:只能是1~128的数字。 安全域类型:选择第三层安全域。 安全域:选择刚刚建立的安全域的名称。 IP配置:这个看做是隧道的虚
拟网关, 要求和地址池在同一网段,但是不能被 地址池包含。以本任务为例,地址池在 61.50.220.10~61.50.220.2
0这个范围 外都可以,本任务为61.50.220.30。任务1 SSL VPN配置步骤4 创建安全策略。在放行安全策略前,要创
建地址簿和服务簿,为创建SCVPN客户端访问内网Server的安全策略,首先要将策略中引用的对象定义好。(1)定义地址对象。定义F
TP Server的地址对象。定义Web Server的地址对象。任务1 SSL VPN配置(2)添加安全策略允许SCVPN用户
访问内网资源。添加策略1允许SCVPN用户访问内网FTP Server,仅开放FTP服务。添加策略2允许SCVPN用户访问内网We
b Server,仅开发HTTP服务。任务1 SSL VPN配置步骤5 添加SCVPN用户账号。需要预先添加SCVPN用户的账
号和密码,这样用户在出差或者远程办公中,就能用这个账号和密码通过SCVPN登录到公司内部的FTP服务器和Web服务器。① 创建一个
属于AAA服务器local中的用户账号,以分配给SCVPN使用,在“对象”→“用户”中单击“新建”按钮创建一个隶属于local的用
户“scvpn_user1”。② 创建完用户名后对该账号进行编辑,为该账号配置密码并确认一次。任务1 SSL VPN配置步骤6
SCVPN登录演示。(1)登录VPN服务器界面。在客户端上打开浏览器,在地址栏中输入“https://222.1.1.2:443
3”,系统会弹出安全警告,单击“是”按钮进入登录界面。① 在登录界面中填入用户名和密码,单击“登录”按钮。② 在初次登录时,会要求
安装SCVPN客户端插件,此插件以ActiveX插件方式推送下载,并有可能被浏览器拦截,这时需要手动允许安装这个插件。任务1 S
SL VPN配置③ SCVPN客户端的安装。对下载完成的客户端安装程序进行手动安装。④ SCVPN客户端安装成功后会自动登录防火墙
,在对用户名和密码验证成功后,右下角的客户端程序图标会变成绿色。并在Web界面中显示“连接成功”。 (2)查看SCVPN连接状态。
① 用鼠标单击任务栏中客户端程序图标,在弹出的菜单中选择 “网络信息”,打开“网络信息”对话框查看连接信息。任务1 SSL VP
N配置② 在“接口”选项卡中可以观察到网络地址为在实验地址池中定义的IP,即SCVPN实例分配给客户端的IP。 ③ 同样也可以使用
route print命令查看在客户端操作系统的路由表。 ④ 在“路由”选项卡中可以观察到发给客户端的路由信息。3.客户端远程登录
测试 外网的出差用户和在家办公用户通过SCVPN客户端登录内网的FTP服务器和Web服务器。任务1 SSL VPN配置【任务拓展
】一、理论题1.什么是VPN技术? 2.什么是SSL VPN技术,有哪些优点,在什么环境下使用? 3.神州数码的SSL VPN解决
方案是什么?二、实训1.在防火墙一端配置的认证协议与客户端是否必须完全一致,用实验加以验证。 2.是否可以设置几个不同权限的角色,
不同的账号所属的角色不同,这样不同的账号登录认证成功后就可以放行不同的服务或所具有的权限不同。 3.请搭建实验环境,实现SCVPN
使拨号用户能够访问内部192.168.1.100服务器的所有服务。任务2 IPSec VPN配置【任务描述】齐威公司总部设在北京
,为了拓展市场,在广 州设立了分部。在保证节约成本和保证安全性 的前提下,要求广州分部和北京总部的技术部 员工可以相互访问其共享资
源,外部用户和广州分部员工只可以访问总部Server的FTP服务,并拒绝其他任何服务。网管主任把这个艰巨的任务交给了网管小齐。【任
务分析】小齐刚刚完成了SSL VPN的配置,使出差和在家办公的用户可以安全地远程访问公司的内部服务,可是公司总部和分部之间怎么保证
安全通信呢?用SSL VPN恐怕解决不了问题了。小齐求助了安全专家,专家给出了答案,对于这种总部到分支机构的安全连接首选就是IPS
ec VPN。任务2 IPSec VPN配置【任务准备】公司总部和分部都购买了神州数码1800-E-V2防火墙,并且已经完成了日
常配置。防火墙FW-A和FW-B都具有合法的静态IP地址,其中防火墙FW-A的内部保护子网为192.168.1.0/24,防火墙F
W-B的内部保护子网为192.168.10.0/24。要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子网能通过V
PN隧道互相访问。【任务实战】首先看一下FW-A防火墙的配置。任务2 IPSec VPN配置步骤1 创建IKE第一阶段提议。数
据完整性(验证算法):防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密
检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。预置共享密钥认证:IPSec也可以使用预置共享密
钥进行认证。预共享意味着通信双方必须在IPSec策略设置中就共享的密钥达成一致。之后在安全协商过程中,信息在传输前使用共享密钥加密
,接收端使用同样的密钥解密,如果接收方能够解密,即被认为可以通过认证。DH:(Diffie-Hellman,交换及密钥分发)算法是
一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有
交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。任务2 IPSec V
PN配置步骤2 创建IKE第二阶段提议。在“VPN”→“IKE”→“VPN”→“P2” 提议中定义IKE第二阶段的协商内容,两台
防火墙的第二阶段协商内容需要一致。 步骤3 创建对等体(Peer)。在“VPN”→“IKE” →“VPN”→“对端”中创建“对
等体”对象,并定义对等体的相关参数。接口:选择用来建立IPSec VPN的接口。模式:两台防火墙都使用静态合法IP建立VPN,我们
一般选用“主模式”。任务2 IPSec VPN配置对端地址或主机名称:对端防火墙的合法IP 地址及公网IP地址。提议1~提议4:
最多引用4组IKE第一阶段提 议,只要其中一组协商成功即可。信任域:使用数字证书才开启。预共享密钥:输入两端用来认证的预共享密钥,
长度为6~32字节。连接类型:bidirectional—指定该ISAKMP 网关既是发起端也是响应端。该选项为系统的默认选项。D
PD间隔和DPD重试:DPD是VPN隧道探测功能,若开启两端防火墙的设置需要一致。任务2 IPSec VPN配置步骤4 创建隧
道。 在“VPN”→“IKE”→“VPN”→“隧道”中创建到防火墙FW-B的VPN隧道,并定义相关参数。参数详解如下。模式:选择t
unnel。对端名称:引用创建好的VPN对端。提议名称:引用IKE第二阶段提议。代理ID:手工设置两个受保护的。任务2 IPSe
c VPN配置步骤5 创建隧道接口并与IPSec绑定。在“网络”→“接口”中,新建“隧道接口” 指定安全域并引用IPSec隧道。
参数详解如下。名称:隧道接口名称只能是1~128位的。安全域:将隧道接口与untrust安全域绑定,或者也可以为隧道接口单独创建一
个新的安全域并与之绑定。IP配置:可以不用填写。VPN隧道:选择IPSec隧道,绑定创建好的IPSec隧道。任务2 IPSec
VPN配置步骤6 添加隧道路由。在“网络”→“路由”→“目的路由”中新 建一条路由,目的地址是对端加密保护子网, 网关为创建的t
unnel口。参数详解如下。目的IP和子网掩码:目的网段是对端VPN网关的保护子网。下一跳:该路由的下一跳选择隧道接口tunnel
1,表明去往上面的目的网段是通过这条VPN隧道转发的。任务2 IPSec VPN配置步骤7 添加安全策略。(1)在创建安全策略
前首先要创建本地网段。(2)创建对端网段的地址簿。(3)创建完成两个地址簿后,在“安全”→ “策略”中新建策略,允许本地VPN保护
子网访问对端VPN保护子网。任务2 IPSec VPN配置(4)允许对端VPN保护子网访问本地VPN保护子网。关于FW-B防火墙
的配置步骤与FW-A相同,不同的是某些步骤中的参数设置。FW-B防火墙配置的7个步骤为创建IKE第一阶段提议、创建IKE第二阶段提
议、创建对等体(Peer)、创建隧道、创建隧道接口并将创建好的隧道绑定到接口、添加隧道路由、添加安全策略,这里不再重复详细介绍。任
务2 IPSec VPN配置步骤8 验证测试。(1)查看防火墙FW-A上的IPSec VPN状态,选择“VPN”→“IPSec
SA”。(2)查看防火墙FW-B上的IPSec VPN状态。任务3 VPDN配置【任务描述】小齐利用防火墙给齐威公司配置了SS
L VPN服务器和IPSec VPN服务器,给公司的业务带来了巨大的帮助,受到了领导的好评。小齐的好朋友小王所在的公司也要求出差员
工能够安全地接入内网服务器存取文件,但是公司没有防火墙,只有路由器怎么办呢?小王找小齐帮忙。【任务分析】小齐和小王查找了大量的资料
,小王路由器具有VPDN功能,也可以让用户远程拨入进来,他们决定配置路由器的VPDN功能。任务3 VPDN配置【任务准备】路由器
R1的F0/0口所接的局域网络是公司的内网,F0/3口是公司的外网出口,PC1表示出差人员所用的终端设备。PC1通过PPTP隧道方
式与公司内网的主机PC2连通。附加要求:地址池名称为pptpuser,分配网段172.16.3.2~172.16.3.21给所有拨
入的用户。用户名为visitwang,密码为wang。验证方法名为xing。【任务实战】步骤1 将路由器配置成为VPDN的服务器
端(本任务以神州数码2600路由器为例)。(1)全局模式下配置验证方法。aaa authentication ppp xin
g local任务3 VPDN配置(2)全局模式下配置外来用户所使用的本地地址池。ip local pool pptpu
ser 172.16.3.2 20(3)虚拟模板接口配置。interface virtual-template 0 //创
建了一个虚拟PPP模板接口,作为VPDN NAS端接口。ip address 172.16.3.1 255.255.255.
0 //为VPN接口定义IP地址。ppp authentication chap xing //在此接口建立
时使用PPP的CHAP验 证,引用上面设置的aaa验证列表。peer default ip address pool
pptpuser //验证通过的外网用户获得的本地地池。任务3 VPDN配置(4)全局模式下开启VPDN功能。vpdn en
able(5)VPDN组参数配置。vpdn-group 0 //创建VPDN组,并进入组配置模式。accept-dialin
//使路由器成为VPDN的NAS端,允许外来用户进行VPDN的拨入。protocol pptp //使用PPTP协议
封装数据。port virtual-template 0 //VPDN组与虚拟模板接口关联,即可以进行通信。任务3 VPDN
配置步骤2 配置路由器端口IP地址。interface fastethernet 0/0ip address 10.1.
1.1 255.255.255.0exitinterface fastethernet 0/3ip address 19
2.168.1.1 255.255.255.0exit步骤3 配置用户终端PC1成为VPDN PPTP客户端。(1)创建新的网
络连接,打开“新建连接向导”对话框,单击“下一步”按钮。任务3 VPDN配置(2)在“网络连接类型”对话框中选择网络连接类型,选
择第二个选项“连接到我的工作场所的网络(O)”,单击“下一步”按钮。(3)在“网络连接”对话框中选择“虚拟专用网络连接”,单击“下
一步”按钮。(4)在“连接名”对话框中,定义一个公司名称。任务3 VPDN配置(5)在“公用网络”对话框中,确定公网连接是否完成
,由于是模拟网络,网络已经连通,所以选择第一个选项“不拨初始连接”,单击“下一步”按钮。(6)在“VPN服务器选择”对话框,输入V
PN服务器在公网的发布地址,在任务实战中使用的IP地址是10.1.1.1/24。(7)单击“下一步”按钮后,系统提示配置已经完成,
单击“完成”按钮。任务3 VPDN配置(8)打开此网络连接,输入在路由器中配置的用户名和密码。(9)单击“属性”按钮,打开“属性
”对话框,选择“网络”选项卡,在“VPN类型”区域中单击下拉列表箭头,在下拉列表中选择“PPTP VPN”;在“此连接使用 下列项
目”区域中,选择第一个多选项 “Internet 协议(TCP/IP)”。(10)选择“安全”选项卡,在“安全 选项”区域中选择“
高级(自定义设置)” ,单击“设置”按钮。任务3 VPDN配置(11)在“高级安全设置”对话框中,单击“数据加密”区域的下拉箭头
,选择“可选加密(没有加密也可以连接)”;在“登录安全措施”区域中,选中“允许这些协议”单选按钮,并选择“Microsoft CH
AP(MS-CHAP)”和“Microsoft CHAP 版本2(MS-CHAP v2)”两个复选框,单击“确定”按钮。属性设置完
成后,就可以运行创建好的网络连接了。任务3 VPDN配置步骤4 登录验证测试。(1)打开拨号窗口,进行拨号操作,输入用户名和密
码。(2)查看网络的连通性,用ping命令测试网络的连通性,测试结果如下:C:\Documents and Setting\Administrtor>ping 192.168.1.10 Pinging 192.168.1.10 with 32 bytes of data: Reply from 192.168.1.10:bytes=32 time=4ms TTL=127 Reply from 192.168.1.10:bytes=32 time=1ms TTL=127 Reply from 192.168.1.10:bytes=32 time=1ms TTL=127 Reply from 192.168.1.10:bytes=32 time=2ms TTL=127 Ping statistics for 192.168.2.2 Packets:Sent = 4,Received = 4,Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1 ms,Maximum = 4ms,Average = 2 ms任务3 VPDN配置【任务拓展】一、理论题1.什么是VPDN?2.简述在路由器上配置VPDN的步骤。二、实训利用实验室现有设备,查看设备手册完成VPDN的配置。 |
|
