ipsec vpn,gre vpn 适合企业间的连接,要求连接的两端设备都可以配置;如果是出差的员工,或员工在家想连接到企业网的内部,这两类vpn就不能满足条件。
可以使用PPTP VPN ,L2TP VPN,SSL VPN,EZVPN(CISOCO 专有),其中以SSL VPN最为安全,应用最普遍。
SSL VPN(CISCO称为 web vpn),使用SSL(安全套接层)协议,实现隧道加密数据传输,客户端使用浏览器即可(L2TP要手工在系统中建立一个连接),浏览器使用HTTPS协议加密数据,客户端只要能上网,连接到SSLVPN设备即可。
本实验使用 EVE-NG平台,华为USG6K防火墙和思科的路由交换机实现。
拓扑:
图中,内网使用ospf 协议,防火墙使用默认路由访问外网。内网服务器使用eve-ng中的linux服务器模拟,如EVE中 没有的话也可以使用桥接到Vmware 中的虚拟机,外网用户模拟客户端,使用vmware中的windows。
准备:eve-ng中添加两块网卡,用于桥接到vmware虚拟机
在eve-ng中查看ip
目标:在防火墙上配置SSL VPN,使windows10客户端,可以访问到内网的web服务器、文件共享服务器、可以远程管理内网交换机、可以访问内网的指定网段。
配置步骤:
1、交换机配置
swenaconf tip routingint lo 0ip add 172.16.100.254 255.255.255.255int g0/0ip add 192.168.10.2 255.255.255.0no shint g0/1ip add 172.16.10.1 255.255.255.0no shint g0/2ip add 172.16.20.1 255.255.255.0no shexitrouter ospf 1net 172.16.10.0 0.0.0.255 area 0net 172.16.10.0 0.0.0.255 area 0net 192.168.10.0 0.0.0.255 area 0net 172.16.100.254 0.0.0.0 area 0exitline vty 0 4loginpassword 1234exit========intnet路由器配置enaconf tint g0/0ip add 11.1.1.2 255.255.255.0no shint g0/1ip add 192.168.20.20 255.255.255.0no shexit=======防火墙修改默认的ip地址,使其与宿主机一个网段,sysint g0/0/0ip add 192.168.8.100 24
2、配置防火墙
使用web 配置,eve-ng中console密码为admin,web默认用户名、密码为:adminAdmin@123,首次登录要修改密码
配置网络接口、加入到相应的域
配置对象
配置路由
配置ssl vpn
配置策略
2.1 配置接口
2.2 配置路由
默认路由,访问外网
OSPF 访问内网
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s2jn7gEn-1645103076269)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217192922820.png)]
注,web界面配置ospf时,先新建ospf进程,确定后,点后面的“高级”,配置区域、网段等
另:web界面没有引入默认路由的选项,在终端自行配置
default-route-advertise always
查看路由表.,防火墙已经学到了内网的路由,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNkt67M4-1645103076291)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194236231.png)]
2.3 配置对象
地址对象
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jypFvcTD-1645103076293)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194441446.png)]
用户对象,这里为ssl vpn的4种应用分别创建了4个用户,应用于web访问、
2.4 配置ssl vpn
在模拟 器中,如果不能点下一步配置,配置完后点下一步没有反应,这时点“取消”,然后可以在SSL 配置进到下一步继续配置
ssl 配置默认,不用修改。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IgLD6g0D-1645103076302)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195244940.png)]
业务功能选择,即防火墙ssl vpn所支持的ssl vpn类型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q5EIHhDf-1645103076305)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195434445.png)]
配置web代理,填写相应资源
文件共享
端口转发
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gcT6k2TJ-1645103076311)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217200520501.png)]
角色授权、用户,:创建角色授权资源,将资源关联到相应用户。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wDFIdOf9-1645103076313)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217201010342.png)]
分别为不同的类型vpn创建相应的用户和授权,完成
4、创建相应的安全策略
4。1 ssl vpn用户访问防火墙,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sEtCN0lg-1645103076317)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217203216038.png)]
4。2 防火墙代理 访问内网的资源,web代理、文件共享都是这个策略生效
5、验证:在vmware 中的windows10虚拟机上访问防火墙外网接口,使用firefox,chrome浏览器
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ui0M9l4u-1645103076319)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217204401730.png)]