SSL VPN实验手册.docx
- 文档编号:27247220
- 上传时间:2023-06-28
- 格式:DOCX
- 页数:11
- 大小:384.91KB
SSL VPN实验手册.docx
《SSL VPN实验手册.docx》由会员分享,可在线阅读,更多相关《SSL VPN实验手册.docx(11页珍藏版)》请在冰豆网上搜索。
SSLVPN实验手册
实验1SSLVPN配置手册
1.1实验内容与目标
完成本实验,您应该能够:
●了解SSLVPN基本功能及实现原理
●掌握SSLVPN系统的各项功能配置
1.2实验组网图
图1-1实验组网
使用一台防火墙,一个网络接口接入Internet(Internet可以通过路由器来模拟),另一网络接口连接一台PC,PC模拟局域网(内网)用户。
1.3背景需求
随着信息技术在企业应用中的不断深化,企业信息系统对VPN网络也提出了越来越高的要求。
最初的VPN仅实现简单的网络互联功能,采用了L2TP、GRE等隧道技术。
为了保证数据的私密性和完整性,而产生了IPsecVPN。
IPsecVPN采用IPSec协议,实现简单,性能较高。
在点到点的VPN连接中,有着广泛的应用,如:
分支机构与公司总部之间的远程连接。
但是由于其实现方式上的局限性,IPsecVPN在应用中也存在着一些不足。
1.4实验设备与版本
SecPathF1000-A:
Version3.40,ESS1622以上版本
SSL加密卡
资源服务器:
web服务器、ftp、telnet、文件共享、邮件等服务器
线缆
1.5实验过程
实验任务一:
配置web接入方式服务
步骤一系统启动及登陆
在系统启动后,进入系统视图输入displaycur命令显示信息如下:
systemH3C
undofirewallpacket-filterenable
undofirewallstatisticsystemenable
pkientity1
common-namexxxxxx
organization-unitsecurity2
organization3com
localityBeijing
stateBeijing
countrycn
pkidomain3com
caidentifier8042
certificaterequesturlhttp:
//192.168.111.102:
446/8042
certificaterequestfromca
certificaterequestentity1
crlcheckdisable
sslserver-policyssp1
pki-domain3com
usessl-card1/0
web-server-policywsp1
ssl-server-policyssp1
local-useruser
passwordsimpleuser
service-typetelnet
service-typeftp
interfaceAux0
asyncmodeflow
interfaceGigabitEthernet0/0
ipaddress192.168.111.118255.255.255.0
interfaceGigabitEthernet0/1
ipaddress10.154.2.37255.255.255.0
#
interfaceSsl-Card1/0
interfaceNULL0
firewallzonelocal
setpriority100
firewallzonetrust
addinterfaceGigabitEthernet0/0
addinterfaceGigabitEthernet0/1
setpriority85
firewallzoneuntrust
setpriority5
firewallzoneDMZ
setpriority50
firewallinterzonelocaltrust
firewallinterzonelocaluntrust
firewallinterzonelocalDMZ
firewallinterzonetrustuntrust
firewallinterzonetrustDMZ
firewallinterzoneDMZuntrust
FTPserverenable
iproute-static0.0.0.00.0.0.0192.168.111.66preference60
webserverwsp1enable
svpnserviceenable
user-interfacecon0
user-interfaceaux0
user-interfacevty0
userprivilegelevel3
user-interfacevty14
return
注意用红色字体标出的地方表示系统一经启动成功,可以使用。
步骤二:
创建域、用户用户组、资源组、资源
在浏览器输入https:
//x.x.x.x/svpn/index.htm用administrator用户登录根域(用户名格式:
用户名@认证方式.域名如administrator@local.root),密码:
administrator,登陆进去出现如下页面:
进入域策略管理,创建域以及域缺省管理员
如果出现以上页面则说明已经创建域名为aaa的域,没有则创建,域的概念的引入主要是为了实现一台设备运行多个虚拟VPN。
用创建好的缺省管理员和密码登录新创建的域,用户名格式administrator@lcoal.aaa,登陆成功,进行以下步骤:
1、创建普通用户
注:
可以从用户组列表中选择添加用户所属的用户组,由于此时还没有创建其他用户组,只有管理员用户组administrators,用户加入管理员用户组其身份就是管理员,否则为普通用户,此处创建普通用户故不添加。
2、创建samba资源
注:
资源名称可以为任何符合要求的字符、数字组合,但要求不能和已有的资源重名。
鼠标停在某一输入框上面可以看到格式要求。
此处Transferfile为服务器上的一个共享文件夹。
用户组项一般情况下用不着,可随便输入。
用户名和密码为登陆服务器的用户名、密码。
3、创建web代理服务器资源
注:
缺省页面为可选项,对于一般静态页面,无须配置更复杂的规则,对于较为复杂的页面需要另外匹配规则。
假设原来网页链接为http:
//192.168.111.120/y,则改写后的连接为https:
//x.x.x.x/svpn/proxy/web/y,如果没有改写成功则需要添加规则,附录中有配置规则的实例。
4、创建资源组,把资源加入到资源组中。
5、创建用户组,把资源组和用户添加进去。
注:
把资源组加入到用户组之后,该资源中的资源就隶属于该用户组,那么隶属于该用户的用户在登陆时候就可以访问这些资源。
之所以设置资源组而不是直接把资源赋给用户组,是因为当资源较多时,把同一类型的资源放在一个用户组中便于管理。
经过以上操作后以刚才创建的普通用户登陆就可以访问创建的资源了。
步骤三普通用户登陆访问资源
1、访问samba资源
直接在页面上点击链接即可进入如下页面,可以进行文件的上传、下载、删除、移动等操作。
注意:
这里所有的操作都应该都过页面上的按钮来进行不能通过IE浏览器上的前进后退等实现上下级目录的迁移。
2、访问web代理资源
注:
红色框部分表明网页中的连接已经被成功改写,目前对于htm/html脚本语言的链接无须管理员手动配规则,就可以访问,对于jv脚本语言的链接一定情况下需要管理员手动添加规则。
实验任务二:
配置TCP接入方式服务
TCP接入旨在不改变客户原有客户端的情况下,为其远程访问提供加密功能。
该服务访问的步骤为:
在页面手动启动客户端,在页面点击远程访问快捷方式。
注意该服务方式只能针对固定端口的服务,对于非固定端口服务暂时不能支持,对于此类服务需要通过SSLVPN第三种方式——IP接入方式来解决。
步骤一创建资源
1、创建远程访问资源
注:
资源名称要求和上面一样,本地主机可以为任何符合要求的字符串,SSLVPN系统会通过系统host文件中建立本地主机名和远程服务器之间的对应关系。
Host文件在c:
/windows/system32/drivers/etc目录下。
2、创建桌面共享资源
3、创建邮件服务资源
端口25和110
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSL VPN实验手册 VPN 实验 手册