完成本實驗,您應該能夠:
l 瞭解SSL ***基本功能及實現原理
l 掌握SSL ***系統的各項功能配置
1.2 實驗組網圖圖1-1 實驗組網
使用一臺防火牆,一個網絡接口接入Internet(Internet可以通過路由器來模擬),另一網絡接口連接一臺PC,PC模擬局域網(內網)用戶。
1.3 背景需求隨着信息技術在企業應用中的不斷深化,企業信息系統對***網絡也提出了越來越高的要求。最初的***僅實現簡單的網絡互聯功能,採用了L2TP、GRE等隧道技術。爲了保證數據的私密性和完整性,而產生了IPsec ***。IPsec ***採用IPSec協議,實現簡單,性能較高。在點到點的***連接中,有着廣泛的應用,如:分支機構與公司總部之間的遠程連接。但是由於其實現方式上的侷限性,IPsec ***在應用中也存在着一些不足。
1.4 實驗設備與版本SecPath F1000-A:Version 3.40, ESS 1622以上版本
SSL加密卡
資源服務器:web服務器、ftp、telnet、文件共享、郵件等服務器
線纜
1.5 實驗過程 實驗任務一:配置web接入方式服務 步驟一 系統啓動及登陸在系統啓動後,進入系統視圖輸入display cur命令顯示信息如下:
<H3C>
<H3C>dis cur
system H3C
undo firewall packet-filter enable
undo firewall statistic system enable
pki entity 1
common-name xxxxxx
organization-unit security2
organization 3com
locality Beijing
state Beijing
country cn
pki domain 3com
ca identifier 8042
certificate request url http://192.168.111.102:446/8042
certificate request from ca
certificate request entity 1
crl check disable
ssl server-policy ssp1
pki-domain 3com
use ssl-card 1/0
web-server-policy wsp1
ssl-server-policy ssp1
local-user user
password simple user
service-type telnet
service-type ftp
interface Aux0
async mode flow
interface GigabitEthernet0/0
ip address 192.168.111.118 255.255.255.0
interface GigabitEthernet0/1
ip address 10.154.2.37 255.255.255.0
#
interface Ssl-Card1/0
interface NULL0
firewall zone local
set priority 100
firewall zone trust
add interface GigabitEthernet0/0
add interface GigabitEthernet0/1
set priority 85
firewall zone untrust
set priority 5
firewall zone DMZ
set priority 50
firewall interzone local trust
firewall interzone local untrust
firewall interzone local DMZ
firewall interzone trust untrust
firewall interzone trust DMZ
firewall interzone DMZ untrust
FTP server enable
ip route-static 0.0.0.0 0.0.0.0 192.168.111.66 preference 60
web server wsp1 enable
s*** service enable
user-interface con 0
user-interface aux 0
user-interface vty 0
user privilege level 3
user-interface vty 1 4
return
注意用紅色字體標出的地方表示系統一經啓動成功,可以使用。
步驟二:創建域、用戶用戶組、資源組、資源在瀏覽器輸入https://x.x.x.x/s***/index.htm用administrator用戶登錄根域(用戶名格式:用戶名@認證方式.域名如[email protected]),密碼:administrator,登陸進去出現如下頁面:
進入域策略管理,創建域以及域缺省管理員
如果出現以上頁面則說明已經創建域名爲aaa的域,沒有則創建,域的概念的引入主要是爲了實現一臺設備運行多個虛擬***。
用創建好的缺省管理員和密碼登錄新創建的域,用戶名格式[email protected],登陸成功,進行以下步驟:
1、 創建普通用戶
注:可以從用戶組列表中選擇添加用戶所屬的用戶組,由於此時還沒有創建其他用戶組,只有管理員用戶組administrators,用戶加入管理員用戶組其身份就是管理員,否則爲普通用戶,此處創建普通用戶故不添加。
2、 創建samba資源
注:資源名稱可以爲任何符合要求的字符、數字組合,但要求不能和已有的資源重名。鼠標停在某一輸入框上面可以看到格式要求。此處Transfer file爲服務器上的一個共享文件夾。用戶組項一般情況下用不着,可隨便輸入。用戶名和密碼爲登陸服務器的用戶名、密碼。
3、 創建web代理服務器資源
注:缺省頁面爲可選項,對於一般靜態頁面,無須配置更復雜的規則,對於較爲複雜的頁面需要另外匹配規則。假設原來網頁鏈接爲http://192.168.111.120/y,則改寫後的連接爲https://x.x.x.x/s***/proxy/web/y,如果沒有改寫成功則需要添加規則,附錄中有配置規則的實例。
4、 創建資源組,把資源加入到資源組中。
5、 創建用戶組,把資源組和用戶添加進去。
注:把資源組加入到用戶組之後,該資源中的資源就隸屬於該用戶組,那麼隸屬於該用戶的用戶在登陸時候就可以訪問這些資源。之所以設置資源組而不是直接把資源賦給用戶組,是因爲當資源較多時,把同一類型的資源放在一個用戶組中便於管理。經過以上操作後以剛纔創建的普通用戶登陸就可以訪問創建的資源了。
步驟三 普通用戶登陸訪問資源1、 訪問samba資源
直接在頁面上點擊鏈接即可進入如下頁面,可以進行文件的上傳、下載、刪除、移動等操作。
注意:這裏所有的操作都應該都過頁面上的按鈕來進行不能通過IE瀏覽器上的前進後退等實現上下級目錄的遷移。
2、 訪問web代理資源
注:紅色框部分表明網頁中的連接已經被成功改寫,目前對於htm/html腳本語言的鏈接無須管理員手動配規則,就可以訪問,對於jv腳本語言的鏈接一定情況下需要管理員手動添加規則。
實驗任務二:配置TCP接入方式服務TCP接入旨在不改變客戶原有客戶端的情況下,爲其遠程訪問提供加密功能。該服務訪問的步驟爲:在頁面手動啓動客戶端,在頁面點擊遠程訪問快捷方式。注意該服務方式只能針對固定端口的服務,對於非固定端口服務暫時不能支持,對於此類服務需要通過SSL ***第三種方式——IP接入方式來解決。
步驟一 創建資源 1、 創建遠程訪問資源
注:資源名稱要求和上面一樣,本地主機可以爲任何符合要求的字符串,SSL ***系統會通過系統host文件中建立本地主機名和遠程服務器之間的對應關係。Host文件在c:/windows/system32/drivers/etc目錄下。
2、 創建桌面共享資源
3、 創建郵件服務資源
端口25和110