实验1 SSL ***配置手册

实验1 SSL ***配置手册... 1-1

1.1 实验内容与目标.. 1-1

1.2 实验组网图.. 1-1

1.3 背景需求.. 1-1

1.4 实验设备与版本.. 1-2

1.5 实验过程.. 1-2

实验任务一：配置web接入方式服务.. 1-2

实验任务二：配置TCP接入方式服务.. 1-8

1.6 实验中的命令列表.. 1-11

1.7 思考题.. 1-11

实验1 SSL ***配置手册 1.1 实验内容与目标

完成本实验，您应该能够：

l 了解SSL ***基本功能及实现原理

l 掌握SSL ***系统的各项功能配置

1.2 实验组网图

图1-1 实验组网

使用一台防火墙，一个网络接口接入Internet（Internet可以通过路由器来模拟），另一网络接口连接一台PC，PC模拟局域网（内网）用户。

1.3 背景需求

随着信息技术在企业应用中的不断深化，企业信息系统对***网络也提出了越来越高的要求。最初的***仅实现简单的网络互联功能，采用了L2TP、GRE等隧道技术。为了保证数据的私密性和完整性，而产生了IPsec ***。IPsec ***采用IPSec协议，实现简单，性能较高。在点到点的***连接中，有着广泛的应用，如：分支机构与公司总部之间的远程连接。但是由于其实现方式上的局限性，IPsec ***在应用中也存在着一些不足。

1.4 实验设备与版本

SecPath F1000-A：Version 3.40, ESS 1622以上版本

SSL加密卡

资源服务器：web服务器、ftp、telnet、文件共享、邮件等服务器

线缆

1.5 实验过程 实验任务一：配置web接入方式服务 步骤一 系统启动及登陆

在系统启动后，进入系统视图输入display cur命令显示信息如下：

<H3C>

<H3C>dis cur

system H3C

undo firewall packet-filter enable

undo firewall statistic system enable

pki entity 1

common-name xxxxxx

organization-unit security2

organization 3com

locality Beijing

state Beijing

country cn

pki domain 3com

ca identifier 8042

certificate request url http://192.168.111.102:446/8042

certificate request from ca

certificate request entity 1

crl check disable

ssl server-policy ssp1

pki-domain 3com

use ssl-card 1/0

web-server-policy wsp1

ssl-server-policy ssp1

local-user user

password simple user

service-type telnet

service-type ftp

interface Aux0

async mode flow

interface GigabitEthernet0/0

ip address 192.168.111.118 255.255.255.0

interface GigabitEthernet0/1

ip address 10.154.2.37 255.255.255.0

#

interface Ssl-Card1/0

interface NULL0

firewall zone local

set priority 100

firewall zone trust

add interface GigabitEthernet0/0

add interface GigabitEthernet0/1

set priority 85

firewall zone untrust

set priority 5

firewall zone DMZ

set priority 50

firewall interzone local trust

firewall interzone local untrust

firewall interzone local DMZ

firewall interzone trust untrust

firewall interzone trust DMZ

firewall interzone DMZ untrust

FTP server enable

ip route-static 0.0.0.0 0.0.0.0 192.168.111.66 preference 60

web server wsp1 enable

s*** service enable

user-interface con 0

user-interface aux 0

user-interface vty 0

user privilege level 3

user-interface vty 1 4

return

注意用红色字体标出的地方表示系统一经启动成功，可以使用。

步骤二：创建域、用户用户组、资源组、资源

在浏览器输入https://x.x.x.x/s***/index.htm用administrator用户登录根域（用户名格式：用户名@认证方式.域名如[email protected]）,密码：administrator，登陆进去出现如下页面:

进入域策略管理，创建域以及域缺省管理员

如果出现以上页面则说明已经创建域名为aaa的域，没有则创建，域的概念的引入主要是为了实现一台设备运行多个虚拟***。

用创建好的缺省管理员和密码登录新创建的域，用户名格式[email protected]，登陆成功，进行以下步骤：

1、 创建普通用户

注：可以从用户组列表中选择添加用户所属的用户组,由于此时还没有创建其他用户组，只有管理员用户组administrators，用户加入管理员用户组其身份就是管理员，否则为普通用户，此处创建普通用户故不添加。

2、 创建samba资源

注：资源名称可以为任何符合要求的字符、数字组合，但要求不能和已有的资源重名。鼠标停在某一输入框上面可以看到格式要求。此处Transfer file为服务器上的一个共享文件夹。用户组项一般情况下用不着，可随便输入。用户名和密码为登陆服务器的用户名、密码。

3、 创建web代理服务器资源

注：缺省页面为可选项，对于一般静态页面，无须配置更复杂的规则，对于较为复杂的页面需要另外匹配规则。假设原来网页链接为http://192.168.111.120/y，则改写后的连接为https://x.x.x.x/s***/proxy/web/y，如果没有改写成功则需要添加规则，附录中有配置规则的实例。

4、 创建资源组，把资源加入到资源组中。

5、 创建用户组，把资源组和用户添加进去。

注：把资源组加入到用户组之后，该资源中的资源就隶属于该用户组，那么隶属于该用户的用户在登陆时候就可以访问这些资源。之所以设置资源组而不是直接把资源赋给用户组，是因为当资源较多时，把同一类型的资源放在一个用户组中便于管理。经过以上操作后以刚才创建的普通用户登陆就可以访问创建的资源了。

步骤三 普通用户登陆访问资源

1、 访问samba资源

直接在页面上点击链接即可进入如下页面，可以进行文件的上传、下载、删除、移动等操作。

注意：这里所有的操作都应该都过页面上的按钮来进行不能通过IE浏览器上的前进后退等实现上下级目录的迁移。

2、 访问web代理资源

注：红色框部分表明网页中的连接已经被成功改写，目前对于htm/html脚本语言的链接无须管理员手动配规则，就可以访问，对于jv脚本语言的链接一定情况下需要管理员手动添加规则。

实验任务二：配置TCP接入方式服务

TCP接入旨在不改变客户原有客户端的情况下，为其远程访问提供加密功能。该服务访问的步骤为：在页面手动启动客户端，在页面点击远程访问快捷方式。注意该服务方式只能针对固定端口的服务，对于非固定端口服务暂时不能支持，对于此类服务需要通过SSL ***第三种方式——IP接入方式来解决。

步骤一 创建资源 1、 创建远程访问资源

注：资源名称要求和上面一样，本地主机可以为任何符合要求的字符串，SSL ***系统会通过系统host文件中建立本地主机名和远程服务器之间的对应关系。Host文件在c:/windows/system32/drivers/etc目录下。

2、 创建桌面共享资源

3、 创建邮件服务资源

端口25和110