完成本实验,您应该能够:
l 了解SSL ***基本功能及实现原理
l 掌握SSL ***系统的各项功能配置
1.2 实验组网图图1-1 实验组网
使用一台防火墙,一个网络接口接入Internet(Internet可以通过路由器来模拟),另一网络接口连接一台PC,PC模拟局域网(内网)用户。
1.3 背景需求随着信息技术在企业应用中的不断深化,企业信息系统对***网络也提出了越来越高的要求。最初的***仅实现简单的网络互联功能,采用了L2TP、GRE等隧道技术。为了保证数据的私密性和完整性,而产生了IPsec ***。IPsec ***采用IPSec协议,实现简单,性能较高。在点到点的***连接中,有着广泛的应用,如:分支机构与公司总部之间的远程连接。但是由于其实现方式上的局限性,IPsec ***在应用中也存在着一些不足。
1.4 实验设备与版本SecPath F1000-A:Version 3.40, ESS 1622以上版本
SSL加密卡
资源服务器:web服务器、ftp、telnet、文件共享、邮件等服务器
线缆
1.5 实验过程 实验任务一:配置web接入方式服务 步骤一 系统启动及登陆在系统启动后,进入系统视图输入display cur命令显示信息如下:
<H3C>
<H3C>dis cur
system H3C
undo firewall packet-filter enable
undo firewall statistic system enable
pki entity 1
common-name xxxxxx
organization-unit security2
organization 3com
locality Beijing
state Beijing
country cn
pki domain 3com
ca identifier 8042
certificate request url http://192.168.111.102:446/8042
certificate request from ca
certificate request entity 1
crl check disable
ssl server-policy ssp1
pki-domain 3com
use ssl-card 1/0
web-server-policy wsp1
ssl-server-policy ssp1
local-user user
password simple user
service-type telnet
service-type ftp
interface Aux0
async mode flow
interface GigabitEthernet0/0
ip address 192.168.111.118 255.255.255.0
interface GigabitEthernet0/1
ip address 10.154.2.37 255.255.255.0
#
interface Ssl-Card1/0
interface NULL0
firewall zone local
set priority 100
firewall zone trust
add interface GigabitEthernet0/0
add interface GigabitEthernet0/1
set priority 85
firewall zone untrust
set priority 5
firewall zone DMZ
set priority 50
firewall interzone local trust
firewall interzone local untrust
firewall interzone local DMZ
firewall interzone trust untrust
firewall interzone trust DMZ
firewall interzone DMZ untrust
FTP server enable
ip route-static 0.0.0.0 0.0.0.0 192.168.111.66 preference 60
web server wsp1 enable
s*** service enable
user-interface con 0
user-interface aux 0
user-interface vty 0
user privilege level 3
user-interface vty 1 4
return
注意用红色字体标出的地方表示系统一经启动成功,可以使用。
步骤二:创建域、用户用户组、资源组、资源在浏览器输入https://x.x.x.x/s***/index.htm用administrator用户登录根域(用户名格式:用户名@认证方式.域名如[email protected]),密码:administrator,登陆进去出现如下页面:
进入域策略管理,创建域以及域缺省管理员
如果出现以上页面则说明已经创建域名为aaa的域,没有则创建,域的概念的引入主要是为了实现一台设备运行多个虚拟***。
用创建好的缺省管理员和密码登录新创建的域,用户名格式[email protected],登陆成功,进行以下步骤:
1、 创建普通用户
注:可以从用户组列表中选择添加用户所属的用户组,由于此时还没有创建其他用户组,只有管理员用户组administrators,用户加入管理员用户组其身份就是管理员,否则为普通用户,此处创建普通用户故不添加。
2、 创建samba资源
注:资源名称可以为任何符合要求的字符、数字组合,但要求不能和已有的资源重名。鼠标停在某一输入框上面可以看到格式要求。此处Transfer file为服务器上的一个共享文件夹。用户组项一般情况下用不着,可随便输入。用户名和密码为登陆服务器的用户名、密码。
3、 创建web代理服务器资源
注:缺省页面为可选项,对于一般静态页面,无须配置更复杂的规则,对于较为复杂的页面需要另外匹配规则。假设原来网页链接为http://192.168.111.120/y,则改写后的连接为https://x.x.x.x/s***/proxy/web/y,如果没有改写成功则需要添加规则,附录中有配置规则的实例。
4、 创建资源组,把资源加入到资源组中。
5、 创建用户组,把资源组和用户添加进去。
注:把资源组加入到用户组之后,该资源中的资源就隶属于该用户组,那么隶属于该用户的用户在登陆时候就可以访问这些资源。之所以设置资源组而不是直接把资源赋给用户组,是因为当资源较多时,把同一类型的资源放在一个用户组中便于管理。经过以上操作后以刚才创建的普通用户登陆就可以访问创建的资源了。
步骤三 普通用户登陆访问资源1、 访问samba资源
直接在页面上点击链接即可进入如下页面,可以进行文件的上传、下载、删除、移动等操作。
注意:这里所有的操作都应该都过页面上的按钮来进行不能通过IE浏览器上的前进后退等实现上下级目录的迁移。
2、 访问web代理资源
注:红色框部分表明网页中的连接已经被成功改写,目前对于htm/html脚本语言的链接无须管理员手动配规则,就可以访问,对于jv脚本语言的链接一定情况下需要管理员手动添加规则。
实验任务二:配置TCP接入方式服务TCP接入旨在不改变客户原有客户端的情况下,为其远程访问提供加密功能。该服务访问的步骤为:在页面手动启动客户端,在页面点击远程访问快捷方式。注意该服务方式只能针对固定端口的服务,对于非固定端口服务暂时不能支持,对于此类服务需要通过SSL ***第三种方式——IP接入方式来解决。
步骤一 创建资源 1、 创建远程访问资源
注:资源名称要求和上面一样,本地主机可以为任何符合要求的字符串,SSL ***系统会通过系统host文件中建立本地主机名和远程服务器之间的对应关系。Host文件在c:/windows/system32/drivers/etc目录下。
2、 创建桌面共享资源
3、 创建邮件服务资源
端口25和110