【簡介】當分公司需要訪問總公司的內網資料的時候,爲了保證流量在Internet傳輸過程中的安全性,希望資料在網絡傳輸中不易被黑客截獲破解竊取,保證資料的安全保密,需要在總公司與分公司之間的網絡上建立SSL VPN,它即能實現分公司與總公司之間的網絡連接,也能對數據傳輸進行加密,保證數據的安全性 。
SSL VPN原理:SSL VPN指的是利用SSL協議封包處理功能,利用公司內部SSL VPN網關,通過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據。它採用標準的安全套接層(SSL)對傳輸中的數據包進行加密,從而在應用層保護了數據的安全性。
SSL VPN工作模式:Web模式,也叫做代理Web頁面,它將來自遠端瀏覽器的頁面請求(採用HTTPS協議)轉發給Web服務器,然後將服務器的響應回傳給終端用戶。Tunnel模式,需要下載運行的客戶端支持。客戶端和防火牆設備建立SSL隧道後,防火牆爲客戶端分配IP地址,客戶端通過建立的虛接口直接通過SSL隧道連接到內部網絡。
這裏我們採用WatchGuard x1250e作爲示例,學習怎樣配置SSL VPN,配置軟件爲WatchGuard System Manager (軟件的下載及安裝請參考相應文檔)。
① 打開WatchGuard System Manager軟件,輸入防火牆的內網或外網IP,默認內網IP是192.168.1.99,這裏因爲是遠程登錄設備,所以輸入的是外網IP。默認登錄帳戶是status,不能修改,輸入status帳戶密碼,默認的status帳號密碼爲readonly。
② 進入主介面後,點擊Policy Manager圖標;
③ 在策略管理介面選擇菜單【VPN】-【Mobile VPN】-【SSL】;
④ 選擇激活Moblie VPN with SSL,在Firefox IP地址中輸入防火牆的外網地址,如果有多條外網,也可以輸入備份地址,這樣在有一根外網出現問題時可以走另一根外網登錄。連接成功後,防火牆會自動給連接設備分配一個IP地址,在虛擬地址池裏可以使用默認地址範圍,也可以修改爲自己想要的地址範圍,前題是不要和已有的內網地址在同一網段;
⑤ 點擊【身份驗證】子菜單,可以看到默認是通過設防火牆設備進行身份證驗證,通過配置添加的用戶會自動加入SSLVPN-Users組中;
⑥ 點擊配置後,進入身份驗證介面,在這裏可以自行添加用戶,添加的用戶將保存在防火牆中;
⑦ 可用的組裏並沒有出現SSLVPN-Users組,那是因爲在選擇激活Moblie VPN with SSL後並沒有點確定,也就沒有自動生成SSLVPN-Users組,所以在這裏選擇取消;
⑧ 回到配置介面中直接點擊【確定】,要注意的是這裏沒有配置任何用戶,現在點確定是需要自動生成SSLVPN-Users用戶組;
⑨ 因爲是通過外網IP遠程配置防火牆,所以會出現提示當前的外部IP與輸入的遠程IP地址不匹配,這裏直接點擊【是】;
⑩ 再次返回身份驗證服務器介面,可以發現已經多出了一個SSLVPN-Users用戶組;
⑪ 添加用戶的時候,輸入用戶名稱,密碼需要輸入兩次,密碼長度最少爲8個字符,當密碼長度不夠時,會出現紅字提示,確認按鈕爲灰色。需要將右邊的可用組SSLVPN-Users選擇後,點擊左劍頭鍵移到左邊;
⑫ 只有用戶屬於SSLVPN-Users組,纔可以在SSL VPN登錄的時候起做用,如果不是則驗證通不過。
⑬ 子菜單【高級】下面是SSL VPN的加密方式及通道等設置參數,通常保留默認值,也可以根據需要進行修改;
⑭ 激活Moblie VPN with SSL後,會自動創建三條策略;
⑮ 需要將配置寫入到防火牆後,纔會起作用,點擊保存到Firefox圖標;
⑯ 輸入admin帳號密碼(默認爲readwrite),保存配置文件到本地硬盤,配置完成。
WatchGuard 的 SSL VPN 客戶端保存在防火牆上,可以通過瀏覽器登錄下載,只有激活了 Mobile VPN with SSL 後纔可以訪問。
① 打開 Firefox 瀏覽器,輸入地址 https://外網IP/sslvpn.html,可以看到登錄介面,輸入剛纔設置的 SSL VPN 用戶名和密碼,點擊【Login】登錄;
② 如果一切都順利的話,可以看到 SSL VPN 客戶端的下載介面,分爲 Windows 版和 Mac 版,這裏選擇 Windows 版的進行下載;
③ 下載後的安裝文件只有不到2M;
④ 安裝 SSL VPN 客戶端。
安裝好的客戶端體積很小,相當於一個撥號軟件。
① 打開安裝好的客戶端,輸入防火牆外網IP,用戶名和密碼,點擊【連接】;
② 提示建立安全連接,點擊【是】;
③ 顯示連接狀況,連接成功後會縮入右下角,並顯示已經連接成功;
④ 雙擊縮小的終端圖標,可以看到連接後的詳細信息。
通過Ping防火牆的接口地址或內部電腦IP地址,我們可以驗證SSL VPN通道是否生成。
① 通過ipconfig命令,可以看到本機已經多出一個以太網適配器,IP地址爲192.168.113.2, 而上面的介面裏可以看到網關是192.168.113.1;
② 通過WatchGuard System Manager軟件查看防火牆的接口IP地址;
③ Ping防火牆的內網接口,都可以Ping通,說明已經可以安全的進行遠程訪問了。
