網(wǎng)絡運維|通過SSL VPN進行端口轉發(fā)

2020-06-16 16:52 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡安全運維工程師，今天和大家分享的是網(wǎng)絡安全設備維護相關的內容，這里介紹通過SSL VPN進行端口轉發(fā)的配置，網(wǎng)絡安全運維，從Web管理輕松學起,一步一步學成網(wǎng)絡安全運維大神。

網(wǎng)絡維護是一種日常維護，包括網(wǎng)絡設備管理(如計算機，服務器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡維護服務，北京網(wǎng)絡維修信息查詢，同時您可以免費資訊北京網(wǎng)絡維護，北京網(wǎng)絡維護服務，北京網(wǎng)絡維修信息。專業(yè)的北京網(wǎng)絡維護信息就在北京艾銻無限+

+

北京網(wǎng)絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡維護信息

通過SSL VPN進行端口轉發(fā)

端口轉發(fā)業(yè)務是提供基于TCP的應用程序的安全接入，是一種非Web的應用方式。端口轉發(fā)在應用級對用戶訪問進行控制，控制是否提供各種應用的服務，如：Telnet、遠程桌面、FTP、Email等服務。

前提條件

已加載License文件，且USG可以正常訪問內網(wǎng)資源。
 說明：
本舉例中USG和內網(wǎng)服務器的IP地址在同一網(wǎng)段。如果不在同一網(wǎng)段，請務必保證USG的內網(wǎng)接口與內網(wǎng)服務器路由可達，確保業(yè)務的連通性。

組網(wǎng)需求

如圖10-83所示，USG作為企業(yè)網(wǎng)絡的出口網(wǎng)關連接Internet。企業(yè)內部有一臺FTP服務器（IP地址為192.168.1.30/24）和一臺用于Telnet的網(wǎng)絡設備（IP地址為192.168.1.20/24）。
具體需求如下：

• 一部分員工能夠在外網(wǎng)訪問內網(wǎng)的FTP服務器；一部分員工能夠在外網(wǎng)Telnet內網(wǎng)的網(wǎng)絡設備。
• 企業(yè)通過LDAP服務器對訪問內網(wǎng)資源的員工進行認證授權。

圖10-83  端口轉發(fā)組網(wǎng)圖 

配置思路

1. 在USG創(chuàng)建一個名為test的虛擬網(wǎng)關，外網(wǎng)用戶可通過此虛擬網(wǎng)關訪問企業(yè)內網(wǎng)的資源。虛擬網(wǎng)關的IP地址為202.10.10.1/24。
2. 配置內網(wǎng)的DNS服務器地址和域名，使用戶可通過域名訪問虛擬網(wǎng)關的業(yè)務。
3. 配置端口轉發(fā)功能，添加FTP服務和Telnet服務。
4. 在LDAP服務器上建立兩個組，在組group1內添加需要訪問FTP服務器的用戶，在組group2內添加需要Telnet網(wǎng)絡設備的用戶。
5. 配置LDAP認證授權功能，搜索組group1和group2。
6. 配置組策略，允許組group1的用戶訪問FTP服務器，允許組group2的用戶Telnet網(wǎng)絡設備。
7. 配置用戶目的IP策略默認行為為“限制”，限制用戶訪問其他內網(wǎng)資源。

操作步驟

1. 配置接口基本參數(shù)。
   1. 選擇“網(wǎng)絡 > 接口 > 接口”。
   2. 選擇“接口”頁簽。
   3. 在“接口列表”中，單擊GE0/0/1對應的。
   4. 在“修改GigabitEthernet”界面中，配置如下：
      • 安全區(qū)域：trust
      • IP地址：192.168.1.1
      • 子網(wǎng)掩碼：255.255.255.0

其他配置項采用缺省值。

5. 單擊“應用”。
6. 在“接口列表”中，單擊GE0/0/2對應的。
7. 在“修改GigabitEthernet”界面中，配置如下：
   • 安全區(qū)域：untrust
   • IP地址：202.10.10.1
   • 子網(wǎng)掩碼：255.255.255.0

其他配置項采用缺省值。

8. 單擊“應用”。

2. 對于USG系列，配置域間包過濾，以保證網(wǎng)絡基本通信正常。對于USG BSR/HSR系列，不需要執(zhí)行此步驟。
   1. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
      1. 選擇“防火墻 > 安全策略 > 本地策略”。
      2. 在“對設備訪問控制列表”中，單擊“Untrust”下的“默認”所在行的。
      3. 在“修改對設備訪問控制”界面中，選擇“動作”為“permit”。
      4. 單擊“應用”。

配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

1. 選擇“防火墻 > 安全策略 > 轉發(fā)策略”。
2. 在“轉發(fā)策略列表”中，單擊“untrust->trust”下的“默認”所在行的。
3. 在“修改轉發(fā)策略”界面中，選擇“動作”為“permit”。
4. 單擊“應用”。
5. 在“轉發(fā)策略列表”中，單擊“trust->untrust”下的“默認”所在行的。
6. 在“修改轉發(fā)策略”界面中，選擇“動作”為“permit”。
7. 單擊“應用”。

創(chuàng)建虛擬網(wǎng)關。

選擇“VPN > SSL VPN > 虛擬網(wǎng)關管理”。

單擊“新建”。

配置虛擬網(wǎng)關參數(shù)。

單擊“應用”。

配置端口轉發(fā)資源。

選擇“VPN > SSL VPN > 虛擬網(wǎng)關列表”。

在“虛擬網(wǎng)關列表”導航樹中選擇“虛擬網(wǎng)關列表 > test > 端口轉發(fā)”。

選中“啟用端口轉發(fā)功能”前的復選框。

選中“客戶端自動啟用”、“保持連接”前的復選框。

 說明：

啟用端口轉發(fā)的保持連接功能后，客戶端會定時向網(wǎng)關發(fā)送報文，確保客戶端和虛擬網(wǎng)關的端口轉發(fā)連接不會因為SSL會話超時而斷開。

單擊“新建”，配置端口轉發(fā)資源FTP服務。

單擊“應用”。

重復上述配置步驟，配置端口轉發(fā)資源Telnet服務。

配置LDAP認證授權方式。

在“虛擬網(wǎng)關列表”導航樹中選擇“虛擬網(wǎng)關列表 > test > 認證授權配置”。

在“認證授權配置”界面中，選擇“認證授權方式”頁簽。

單擊優(yōu)先級“1”對應的操作，選擇認證授權方式。

單擊。

選擇“認證授權服務器配置”頁簽，在“LDAP服務器”區(qū)域框中，配置LDAP服務器。

 注意：

需要在LDAP服務器和USG上配置相同的LDAP服務器參數(shù)。LDAP服務器上的配置請參見LDAP服務器的相關文檔。

單擊“應用”。

在“虛擬網(wǎng)關列表”導航樹中選擇“虛擬網(wǎng)關列表 > test > 外部組配置”。

選擇“LDAP組信息管理”頁簽。

單擊“新建”，配置LDAP組搜索條件，搜索組group1。

 注意：

在LDAP服務器上建立兩個組，在組group1內添加需要訪問FTP服務器的用戶，在組group2內添加需要Telnet網(wǎng)絡設備的用戶。具體配置步驟請參見LDAP服務器的相關文檔。

單擊“搜索”，搜索得到組group1。

單擊“新建”，配置LDAP組搜索條件，搜索組group2。

單擊“搜索”，搜索得到組group2。

配置LDAP組策略。

在“虛擬網(wǎng)關列表”導航樹中選擇“虛擬網(wǎng)關列表 > test > 策略配置”。

選擇“組策略”頁簽，單擊組名group1對應的。

單擊“新建”，配置組策略，允許LDAP組group1的用戶訪問資源FTP Server。

單擊“應用”。

單擊組名group2對應的。

單擊“新建”，配置組策略，允許LDAP組group2的用戶Telnet網(wǎng)絡設備。

單擊“應用”。

配置用戶目的IP策略默認行為為“限制”，限制用戶訪問其他內網(wǎng)資源。

在“虛擬網(wǎng)關列表”導航樹中選擇“虛擬網(wǎng)關列表 > test > 策略配置”。

選擇“策略默認行為”頁簽，配置用戶目的IP策略默認行為。

單擊“應用”。

結果驗證

1. 企業(yè)員工在外部網(wǎng)絡的IE瀏覽器中輸入https://202.10.10.1，進入虛擬網(wǎng)關登錄界面。
2. 輸入用戶名和密碼（已在LDAP服務上配置），單擊“登錄”，登錄虛擬網(wǎng)關,在端口轉發(fā)區(qū)域框下可以看到端口轉發(fā)的資源。
3. • 組group1內的用戶可以看到名為“FTP”的端口轉發(fā)資源。
   • 組group2內的用戶可以看到名為“TELNET”的端口轉發(fā)資源。
4. group1組內的用戶可以使用FTP工具可以登錄IP地址為192.168.1.30/24的FTP服務器；group2組內的用戶可以使用Telnet工具訪問內網(wǎng)IP地址為192.168.1.20的網(wǎng)絡設備。