技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

SSL-配置

 收录于 网络工程师 网络安全 华为
   约 572 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=146186606

SSL 配置

引言

可查看这篇文章

实验

1.拓扑图

https://i-blog.csdnimg.cn/direct/1b77d032d46f407e980a0df73e1ac04a.png

2.目的

实现远程的出差客户端访问内网资源

3.配置思路

①基础配置

②在web防火墙上配置ssl

1)创建ssl网关

2)创建登录用户

3)调整网关关联用户认证/并发数量等

4)开启网络-网络扩展

③防火墙放行ssl流量

放行想要本地的接口的流量

④ssl登录

⑤防火墙放行访问内网的流量

放行客户端通告认证的网卡的IP地址通往内网IP地址

4.配置

①基础配置

FW1
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 12.12.12.1 24
[FW-GigabitEthernet1/0/0]service-manage ping permit 
[FW]int g0/0/0                 
[FW-GigabitEthernet0/0/0]ip add 192.168.199.91 24
[FW-GigabitEthernet0/0/0]service-manage all permit 
[FW]int g1/0/1                 
[FW-GigabitEthernet1/0/1]ip add 1.1.1.254 24
[FW-GigabitEthernet1/0/1]service-manage ping permit 

[FW]firewall zone untrust 
[FW-zone-untrust]add int g1/0/0
[FW]firewall zone trust 
[FW-zone-trust]add int g1/0/1

[FW]ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

cloud1 ,server1、server2

https://i-blog.csdnimg.cn/direct/dd024c34b4a54fe8842185de2393765f.png https://i-blog.csdnimg.cn/direct/d671c60a4ee4471391b838b3b30a19ca.png https://i-blog.csdnimg.cn/direct/23f7702c6aaf443f9eabb0e34c548c3b.png

ssl_client网卡配置

https://i-blog.csdnimg.cn/direct/c669a53aa2934945ac08a6b208143126.png

②在web防火墙上配置ssl

1)创建ssl网关

[FW]v-gateway sslvpn int g1/0/0 port 11443 private www.kobe.com

2)创建登录用户

https://i-blog.csdnimg.cn/direct/bbab333546f743f898e0619d5d21e8c5.png

3)调整网关关联用户认证/并发数量等

https://i-blog.csdnimg.cn/direct/2dd4855e1c684cfa8a803761e7a96419.png

4)开启网络-网络扩展

https://i-blog.csdnimg.cn/direct/525470bfc2fc41e3866f58315e7cf1af.png

③防火墙放行ssl流量

仍然访问内部资源因为安全策略未放行

https://i-blog.csdnimg.cn/direct/f2460ee853cb424b98f5515c2bcc5e8d.png

如果需要放行SSL流量,必须通过防火墙安全策略来进行管理,必须关闭service-manage  enable。

FW1
[FW]security-policy
[FW-policy-security]security-policy
[FW-policy-security] rule name sslenter
[FW-policy-security-rule-sslenter]  source-zone untrust
[FW-policy-security-rule-sslenter]  destination-zone local
[FW-policy-security-rule-sslenter]  destination-address 12.12.12.1 mask 255.255.255.255
[FW-policy-security-rule-sslenter]  action permit


[FW1-GigabitEthernet1/0/1]undo service-manage  enable

④登录ssl

https://i-blog.csdnimg.cn/direct/0269066f5c3a4d6bab7ab087c5926a41.png

此时多了ssl的网卡

https://i-blog.csdnimg.cn/direct/bd5795975e544c14bd96f8948dceb947.png

⑤防火墙放行访问内网的流量

此时仍然无法访问内部资源,需要放行源目IP地址的流量

[FW]security-policy
[FW-policy-security] rule name 2inter
[FW-policy-security-rule-2inter]  source-zone untrust
[FW-policy-security-rule-2inter]  destination-zone trust
[FW-policy-security-rule-2inter]  source-address 19.19.19.0 mask 255.255.255.0
[FW-policy-security-rule-2inter]  destination-address 1.1.1.0 mask 255.255.255.0
[FW-policy-security-rule-2inter]  action permit

https://i-blog.csdnimg.cn/direct/3991627bd0ae486aa254d8dff5dae490.png

5.抓包分析:

内网网关的接口

https://i-blog.csdnimg.cn/direct/87c32ac3fa5e4f338dd0b7810b756413.png

外网接口

https://i-blog.csdnimg.cn/direct/84ce93b05b1d43ca8981c5106ade1246.png

访问1.1.1.1的资源

访问1.1.1.2的资源

https://i-blog.csdnimg.cn/direct/e910dfa9a19f4372b8548279e63c29f5.png

更新于 2025-03-12
 防火墙华为Ssl
返回 | 主页