华为防火墙配置 SSL VPN

前言

哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。
本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。

什么是VPN

百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
相信朋友们在工作或者学习中会碰到这样一个场景。大家如果外面出差或者是在家里需要访问公司内网的服务器进行办公,又因为公司内服服务器为了安全并没有映射到公网上面,所以我们访问的时候往往要先去开启VPN客户端进行连接,连接成功之后才能正常访问办公。
像上面这种场景我们就使用到了VPN技术,VPN技术就是在公网上面建立一条虚拟的专用网络。而且可以对这个虚拟的专用网络进行加密,这样不仅可以在公网上面传输数据,还可以对数据进行加密,从而保护数据的安全性。
大家可以回忆一下在连接VPN进行办公的时候是使用浏览器进行连接,还是使用专用的客户端进行连接。
而今天我们介绍的这个VPN技术一般就是使用浏览器进行连接的,这样对用用户来说更加方便快捷。这就是SSL VPN技术。我们下面先展示通过SSL VPN访问公司内网服务器的下效果,给大家提起本次实验的兴趣,后面再去讲SSL VPN的原理。

效果演示

先来看一下实验的拓扑图

如图,远程办公PC需要访问公司的内网服务器。
1.查看用户PC的IP地址

2.ping公司内网服务器(现在因为没有连接VPN,所以是不能通信的)

3.访问公司VPN的WEB界面,因为SSL VPN是在公司防火墙上面配置的,所以访问的URL就是公司网关的公网地址

4.登录用户名密码之后点击启动VPN(可以看到已成功启动网络扩展业务,这样就说明VPN连接成功了)

5.现在再来看一下本机的IP地址是什么
我们可以看到当前PC有两个网卡,新增加的这个网卡也分配了IP地址。这个地址就是VPN服务端为VPN客户端分配的IP,用于与公司内网进行通信。

6.现在再次使用PC端对公司内网服务器进行ping测试
可以看到连接VPN成功后,现在已经可以与公司内网的服务器进行通信了。

7.SSL VPN服务端查看客户端在线状态

以上就是SSL VPN技术的演示,我们接下来先讲一下SSL VPN的原理,之后再演示搭建的教程。

SSL VPN原理

什么是SSL VPN?
SSL VPN是采用SSL/TLS协议来实现远程接入的一种轻量级VPN技术。SSL VPN按照分类属于应用层。
SSL VPN是如何工作的?
移动办公用户访问企业内网的服务器时,首先与SSL VPN服务器建立安全连接(SSL VPN隧道),采用标准的SSL协议对传输数据进行加密。登录SSL VPN服务器时,用户会先在WEB界面上进行身份验证。验证成功之后,SSL VPN服务器将报文转发给指定的内网设备,从而使得移动办公用户在身份验证成功之后,可以实现访问企业内网中管理员分配的服务器资源。SSL VPN可以直接使用WEB浏览器覆盖所有的VPN访问需求。

SSL VPN搭建过程

本次搭建的所有设备都是使用模拟器进行模拟的。因为ENSP中内置的USG6000V防火墙无法正常配置SSL VPN,所以我们需要将USG6000V2的防火墙部署到VMware中,后期通过桥接的技术连接到ENSP中。
网络桥接拓扑图


ENSP实验拓扑图

一、防火墙配置
下载完成解压之后可以得到下图中的这些文件,我们直接双击红色框内的文件就可以导入启动防火墙设备。

首先配置一下网卡的连接模式,这次实验我只用到了两个网卡,大家可以根据自己的想法和需求来进行部署。

开启设备之后,输入用户名和密码进入设备(admin/Huawei@123)。配置网卡的IP地址并允许相应的服务,我这里直接把接口下的服务都允许了,在实际网络中请勿这样操作。

配置防火墙的管理口IP,使物理机可以通过WEB界面配置防火墙
interface GigabitEthernet0/0/0ip address 121.250.196.29 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permit
#防火墙与公网互联的接口
interface GigabitEthernet1/0/0ip address 23.1.1.3 255.255.255.0isis enable 1 #配置ISIS协议service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permitservice-manage netconf permit#使用环回口Loopback0来模拟公司内网interface LoopBack0ip address 192.168.1.254 255.255.255.0
#防火墙策略,全部放行(真实环境请勿模仿)
security-policydefault action permit#配置isis路由协议
isis 1is-level level-2network-entity 49.0001.0000.0030.00

配置SSL VPN服务
配置基本信息

配置网络扩展

配置角色授权

其余地方可以根据自己的需求进行配置。到此,防火墙配置完成,就是这么的简单。

再来看一下防火墙在ENSP中的位置

二、移动办公用户配置
在VMware中安装了一个win7系统来代替。

网卡配置

移动用户在ENSP中的位置

移动用户主机就配置完成了,然后来看一下移动用户网关的配置。
网关连接PC的接口

网关连接互联网的接口,配置了easy-ip

路由协议配置

三、ISP配置 ISP设备只在ENSP中设置,并没有在VMware中部署,来看一下ISP在ENSP中的位置。

设备配置

现在不管是ENSP还是VMware都已经配置完成,下一步我们要再去配置ENSP与VMware之间的桥梁(宿主机)。
我们只需要配置vmnet1(防火墙用来连接ENSP中ISP的桥梁)与vmnet8网卡(移动办公用户连接ENSP中家用网络网关的桥梁)和物理网卡(用来登录WEB界面配置防火墙)即可。

物理网卡

vmnet1网卡

vmnet8网卡

到这里并没有结束,因为物理网卡的优先级是最高的。所以远程办公用户去访问防火墙的时候并不会经过vmnet8网卡进行转发,而是经过物理网卡,这样访问防火墙就会失败。
我们可以在宿主机中添加两条静态路由

route add 23.1.1.0 mask 255.255.255.0 192.168.100.254
route add 12.1.1.0 mask 255.255.255.0 192.168.100.254

输入route print查看路由表信息

OK啦,现在全部配置就完成了。

结束

本次实验中,桥接网卡步骤设计的比较多,可以直接按照上面给出的桥接网络拓扑图进行配置,这样可以清晰很多。
本次实验就写到这里啦,以后还会不定期的更新。如果大家喜欢我的文章,欢迎大家给我点个关注哦。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/25371.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java核心: 类加载器

这一节我们来学习Java的类加载器,以及常用的类加载器实现URLClassLoader。 1. Java类加载器 类加载器用于将字节码读取并创建Class对象。我们知道JVM本身是用C写的,一开始执行的时候由C程序来加载并引导字节码的运行,这些由C编写的加载字节…

[数据集][目标检测]攀墙攀越墙壁数据集VOC格式-701张

数据集格式:Pascal VOC格式(不包含分割路径的txt文件和yolo格式的txt文件,仅仅包含jpg图片和对应的xml) 图片数量(jpg文件个数):701 标注数量(xml文件个数):701 标注类别数:1 标注类别名称:["fq"] 每个类别标…

htb-window-2-blue-smb

nmap msf 漏洞搜索 配置 获取flag

SpringBoot整合钉钉实现消息推送

前言 钉钉作为一款企业级通讯工具,具有广泛的应用场景,包括但不限于团队协作、任务提醒、工作汇报等。 通过Spring Boot应用程序整合钉钉实现消息推送,我们可以实现以下功能: 实时向指定用户或群组发送消息通知。自定义消息内容…

基于关键词自动采集抖音视频排名及互动数据(点赞、评论、收藏)

在当今的社交媒体时代,抖音作为一个热门短视频平台,吸引了大量用户和内容创作者。对于研究和分析抖音上的热门视频及其互动数据(如点赞、评论、收藏等),自动化的数据采集工具显得尤为重要。本项目旨在开发一个基于关键…

嵌入式仪器模块:波形发生器模块(嵌入式)

• 16 位分辨率 • 125 MHz 刷新率 • 支持生成 FSK/ASK 信号 应用场景 • 生成任意标准波形或用户自定义波形 • 在特殊协议通信中模拟某个波形 • 无线充电(信号调制) 道114输出阻抗Low-ZLow-ZLow-Z输出范围 5 V 5 V 6 V耦合DCDCDC带宽4 MHz10 M…

【UML用户指南】-12-对高级结构建模-接口、类型和角色

目录 1、名称 2、操作 3、关系 4、理解接口 5、常用建模技术 5.1、对系统中的接缝建模 5.2、对静态类型和动态类型建模 5.2.1、对静态类型建模 5.2.2、对动态类型建模 使接口易于理解和易于访问 接口在关于一个抽象做什么的描述与关于这个抽象如何做的实现之间定义了…

atcoder abc357

A Sanitize Hands 问题&#xff1a; 思路&#xff1a;前缀和&#xff0c;暴力&#xff0c;你想咋做就咋做 代码&#xff1a; #include <iostream>using namespace std;const int N 2e5 10;int n, m; int a[N];int main() {cin >> n >> m;for(int i 1…

度小满金融大模型的应用创新

XuanYuan/README.md at main Duxiaoman-DI/XuanYuan GitHub

如何自动化地评估 AIGC 生图的质量?

节前&#xff0c;我们星球组织了一场算法岗技术&面试讨论会&#xff0c;邀请了一些互联网大厂朋友、参加社招和校招面试的同学。 针对算法岗技术趋势、大模型落地项目经验分享、新手如何入门算法岗、该如何准备、面试常考点分享等热门话题进行了深入的讨论。 合集&#x…

网络资源模板--基于Android Studio 实现的音乐播放器

一、项目源码获取(非开源) 关注公众号&#xff1a;《编程乐学》 后台回复&#xff1a;24060801 二、项目测试视频 网络资源模板--基于Android Studio 音乐播放器 三、项目简介 四、项目测试环境 五、项目详情设计图 1.登录注册页面介绍 <?xml version"1.0" enco…

【Git】详解本地仓库的创建、配置以及工作区、暂存区、版本库的认识

一、创建本地仓库 需要将本地仓库放在一个目录下&#xff0c;所以在创建本地仓库之前&#xff0c;应该先创建一个目录&#xff0c;再进入这个目录&#xff1a; 在这个目录中创建一个本地仓库&#xff1a; git init 创建完成后&#xff0c;我们就会发现当前目录下多了一个.git…

ssm604基于Java Web的怀旧唱片售卖系统+vue【已测试】

前言&#xff1a;&#x1f469;‍&#x1f4bb; 计算机行业的同仁们&#xff0c;大家好&#xff01;作为专注于Java领域多年的开发者&#xff0c;我非常理解实践案例的重要性。以下是一些我认为有助于提升你们技能的资源&#xff1a; &#x1f469;‍&#x1f4bb; SpringBoot…

强!推荐一款开源接口自动化测试平台:AutoMeter-API !

在当今软件开发的快速迭代中&#xff0c;接口自动化测试已成为确保代码质量和服务稳定性的关键步骤。 随着微服务架构和分布式系统的广泛应用&#xff0c;对接口自动化测试平台的需求也日益增长。 今天&#xff0c;我将为大家推荐一款强大的开源接口自动化测试平台: AutoMete…

手机自动化测试:4.通过appium inspector 获取相关app的信息,以某团为例,点击,搜索,获取数据等。

0.使用inspector时&#xff0c;一定要把不相关的如weditor啥的退出去&#xff0c;否则&#xff0c;净是事。 1.从0开始的数据获取 第一个位置&#xff0c;有时0.0.0.0&#xff0c;不可以的话&#xff0c;你就用这个。 第二个位置&#xff0c;抄上。 直接点击第三个启动。不要…

QA测试开发工程师面试题满分问答26: Cookie、Session、Token和JWT的定义、区别和使用场景

这是一个非常常见的面试题,需要全面掌握 Cookie、Session、Token 和 JWT 的定义和使用场景,以及它们之间的区别。下面是一个详细的满分回答: Cookie: 定义: Cookie 是一种存储在客户端(通常是浏览器)的小型文本文件,用于在客户端与服务器之间保持会话状态。使用场景: 常用于保存…

Java Web学习笔记29——Vue路由

Vue路由&#xff1a; 前端路由&#xff1a;点击菜单栏&#xff0c;地址栏会发生变化&#xff0c;会显示对应的组件。 URL中的Hash&#xff08;#号后面的部分&#xff09;与组件之间的对应关系。 Hash是/dept&#xff0c;那么就是部门管理组件&#xff1b; Hash是/emp, 那么…

Macbook M芯片Maven的安装与配置

Macbook M芯片Maven的安装与配置 下载 搜索Maven 进入网站 https://maven.apache.org/download.cgi 点击Download 点击如下链接进行下载&#xff1b; 将下载好的文件放到你的指定位置 双击进行解压 配置环境变量 进入终端 在终端中输入 open ~/.bash_profile输入以下内…

Zynq7000 系列FPGA模块化仪器

• 基于 XilinxXC7Z020 / 010 / 007S • 灵活的模块组合 • 易于嵌入的紧凑型外观结构 • 高性能的 ARM Cortex 处理器 • 成熟的 FPGA 可编程逻辑 &#xff0c;基于 IP 核的软件库 FPGA 控制器 Zynq7000 系列模块是基于 Xilinx XC7Z020/010/007S 全可编程片上系统 (SoC) 的…

湖南(品牌控价)源点调研 手机价格管理对品牌的影响分析

前言&#xff1a;手机自发明以来&#xff0c;过去一直是国际品牌占主导地位&#xff0c;从最初的爱立信、摩托罗拉&#xff0c;到后来的诺基亚、三星&#xff0c;苹果在这个手机行业里&#xff0c;竞争激励&#xff0c;没有百年企业&#xff0c;每个品牌的盛衰都有背后的历史背…