华为防火墙配置 SSL VPN

前言

哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。
本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。

什么是VPN

百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
相信朋友们在工作或者学习中会碰到这样一个场景。大家如果外面出差或者是在家里需要访问公司内网的服务器进行办公,又因为公司内服服务器为了安全并没有映射到公网上面,所以我们访问的时候往往要先去开启VPN客户端进行连接,连接成功之后才能正常访问办公。
像上面这种场景我们就使用到了VPN技术,VPN技术就是在公网上面建立一条虚拟的专用网络。而且可以对这个虚拟的专用网络进行加密,这样不仅可以在公网上面传输数据,还可以对数据进行加密,从而保护数据的安全性。
大家可以回忆一下在连接VPN进行办公的时候是使用浏览器进行连接,还是使用专用的客户端进行连接。
而今天我们介绍的这个VPN技术一般就是使用浏览器进行连接的,这样对用用户来说更加方便快捷。这就是SSL VPN技术。我们下面先展示通过SSL VPN访问公司内网服务器的下效果,给大家提起本次实验的兴趣,后面再去讲SSL VPN的原理。

效果演示

先来看一下实验的拓扑图

如图,远程办公PC需要访问公司的内网服务器。
1.查看用户PC的IP地址

2.ping公司内网服务器(现在因为没有连接VPN,所以是不能通信的)

3.访问公司VPN的WEB界面,因为SSL VPN是在公司防火墙上面配置的,所以访问的URL就是公司网关的公网地址

4.登录用户名密码之后点击启动VPN(可以看到已成功启动网络扩展业务,这样就说明VPN连接成功了)

5.现在再来看一下本机的IP地址是什么
我们可以看到当前PC有两个网卡,新增加的这个网卡也分配了IP地址。这个地址就是VPN服务端为VPN客户端分配的IP,用于与公司内网进行通信。

6.现在再次使用PC端对公司内网服务器进行ping测试
可以看到连接VPN成功后,现在已经可以与公司内网的服务器进行通信了。

7.SSL VPN服务端查看客户端在线状态

以上就是SSL VPN技术的演示,我们接下来先讲一下SSL VPN的原理,之后再演示搭建的教程。

SSL VPN原理

什么是SSL VPN?
SSL VPN是采用SSL/TLS协议来实现远程接入的一种轻量级VPN技术。SSL VPN按照分类属于应用层。
SSL VPN是如何工作的?
移动办公用户访问企业内网的服务器时,首先与SSL VPN服务器建立安全连接(SSL VPN隧道),采用标准的SSL协议对传输数据进行加密。登录SSL VPN服务器时,用户会先在WEB界面上进行身份验证。验证成功之后,SSL VPN服务器将报文转发给指定的内网设备,从而使得移动办公用户在身份验证成功之后,可以实现访问企业内网中管理员分配的服务器资源。SSL VPN可以直接使用WEB浏览器覆盖所有的VPN访问需求。

SSL VPN搭建过程

本次搭建的所有设备都是使用模拟器进行模拟的。因为ENSP中内置的USG6000V防火墙无法正常配置SSL VPN,所以我们需要将USG6000V2的防火墙部署到VMware中,后期通过桥接的技术连接到ENSP中。
网络桥接拓扑图


ENSP实验拓扑图

一、防火墙配置
下载完成解压之后可以得到下图中的这些文件,我们直接双击红色框内的文件就可以导入启动防火墙设备。

首先配置一下网卡的连接模式,这次实验我只用到了两个网卡,大家可以根据自己的想法和需求来进行部署。

开启设备之后,输入用户名和密码进入设备(admin/Huawei@123)。配置网卡的IP地址并允许相应的服务,我这里直接把接口下的服务都允许了,在实际网络中请勿这样操作。

配置防火墙的管理口IP,使物理机可以通过WEB界面配置防火墙
interface GigabitEthernet0/0/0ip address 121.250.196.29 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permit
#防火墙与公网互联的接口
interface GigabitEthernet1/0/0ip address 23.1.1.3 255.255.255.0isis enable 1 #配置ISIS协议service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permitservice-manage netconf permit#使用环回口Loopback0来模拟公司内网interface LoopBack0ip address 192.168.1.254 255.255.255.0
#防火墙策略,全部放行(真实环境请勿模仿)
security-policydefault action permit#配置isis路由协议
isis 1is-level level-2network-entity 49.0001.0000.0030.00

配置SSL VPN服务
配置基本信息

配置网络扩展

配置角色授权

其余地方可以根据自己的需求进行配置。到此,防火墙配置完成,就是这么的简单。

再来看一下防火墙在ENSP中的位置

二、移动办公用户配置
在VMware中安装了一个win7系统来代替。

网卡配置

移动用户在ENSP中的位置

移动用户主机就配置完成了,然后来看一下移动用户网关的配置。
网关连接PC的接口

网关连接互联网的接口,配置了easy-ip

路由协议配置

三、ISP配置 ISP设备只在ENSP中设置,并没有在VMware中部署,来看一下ISP在ENSP中的位置。

设备配置

现在不管是ENSP还是VMware都已经配置完成,下一步我们要再去配置ENSP与VMware之间的桥梁(宿主机)。
我们只需要配置vmnet1(防火墙用来连接ENSP中ISP的桥梁)与vmnet8网卡(移动办公用户连接ENSP中家用网络网关的桥梁)和物理网卡(用来登录WEB界面配置防火墙)即可。

物理网卡

vmnet1网卡

vmnet8网卡

到这里并没有结束,因为物理网卡的优先级是最高的。所以远程办公用户去访问防火墙的时候并不会经过vmnet8网卡进行转发,而是经过物理网卡,这样访问防火墙就会失败。
我们可以在宿主机中添加两条静态路由

route add 23.1.1.0 mask 255.255.255.0 192.168.100.254
route add 12.1.1.0 mask 255.255.255.0 192.168.100.254

输入route print查看路由表信息

OK啦,现在全部配置就完成了。

结束

本次实验中,桥接网卡步骤设计的比较多,可以直接按照上面给出的桥接网络拓扑图进行配置,这样可以清晰很多。
本次实验就写到这里啦,以后还会不定期的更新。如果大家喜欢我的文章,欢迎大家给我点个关注哦。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/25371.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

持续总结中!2024年面试必问 20 道分布式、微服务面试题(六)

上一篇地址:持续总结中!2024年面试必问 20 道分布式、微服务面试题(五)-CSDN博客 十一、什么是服务编排和服务编排工具? 服务编排(Service Orchestration)是一种设计模式,用于管理…

Java核心: 类加载器

这一节我们来学习Java的类加载器,以及常用的类加载器实现URLClassLoader。 1. Java类加载器 类加载器用于将字节码读取并创建Class对象。我们知道JVM本身是用C写的,一开始执行的时候由C程序来加载并引导字节码的运行,这些由C编写的加载字节…

LVGL网格布局测试

一、测试1 static lv_coord_t col_dsc[] = { 80, 80, LV_GRID_FR(1), LV_GRID_TEMPLATE_LAST };static lv_coord_t row_dsc[] = { 45, LV_GRID_TEMPLATE_LAST };lv_obj_t* page = lv_img_create(lv_scr_act());lv_obj_center(page);lv_obj_set_size(page, 800, 600);isu_set_ob…

[数据集][目标检测]攀墙攀越墙壁数据集VOC格式-701张

数据集格式:Pascal VOC格式(不包含分割路径的txt文件和yolo格式的txt文件,仅仅包含jpg图片和对应的xml) 图片数量(jpg文件个数):701 标注数量(xml文件个数):701 标注类别数:1 标注类别名称:["fq"] 每个类别标…

htb-window-2-blue-smb

nmap msf 漏洞搜索 配置 获取flag

归一化在神经网络训练中的作用

归一化是深度学习中的一个重要概念,特别是在神经网络的训练过程中,它起着至关重要的作用。本文将深入探讨归一化在神经网络训练中的意义、不同的归一化方法,以及通过具体例子来说明归一化的实际效果。 一、什么是归一化? 归一化…

36python数据分析numpy基础之setxor1d求两个数组的对称差

1 python数据分析numpy基础之setxor1d求两个数组的对称差 python的numpy库的setxor1d(x,y)函数,表示数组x与y的对称差,即只属于其中一个集合,而不属于另一个集合的元素组成的数组,且进行去重排序。 用法 numpy.setxor1d(ar1, a…

SpringBoot整合钉钉实现消息推送

前言 钉钉作为一款企业级通讯工具,具有广泛的应用场景,包括但不限于团队协作、任务提醒、工作汇报等。 通过Spring Boot应用程序整合钉钉实现消息推送,我们可以实现以下功能: 实时向指定用户或群组发送消息通知。自定义消息内容…

基于关键词自动采集抖音视频排名及互动数据(点赞、评论、收藏)

在当今的社交媒体时代,抖音作为一个热门短视频平台,吸引了大量用户和内容创作者。对于研究和分析抖音上的热门视频及其互动数据(如点赞、评论、收藏等),自动化的数据采集工具显得尤为重要。本项目旨在开发一个基于关键…

【架构分析】GPU执行GEMM矩阵运算实例演示

背景介绍 Cutlass是 NVIDIA 提供的一套用于高效实现矩阵乘法和卷积操作的 C 库。它以 CUDA 为基础,提供了高度优化的数学运算,尤其适用于GPU上的高性能并行计算。本文以GEMM矩阵运算作为实例,展示Cutlass在GPU上执行GEMM运算的过程 实例演示…

chatgpt 推荐的一些关于提高认知的书,我先存一下

当然可以!以下是一些推荐的书籍,这些书籍涵盖了心理学、认知科学、哲学和个人发展等领域,可以帮助你提升认知能力和批判性思维: 心理学与认知科学 《Thinking, Fast and Slow》 by Daniel Kahneman 这本书探讨了人类思维的两种系…

嵌入式仪器模块:波形发生器模块(嵌入式)

• 16 位分辨率 • 125 MHz 刷新率 • 支持生成 FSK/ASK 信号 应用场景 • 生成任意标准波形或用户自定义波形 • 在特殊协议通信中模拟某个波形 • 无线充电(信号调制) 道114输出阻抗Low-ZLow-ZLow-Z输出范围 5 V 5 V 6 V耦合DCDCDC带宽4 MHz10 M…

将小爱音箱接入 ChatGPT 和豆包,改造成你的专属语音助手

网址 https://github.com/idootop/mi-gpt 一个ts的项目,看样子是个纯前端的项目。 演示的挺有意思的,傻妞应该是魔幻手机的角色。感觉能用这个例子的,最少得三十而立了。 个人感觉这种项目都是整活加炫技,估计我要用上这东西&…

【UML用户指南】-12-对高级结构建模-接口、类型和角色

目录 1、名称 2、操作 3、关系 4、理解接口 5、常用建模技术 5.1、对系统中的接缝建模 5.2、对静态类型和动态类型建模 5.2.1、对静态类型建模 5.2.2、对动态类型建模 使接口易于理解和易于访问 接口在关于一个抽象做什么的描述与关于这个抽象如何做的实现之间定义了…

atcoder abc357

A Sanitize Hands 问题&#xff1a; 思路&#xff1a;前缀和&#xff0c;暴力&#xff0c;你想咋做就咋做 代码&#xff1a; #include <iostream>using namespace std;const int N 2e5 10;int n, m; int a[N];int main() {cin >> n >> m;for(int i 1…

Vue如何引入ElementUI并使用

Element UI详细介绍 Element UI是一个基于Vue 2.0的桌面端组件库&#xff0c;旨在构建简洁、快速的用户界面。由饿了么前端团队开发&#xff0c;提供丰富的组件和工具&#xff0c;帮助开发者快速构建高质量的Vue应用&#xff0c;并且以开放源代码的形式提供。 1. VueElementU…

度小满金融大模型的应用创新

XuanYuan/README.md at main Duxiaoman-DI/XuanYuan GitHub

如何自动化地评估 AIGC 生图的质量?

节前&#xff0c;我们星球组织了一场算法岗技术&面试讨论会&#xff0c;邀请了一些互联网大厂朋友、参加社招和校招面试的同学。 针对算法岗技术趋势、大模型落地项目经验分享、新手如何入门算法岗、该如何准备、面试常考点分享等热门话题进行了深入的讨论。 合集&#x…

网络资源模板--基于Android Studio 实现的音乐播放器

一、项目源码获取(非开源) 关注公众号&#xff1a;《编程乐学》 后台回复&#xff1a;24060801 二、项目测试视频 网络资源模板--基于Android Studio 音乐播放器 三、项目简介 四、项目测试环境 五、项目详情设计图 1.登录注册页面介绍 <?xml version"1.0" enco…

【Git】详解本地仓库的创建、配置以及工作区、暂存区、版本库的认识

一、创建本地仓库 需要将本地仓库放在一个目录下&#xff0c;所以在创建本地仓库之前&#xff0c;应该先创建一个目录&#xff0c;再进入这个目录&#xff1a; 在这个目录中创建一个本地仓库&#xff1a; git init 创建完成后&#xff0c;我们就会发现当前目录下多了一个.git…