【WALL1600下一代防火墙】下一代防火墙旁路模式典型功能SSL vpnNGFW+NGFW数字证书方式

发布时间: 2013-09-15 点击量:1536 打印 字体:

一、组网需求

某集团公司有两个子公司,两个子公司使用的都是wall 1600下一代防火墙(即简称NGFW),它们之间使用RSA签名的证书方式来建立SSL VPN隧道,实现两地局域网之间的互相访问。其中A子公司的1600SC1设备是以旁路模式串接在当前的网络中,B子公司的1600SC2设备是作为整个网络的出口来使用。详细的拓扑和IP地址规划如下图所示。

二、网络拓扑

1600SC1--使用GE4口:192.168.3.2

1600SC2--内网口GE3:192.168.6.1  ; 外网接口GE1:172.18.10.108

 

 

三、配置要点

在配置SSL网关功能之前,先确保两端网络都是可正常上网的,本案例是在两端都以设置好了基本的上网功能后做的配置。

简要说明CA根证书和两端设备的本地设备证书的生成:NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备颁发CA根证书和用户设备证书,本案例中我们选择其中一台1600SC(标号为1600SC1)为它自己和另外一台1600SC(标号为1600SC2)颁发证书。

配置的基本步骤如下:

       1、配置EG1000C的基本上网功能

        a、配置内网接口

        b、配置外网接口

        c、配置NAT地址转换

        d、配置默认路由和静态路由

        e、配置与SSL VPN相关的端口映射(点对点类型的SSL VPN相关的端口是TCP 40443)

      2、配置S3750交换机

            a、新增vlan

            b、把接口划分到相关vlan

            c、给vlan配置网关IP地址

            d、配置默认路由和静态路由

           配置访问B子公司内网的路由,下一跳IP为 1600SC1的GE4口的IP

      3、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书

           a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书(选择导出PEM格式类型的证书)

           b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成用户证书

           生成证书请求 ,然后签发证书并下载证书到本地

            c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可 以用于IPSEC VPN中)

             给1600SC1导入CA根证书和用户证书

             给1600SC2导入CA根证书和用户证书

       4、配置1600SC1的SSL(旁路模式)

            a、编辑SSL网关

            认证方式:RSA签名  算法:all

             b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

              类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问”

              由于旁路模式下,所有进出1600SC1的数据流都是从同一个接口出入,所以配置的安全策略相关的源接口和目的接口都是同一个接口。

       5、配置1600SC2的SSL(出口路由模式)

             a、编辑SSL网关

             认证方式:RSA签名    算法:all

              b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

              类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问

 

四、操作步

1、配置EG1000C的基本上网功能

a、配置内网接口

interface GigabitEthernet 0/3

  ip nat inside

  ip address 192.168.2.2 255.255.255.0

b、配置外网接口

interface GigabitEthernet 0/4

  ip nat outside

 ip address 192.168.33.228 255.255.255.0

c、配置NAT地址转换

ip access-list standard 1

  10 permit any 

ip nat pool nat_pool prefix-length 24

  address 192.168.33.228 192.168.33.228 match interface GigabitEthernet 0/4

d、配置默认路由和静态路由

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/4 192.168.33.1            //配置默认路由

ip route 192.168.1.0 255.255.255.0 192.168.2.3                        //配置去往内网的回指路由

e、配置与SSL VPN相关的端口映射(点对点类型的SSL VPN相关的端口是TCP 40443)

ip nat inside source static tcp   192.168.3.2   40443   192.168.33.228   40443      //TCP 40443端口是点对点SSL VPN的隧道协商端口

        2、配置S3750交换机

a、新增vlan

vlan 3

vlan 10

b、把接口划分到相关vlan

int  gi0/7

switchport access vlan 10

int gi0/14

switchport access vlan 3

c、给vlan配置网关IP地址

int vlan 3

ip address 192.168.3.1 255.255.255.0

int vlan 10

ip address 192.168.1.1   255.255.255.0

d、配置默认路由和静态路由

ip route 0.0.0.0  0.0.0.0  192.168.2.2          //配置访问互联网的默认路由

ip route 192.168.6.0  255.255.255.0 192.168.3.2     //配置访问B子公司内网的路由,下一跳IP为 1600SC1的GE4接口的IP

 

3、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书

a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书,保存在本地电脑的某个文件夹里

 

     

b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成CA根证书和用户证书

 

 

分别为1600SC1和1600SC2生成证书请求

 

         

 

签发证书

 

同理,为1600SC2做相同的操作

 

 

 

最后,把1600SC1和1600SC2的证书下载到本地,建议放置在与CA根证书同一个文件夹里

 

 

最终总共文件夹里有以下三个文件

 

c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可以用于IPSEC VPN中)

        以下操作是给1600SC1导入CA根证书(如果原本已经存在有CA根证书,需要把旧的删除,才能导入新的)

 

 

 

以下是为1600SC1导入本地证书

 

 

                          

类似的,为1600SC2导入CA根证书和本地用户证书,这里不再重复赘述

 

----------------------------------------------------------------------------------------------------------------------

 

4、配置1600SC1(旁路模式)

a、配置接口IP及默认网关

 

        b、编辑SSL网关

            对端网关地址:1600SC2的外网接口IP地址

            认证方式选择RSA签名,算法选择all(也可以指定其它任意一种,只要两边一致即可)  

       

       c、配置安全策略

           本地网段:1600SC1的内网网段

            对端6网段:1600SC2的内网网段

           选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“

 

             查看设置好的策略,因为默认策略是不启用的,所以要使配置生效,必须勾选“启用”,同时要记得把它调整到其它规则的前面,同时要把勾选“启用”的按钮,否则策略不生效

      

5、配置1600SC2(出口路由模式)

a、配置基本的上网功能,先保证内网用户能正常上网

            此处只显示接口IP的设置,其余的设置请参考 “路由模式上网配置>单线路上网配置>静态地址环境”

 

b、编辑SSL网关

            对端网关地址:1600SC1的外网接口IP地址

            认证方式选择RSA签名,算法选择all(也可以指定其它任意一种,只要两边一致即可)  

 

c、配置安全策略

           本地网段:1600SC2的内网网段

            对端6网段:1600SC1的内网网段

           选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“

            配置完以上的安全策略后,要记得把它调整到其它规则的前面,同时要把勾选“启用”的按钮,否则策略不生效

 

 

五、验证效果

1、从1600SC1的内网主动去测试ping  1600SC2的内网用户主机,以此来触发SSL VPN隧道的协商 

在NGFW_A上确定SSL VPN是否协商成功

 

2、进一步测试,从1600SC2的内网主动去测试ping  1600SC1的内网用户主机

 

在NGFW_B上确定SSL VPN是否协商成功

 


 

00 分享 纠错
相关条目