聚焦办公终端数据安全,守护企业核心资产,企业办公数据安全交流会
预约直播
锐捷睿易 锐捷官方商城

中文

产品
< 返回主菜单
产品中心
产品

交换机

交换机所有产品
< 返回产品
交换机主页
交换机

园区网交换机

园区网交换机所有产品

数据中心与云计算交换机

数据中心与云计算交换机所有产品

行业精选交换系列

行业精选交换系列所有产品

工业交换机

工业交换机所有产品

SDN

SDN所有产品

配件

配件所有产品

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器主页
路由器

核心路由器

核心路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有技术解决方案

无线

无线所有产品
< 返回产品
无线主页
无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面主页
云桌面

云终端系列

云终端系列所有产品
查看云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

所有技术解决方案

安全

安全所有产品
< 返回产品
安全主页
安全

大数据安全平台

大数据安全平台所有产品

下一代防火墙

下一代防火墙所有产品

安全网关

安全网关所有产品

检测管理安全

检测管理安全所有产品

安全服务

安全服务所有产品

安全云

安全云所有产品

所有技术解决方案

软件

软件所有产品
< 返回产品
软件主页
软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理主页
身份管理

安全管理系列

安全管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

所有技术解决方案

服务产品

服务产品所有产品
< 返回产品
服务产品主页
服务产品

基础实施服务

基础实施服务 所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

安全服务

安全服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

锐捷睿易

体验中心

布尔实验室

网络研讨会
服务支持
< 返回主菜单
服务与支持中心
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
合作伙伴
< 返回主菜单
合作伙伴中心
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
关于锐捷
< 返回主菜单
关于锐捷首页
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
投资者关系
个人中心 个人中心 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
  • Global / English
  • Japan / 日本語
  • Türkiye / Türkçe
  • Vietnam / Việt Nam
  • Indonesia / Indonesian
  • Thailand / ภาษาไทย
  • Spain / Español (España)
  • Portugal / Português
  • France / Français
  • Poland / Polski
  • Kazakhstan / Pусский
  • Germany / Deutsch
  • Italy / Italiano
  • Brazil / Português(Brazil)
  • LATAM / Español (América Latina))

    首页 >服务与支持 >常见问题 >【WALL1600下一代防火墙】下一代防火墙旁路模式典型功能SSL vpnNGFW+NGFW数字证书方式

    【WALL1600下一代防火墙】下一代防火墙旁路模式典型功能SSL vpnNGFW+NGFW数字证书方式

    发布时间:2013-09-15
    点击量:4742

    一、组网需求

    某集团公司有两个子公司,两个子公司使用的都是wall 1600下一代防火墙(即简称NGFW),它们之间使用RSA签名的证书方式来建立SSL VPN隧道,实现两地局域网之间的互相访问。其中A子公司的1600SC1设备是以旁路模式串接在当前的网络中,B子公司的1600SC2设备是作为整个网络的出口来使用。详细的拓扑和IP地址规划如下图所示。

    二、网络拓扑

    1600SC1--使用GE4口:192.168.3.2

    1600SC2--内网口GE3:192.168.6.1  ; 外网接口GE1:172.18.10.108

     

     

    三、配置要点

    在配置SSL网关功能之前,先确保两端网络都是可正常上网的,本案例是在两端都以设置好了基本的上网功能后做的配置。

    简要说明CA根证书和两端设备的本地设备证书的生成:NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备颁发CA根证书和用户设备证书,本案例中我们选择其中一台1600SC(标号为1600SC1)为它自己和另外一台1600SC(标号为1600SC2)颁发证书。

    配置的基本步骤如下:

           1、配置EG1000C的基本上网功能

            a、配置内网接口

            b、配置外网接口

            c、配置NAT地址转换

            d、配置默认路由和静态路由

            e、配置与SSL VPN相关的端口映射(点对点类型的SSL VPN相关的端口是TCP 40443)

          2、配置S3750交换机

                a、新增vlan

                b、把接口划分到相关vlan

                c、给vlan配置网关IP地址

                d、配置默认路由和静态路由

               配置访问B子公司内网的路由,下一跳IP为 1600SC1的GE4口的IP

          3、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书

               a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书(选择导出PEM格式类型的证书)

               b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成用户证书

               生成证书请求 ,然后签发证书并下载证书到本地

                c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可 以用于IPSEC VPN中)

                 给1600SC1导入CA根证书和用户证书

                 给1600SC2导入CA根证书和用户证书

           4、配置1600SC1的SSL(旁路模式)

                a、编辑SSL网关

                认证方式:RSA签名  算法:all

                 b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

                  类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问”

                  由于旁路模式下,所有进出1600SC1的数据流都是从同一个接口出入,所以配置的安全策略相关的源接口和目的接口都是同一个接口。

           5、配置1600SC2的SSL(出口路由模式)

                 a、编辑SSL网关

                 认证方式:RSA签名    算法:all

                  b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

                  类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问

     

    四、操作步

    1、配置EG1000C的基本上网功能

    a、配置内网接口

    interface GigabitEthernet 0/3

      ip nat inside

      ip address 192.168.2.2 255.255.255.0

    b、配置外网接口

    interface GigabitEthernet 0/4

      ip nat outside

     ip address 192.168.33.228 255.255.255.0

    c、配置NAT地址转换

    ip access-list standard 1

      10 permit any 

    ip nat pool nat_pool prefix-length 24

      address 192.168.33.228 192.168.33.228 match interface GigabitEthernet 0/4

    d、配置默认路由和静态路由

    ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/4 192.168.33.1            //配置默认路由

    ip route 192.168.1.0 255.255.255.0 192.168.2.3                        //配置去往内网的回指路由

    e、配置与SSL VPN相关的端口映射(点对点类型的SSL VPN相关的端口是TCP 40443)

    ip nat inside source static tcp   192.168.3.2   40443   192.168.33.228   40443      //TCP 40443端口是点对点SSL VPN的隧道协商端口

            2、配置S3750交换机

    a、新增vlan

    vlan 3

    vlan 10

    b、把接口划分到相关vlan

    int  gi0/7

    switchport access vlan 10

    int gi0/14

    switchport access vlan 3

    c、给vlan配置网关IP地址

    int vlan 3

    ip address 192.168.3.1 255.255.255.0

    int vlan 10

    ip address 192.168.1.1   255.255.255.0

    d、配置默认路由和静态路由

    ip route 0.0.0.0  0.0.0.0  192.168.2.2          //配置访问互联网的默认路由

    ip route 192.168.6.0  255.255.255.0 192.168.3.2     //配置访问B子公司内网的路由,下一跳IP为 1600SC1的GE4接口的IP

     

    3、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书

    a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书,保存在本地电脑的某个文件夹里

     

         

    b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成CA根证书和用户证书

     

     

    分别为1600SC1和1600SC2生成证书请求

     

             

     

    签发证书

     

    同理,为1600SC2做相同的操作

     

     

     

    最后,把1600SC1和1600SC2的证书下载到本地,建议放置在与CA根证书同一个文件夹里

     

     

    最终总共文件夹里有以下三个文件

     

    c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可以用于IPSEC VPN中)

            以下操作是给1600SC1导入CA根证书(如果原本已经存在有CA根证书,需要把旧的删除,才能导入新的)

     

     

     

    以下是为1600SC1导入本地证书

     

     

                              

    类似的,为1600SC2导入CA根证书和本地用户证书,这里不再重复赘述

     

    ----------------------------------------------------------------------------------------------------------------------

     

    4、配置1600SC1(旁路模式)

    a、配置接口IP及默认网关

     

            b、编辑SSL网关

                对端网关地址:1600SC2的外网接口IP地址

                认证方式选择RSA签名,算法选择all(也可以指定其它任意一种,只要两边一致即可)  

           

           c、配置安全策略

               本地网段:1600SC1的内网网段

                对端6网段:1600SC2的内网网段

               选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“

     

                 查看设置好的策略,因为默认策略是不启用的,所以要使配置生效,必须勾选“启用”,同时要记得把它调整到其它规则的前面,同时要把勾选“启用”的按钮,否则策略不生效

          

    5、配置1600SC2(出口路由模式)

    a、配置基本的上网功能,先保证内网用户能正常上网

                此处只显示接口IP的设置,其余的设置请参考 “路由模式上网配置>单线路上网配置>静态地址环境”

     

    b、编辑SSL网关

                对端网关地址:1600SC1的外网接口IP地址

                认证方式选择RSA签名,算法选择all(也可以指定其它任意一种,只要两边一致即可)  

     

    c、配置安全策略

               本地网段:1600SC2的内网网段

                对端6网段:1600SC1的内网网段

               选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“

                配置完以上的安全策略后,要记得把它调整到其它规则的前面,同时要把勾选“启用”的按钮,否则策略不生效

     

     

    五、验证效果

    1、从1600SC1的内网主动去测试ping  1600SC2的内网用户主机,以此来触发SSL VPN隧道的协商 

    在NGFW_A上确定SSL VPN是否协商成功

     

    2、进一步测试,从1600SC2的内网主动去测试ping  1600SC1的内网用户主机

     

    在NGFW_B上确定SSL VPN是否协商成功

     


     

    相关产品
    RG-MF2920系列,2口千兆电,千兆上行,一机双网

    RG-MF2920系列,2口千兆电,千兆上行,一机双网
    RG-S5310-E系列,24口千兆电,万兆上行,接入层

    RG-S5310-E系列,24口千兆电,万兆上行,接入层
    RG-S5310-E系列,24口千兆光,万兆上行,接入层

    RG-S5310-E系列,24口千兆光,万兆上行,接入层
    RG-S5310-E系列,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,48口千兆电,万兆上行,接入层
    RG-S5310-E系列,48口千兆光,万兆上行,接入层

    RG-S5310-E系列,48口千兆光,万兆上行,接入层
    RG-S5310-E系列新一代千兆交换机

    RG-S5310-E系列新一代千兆交换机
    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
    RG-S7800C系列融合核心交换机

    RG-S7800C系列融合核心交换机
    RG-S7800C-X系列新一代融合核心交换机

    RG-S7800C-X系列新一代融合核心交换机
    RG-N18006-X,6槽机箱,核心层,零背板

    RG-N18006-X,6槽机箱,核心层,零背板
    RG-S6120系列,24口万兆光,25G上行,汇聚层

    RG-S6120系列,24口万兆光,25G上行,汇聚层
    RG-S6120系列,48口万兆光,100G上行,汇聚层

    RG-S6120系列,48口万兆光,100G上行,汇聚层
    RG-S6120系列融合万兆交换机

    RG-S6120系列融合万兆交换机
    RG-EG3250新一代多业务安全网关

    RG-EG3250新一代多业务安全网关
    RG-EG3230新一代多业务安全网关

    RG-EG3230新一代多业务安全网关
    RG-EG3220新一代多业务安全网关

    RG-EG3220新一代多业务安全网关
    RG-EG3210 V2新一代多业务安全网关

    RG-EG3210 V2新一代多业务安全网关
    RG-EG3210新一代多业务安全网关

    RG-EG3210新一代多业务安全网关
    RG-AP820-L(V3)双射频Wi-Fi 6无线AP

    RG-AP820-L(V3)双射频Wi-Fi 6无线AP
    RG-WS7005-A多业务无线AC

    RG-WS7005-A多业务无线AC
    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
    RG-AP180-L双射频Wi-Fi 6无线AP

    RG-AP180-L双射频Wi-Fi 6无线AP
    RG-AP880(TR)三射频Wi-Fi 6无线AP

    RG-AP880(TR)三射频Wi-Fi 6无线AP
    RG-WS7208-A多业务无线AC

    RG-WS7208-A多业务无线AC
    RG-AP880-I双射频Wi-Fi 6无线AP

    RG-AP880-I双射频Wi-Fi 6无线AP
    RG-WS7880高性能无线AC

    RG-WS7880高性能无线AC
    RG-EG2100-P V2全能PoE网关

    RG-EG2100-P V2全能PoE网关
    RG-N18000-X系列

    RG-N18000-X系列
    RG-N18010-X,10槽机箱,核心层,零背板

    RG-N18010-X,10槽机箱,核心层,零背板
    RG-EG3000XE新一代高性能综合网关

    RG-EG3000XE新一代高性能综合网关
    RG-EG3000UE新一代高性能综合网关

    RG-EG3000UE新一代高性能综合网关
    RG-WS6816高性能无线AC

    RG-WS6816高性能无线AC
    RG-WS6108高性能无线AC

    RG-WS6108高性能无线AC
    RG-EG3000GE新一代高性能综合网关

    RG-EG3000GE新一代高性能综合网关
    RG-EG3000ME新一代高性能综合网关

    RG-EG3000ME新一代高性能综合网关
    RG-EG3000SE新一代高性能综合网关

    RG-EG3000SE新一代高性能综合网关
    RG-EG3000CE新一代高性能综合网关

    RG-EG3000CE新一代高性能综合网关
    RG-EG2000F

    RG-EG2000F
    RG-S2900G-E V3系列千兆交换机

    RG-S2900G-E V3系列千兆交换机
    RG-S2952G-E V3,48口千兆电,千兆上行,接入层

    RG-S2952G-E V3,48口千兆电,千兆上行,接入层
    您可能还关注的问题

    返回顶部

    收起
    请选择服务项目
    关闭咨询页
    售前咨询 售前咨询
    售前咨询
    售后服务 售后服务
    售后服务
    意见反馈 意见反馈
    意见反馈
    更多联系方式