華為USG配置SSL-VPN資料

華為USG配置SSLVPN說明：本文將在USG2200平臺創(chuàng)建SSLVPN，使用LDAP做認(rèn)證服務(wù)器，做網(wǎng)絡(luò)擴展。如下1-4點是個人的理解，不認(rèn)同可跳過。本文使用網(wǎng)頁為主要配置手段，CLI輔助，網(wǎng)頁配置之后，CLI是可以查看配置信息的。前提USG接口配置完畢，外部IP可以跟接口公網(wǎng)IP互通；SSLVPN連接成功后，USG將作為外部IP的“代理”，所以必須確保所部署的服務(wù)器都必須跟USG連通。（WEB代理、端口映射必須跟被代理/映射的服務(wù)器連通，網(wǎng)絡(luò)拓展必須跟被訪問的網(wǎng)絡(luò)互通）。VPN類型WEB代理/文件共享USG將后端服務(wù)以WEB的形式呈現(xiàn)給SSLVPN用戶，通俗理解就是轉(zhuǎn)碼；端口映射USG將后端服務(wù)跟SSLVPN互通，除了NAT等必須的轉(zhuǎn)換之外，USG不做其他的內(nèi)容改變；網(wǎng)絡(luò)拓展USG不是嚴(yán)格意義上的代理，只是用戶地址段的直連路由器，用戶能訪問策略允許的任何內(nèi)網(wǎng)資源。VPN業(yè)務(wù)流程客戶端跟USG之間的SSL連接這一步還未涉及到用戶信息驗證，使用華為的SVN客戶端一般都沒問題。USG將用戶通過SSL上傳的認(rèn)證信息做驗證（本地、LDAP、RADIUS）建議先做本地的VPNDB認(rèn)證，成功之后再考慮LDAP、RADIUS認(rèn)證，有序排錯。用戶訪問指定資源這一步主要是涉及用戶策略和USG到后臺的互聯(lián)互通問題。注意事項USG的網(wǎng)頁兼容性不好，可能會給配置過程造成困擾；IE11、火狐、Chrome均有問題，360瀏覽器沒問題（我是做廣告的嗎？）。主要是在填寫IP地址，搜索外部服務(wù)器組的時候。網(wǎng)頁版的配置，有些在CLI找不到，比如VPNDB，外部服務(wù)器組。（能力有限？）創(chuàng)建VPN虛擬網(wǎng)關(guān)的時候，USG會默認(rèn)創(chuàng)建AAA組和LDAP/RADIUS組（煩?。┨摂M網(wǎng)關(guān)的認(rèn)證域是不能指定的，名字必須是網(wǎng)關(guān)名字.dom，這個它會自己生成。但是這個域下面的認(rèn)證配置是可以修改的配置LDAP服務(wù)器使用微軟的WIN2008SERVERR2的AD，創(chuàng)建的域，并在該域下面創(chuàng)建一級OU，名字“公司”；二級OU，名字“測試部”，測試部門下面放的用戶是test；二級OU，名字“管理員”，用戶admin。所以，使用LDAP瀏覽器（Xplore，LDAP瀏覽器）可以看到test的DN是”cn=test,ou=測試部,ou=公司,dc=test,dc=com”；admin的DN是”cn=admin,ou=管理員,ou=公司,dc=test,dc=com”。Admin是用來對用戶的信息做認(rèn)證和同步的，test是VPN用戶。配置USG新建虛擬網(wǎng)關(guān)VPNSSLVPN虛擬網(wǎng)關(guān)管理，新建；填寫網(wǎng)關(guān)名字，類型獨占，IP地址，域名，最大并發(fā)用戶數(shù)；關(guān)于類型是共享或者獨占、網(wǎng)關(guān)域名究竟是什么用，我沒查到相關(guān)資料。創(chuàng)建完成之后，可以在虛擬網(wǎng)關(guān)列表看到當(dāng)前所擁有的網(wǎng)關(guān)列表。USG支持多網(wǎng)關(guān)并發(fā)，并且互相之間不影響。在創(chuàng)建虛擬網(wǎng)關(guān)之后，系統(tǒng)默認(rèn)自動創(chuàng)建了LDAP，RADIUS，AAA的認(rèn)證、授權(quán)模板。（視需要，我們可以使用自己配置的信息，刪除自動生成的配置。）如下圖，我們可以配置的內(nèi)容：網(wǎng)絡(luò)配置（必選），包括DNS信息。這是下發(fā)給SSLVPN客戶端的；SSL配置（可選），這是配置客戶端跟USG協(xié)商SSL連接的，建議按最嚴(yán)格配置，視懶惰情況勾選“生命周期無限制”認(rèn)證授權(quán)配置（必選），這是配置SSL連接建立后，USG如何處理客戶端拋上來的用戶認(rèn)證信息。建議先用本地認(rèn)證（VPNDB）做測試，再做成LDAP或者RADIUS。一步到位可能不是好事，特別是在配置不成功需要排錯的情況下。策略配置（必選），默認(rèn)是全部允許的。VPNDB配置（可選），這是本地用戶信息配置，在上述認(rèn)證授權(quán)配置選擇“VPNDB”時候必須配置。外部組配置（可選），這是將認(rèn)證服務(wù)器上面的組信息同步到本地，在上述認(rèn)證授權(quán)配置選擇“LDAP“或者”RADIUS“時必選。（有說法是下一代防火墻是可以不配置的，沒測試，沒發(fā)言權(quán)）WEB代理、文件共享、端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)擴展（可選），這是對應(yīng)USG提供的SSLVPN功能的，視需要開啟。本文介紹網(wǎng)絡(luò)擴展。日志管理、在線監(jiān)控、虛擬網(wǎng)關(guān)維護(hù)（可選），這是監(jiān)控和排錯用的。網(wǎng)絡(luò)擴展這里配置給用分配的IP，路由信息。路由模式我不是很了解，不過手動模式可以指定用戶能訪問哪些資源。如下示例，內(nèi)網(wǎng)必須跟/24互通。測試使用華為的SVNClient，在外部網(wǎng)絡(luò)，輸入虛擬網(wǎng)關(guān)