您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 其它行业文档 > 华为AR_G3系列路由器SSL_VPN交付指南_V11_C
HUAWEITECHNOLOGIESCO.,LTD.www.huawei.comHUAWEIConfidentialSecurityLevel:外部公开ARG3系列路由器SSLVPN交付指南V1.1_C企业网络技术服务部V1.1HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage2SSLVPNHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage3学习指南SSLVPN技术原理SSLVPN交付准备SSLVPN典型配置应用SSLVPN故障处理HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage4学习完此课程,您将会:具有ARG3路由器SSLVPN业务典型场景交付能力具有ARG3路由器SSLVPN业务典型问题故障处理能力HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage5第1章SSLVPN技术原理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置第4章AR中SSLVPN配置-三种业务应用场景第5章AR中SSLVPN典型问题故障处理HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage6第1章SSLVPN技术原理SSLVPN(SecureSocketsLayerVPN)是以HTTPS为基础的安全接入的VPN技术,它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制,为用户远程访问公司内部网络提供安全保障。SSLPKIHTTPS业务模块构成资源访问流程HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage7SSLVPN远程维护合作伙伴移动办公分支机构WEB服务器数据库Email企业总部加密的内外连接标准的内部连接NFSERP客户VPN网关•远程维护:HTTPS远程维护,对维护操作的数据加密传送•功能应用:WEB代理、远程桌面/telnet等TCP应用、基于IP的应用•认证方式:用户接入企业内部网络前先要进行认证,支持Local、RADIUS、TACACS等多种认证方式•加密方式:用户访问企业内部网络的数据需要经过加密处理,支持DES、RC4、AES、RSA、MD5、SHA-1等密码算法HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage8SSL协议概述安全套接层SSL(SecureSocketsLayer)协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户端进行认证。SSL协议与应用层协议相互独立,应用层协议(例如:HTTP,FTP)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL协议结构和位置如右图:HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialSSL协议安全机制连接的私密性:SSL利用对称加密算法对传输数据进行加密,并利用密钥交换算法—RSA(RivestShamirandAdleman,非对称密钥算法的一种)加密传输对称密钥算法中使用的密钥。身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。SSL服务器和客户端通过公钥基础设施PKI(PublicKeyInfrastructure)提供的机制从认证机构CA(CertificateAuthority,)获取证书。内容的可靠性:消息传输过程中使用基于密钥的消息验证码MAC(MessageAuthenticationCode)来检验消息的完整性。Page9HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPKI公钥基础设施PKI(PublicKeyInfrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系应用场景:VPN/安全电子邮件/Web安全Web安全:为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。Page10HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPKI工作机制配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证数字证书CA:数字证书是一个经认证机构CA(CertificateAuthority)签名的,包含实体公开密钥及相关身份信息的文件,它建立了实体身份信息与其公钥的关联,是使用PKI系统的用户建立安全通信的信任基础。CA对数字证书的签名保证了证书的合法性和权威性。PKI工作过程:实体向注册机构RA提出证书申请。RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA。CA验证数字签名,同意实体的申请,颁发证书。RA接收CA返回的证书,通知实体证书发行成功。实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信。实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL。Page11HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialHTTPSHTTPS将HTTP和SSL结合,通过SSL对客户端和服务器进行身份验证,对传输的数据进行加密,保证通信的安全性。对于支持Web网管功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,可在设备上部署HTTPS功能,通过SSL对客户端和服务器进行身份验证,对传输的数据进行加密,从而实现了对设备的安全管理。在作为HTTP服务器的设备上部署SSL策略,并使能HTTPS服务器功能后,用户可以在终端通过浏览器登录HTTPS服务器,利用Web页面安全管理设备或者访问设备所属网络的资源Page12HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential业务模块构成Page13远程终端SSLVPN网关企业内网服务器CA认证服务器HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential资源访问流程Page141.终端向AR提出身份审核申请2.AR审核身份,将身份信息和公开密钥以数字签名的方式发送给CA。3.CA验证数字签名,同意终端实体的申请,颁发证书。4.AR接收CA返回的证书,通知终端证书发行成功。5.终端获取证书,利用该证书可以与其它终端使用加密、数字签名进行安全通信。6.终端希望撤消自己的证书时,向CA提交申请。CA批准终端撤消证书,并更新CRL。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage15第1章SSLVPN技术原理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置第4章AR中SSLVPN配置-三种业务应用场景第5章AR中SSLVPN典型问题故障处理HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage16第2章AR中SSLVPN的License管理AR的License结构AR各型号支持的SSLVPNLicense特性License下载和激活HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialAR的License结构Page17License软件体系按照业务类型可以分为数据、语音和安全特性,按照业务的层级可以分为基础、增值和进阶特性,如下图。SSLVPN属于安全增值特性,购买安全增值包后即具备SSLVPN功能,此时默认支持2个用户同时在线,如需要更多用户同时在线,需要购买资源性SSLVPNLicense.虚拟网关允许接入的最大在线用户数目通过客户购买License包实现功能型License资源型LicenseHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialAR各型号支持的SSLVPNLicense特性Page18设备支持的最大在线用户数(具体参考产品手册)AR150/200系列:10AR1200系列、AR2201、AR2202、AR2204:50AR2220、AR2220L、AR2240:100AR3200系列:200SSLVPN属于资源型License,此License功能生效的前提是已购买安全增值业务包,同一个资源型License支持多次选择,用户可以任意组合,最终获得的资源数目为所有资源型License的资源之和,以下是AR全系列可购买的License包SSLVPNlicense-接入10用户数SSLVPNlicense-接入25用户数SSLVPNlicense-接入100用户数HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialLicense下载和激活Page19通过企业业务FNO系统提供自助服务端获取LicenseLicense申请指导可参考附件:HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialLicense下载和激活Page20选择、购买License。获取License授权证书。提取设备的ESN。查看设备的ESN,用户需要登录设备后,执行命令displayesn。使用License激活码方式或用户名&密码方式登录FNO,绑定ESN,生成唯一的License文件。下载License文件。用户可以通过FTP或者移动存储等方式将获取的License文件上传至存储器的默认根目录下。上传License文件到设备,执行命令dirdevice-name,查看是否有足够存储空间存放License文件,确保有足够的存储空间后,通过FTP或者TFTP方式,将License文件上传至存储器的默认根目录下,License文件后缀为*.dat文件。激活License文件,执行命令licenseactivefile-name,获取相应授权检查License状态,使用displaylicense命令查看当前系统中License文件信息,使用displaylicensestate命令查看主控板License状态HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage21第1章SSLVPN技术原理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置第4章AR中SSLVPN配置-三种业务应用场景第5章AR中SSLVPN典型问题故障处理HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage22第3章AR中SSLVPN配置-基础配置配置流程图PKI配置HTTPS配置SSLVPN配置准备创建虚拟网关并绑定内网接口和AAA域使能SSLVPN基本功能配置用户(本地/Radius)检查配置结果HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage23
本文标题:华为AR_G3系列路由器SSL_VPN交付指南_V11_C
链接地址:https://www.777doc.com/doc-27342 .html