Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建远程访问 VPN - 瞻博网络安全连接

您的位置是:网络> VPN > IPsec VPN

瞻博网络安全连接是瞻博网络基于客户端的 SSL-VPN 解决方案,可为您的网络资源提供安全连接。

瞻博网络安全连接为用户提供安全的远程访问,以使用互联网远程连接到企业网络和资源。瞻博网络安全连接从 SRX 服务设备下载配置,并在建立连接期间选择最有效的传输协议,以提供出色的管理员和用户体验。

要为瞻博网络安全连接创建远程访问 VPN,请执行以下操作:

  1. 选择 IPsec VPN 页面 右上角>瞻博网络安全连接创建 VPN >远程访问。

    此时将显示“创建远程访问(瞻博网络安全连接)”页面。

  2. 根据表 1表 6 中提供的指南完成配置。

    VPN 连接将在拓扑中从灰线变为蓝线,以显示配置已完成。

  3. 单击 保存 以完成安全连接 VPN 配置和相关策略(如果已选择自动策略创建选项)。

    如果要放弃更改,请单击 “取消”。

表 1:创建远程访问(瞻博网络安全连接)页面上的字段

领域

行动

名字

输入远程访问连接的名称。此名称将在瞻博网络安全连接客户端中显示为最终用户领域名称。

描述

输入描述。此说明将用于 IKE 和 IPsec 提议、策略、远程访问配置文件、客户端配置和 NAT 规则集。

在编辑过程中,将显示 IPsec 策略说明。将更新 IPsec 策略和远程访问配置文件说明。

路由模式

此选项对远程访问禁用。

默认模式为流量选择器(自动路由插入)。

身份验证方法

从列表中选择设备用于验证互联网密钥交换 (IKE) 消息源的身份验证方法:

  • 预共享密钥(默认方法)— 指定在身份验证期间使用预共享密钥(即两个对等方之间共享的密钥)来相互标识对等方。必须为每个对等方配置相同的密钥。这是默认方法。

  • 基于证书 - 指定数字签名的类型,即确认证书持有者身份的证书。

    支持的签名是 rsa 签名。RSA 签名指定使用支持加密和数字签名的公钥算法。

自动创建防火墙策略

如果选择 “是”,则会自动在内部区域和隧道接口区域之间创建防火墙策略,其中本地受保护网络作为源地址,远程受保护网络作为目标地址。

将创建另一个防火墙策略,反之亦然。

如果选择 “否”,则没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。

注意:

如果您不想在 VPN 工作流中自动创建防火墙策略,则会隐藏受保护的网络,以便在本地和远程网关中进行动态路由。

远程用户

在拓扑中显示远程用户图标。单击图标以配置瞻博网络安全连接客户端设置。

有关字段的详细信息,请参阅 表 2

注意:

配置本地网关后,J-Web UI 会显示远程用户的 URL。

本地网关

在拓扑中显示本地网关图标。单击该图标以配置本地网关。

有关字段的详细信息,请参阅 表 3

IKE 和 IPsec 设置

使用建议的算法或值配置自定义 IKE 或 IPsec 提议以及自定义 IPsec 提议。

有关字段的详细信息,请参阅 表 6

注意:
  • J-Web 仅支持一个自定义 IKE 提议,不支持预定义的提议集。编辑并保存后,J-Web 会删除预定义的提议集(如果已配置)。

  • 在 VPN 隧道的远程网关上,您必须配置相同的自定义提议和策略。

  • 编辑后,如果配置了多个自定义提议,J-Web 会显示第一个自定义 IKE 和 IPsec 提议。

表 2:远程用户页面上的字段

领域

行动

默认配置文件

启用此选项可将配置的 VPN 名称用作远程访问默认配置文件。

注意:
  • 如果配置了默认配置文件,则此选项不可用。

  • 您必须启用默认配置文件。如果未启用,请在“VPN > IPsec VPN >远程访问 VPN全局设置”下配置默认配置文件>

连接模式

从列表中选择以下选项之一以建立瞻博网络安全连接客户端连接:

  • 手动 — 每次登录时都需要手动连接到 VPN 隧道。

  • 始终 — 每次登录时,系统都会自动连接到 VPN 隧道。

默认连接模式为手动。

SSL VPN

启用此选项可建立从瞻博网络安全连接客户端到 SRX 系列设备的 SSL VPN 连接。

默认情况下,此选项处于启用状态。

注意:

这是无法访问 IPsec 端口时的回退选项。

生物识别认证

启用此选项可使用唯一配置的方法对客户端系统进行身份验证。

在客户端系统中连接时,将显示身份验证提示。只有在通过为 Windows Hello 配置的方法(指纹识别、人脸识别、PIN 输入等)成功进行身份验证后,才会启动 VPN 连接。

如果启用了生物识别身份验证选项,则必须在客户端系统上预配置 Windows Hello

失效对等体检测

启用失效对等体检测 (DPD) 选项,允许瞻博网络安全连接客户端检测 SRX 系列设备是否可访问。

禁用此选项可允许瞻博网络安全连接客户端进行检测,直到 SRX 系列设备连接可访问性恢复。

默认情况下,此选项处于启用状态。

DPD 间隔

输入对等方在发送失效对等体检测 (DPD) 请求数据包之前等待来自其目标对等方的流量的时间量。范围为 2 到 60 秒,默认值为 60 秒。

DPD 阈值

输入在将对等方被视为不可用之前要发送的最大不成功失效对等体检测 (DPD) 请求数。范围为 1 到 5,默认值为 5。

证书

启用证书以在安全客户端连接上配置证书选项。

注意:

仅当选择基于证书的身份验证方法时,此选项才可用。

到期警告

启用此选项可在安全连接客户端上显示证书过期警告。

默认情况下,此选项处于启用状态。

注意:

仅当启用证书时,此选项才可用。

警告间隔

输入要显示警告的时间间隔(天)。

范围为 1 到 90。默认值为 60。

注意:

仅当启用证书时,此选项才可用。

每个连接的引脚要求

启用此选项可在非常连接上输入证书 PIN。

默认情况下,此选项处于启用状态。

注意:

仅当启用证书时,此选项才可用。

EAP-TLS

为身份验证过程启用此选项。IKEv2 需要 EAP 进行用户身份验证。SRX 系列设备不能充当 EAP 服务器。IKEv2 EAP 必须使用外部 RADIUS 服务器才能执行 EAP 身份验证。SRX 将充当直通身份验证器,在瞻博网络安全连接客户端和 RADIUS 服务器之间中继 EAP 消息。

默认情况下,此选项处于启用状态。

注意:

仅当选择基于证书的身份验证方法时,此选项才可用。

Windows 登录

启用此选项可让用户在登录到 Windows 系统之前安全地登录到 Windows 域。在与公司网络建立 VPN 连接后,客户端支持使用凭据服务提供商进行域登录。

域名

输入用户计算机记录到的系统域名。

模式

从列表中选择以下选项之一以登录到 Windows 域。

  • 手动 - 您必须在 Windows 登录屏幕上手动输入登录数据。

  • 自动 - 客户端软件无需您执行操作,即可将此处输入的数据传输到 Microsoft 登录界面(凭据提供程序)。

注销时断开连接

启用此选项可在系统切换到休眠或待机模式时关闭连接。当系统从休眠或待机模式恢复时,必须重新建立连接。

注销时刷新凭据

启用此选项可从缓存中删除用户名和密码。您必须重新输入用户名和密码。

提前期持续时间

输入提前期以初始化网络登录和域登录之间的时间。

建立连接后,只有在经过此处设置的初始化时间后,才会执行 Windows 登录。

EAP 身份验证

启用此选项可在凭据提供程序中的目标对话框之前执行 EAP 身份验证。然后,系统将询问必要的 PIN,而不管后续拨入是否需要 EAP。

如果禁用此选项,则将在选择目标后执行 EAP 身份验证。

自动对话框打开

启用此选项可选择是否应自动打开对话框以建立与远程域的连接。

如果禁用此选项,则仅在 Windows 登录后查询客户端的密码和 PIN。

表 3:本地网关页面上的字段

领域

行动

网关位于 NAT 后面

当本地网关位于 NAT 设备后面时,启用此选项。

NAT IP 地址

输入 SRX 系列设备的公有 (NAT) IP 地址。

注意:

仅当 启用了“网关位于 NAT 后面” 时,此选项才可用。您可以配置 IPv4 地址以引用 NAT 设备。

IKE ID

此字段为必填字段。以 user@example.com 格式输入 IKE ID。

外部接口

从列表中选择客户端将连接到的传出接口。

如果为指定接口配置了多个 IPv4 地址,则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。

隧道接口

从列表中选择客户端要连接到的接口。

单击 添加 以添加新接口。此时将显示创建隧道接口页面。有关创建新隧道接口的更多信息,请参阅 表 4

单击编辑以 编辑 选定的隧道接口。

预共享密钥

输入预共享密钥的以下值之一:

  • ASCII 文本 — ASCII 文本密钥。

  • 十六进制 - 十六进制键。

注意:

如果身份验证方法是预共享密钥,则此选项可用。

本地证书

从列表中选择本地证书。

本地证书仅列出 RSA 证书。

若要添加证书,请单击 “添加”。有关添加设备证书的详细信息,请参阅 添加设备证书

要导入证书,请单击 导入。有关导入设备证书的详细信息,请参阅 导入设备证书

注意:

如果身份验证方法基于证书,则此选项可用。

受信任的 CA/组

从列表中选择受信任的证书颁发机构/组配置文件。

要添加 CA 配置文件,请单击 添加 CA 配置文件。有关添加 CA 配置文件的详细信息,请参阅 添加证书颁发机构配置文件

注意:

如果身份验证方法基于证书,则此选项可用。

用户身份验证

此字段为必填字段。从列表中选择将用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。

单击 添加 以创建新的配置文件。有关创建新的访问配置文件的详细信息,请参阅 添加访问配置文件

SSL VPN 配置文件

从列表中选择将用于终止远程访问连接的 SSL VPN 配置文件。

要创建新的 SSL VPN 配置文件,请执行以下操作:

  1. 单击 “添加”。

  2. 输入以下详细信息:

    • 名称 — 输入 SSL VPN 配置文件的名称。

    • 日志记录 - 启用此选项可记录 SSL VPN。

    • SSL 终止配置文件 — 从列表中选择 SSL 终止配置文件。

      要添加新的 SSL 终止配置文件,请执行以下操作:

      1. 单击 “添加”。

        此时将显示“创建 SSL 终止配置文件”页面。

      2. 输入以下详细信息:

        • 名称 — 输入 SSL 终止配置文件的名称。

        • 服务器证书 - 从列表中选择服务器证书。

          若要添加证书,请单击 “添加”。有关添加设备证书的详细信息,请参阅 添加设备证书

          要导入证书,请单击 导入。有关导入设备证书的详细信息,请参阅 导入设备证书

        • 单击“确定”。

      3. 单击“确定”。

  3. 单击“确定”。

源 NAT 流量

默认情况下,此选项处于启用状态。

默认情况下,来自瞻博网络安全连接客户端的所有流量都会通过 NAT 传输到所选接口。

如果禁用,则必须确保有来自网络的路由指向 SRX 系列设备,以便正确处理返回流量。

接口

从列表中选择源 NAT 流量通过的接口。

受保护的网络

单击 +。此时将显示“创建受保护的网络”页面。

创建受保护的网络

从列表中选择将用作防火墙策略中的源区域的安全区域。

全局地址

从“可用”列中选择地址,然后单击向右箭头将其移动到“已选择”列。

单击 “添加 ”以选择客户端可以连接到的网络。

此时将显示“创建全局地址”页面。有关字段的详细信息,请参阅 表 5

编辑

选择要编辑的受保护网络,然后单击铅笔图标。

此时将显示“编辑受保护的网络”页面,其中包含可编辑字段。

删除

选择要编辑的受保护网络,然后单击删除图标。

弹出确认消息。

单击 “是 ”删除受保护的网络。

表 4:创建隧道接口页面上的字段

领域

行动

接口单元

输入逻辑单元号。

描述

输入逻辑接口的描述。

从列表中选择一个区域以将其添加到隧道接口。

此区域用于自动创建防火墙策略。

单击 “添加 ”以添加新区域。输入区域名称和描述,然后在创建安全区域页面上单击 确定

路由实例

从列表中选择路由实例。

注意:

默认路由实例(主)是指逻辑系统中的主 inet.0 路由表。

表 5:创建全局地址页面上的字段

领域

行动

名字

输入全局地址的名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可以包含冒号、句点、短划线和下划线;不允许有空格;最多 63 个字符。

IP 类型

选择 IPv4

IPv4

IPv4 地址

输入有效的 IPv4 地址。

输入 IPv4 地址的子网。

表 6:IKE 和 IPsec 设置

领域

行动

IKE 设置
注意:

以下参数是自动生成的,不会显示在 J-Web UI 中:

  • 如果身份验证方法为预共享密钥,则 IKE 版本为 v1,IKE 用户类型为共享 ike-id,模式为主动。

  • 如果身份验证方法为“基于证书”,则 IKE 版本为 v2,ike 用户类型为共享 ike-id,模式为 Main。

加密算法

从列表中选择适当的加密机制。

默认值为 AES-CBC 256 位。

身份验证算法

从列表中选择身份验证算法。例如,SHA 256 位。

DH集团

Diffie-Hellman (DH) 交换允许参与者生成共享的密钥值。从列表中选择相应的 DH 组。默认值为 group19。

终身秒数

选择 IKE 安全关联 (SA) 的生存期(以秒为单位)。

默认值为 28,800 秒。范围:180 到 86,400 秒。

失效对等体检测

启用此选项可发送失效对等方检测请求,而不管是否存在传出 IPsec 流量到对等方。

DPD 模式

从列表中选择一个选项:

  • 已优化 - 仅在有传出流量而没有传入数据流量时发送探测 - RFC3706(默认模式)。

  • probe-idle-tunnel - 发送探测的方式与优化模式下相同,也没有传出和传入数据流量时发送探测。

  • 始终发送 — 无论传入和传出数据流量如何,都会定期发送探测。

DPD 间隔

选择发送失效对等方检测消息的间隔(以秒为单位)。默认间隔为 10 秒。范围为 2 到 60 秒。

DPD 阈值

选择一个介于 1 到 5 之间的数字以设置故障 DPD 阈值。

这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。

高级配置(可选)

NAT-T

启用此选项,以便 IPsec 流量通过 NAT 设备。

NAT-T 是一种 IKE 第 1 阶段算法,用于尝试在两个网关设备之间建立 VPN 连接,其中一个 SRX 系列设备前面有一个 NAT 设备。

NAT 保持活动状态

选择适当的激活间隔(以秒为单位)。范围:1 到 300。

如果预计 VPN 会有较长时间不活动状态,则可以配置激活值以生成人工流量,以使会话在 NAT 设备上保持活动状态。

IKE 连接限制

输入 VPN 配置文件支持的并发连接数。

范围为 1 到 4294967295。

达到最大连接数后,尝试访问 IPsec VPN 的远程访问用户 (VPN) 端点将无法再开始互联网密钥交换 (IKE) 协商。

IKEv2 分段

默认情况下,此选项处于启用状态。IKEv2 分段将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。分段发生在对原始消息进行加密和身份验证之前,以便对每个片段进行单独加密和身份验证。

注意:

如果身份验证方法基于证书,则此选项可用。

IKEv2 片段大小

选择 IKEv2 消息拆分为片段之前的最大大小(以字节为单位)。

大小适用于 IPv4 消息。范围:570 到 1320 字节。

默认值为 576 字节。

注意:

如果身份验证方法基于证书,则此选项可用。

IPsec 设置
注意:

身份验证方法是预共享密钥或基于证书的,它会自动生成协议作为 ESP。

加密算法

选择加密方法。默认值为 AES-GCM 256 位。

身份验证算法

从列表中选择 IPsec 身份验证算法。例如,HMAC-SHA-256-128。

注意:

当加密算法不是 gcm 时,此选项可用。

完全向前保密

从列表中选择完全向前保密 (PFS)。设备使用此方法生成加密密钥。默认值为 group19。

PFS 独立于前一个密钥生成每个新的加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。

注意:

group15、group16 和 group21 仅支持安装了 SPC3 卡和 Junos-IKE 软件包的 SRX5000 系列设备。

终身秒数

选择 IPsec 安全关联 (SA) 的生存期(以秒为单位)。当 SA 过期时,它将替换为新的 SA 和安全参数索引 (SPI) 或终止。默认值为 3,600 秒。范围:180 到 86,400 秒。

生命周期千字节

选择 IPsec SA 的生存期(以千字节为单位)。默认值为 256kb。范围:64 到 4294967294。

高级配置

防重放

IPsec 通过使用内置于 IPsec 数据包中的数字序列来抵御 VPN 攻击,而系统不接受具有相同序列号的数据包。

默认情况下,此选项处于启用状态。防重放检查序列号并强制执行检查,而不仅仅是忽略序列号。

如果 IPsec 机制出错,导致数据包无序,从而阻止正常运行,请禁用防重放。

安装间隔

选择允许在设备上安装重新生成密钥的出站安全关联 (SA) 的最大秒数。选择一个介于 1 到 10 秒之间的值。

空闲时间

选择空闲时间间隔。如果未收到流量,则会话及其相应的转换会在一段时间后超时。范围为 60 到 999999 秒。

DF 位

选择设备如何处理外部标头中的不分段 (DF) 位:

  • clear — 清除(禁用)外部标头中的 DF 位。这是默认设置。

  • copy - 将 DF 位复制到外部标头。

  • set — 设置(启用)外部标头中的 DF 位。

复制外部 DSCP

默认情况下启用此选项。这样就可以将差异服务代码点 (DSCP)(外部 DSCP+ECN)从外部 IP 标头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。启用此功能后,IPsec 解密后,明文数据包可以遵循内部 CoS (DSCP+ECN) 规则。