创建远程访问 VPN — 瞻博网络安全连接
您的位置: 网络 > VPN > IPsec VPN。
瞻博网络安全连接是瞻博网络基于客户端的 SSL-VPN 解决方案,为您的网络资源提供安全连接。
瞻博网络安全连接为用户提供安全远程访问,用户使用互联网远程连接到企业网络和资源。瞻博网络安全连接从 SRX 服务设备下载配置,并在建立连接期间选择最有效的传输协议,以提供出色的管理员和用户体验。
要为瞻博网络安全连接创建远程访问 VPN,
领域 |
行动 |
---|---|
名字 |
输入远程访问连接的名称。此名称将在瞻博网络安全连接客户端中显示为最终用户领域名称。 |
描述 |
输入说明。此说明将用于 IKE 和 IPsec 提议、策略、远程访问配置文件、客户端配置和 NAT 规则集。 在编辑过程中,将显示 IPsec 策略说明。IPsec 策略和远程访问配置文件说明将更新。 |
路由模式 |
远程访问禁用此选项。 默认模式为流量选择器(自动路由插入)。 |
身份验证方法 |
从列表中选择设备用于验证互联网密钥交换 (IKE) 消息源的身份验证方法:
|
自动创建防火墙策略 |
如果选择 “是”,系统就会在内部区域和隧道接口区域之间自动创建防火墙策略,这些区域将本地保护网络作为源地址,而远程保护网络用作目标地址。 将创建另一个防火墙策略,反之亦然。 如果选择 “否”,则说明您没有防火墙策略选项。您需要手动创建所需的防火墙策略,使此 VPN 正常工作。
注意:
如果您不想在 VPN 工作流程中自动创建防火墙策略,则受保护的网络将隐藏,以在本地和远程网关中进行动态路由。 |
远程用户 |
显示拓扑中的远程用户图标。单击该图标以配置瞻博网络安全连接客户端设置。 有关字段的更多信息,请参阅 表 2。
注意:
配置本地网关后,J-Web UI 会显示远程用户的 URL。 |
本地网关 |
显示拓扑中的本地网关图标。单击该图标以配置本地网关。 有关字段的更多信息,请参阅 表 3。 |
IKE 和 IPsec 设置 |
使用推荐的算法或值配置自定义 IKE 或 IPsec 提议和自定义 IPsec 提议。 有关字段的更多信息,请参阅 表 6。
注意:
|
领域 |
行动 |
---|---|
默认配置文件 |
启用此选项可将配置的 VPN 名称用作远程访问默认配置文件。
注意:
|
连接模式 |
从列表中选择以下选项之一,以建立瞻博网络安全连接客户端连接:
默认连接模式为手动。 |
SSL VPN |
启用此选项以建立从瞻博网络安全连接客户端到 SRX 系列防火墙的 SSL VPN 连接。 默认情况下,此选项处于启用状态。
注意:
当无法访问 IPsec 端口时,这是一个回退选项。 |
生物特征识别身份验证 |
启用此选项可以使用唯一配置的方法对客户端系统进行身份验证。 在客户端系统中连接时,将显示身份验证提示。只有在通过为 Windows Hello 配置的方法(指纹识别、人脸识别、PIN 输入等)成功身份验证后,VPN 连接才会启动。 如果启用了生物特征识别身份验证选项,则必须在客户端系统上预配置 Windows Hello。 |
失效对等方检测 |
启用失效对等方检测 (DPD) 选项,以允许瞻博网络安全连接客户端检测是否可以访问 SRX 系列防火墙。 禁用此选项以允许瞻博网络安全连接客户端在恢复 SRX 系列防火墙连接可访问性之前进行检测。 默认情况下,此选项处于启用状态。 |
DPD 间隔 |
输入对等方在发送失效对等方检测 (DPD) 请求数据包之前等待来自其目标对等方流量的时间。范围为 2 到 60 秒,默认为 60 秒。 |
DPD 阈值 |
输入在对等方被视为不可用之前要发送的最大不成功失效对等方检测 (DPD) 请求数。范围为 1 到 5,默认为 5。 |
证书 |
启用证书以配置安全客户端连接上的证书选项。
注意:
仅当您选择“基于证书”的身份验证方法时,此选项才可用。 |
到期警告 |
启用此选项可在安全连接客户端上显示证书到期警告。 默认情况下,此选项处于启用状态。
注意:
仅当启用证书时,此选项才可用。 |
警告间隔 |
输入要显示警告的间隔(天)。 范围为 1 到 90。默认值为 60。
注意:
仅当启用证书时,此选项才可用。 |
每个连接的 Pin Req |
启用此选项以在连接上输入证书引脚。 默认情况下,此选项处于启用状态。
注意:
仅当启用证书时,此选项才可用。 |
EAP-TLS |
为身份验证过程启用此选项。IKEv2 需要 EAP 进行用户身份验证。SRX 系列防火墙不能用作 EAP 服务器。必须使用外部 RADIUS 服务器进行 IKEv2 EAP 进行 EAP 身份验证。SRX 将充当在瞻博网络安全连接客户端和 RADIUS 服务器之间中继 EAP 消息的直通验证方。 默认情况下,此选项处于启用状态。
注意:
仅当您选择“基于证书”的身份验证方法时,此选项才可用。 |
保存用户名 |
从 Junos OS 22.1R1 版开始,您可以启用此选项以保存远程用户名。 |
保存密码 |
从 Junos OS 22.1R1 版开始,您可以启用此选项以保存远程用户名和密码。 |
Windows 登录 |
启用此选项可让用户在登录到 Windows 系统之前安全地登录到 Windows 域。在与公司网络建立 VPN 连接后,客户端支持使用证书服务提供商进行域登录。 |
域名 |
输入 Users Machine 日志到的系统域名。 |
模式 |
从列表中选择以下选项之一以登录 Windows 域。
|
退出时断开连接 |
当系统切换到休眠或备用模式时,启用此选项以关闭连接。当系统从休眠或备用模式恢复时,必须重新建立连接。 |
注销时刷新证书 |
启用此选项可从缓存中删除用户名和密码。您必须重新输入用户名和密码。 |
前期时间持续时间 |
输入在网络登录和域登录之间初始化的前置时间持续时间。 设置连接后,仅在此处设置的初始化时间过后才会执行 Windows 登录。 |
EAP 身份验证 |
启用此选项可在证书提供商的目标对话之前执行 EAP 身份验证。然后,无论后续拨号是否需要 EAP,系统都会要求提供必需的 PIN。 如果禁用此选项,则 EAP 身份验证将在目标选择后执行。 |
自动打开对话 |
启用此选项可以选择是否应自动打开一个对话以建立与远程域的连接。 如果禁用此选项,则仅在 Windows 登录后才会查询客户端的密码和 PIN。 |
领域 |
行动 |
---|---|
网关在 NAT 后面 |
当本地网关位于 NAT 设备后面时,启用此选项。 |
NAT IP 地址 |
输入 SRX 系列防火墙的公共 (NAT) IP 地址。
注意:
仅当 网关在 NAT 后面 启用时,此选项才可用。您可以配置一个 IPv4 地址来引用 NAT 设备。 |
IKE ID |
此字段为必填字段。以 user@example.com 格式输入 IKE ID。 |
外部接口 |
从客户端要连接的列表中选择传出接口。 如果为指定接口配置了多个 IPv4 地址,则列表将包含所有可用 IP 地址。所选 IP 地址将在 IKE 网关下配置为本地地址。 |
隧道接口 |
从列表中选择要连接的客户端接口。 单击 Add 以添加新界面。此时将显示“创建隧道接口”页面。有关创建新隧道接口的更多信息,请参阅 表 4。 单击 编辑 以编辑所选隧道接口。 |
预共享密钥 |
输入预共享密钥的以下值之一:
注意:
如果身份验证方法为预共享密钥,则此选项可用。 |
本地证书 |
从列表中选择本地证书。 本地证书仅列出 RSA 证书。 要添加证书,请单击 Add。有关添加设备证书的更多信息,请参阅 添加设备证书。 要导入证书 ,请单击导入。有关导入设备证书的更多信息,请参阅 导入设备证书。
注意:
如果身份验证方法基于证书,则此选项可用。 |
可信 CA/组 |
从列表中选择受信任的证书颁发机构/组配置文件。 要添加 CA 配置文件,请单击 添加 CA 配置文件。有关添加 CA 配置文件的更多信息,请参阅 添加证书颁发机构配置文件。
注意:
如果身份验证方法基于证书,则此选项可用。 |
用户身份验证 |
此字段为必填字段。从列表中选择用于验证远程访问 VPN 的用户访问的身份验证配置文件。 单击 Add 以创建新的配置文件。有关创建新的访问配置文件的更多信息,请参阅 添加访问配置文件。 |
SSL VPN 配置文件 |
从列表中选择用于终止远程访问连接的 SSL VPN 配置文件。 要创建新的 SSL VPN 配置文件:
|
源 NAT 流量 |
默认情况下,此选项处于启用状态。 默认情况下,来自瞻博网络安全连接客户端的所有流量都会 NATed 到所选接口。 如果禁用,则必须确保有从网络指向 SRX 系列防火墙的路由,以便正确处理返回流量。 |
接口 |
从列表中选择源 NAT 流量通过的接口。 |
受保护的网络 |
单击 +。此时将显示“创建受保护网络”页面。 |
创建受保护的网络 | |
区 |
从列表中选择一个将在防火墙策略中用作源区域的安全区域。 |
全局地址 |
从“可用”列中选择地址,然后单击右箭头将其移动到“选定”列。 单击 Add 选择客户端可以连接的网络。 将显示创建全局地址页面。有关字段的更多信息,请参阅 表 5。 |
编辑 |
选择要编辑的受保护网络,然后单击铅笔图标。 编辑受保护网络页面将显示可编辑的字段。 |
删除 |
选择要编辑的受保护网络,然后单击 delete 图标。 弹出确认消息。 单击 “是 ”删除受保护的网络。 |
领域 |
行动 |
---|---|
接口单元 |
输入逻辑单元号。 |
描述 |
输入逻辑接口的描述。 |
区 |
从列表中选择一个区域,将其添加到隧道接口。 此区域用于自动创建防火墙策略。 单击 Add 以添加新区域。输入区域名称和说明,并在创建安全区域页面上单击 OK 。 |
路由实例 |
从列表中选择路由实例。
注意:
默认路由实例,主路由实例是指逻辑系统中的主要 inet.0 路由表。 |
领域 |
行动 |
---|---|
名字 |
输入全局地址的名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可能包含冒号、句点、破折号和下划线:不允许有空格;最大 63 个字符。 |
IP 类型 |
选择 IPv4。 |
IPv4 | |
IPv4 地址 |
输入有效的 IPv4 地址。 |
子 |
输入 IPv4 地址的子网。 |
领域 |
行动 |
---|---|
IKE 设置
注意:
以下参数自动生成,不会在 J-Web UI 中显示:
|
|
加密算法 |
从列表中选择相应的加密机制。 默认值为 AES-CBC 256 位。 |
身份验证算法 |
从列表中选择身份验证算法。例如 SHA 256 位。 |
DH 组 |
Diffie-Hellman (DH) 交换允许参与方生成共享密钥值。从列表中选择相应的 DH 组。默认值为组 19。 |
生存秒数 |
选择 IKE 安全关联 (SA) 的生存期(以秒为单位)。 默认值为 28,800 秒。范围:180 至 86,400 秒。 |
失效对等方检测 |
启用此选项可发送失效对等方检测请求,无论是否有传出 IPsec 流量到对等方。 |
DPD 模式 |
从列表中选择其中一个选项:
|
DPD 间隔 |
选择发送失效对等方检测消息的间隔(以秒为单位)。默认间隔为 10 秒。范围为 2 到 60 秒。 |
DPD 阈值 |
选择一个 1 到 5 的数字来设置故障 DPD 阈值。 这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输数为 5 倍。 |
高级配置(可选) | |
NAT-T |
启用此选项,让 IPsec 流量通过 NAT 设备。 NAT-T 是一种 IKE 第 1 阶段算法,在尝试在两个网关设备之间建立 VPN 连接时使用,其中一个 SRX 系列防火墙前面有一个 NAT 设备。 |
NAT 保持活跃 |
选择适当的激活间隔(以秒为单位)。范围:1 到 300。 如果预期 VPN 会长时间处于不活动状态,则可以配置激活值以生成人工流量,使会话在 NAT 设备上保持活动状态。 |
IKE 连接限制 |
输入 VPN 配置文件支持的并发连接数。 范围为 1 到 4294967295。 达到最大连接数后,尝试访问 IPsec VPN 的远程访问用户 (VPN) 端点无法开始互联网密钥交换 (IKE) 协商。 |
IKEv2 分段 |
默认情况下,此选项处于启用状态。IKEv2 分片将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不会有分片。分片发生在对原始消息进行加密和身份验证之前,以便每个分片单独加密和身份验证。
注意:
如果身份验证方法基于证书,则此选项可用。 |
IKEv2 分片大小 |
在将 IKEv2 消息拆分成分片之前,选择其最大大小(以字节为单位)。 大小适用于 IPv4 消息。范围:570 到 1320 字节。 默认值为 576 字节。
注意:
如果身份验证方法基于证书,则此选项可用。 |
IPsec 设置
注意:
身份验证方法是预共享密钥或基于证书的,它自动生成协议为 ESP。 |
|
加密算法 |
选择加密方法。默认值为 AES-GCM 256 位。 |
身份验证算法 |
从列表中选择 IPsec 身份验证算法。例如,HMAC-SHA-256-128。
注意:
当加密算法不是 gcm 时,此选项可用。 |
完全向前保密 |
从列表中选择完全向前保密 (PFS)。设备使用此方法生成加密密钥。默认值为组 19。 PFS 会独立于上一个密钥生成每个新加密密钥。编号越多的组可提供更高的安全性,但需要更多处理时间。
注意:
group15、group16 和 group21 仅支持已安装 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。 |
生存秒数 |
选择 IPsec 安全关联 (SA) 的生存期(以秒为单位)。当 SA 到期时,它将被新的 SA 和安全参数索引 (SPI) 取代或终止。默认为 3,600 秒。范围:180 至 86,400 秒。 |
生存期千字节 |
选择 IPsec SA 的生存期(千字节)。默认为 256kb。范围:64 到 4294967294。 |
高级配置 | |
防重放 |
IPsec 使用 IPsec 数据包中内置的数字序列来抵御 VPN 攻击 — 系统不接受具有相同序列号的数据包。 默认情况下,此选项处于启用状态。反重放会检查序列号并实施检查,而不仅仅是忽略序列号。 如果 IPsec 机制出现错误,导致数据包失序,从而导致无法正常运行,请禁用反重播。 |
安装间隔 |
选择允许在设备上安装密钥重新设置的出站安全关联 (SA) 的最大秒数。选择 1 到 10 秒的值。 |
空闲时间 |
选择空闲时间间隔。如果未收到任何流量,会话及其相应的转换在一段时间后超时。范围为 60 到 999999 秒。 |
DF 位 |
选择设备如何处理外部标头中的不分片 (DF) 位:
|
复制外部 DSCP |
此选项默认启用。这允许将差异化服务代码点 (DSCP)(外部 DSCP+ECN) 从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。启用此功能后,IPsec 解密后,明文数据包可以遵循内部 CoS (DSCP+ECN) 规则。 |