创建远程访问 VPN - 瞻博网络安全连接
您的位置: 网络 > VPN > IPsec VPN。
瞻博网络安全连接是瞻博网络基于客户端的 SSL-VPN 解决方案,可为您的网络资源提供安全连接。
瞻博网络安全连接为用户提供安全的远程访问,可通过互联网远程连接到公司网络和资源。瞻博网络安全连接从 SRX 服务设备下载配置,并在连接建立过程中选择最有效的传输协议,以提供出色的管理员和用户体验。
要为瞻博网络安全连接创建远程访问 VPN,请执行以下作:
田 |
行动 |
|---|---|
名字 |
输入远程访问连接的名称。此名称将在瞻博网络安全连接客户端中显示为最终用户领域名称。 |
描述 |
输入描述。此说明将用于 IKE 和 IPsec 提议、策略、远程访问配置文件、客户端配置和 NAT 规则集。 在编辑过程中,将显示 IPsec 策略说明。将更新 IPsec 策略和远程访问配置文件说明。 |
路由模式 |
此选项已针对远程访问禁用。 默认模式为流量选择器(自动路由插入)。 |
身份验证方法 |
从列表中选择设备用于验证互联网密钥交换 (IKE) 消息来源的身份验证方法:
|
自动创建防火墙策略 |
如果选择 “是”,则会在内部区域和隧道接口区域之间自动创建防火墙策略,其中本地受保护网络为源地址,远程受保护网络为目标地址。 反之亦然,将创建另一个防火墙策略。 如果选择 “否”,则表示没有防火墙策略选项。您需要手动创建所需的防火墙策略才能使此 VPN 正常工作。
注意:
如果您不想在 VPN 工作流中自动创建防火墙策略,则将隐藏受保护的网络,以便在本地和远程网关中实现动态路由。 |
远程用户 |
在拓扑中显示远程用户图标。单击图标以配置瞻博网络安全连接客户端设置。 有关字段的更多信息,请参阅 表 2。
注意:
从 Junos OS 23.1R1 版本开始,如果配置了连接配置文件,J-Web 将以 FQDN 或 FQDN/Realm 格式显示远程用户。如果未配置,J-Web 将显示外部接口 IP(对于默认配置文件)或外部接口 IP/VPN 名称(对于非默认配置文件)。 |
本地网关 |
在拓扑中显示本地网关图标。单击图标以配置本地网关。 有关字段的详细信息,请参阅 表 3。 |
IKE 和 IPsec 设置 |
使用建议的算法或值配置自定义 IKE 或 IPsec 提议和自定义 IPsec 提议。 有关字段的更多信息,请参阅 表 6。
注意:
|
田 |
行动 |
|---|---|
| 默认配置文件 |
启用此选项可将配置的 VPN 名称用作远程访问默认配置文件。
注意:
|
| 连接模式 |
从列表中选择以下选项之一,以建立瞻博网络安全连接客户端连接:
默认连接模式为手动。 |
| SSL VPN |
启用此选项可建立从瞻博网络安全连接客户端到 SRX 系列防火墙的 SSL VPN 连接。 默认情况下,此选项处于启用状态。
注意:
当无法访问 IPsec 端口时,这是一个回退选项。 |
| 生物识别身份验证 |
启用此选项可使用唯一配置方法对客户端系统进行身份验证。 在客户端系统中连接时,将显示身份验证提示。只有通过为 Windows Hello 配置的方法(指纹识别、人脸识别、PIN 输入等)成功进行身份验证后,才会启动 VPN 连接。 如果启用了“生物识别身份验证”选项,则必须在客户端系统上预配置 Windows Hello。 |
| 失效对等体检测 |
启用失效对等方检测 (DPD) 选项,以允许瞻博网络安全连接客户端检测 SRX 系列防火墙是否可访问。 禁用此选项以允许瞻博网络安全连接客户端进行检测,直到 SRX 系列防火墙连接可访问性恢复为止。 默认情况下,此选项处于启用状态。 |
| DPD 间隔 |
输入对等方在发送失效对等方检测 (DPD) 请求数据包之前等待来自其目标对等方的流量的时间量。范围为 2 到 60 秒,默认为 60 秒。 |
| DPD 阈值 |
输入在对等方被视为不可用之前要发送的不成功的失效对等方检测 (DPD) 请求的最大数量。范围为 1 到 5,默认值为 5。 |
| 证书 |
启用证书以在安全客户端连接上配置证书选项。
注意:
仅当选择 EAP-TLS(证书)身份验证方法时,此选项才可用。 |
| 到期警告 |
启用此选项可在安全连接客户端上显示证书过期警告。 默认情况下,此选项处于启用状态。
注意:
仅当启用“证书”时,此选项才可用。 |
| 警告间隔 |
输入显示警告的时间间隔(天)。 范围为 1 到 90。默认值为 60。
注意:
仅当启用“证书”时,此选项才可用。 |
| 每个连接的引脚请求 |
启用此选项可在非常连接时输入证书引脚。 默认情况下,此选项处于启用状态。
注意:
仅当启用“证书”时,此选项才可用。 |
| 保存用户名 |
从 Junos OS 22.1R1 版开始,您可以启用此选项来保存远程用户名。 |
| 保存密码 |
从 Junos OS 22.1R1 版开始,您可以启用此选项以保存远程用户名和密码。 |
| Windows 登录 |
启用此选项可让用户在登录到 Windows 系统之前安全地登录到 Windows 域。在与公司网络建立 VPN 连接后,客户端支持使用凭据服务提供商进行域登录。 |
| 域名 |
输入用户计算机登录的系统域名。 |
| 模式 |
从列表中选择以下选项之一以登录到 Windows 域。
|
| 注销时断开连接 |
启用此选项可在系统切换到休眠或待机模式时关闭连接。当系统从休眠或待机模式恢复时,必须重新建立连接。 |
| 注销时刷新凭据 |
启用此选项可从缓存中删除用户名和密码。您必须重新输入用户名和密码。 |
| 交货期 |
输入前期持续时间以初始化网络登录和域登录之间的时间。 设置连接后,将仅在此处设置的初始化时间过后执行 Windows 登录。 |
| EAP 身份验证 |
启用此选项可在凭据提供程序中的目标对话框之前执行 EAP 身份验证。然后,系统将要求提供必要的 PIN,无论后续拨入是否需要 EAP。 如果禁用此选项,则将在选择目标后执行 EAP 身份验证。 |
| 自动对话框打开 |
启用此选项可选择是否应自动打开对话框以建立与远程域的连接。 如果禁用此选项,则只会在 Windows 登录后查询客户端的密码和 PIN。 |
| 多设备接入 |
注意:
从 Junos OS 23.2R1 版本开始,J-Web 支持远程用户页面的多设备访问选项。SRX300 系列防火墙不支持此选项。 启用此选项可从多个设备连接您。
注意:
要使用多设备访问,必须在 SRX 系列防火墙上安装 junos-ike 软件包。在 SRX 系列防火墙上运行以下命令,以安装 junos-ike 软件包: request system software add optional: //junos-ike.tgz |
| 应用程序绕过 |
注意:
从 Junos OS 23.4R2 版开始,此选项可用于 SRX300 系列防火墙。 启用此选项可配置哪些应用程序和/或域可以绕过 VPN 隧道。您可以在网格视图中选择配置的应用程序绕过配置文件。 要添加新的应用程序绕过术语,请执行以下作:
|
| 合规 |
注意:
从 Junos OS 23.2R1 版本开始,J-Web 支持远程用户页面的合规性选项。
注意:
从 Junos OS 23.4R2 版开始,此选项可用于 SRX300 系列防火墙。 从列表中选择将由 SRX 系列防火墙验证的合规性规则,以便在用户登录之前建立 VPN 隧道。 若要创建新的合规性规则,请单击 “创建”。此时将显示“创建登录前合规性”页面。有关字段信息,请参阅 创建登录前合规性。 |
田 |
行动 |
|---|---|
| 网关在 NAT 后面 |
当本地网关位于 NAT 设备后面时,请启用此选项。 |
| NAT IP 地址 |
输入 SRX 系列防火墙的公共 (NAT) IP 地址。
注意:
仅当 网关在启用 NAT 后 方时,此选项才可用。您可以配置 IPv4 地址来引用 NAT 设备。 |
| 外部接口 |
从客户端将连接到的列表中选择一个传出接口。 如果为指定接口配置了多个 IPv4 或 IPv6 地址,则该列表包含所有可用 IP 地址。所选 IP 地址将配置为 IKE 网关下的本地地址。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持 junos-ike 软件包安装设备的 IPv6 地址。 |
| 连接配置文件 |
这是必填字段。以 IP 地址或 FQDN 或 FQDN/领域格式输入连接配置文件。 连接配置文件可以是任何字符串,可以有句点和斜杠;最多 255 个字符。 IKE ID 是从连接配置文件自动派生的。
注意:
|
| 隧道接口 |
从列表中选择客户端要连接的接口。 单击 “添加 ”以添加新接口。此时将显示 Create Tunnel Interface 页面。有关创建新隧道接口的更多信息,请参阅 表 4。 单击 编辑 以编辑所选隧道接口。 |
| 预共享密钥 |
输入预共享密钥的以下值之一:
注意:
如果身份验证方法为预共享密钥,则此选项可用。 |
| 本地证书 |
从列表中选择本地证书。 本地证书仅列出 RSA 证书。
注意:
仅当选择 EAP-TLS(证书)身份验证方法时,此选项才可用。 从 Junos OS 23.1R1 版开始,所有设备证书都列在本地证书中。例如,Let's Encrypt 和 ACME 证书。有关设备证书的详细信息,请参阅 创建设备证书 |
| 用户身份验证 |
此字段为必填字段。从列表中选择用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。 单击 “添加 ”以创建新的配置文件。有关创建新的访问配置文件的详细信息,请参阅 添加访问配置文件。 |
| SSL VPN 配置文件 |
从列表中选择将用于终止远程访问连接的 SSL VPN 配置文件。 要创建新的 SSL VPN 配置文件,请执行以下作:
|
| 源 NAT 流量 |
默认情况下,此选项处于启用状态。 默认情况下,来自瞻博网络安全连接客户端的所有流量都会 NAT 到所选接口。 如果禁用,则必须确保网络中有一条指向 SRX 系列防火墙的路由,以便正确处理回传流量。 |
| 接口 |
从列表中选择源 NAT 流量通过的接口。 |
| 受保护的网络 |
单击 +。此时将显示“创建受保护的网络”页面。 |
| 创建受保护的网络 | |
| 区 |
从列表中选择将用作防火墙策略中的源区域的安全区域。 |
| 全局地址 |
从“可用”列中选择地址,然后单击向右箭头将其移动到“已选择”列。 单击 “添加 ”以选择客户端可以连接的网络。 此时将显示“创建全局地址”页面。有关字段的详细信息,请参阅 表 5。 |
| 编辑 |
选择要编辑的受保护网络,然后单击铅笔图标。 此时将显示“编辑受保护的网络”页面,其中包含可编辑的字段。 |
| 删除 |
选择要编辑的受保护网络,然后单击删除图标。 将弹出确认消息。 单击 “是 ”删除受保护的网络。 |
田 |
行动 |
|---|---|
接口单元 |
输入逻辑单元编号。 |
描述 |
输入逻辑接口的描述。 |
区 |
从列表中选择一个区域,将其添加到隧道接口。 此区域用于自动创建防火墙策略。 单击 “添加 ”以添加新区域。输入区域名称和描述,然后在“创建安全区域”页面上单击“ 确定 ”。 |
路由实例 |
从列表中选择一个路由实例。
注意:
默认路由实例 primary 指的是逻辑系统中的主 inet.0 路由表。 |
田 |
行动 |
|---|---|
| 子 |
输入 IPv4 或 IPv6 地址的子网。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持 junos-ike 软件包安装设备的 IPv6 地址。 |
| 标识符 |
输入全局地址的名称。 |
田 |
行动 |
|---|---|
| IKE 设置
注意:
以下参数是自动生成的,不会显示在 J-Web UI 中:
|
|
| 加密算法 |
从列表中选择适当的加密机制。 默认值为 AES-CBC 256 位。 |
| 身份验证算法 |
从列表中选择身份验证算法。例如,SHA 256 位。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持对已安装 junos-ike 软件包的设备使用 SHA 512 位身份验证算法。 |
| DH组 |
Diffie-hellman (DH) 交换允许参与方生成一个共享的密钥值。从列表中选择适当的 DH 组。默认值为 group19。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持已安装 junos-ike 软件包的设备使用第 15 组、第 16 组和第 21 组 DH 组。 |
| 生存秒数 |
选择 IKE 安全关联 (SA) 的生存期持续时间(以秒为单位)。 默认值为 28,800 秒。范围:180 到 86,400 秒。 |
| 失效对等体检测 |
启用此选项可发送不工作对等方检测请求,而不管是否有传出 IPsec 流量到对等方。 |
| DPD 模式 |
从列表中选择其中一个选项:
|
| DPD 间隔 |
选择发送失效对等方检测消息的时间间隔(以秒为单位)。默认间隔为 10 秒。范围为 2 到 60 秒。 |
| DPD 阈值 |
选择一个从 1 到 5 的数字以设置故障 DPD 阈值。 这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次。 |
| 高级配置(可选) | |
| NAT-T |
启用此选项可让 IPsec 流量通过 NAT 设备。 NAT-T 是一种 IKE 第 1 阶段算法,用于尝试在两个网关设备之间建立 VPN 连接,其中其中一个 SRX 系列防火墙前面有一个 NAT 设备。 |
| NAT 保持活力 |
选择适当的激活间隔(以秒为单位)。范围:1 到 300。 如果预计 VPN 会有很长的时间不活动,您可以配置激活值来生成人工流量,以使会话在 NAT 设备上保持活动状态。 |
| IKE 连接限制 |
输入 VPN 配置文件支持的并发连接数。 范围为 1 到 4294967295。 当达到最大连接数时,不再有尝试访问 IPsec VPN 的远程访问用户 (VPN) 端点可以开始互联网密钥交换 (IKE) 协商。 |
| IKEv2 分段 |
默认情况下,此选项处于启用状态。IKEv2 分片将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不存在分段。分段发生在对原始消息进行加密和验证之前,因此每个分段都经过单独加密和验证。
注意:
如果身份验证方法是“基于证书”,则此选项可用。 |
| IKEv2 分段大小 |
在将 IKEv2 消息拆分为多个片段之前,选择该消息的最大大小(以字节为单位)。 大小适用于 IPv4 消息。范围:570 到 1320 字节。 默认值为 576 字节。
注意:
如果身份验证方法是“基于证书”,则此选项可用。 |
| IPsec 设置
注意:
身份验证方法是基于预共享密钥或证书,它会自动生成协议作为 ESP。 |
|
| 加密算法 |
选择加密方法。默认值为 AES-GCM 256 位。 |
| 身份验证算法 |
从列表中选择 IPsec 身份验证算法。例如,HMAC-SHA-256-128。
注意:
当加密算法不是 gcm 时,此选项可用。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持 Junos-IKE 软件包安装设备的 HMAC-SHA 384 和 HMAC-SHA 512 身份验证算法。 |
| 完全向前保密 |
从列表中选择“完全向前保密 (PFS)”。设备使用此方法生成加密密钥。默认值为 group19。 PFS 独立于前一个密钥生成每个新加密密钥。编号越高的组安全性越高,但需要更长的处理时间。
注意:
group15、group16 和 group21 仅支持安装了 SPC3 卡和 junos-ike 软件包的 SRX5000 系列设备。
注意:
从 Junos OS 23.4R1 版本开始,J-Web 支持 Junos-IKE 软件包安装设备的第 15 组、第 16 组和第 21 组 PFS。 |
| 生存秒数 |
选择 IPsec 安全关联 (SA) 的生存期(以秒为单位)。当 SA 到期时,它将被新的 SA 和安全参数索引 (SPI) 取代或终止。默认值为 3,600 秒。范围:180 到 86,400 秒。 |
| 生存期千字节 |
选择 IPsec SA 的生存期(以千字节为单位)。默认值为 256kb。范围:64 到 4294967294。 |
| 高级配置 | |
| 防重放 |
IPsec 通过使用 IPsec 数据包中内置的数字序列来抵御 VPN 攻击 - 系统不接受具有相同序列号的数据包。 默认情况下,此选项处于启用状态。防重放会检查序列号并强制执行检查,而不仅仅是忽略序列号。 如果 IPsec 机制出现错误,导致数据包乱序,从而妨碍正常运行,请禁用防重放。 |
| 安装间隔 |
选择允许在设备上安装密钥重新设置的出站安全关联 (SA) 的最大秒数。选择一个介于 1 到 10 秒之间的值。 |
| 空闲时间 |
选择空闲时间间隔。如果未收到流量,会话及其相应的转换会在一段时间后超时。范围为 60 到 999999 秒。 |
| DF 位 |
选择设备如何处理外部标头中的不分段 (DF) 位:
|
| 复制外部 DSCP |
默认情况下,此选项处于启用状态。这样就可以将差异服务代码点 (DSCP)(外部 DSCP+ECN)从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。开启该功能后,IPsec解密后,明文数据包可以遵循内部CoS(DSCP+ECN)规则。 |
| ICMP 大数据包警告 |
使用此选项可以启用或禁用向 IPv6 数据包发送 ICMP 数据包过大通知。
注意:
此选项仅适用于安装了 junos-ike 软件包的设备。 |
| ESN |
启用此选项以允许 IPsec 使用 64 位序列号。如果未启用 ESN,则默认使用 32 位序列号。确保在禁用防重放时未启用 ESN。
注意:
此选项仅适用于安装了 junos-ike 软件包的设备。 |
| 隧道 MTU |
输入 IPsec 隧道的最大传输数据包大小。 范围:256 到 9192。
注意:
此选项仅适用于安装了 junos-ike 软件包的设备。 |