创建和管理远程访问 VPN - 瞻博网络安全连接

创建远程访问 VPN - 瞻博网络安全连接

瞻博网络安全连接是瞻博网络基于客户端的 SSL-VPN 解决方案，可为您的网络资源提供安全的远程访问。瞻博网络安全连接从 SRX 服务设备下载配置，并在建立连接期间选择最有效的传输协议。

开始之前

阅读 IPSec VPN 概述并查看字段说明，以了解您当前的数据集。请参阅 IPsec VPN 概述。
创建地址和地址集。请参阅创建和管理地址或地址组。
创建 VPN 配置文件。请参阅创建和管理 VPN 配置文件。
定义外部网设备。请参阅创建外部网设备。

选择网络> IPsec VPN 管理> IPsec VPN。

此时将打开 IPsec VPN 页面。
单击创建>远程访问瞻博网络安全连接。

创建远程访问 VPN 页面随即打开。
根据表 1 中提供的准则完成 IPsec VPN 配置参数。

注意：
单击查看 IKE/IPsec 设置以查看或编辑 VPN 配置文件。如果 VPN 配置文件为默认值，则可以编辑配置。如果配置文件已共享，则只能查看配置。

VPN 连接将在拓扑中从灰色变为蓝线，以表明配置已完成。显示的拓扑仅用于表示。
点击保存。

表 1：创建远程访问 VPN 页面设置
设置	指引
名字	输入一个最多 63 个字母数字字符的唯一字符串，不含空格。字符串可以包含冒号、句点、破折号和下划线。
描述	输入最多包含 255 个字符的 VPN 描述。
路由拓扑	选择流量选择器（自动路由插入）。流量选择器是 IKE 对等方之间的协议，如果流量与指定的本地和远程地址对匹配，则允许流量通过隧道。
VPN 配置文件	根据部署方案从下拉列表中选择 VPN 配置文件。内联配置文件仅适用于特定的 IPsec VPN。您可以通过单击“创建 IPsec VPN”页面上的查看 IKE/IPsec 设置来查看和编辑详细信息。共享配置文件可由一个或多个 IPsec VPN 使用。只能通过单击“创建 IPsec VPN”页面上的查看 IKE/IPsec 设置来查看共享配置文件的详细信息。
身份验证方法	从列表中选择设备用于验证互联网密钥交换（IKE）消息来源的身份验证方法。基于预共享 — 指定在身份验证期间使用预共享密钥（即两个对等方之间共享的密钥）来相互识别对等方。必须为每个对等方配置相同的密钥。 RSA 签名 — 指定使用支持加密和数字签名的公钥算法。
最大传输单元	选择最大传输单元（MTU）（以字节为单位）。 MTU 定义 IP 数据包的最大大小，包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节，默认值为 1500 字节。
预共享密钥	使用预共享密钥建立 VPN 连接，这本质上是双方相同的密码。选择您要使用的预共享密钥类型：自动生成 - 选择是否要为每个隧道自动生成唯一密钥。选中后，“为每条隧道生成唯一密钥”选项将自动启用。如果禁用“为每个隧道生成唯一密钥”选项，则 Juniper Security Director Cloud 将为所有隧道生成一个密钥。手动（Manual） - 选择以手动输入密钥。默认情况下，手册键处于屏蔽状态。仅当身份验证方法基于预共享时，预共享密钥才适用。
客户端设置	修改默认客户端配置文件并定义本地网关。要修改默认客户端配置文件：在“客户端设置”部分中选择默认配置文件。单击铅笔图标。 “远程用户”页面随即打开。如表 2 中的说明配置参数。要定义本地网关，请执行以下作：单击本地网关部分中的 + 符号。此时将打开“添加设备”页面。如表 3 中的说明配置设备参数。单击确定。

表 2：远程用户页面设置
设置	指引
连接模式	从列表中选择以下选项之一，以建立瞻博网络安全连接客户端连接：手动 — 每次登录时都需要手动连接到 VPN 隧道。始终 — 每次登录时，系统都会自动连接到 VPN 隧道。默认连接模式为手动。
SSL VPN	启用此选项可建立从瞻博网络安全连接客户端到 SRX 系列防火墙的 SSL VPN 连接。这是无法访问 IPsec 端口时的回退选项。默认情况下，此选项处于启用状态。
生物识别身份验证	启用此选项可使用唯一配置的方法对客户端系统进行身份验证。在客户端系统中连接时，将显示身份验证提示。只有在通过为 Windows Hello 配置的方法（指纹识别、人脸识别、PIN 输入等）成功进行身份验证后，才会启动 VPN 连接。如果启用了生物识别身份验证选项，则必须在客户端系统上预配置 Windows Hello。
失效对等体检测	启用此选项以允许瞻博网络安全连接客户端检测是否可访问 SRX 系列防火墙。禁用此选项以允许瞻博网络安全连接客户端进行检测，直到恢复 SRX 系列防火墙连接可达性。默认情况下，此选项处于启用状态。
DPD 模式	选择 DPD 模式。优化：如果设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。探查空闲隧道：如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。 Always-send：无论对等方之间的流量活动如何，都按配置的时间间隔发送 R-U-THERE 消息。
DPD 间隔	选择发送失效对等方检测消息的间隔（以秒为单位）。默认间隔为 10 秒，有效范围为 2 到 60 秒。
DPD 阈值	选择失败 DPD 阈值。这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，有效范围为 1 到 5。
证书	配置安全证书的选项。过期警告 — 启用后，当证书即将过期时，您会收到证书过期警告。默认情况下，此选项处于启用状态。警告间隔（Warning Interval） - 输入要显示警告的间隔（以天为单位）。每个连接的 PIN 要求 - 启用后，您必须为每个连接输入证书 PIN。默认情况下，此选项处于启用状态。
EAP-TLS	使用 EAP-TLS 身份验证方法验证安全证书的选项。默认情况下，此选项处于启用状态。
窗口登录	启用此选项可让用户在登录 Windows 系统之前安全地登录到 Windows 域。在与公司网络建立 VPN 连接后，客户端支持使用证书服务提供商进行域登录。

表 3：添加设备页面设置
设置	指引
外部接口	选择 IKE 安全关联（SA）的传出接口。此接口与充当其运营商的区域相关联，为其提供防火墙安全性。
隧道区段	选择隧道区域。隧道区域是地址空间的逻辑区域，可支持动态 IP （DIP）地址池，以便 NAT 应用对预封装和后封装 IPsec 流量进行封装。隧道区域还提供了将隧道接口与 VPN 隧道组合的灵活性。
用户身份验证	从列表中选择将用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。单击“添加”以创建新的访问配置文件。注意：远程 VPN 不支持 LDAP 身份验证。
SSL VPN 配置文件	从列表中选择一个 SSL VPN 配置文件以终止远程访问连接。要创建新的 SSL VPN 配置文件，请执行以下作：单击添加。此时将打开“添加 SSL VPN 配置文件”页面。输入 SSL VPN 配置文件名称。启用日志记录选项以记录 SSL VPN 事件。输入 SSL 终止配置文件名称。选择服务器证书。单击确定。
证书	选择证书以对虚拟专用网（VPN）发起方和接收方进行身份验证。
可信证书颁发机构/集团	从列表中选择证书颁发机构配置文件，将其与本地证书相关联。当身份验证方法是 RSA 签名时，这适用。
受保护的网络	配置所选设备的地址类型，以保护网络的一个区域与另一个区域的访问。您还可以通过单击“ 添加新地址”来创建地址。

表 4：查看 IKE/IPsec 设置
设置	指引
IKE 设置
IKE 版本	选择用于协商 IPsec 动态安全关联（SA）所需的 IKE 版本（V1 或 V2）。默认情况下，使用 IKE V2。
模式	选择 IKE 策略模式。主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。此模式还提供身份保护。积极 — 采用主模式消息数的一半，协商能力较小，并且不提供身份保护。当 IKE 版本为 V1 时，该模式适用。
加密算法	选择适当的加密机制。
身份验证算法	选择一种算法。设备使用此算法来验证数据包的真实性和完整性。
Deffie Hellman 组	选择一个组。 Diffie-Hellman （DH）组确定密钥交换过程中所用密钥的强度。
生存秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180 到 86400 秒。
失效对等体检测	启用此选项以允许两个网关确定对等网关是否已开启并响应在 IPsec 建立期间协商的失效对等方检测（DPD）消息。
DPD 模式	选择 DPD 模式。优化：如果设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。探查空闲隧道：如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。 Always-send：无论对等方之间的流量活动如何，都按配置的时间间隔发送 R-U-THERE 消息。
DPD 间隔	选择发送失效对等方检测消息的间隔（以秒为单位）。默认间隔为 10 秒，有效范围为 2 到 60 秒。
DPD 阈值	选择失败 DPD 阈值。这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，有效范围为 1 到 5。
高级设置
通用 IKE ID	启用此选项以接受对等 IKE ID 默认情况下，此选项处于禁用状态。如果启用了通用 IKE ID，则会自动禁用 IKE ID 选项。
IKEv2 重新身份验证	选择重新验证频率。可以通过将重新认证频率设置为 0 来禁用重新认证。有效范围为 0 到 100。
支持 IKEv2 RE 分段	启用此选项可将大型 IKEv2 消息拆分为一组较小的消息，以便在 IP 级别不会出现分段。
IKEv2 重新分片大小	选择消息分段的数据包大小。默认情况下，IPv4 的大小为 576 字节。有效范围为 570 到 1320。
IKE ID	选择以下选项之一：没有可分辨名称主机名 IPv4 地址电子邮件地址 IKE ID 仅在禁用通用 IKE ID 时适用。
NAT-T	如果动态端点位于 NAT 设备后方，则启用网络地址转换遍历（NAT-T）。
保持活力	选择一个以秒为单位的时间段以保持连接保持运行。在 VPN 对等方之间的连接期间，需要 NAT 激活来维护 NAT 转换。有效范围为 1 到 300 秒。
IPsec 设置
协议	选择建立 VPN 所需的协议。 ESP — 封装安全性有效负载（ESP）协议提供加密和身份验证。 AH — 认证头（AH）协议提供数据完整性和数据身份验证。
加密算法	选择加密方法。如果协议是 ESP，则这适用。
身份验证算法	选择一种算法。设备使用这些算法来验证数据包的真实性和完整性。
完全向前保密	选择完全向前保密（PFS）作为设备用于生成加密密钥的方法。 PFS 独立于之前的密钥生成每个新加密密钥。编号越高的组提供更高的安全性，但需要更多的处理时间。
建立隧道	选择一个选项以指定何时激活 IKE。立即 — 在提交 VPN 配置更改后立即激活 IKE。流量上 — 仅当数据流量流动时激活 IKE，并且必须与对等网关协商。这是默认行为。
高级设置
VPN 监控器	启用此选项可发送互联网控制消息协议（ICMP）以确定 VPN 是否已开启。
优化	启用此选项可优化 VPN 监控，并将 SRX 系列防火墙配置为仅当有传出流量且配置的对等方没有通过 VPN 隧道传入流量时，才会发送 ICMP 回显请求（也称为 ping）。如果有传入流量通过 VPN 隧道，SRX 系列防火墙会将该隧道视为活动状态，并且不会向对等方发送 ping。
防重放	为 IPsec 机制启用此选项，以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。 IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制存在错误，导致数据包无序，从而无法正常运行，请禁用此选项。默认情况下，防重放检测处于启用状态。
安装间隔	选择允许在设备上安装重新密钥的出站安全关联（SA）的最大秒数。
空闲时间	选择适当的空闲时间间隔。如果未收到任何流量，会话及其相应的转换通常会在一段时间后超时。
DF 位	选择一个选项来处理 IP 消息中的不分段（DF）位。清除 — 禁用 IP 消息中的 DF 位。这是默认选项。复制 — 将 DF 位复制到 IP 消息。设置 — 启用 IP 消息中的 DF 位。
复制外部 DSCP	启用此选项以允许将差异服务代码点（DSCP）字段从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。启用此功能的好处是，在 IPsec 解密之后，明文数据包可以遵循内部服务等级（CoS）规则。
生存秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180 到 86400 秒。
终身千字节	选择 IPsec 安全关联（SA）的生存期（以千字节为单位）。有效范围为 64 到 4294967294 KB。

管理远程访问 VPN —瞻博网络安全连接

编辑 - 选择 IPsec VPN，然后单击铅笔图标（）。编辑 IPsec VPN 后，您必须部署这些 VPN，以便在设备上应用配置。

您无法编辑标记为要删除的 IPsec VPN。
删除 - 选择 IPsec VPN，然后单击垃圾桶图标（）。按照屏幕上的说明进行作。此时，系统不会从关联的设备中删除 IPsec VPN。您必须重新部署 IPsec VPN 才能将其从设备中删除。

您还可以恢复标记为要删除的 IPsec VPN。将鼠标光标悬停在“状态”列中的标志上，然后在弹出窗口中选择 “撤消删除 ”。IPsec VPN 状态将恢复为之前的状态。