创建远程访问 VPN - 瞻博网络安全连接

瞻博网络安全连接是瞻博网络基于客户端的 SSL-VPN 解决方案，可为您的网络资源提供安全的远程访问。瞻博网络安全连接从 SRX 服务设备下载配置，并在建立连接期间选择最有效的传输协议。

准备工作

阅读 IPSec VPN 概述并查看字段说明，以了解您当前的数据集。请参阅 IPsec VPN 概述。
创建地址和地址集。请参阅创建地址或地址组。
创建 VPN 配置文件。请参阅创建 VPN 配置文件。
定义外部网设备。请参阅创建 Extranet 设备。

选择“SRX >”IPsec VPN“>”IPsec VPN“。

此时将打开 IPsec VPN 页面。
单击创建>远程访问瞻博网络安全连接。

此时将打开“创建远程访问 VPN”页面。
根据表 1 中提供的指南，完成 IPsec VPN 配置参数。

注意：
单击查看 IKE/IPsec 设置以查看或编辑 VPN 配置文件。如果 VPN 配置文件是默认的，您可以编辑配置。如果配置文件是共享的，则只能查看配置。

拓扑中的 VPN 连接将从灰线变为蓝线，表示配置已完成。显示的拓扑仅用于表示。
点击保存。

表 1：创建远程访问 VPN 页面设置
设置	指引
名字	输入一个唯一的字符串，最多包含 63 个字母数字字符（不含空格）。字符串可以包含冒号、句点、破折号和下划线。
描述	输入最多 255 个字符的 VPN 描述。
路由拓扑	选择流量选择器（自动路由插入）。流量选择器是 IKE 对等方之间的一种协议，用于在流量匹配指定的本地和远程地址对时允许流量通过隧道。
VPN 配置文件	根据部署方案，从下拉列表中选择 VPN 配置文件。内联配置文件仅适用于特定 IPsec VPN。单击“创建 IPsec VPN”页面上的查看 IKE/IPsec 设置，可以查看和编辑详细信息。共享配置文件可由一个或多个 IPsec VPN 使用。只能通过单击“创建 IPsec VPN”页面上的查看 IKE/IPsec 设置来查看共享配置文件的详细信息。
身份验证方法	从列表中选择设备用于验证互联网密钥交换（IKE）消息来源的身份验证方法。基于预共享 — 指定在身份验证期间使用预共享密钥（两个对等方之间共享的密钥）来相互识别对等方。必须为每个对等方配置相同的密钥。 RSA 签名 — 指定使用支持加密和数字签名的公钥算法。
最大传输单位	选择最大传输单元（MTU），以字节为单位。 MTU 定义 IP 数据包的最大大小，包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68 到 9192 字节，默认值为 1500 字节。
预共享密钥	使用预共享密钥建立 VPN 连接，预共享密钥本质上是双方相同的密码。选择要使用的预共享密钥类型：自动生成 - 选择是否要为每个隧道自动生成一个唯一密钥。选择此选项后，将自动启用“为每个隧道生成唯一密钥”选项。如果禁用为每个隧道生成唯一密钥选项， Juniper Security Director Cloud 将为所有隧道生成一个密钥。手动 - 选择以手动输入密钥。默认情况下，手动密钥处于屏蔽状态。仅当身份验证方法基于预共享时，预共享密钥才适用。
客户端设置	修改默认客户端配置文件并定义本地网关。要修改默认客户端配置文件，请执行以下操作：在“客户端设置”部分中选择默认配置文件。单击铅笔图标。此时将打开“远程用户”页面。按照表2中的说明配置参数。要定义本地网关，请执行以下操作：单击“本地网关”部分中的“+”号。此时将打开“添加设备”页面。如表 3 中所述配置设备参数。单击 “确定”。

表 2：远程用户页面设置
设置	指引
连接模式	从列表中选择以下选项之一，以建立瞻博网络安全连接客户端连接：手动 - 每次登录时都需要手动连接到 VPN 隧道。始终 - 每次登录时，系统都会自动连接到 VPN 隧道。默认连接模式为手动。
SSL VPN	启用此选项可建立从瞻博网络安全连接客户端到 SRX 系列防火墙的 SSL VPN 连接。当无法访问 IPsec 端口时，这是一个回退选项。默认情况下，此选项处于启用状态
生物识别身份验证	启用此选项可使用唯一配置方法对客户端系统进行身份验证。在客户端系统中连接时，将显示身份验证提示。只有通过为 Windows Hello 配置的方法（指纹识别、人脸识别、PIN 输入等）成功进行身份验证后，才会启动 VPN 连接。如果启用了“生物识别身份验证”选项，则必须在客户端系统上预配置 Windows Hello。
失效对等体检测	启用此选项可让瞻博网络安全连接客户端检测 SRX 系列防火墙是否可访问。禁用此选项以允许瞻博网络安全连接客户端进行检测，直到 SRX 系列防火墙连接可访问性恢复为止。默认情况下，此选项处于启用状态。
DPD 模式	选择 DPD 模式。优化：设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。探测空闲隧道：如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。始终发送：无论对等方之间的流量活动如何，都按配置的时间间隔发送 R-U-THERE 消息。
DPD 间隔	选择以秒为单位的时间间隔以发送失效对等方检测消息。默认间隔为 10 秒，有效范围为 2 到 60 秒。
DPD 阈值	选择故障 DPD 阈值。这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，有效范围为 1 到 5。
证书	用于配置安全证书的选项。过期警告 — 启用后，当证书即将过期时，您会收到证书过期警告。默认情况下，此选项处于启用状态。警告间隔（Warning Interval） - 输入要显示警告的时间间隔（以天为单位）。每个连接的引脚要求 — 启用后，您必须为每个连接输入证书 PIN。默认情况下，此选项处于启用状态。
EAP-TLS	使用 EAP-TLS 身份验证方法验证安全证书的选项。默认情况下，此选项处于启用状态。
窗口登录	启用此选项可让用户在登录到 Windows 系统之前安全地登录到 Windows 域。在与公司网络建立 VPN 连接后，客户端支持使用凭证服务提供商进行域登录。

表 3：添加设备页面设置
设置	指引
外部接口	为 IKE 安全关联（SA）选择传出接口。此接口与充当其运营商的区域相关联，为其提供防火墙安全性。
通道区段	选择隧道区域。隧道区域是地址空间的逻辑区域，可支持动态 IP （DIP）地址池，以便将 NAT 应用用于封装前和封装后的 IPsec 流量。隧道区域还为将隧道接口与 VPN 隧道组合提供了灵活性。
用户身份验证	从列表中选择用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。单击“添加”以创建新的访问配置文件。注意：远程 VPN 不支持 LDAP 身份验证。
SSL VPN 配置文件	从列表中选择 SSL VPN 配置文件以终止远程访问连接。要创建新的 SSL VPN 配置文件，请执行以下操作：单击 “添加”。此时将打开“添加 SSL VPN 配置文件”页面。输入 SSL VPN 配置文件名称。启用日志记录选项以记录 SSL VPN 事件。输入 SSL 终止配置文件名称。选择服务器证书。单击 “确定”。
证书	选择用于对虚拟专用网（VPN）发起方和接收方进行身份验证的证书。
受信任的 CA/组	从列表中选择 CA 配置文件以将其与本地证书关联。当身份验证方法为 RSA 签名时，这适用。
受保护的网络	配置所选设备的地址类型，以保护网络的一个区域免受另一个区域的攻击。您还可以通过单击 “添加新地址”来创建地址。

表 4：查看 IKE/IPsec 设置
设置	指引
IKE 设置
IKE 版本	选择用于协商 IPsec 的动态安全关联（SA）所需的 IKE 版本（V1 或 V2）。默认情况下，使用 IKE V2。
模式	选择 IKE 策略模式。主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。此模式还提供身份保护。积极 — 采用主模式消息数量的一半，协商能力较低，并且不提供身份保护。当 IKE 版本为 V1 时，模式适用。
加密算法	选择适当的加密机制。
身份验证算法	选择一种算法。设备使用此算法来验证数据包的真实性和完整性。
Deffie Hellman 集团	选择一个组。 Diffie-Hellman （DH）群组确定密钥交换过程中使用的密钥的强度。
生存秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180 到 86400 秒。
失效对等体检测	启用此选项可允许两个网关确定对等网关是否已启动，以及是否响应在 IPsec 建立期间协商的失效对等方检测（DPD）消息。
DPD 模式	选择 DPD 模式。优化：设备向对等方发送传出数据包后，如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。这是默认模式。探测空闲隧道：如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量，则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方，直到出现流量活动。始终发送：无论对等方之间的流量活动如何，都按配置的时间间隔发送 R-U-THERE 消息。
DPD 间隔	选择以秒为单位的时间间隔以发送失效对等方检测消息。默认间隔为 10 秒，有效范围为 2 到 60 秒。
DPD 阈值	选择故障 DPD 阈值。这指定当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次，有效范围为 1 到 5。
高级设置
通用 IKE ID	启用此选项以接受对等 IKE ID 默认情况下，此选项处于禁用状态。如果启用了“通用 IKE ID”，则会自动禁用“IKE ID”选项。
IKEv2 重新身份验证	选择重新验证的频率。可以通过将重新身份验证频率设置为 0 来禁用重新身份验证。有效范围为 0 到 100。
IKEv2 Re 分片支持	启用此选项可将大型 IKEv2 消息拆分为一组较小的消息，从而在 IP 级别上不存在分段。
IKEv2 重新分段大小	选择消息分段的数据包大小。默认情况下，IPv4 的大小为 576 字节。有效范围为 570 到 1320。
IKE ID	选择以下选项之一：没有可分辨名称主机名 IPv4 地址 E-mail地址仅当禁用通用 IKE ID 时，IKE ID 才适用。
NAT-T	如果动态终结点位于 NAT 设备后面，则启用网络地址转换遍历（NAT-T）。
保持活力	选择一个时间段（以秒为单位）以保持连接处于活动状态。在VPN对等方之间的连接期间，需要NAT Keepalives来维护NAT转换。有效范围为 1 到 300 秒。
IPsec 设置
协议	选择建立 VPN 所需的协议。 ESP — 封装安全有效负载（ESP）协议同时提供加密和身份验证。 AH — 认证头（AH）协议提供数据完整性和数据认证。
加密算法	选择加密方法。如果协议是 ESP，则适用。
身份验证算法	选择一种算法。设备使用这些算法来验证数据包的真实性和完整性。
完全向前保密	选择“完全向前保密（PFS）”作为设备用于生成加密密钥的方法。 PFS 独立于前一个密钥生成每个新加密密钥。编号越高的组安全性越高，但需要更长的处理时间。
建立隧道	选择一个选项以指定何时激活 IKE。立即 — 执行 VPN 配置更改后，IKE 将立即激活。 On-traffic — 仅当数据流量流动且必须与对等网关协商时，IKE 才会激活。这是默认行为。
高级设置
VPN 监控器	启用此选项可发送互联网控制消息协议（ICMP）以确定 VPN 是否已打开。
优化	启用此选项可优化 VPN 监控并将 SRX 系列防火墙配置为仅当有传出流量且没有来自配置的对等方通过 VPN 隧道的传入流量时，才发送 ICMP 回显请求（也称为 ping）。如果有通过 VPN 隧道的传入流量，SRX 系列防火墙会认为该隧道处于活动状态，不会向对等方发送 ping。
防重放	为 IPsec 机制启用此选项，以防止使用 IPsec 数据包中内置的一系列数字的 VPN 攻击。 IPsec 不接受已看到相同序列号的数据包。它会检查序列号并强制执行检查，而不仅仅是忽略序列号。如果 IPsec 机制出现错误，导致数据包出现乱序，从而妨碍正常运行，请禁用此选项。默认情况下，防重放检测处于启用状态。
安装间隔	选择允许在设备上安装重新密钥的出站安全关联（SA）的最大秒数。
空闲时间	选择适当的空闲时间间隔。如果未收到任何流量，会话及其对应的转换通常会在一段时间后超时。
DF 位	选择一个选项以处理 IP 消息中的不分段（DF）位。清除 — 禁用 IP 消息的 DF 位。这是默认选项。复制 — 将 DF 位复制到 IP 消息。 set — 启用 IP 消息中的 DF 位。
复制外部 DSCP	启用此选项可允许将差分服务代码点（DSCP）字段从外部 IP 报头加密数据包复制到解密路径上的内部 IP 报头纯文本消息。启用此功能的好处是，在 IPsec 解密后，明文数据包可以遵循内部服务等级（CoS）规则。
生存秒数	选择 IKE 安全关联（SA）的生存期。有效范围为 180 到 86400 秒。
生存期千字节	选择 IPsec 安全关联（SA）的生存期（以千字节为单位）。有效范围为 64 到 4294967294 KB。