Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

创建和管理远程访问 VPN - 瞻博网络安全连接

创建远程访问 VPN - 瞻博网络安全连接

瞻博网络安全连接是瞻博网络基于客户端的 SSL-VPN 解决方案,允许远程用户安全地连接和访问您网络上的受保护资源。与防火墙结合使用时,该应用可帮助组织从全球各地的设备快速实现动态、灵活和适应性强的连接。瞻博网络安全连接使用安全的 VPN 连接,将可见性和强制性从客户端扩展到云端。

瞻博网络安全连接从 SRX 服务设备下载配置,并选择最有效的传输协议来建立 VPN 连接。

开始之前

要创建远程访问 VPN:

  1. 选择安全性> IPsec VPN 管理> IPsec VPN。

    此时将显示 IPsec VPN 页面。

  2. 单击创建>远程访问瞻博网络安全连接

    此时将显示“创建远程访问 VPN”页面。

  3. 根据以下准则完成 IPsec VPN 配置:

    • 表 1 - 常规设置

    • 表 2 - 客户端设置

    • 表 3 - 本地网关设置

    • 表 4 — VPN 配置文件设置

    VPN 连接在拓扑中从灰色变为蓝线,表示配置已完成。显示的拓扑仅用于表示。

  4. 点击保存

    此时将显示 IPsec VPN 页面。

  5. 选择 VPN 策略,然后单击部署。
    此时将显示“部署 VPN”页面。
  6. 选择以下一项:

    • 稍后安排,以便稍后安排和发布配置。

    • 立即运行 以立即应用配置。

  7. 单击更新
    “受影响的设备”页面显示将发布策略的设备。

常规设置

表 1:常规设置

字段

行动

姓名

输入一个最多 63 个字母数字字符的唯一字符串,不含空格。

字符串可以包含冒号、句点、破折号和下划线。

描述

输入最多包含 255 个字符的 VPN 描述。

路由拓扑

选择流量选择器(自动路由插入)。

流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程地址对匹配,则允许流量通过隧道。

VPN 配置文件

根据部署方案选择 VPN 配置文件:

  • 内联配置文件 — 仅适用于特定的 IPsec VPN。您可以通过单击 Create IPsec VPN 页面上的 查看 VPN 配置文件设置 来查看和编辑详细信息。

  • 共享配置文件 — 由一个或多个 IPsec VPN 使用。只能通过单击“创建 IPsec VPN”页面上的查看 VPN 配置文件设置 来查看共享配置文件的详细信息。

身份验证方法

选择设备用于验证互联网密钥交换 (IKE) 消息来源的身份验证方法。

  • 基于预共享 — 指定在身份验证期间使用预共享密钥(即两个对等方之间共享的密钥)来相互识别对等方。必须为每个对等方配置相同的密钥。

  • RSA 签名 — 指定使用支持加密和数字签名的公钥算法。

预共享密钥

使用预共享密钥建立 VPN 连接,这本质上是双方相同的密码。

仅当身份验证方法基于预共享时,预共享密钥才适用。

选择您要使用的预共享密钥类型:

  • 自动生成 - 选择是否要为每个隧道自动生成唯一密钥。选中后,“为每条隧道生成唯一密钥”选项将自动启用。如果禁用“为每个隧道生成唯一密钥”选项,则 Juniper Security Director Cloud 将为所有隧道生成一个密钥。

  • 手动 (Manual) - 选择以手动输入密钥。默认情况下,手册键处于屏蔽状态。要取消遮罩手册键,请选择取消遮罩图标。

最大传输单元

选择最大传输单元 (MTU)(以字节为单位)。

MTU 定义 IP 数据包的最大大小,包括 IPsec 开销。您可以指定隧道端点的 MTU 值。有效范围为 68-9192 字节,默认值为 1500 字节。

客户端设置

要修改默认客户端配置文件:

  1. 在“客户端设置”部分中选择默认配置文件。

  2. 单击铅笔图标。

    将显示“远程用户”页面。

  3. 表 2 中的说明配置参数。

  4. 单击 确定

表 2:客户端设置

字段

行动

连接模式

选择以下选项之一以建立瞻博网络安全连接客户端连接:

  • 手动 — 每次登录时都需要手动连接到 VPN 隧道。

  • 始终 — 每次登录时,系统都会自动连接到 VPN 隧道。

默认连接模式为手动。

SSL VPN

启用此选项可建立从瞻博网络安全连接客户端到 SRX 系列防火墙的 SSL VPN 连接。

这是无法访问 IPsec 端口时的回退选项。默认情况下,此选项处于启用状态。

生物识别身份验证

启用此选项可使用唯一配置的方法对客户端系统进行身份验证。

在客户端系统中连接时,将显示身份验证提示。只有在通过为 Windows Hello 配置的方法(指纹识别、人脸识别、PIN 输入等)成功进行身份验证后,才会启动 VPN 连接。

如果启用了生物识别身份验证选项,则必须在客户端系统上预配置 Windows Hello。

失效对等体检测

启用此选项以允许瞻博网络安全连接客户端检测是否可访问 SRX 系列防火墙。

禁用此选项以允许瞻博网络安全连接客户端进行检测,直到恢复 SRX 系列防火墙连接可达性。

默认情况下,此选项处于启用状态。

DPD 模式

选择 DPD 模式。

  • 优化:如果设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

  • 探查空闲隧道: 如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

  • Always-send:无论对等方之间的流量活动如何,都按配置的时间间隔发送 R-U-THERE 消息。

DPD 间隔

选择发送失效对等方检测消息的间隔(以秒为单位)。

默认间隔为 10 秒,有效范围为 2-60 秒。

DPD 阈值

选择失败 DPD 阈值。

这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1-5。

证书

配置安全证书。

  • 过期警告 — 启用后,当证书即将过期时,您会收到证书过期警告。默认情况下,此选项处于启用状态。

  • 警告间隔 (Warning Interval) - 输入要显示警告的间隔(以天为单位)。

  • 每个连接的 PIN 要求 - 启用后,您必须为每个连接输入证书 PIN。默认情况下,此选项处于启用状态。

EAP-TLS

使用 EAP-TLS 身份验证方法验证安全证书。

默认情况下,此选项处于启用状态。

窗口登录

启用此选项可让用户在登录 Windows 系统之前安全地登录到 Windows 域。

在与公司网络建立 VPN 连接后,客户端支持使用证书服务提供商进行域登录。

本地网关设置

要定义本地网关,请执行以下作:

  1. 单击本地网关部分中的 + 符号。

    此时将打开“添加设备”页面。

  2. 表 3 中的说明配置设备参数。
  3. 单击 确定
表 3:本地网关设置

字段

行动

外部接口

选择 IKE 安全关联 (SA) 的传出接口。

此接口与充当其运营商的区域相关联,为其提供防火墙安全性。

隧道区段

选择隧道区域。

隧道区域是地址空间的逻辑区域,可支持动态 IP (DIP) 地址池,以便 NAT 应用对预封装和后封装 IPsec 流量进行封装。隧道区域还提供了将隧道接口与 VPN 隧道组合的灵活性。

用户身份验证

选择将用于对访问远程访问 VPN 的用户进行身份验证的身份验证配置文件。

单击“添加”以创建新的访问配置文件。

注意:

远程 VPN 不支持 LDAP 身份验证。

SSL VPN 配置文件

从列表中选择一个 SSL VPN 配置文件以终止远程访问连接。

要创建新的 SSL VPN 配置文件,请执行以下作:

  1. 单击 添加

    此时将打开“添加 SSL VPN 配置文件”页面。

  2. 输入 SSL VPN 配置文件名称。

  3. 启用日志记录选项以记录 SSL VPN 事件。

  4. 输入 SSL 终止配置文件名称。

  5. 选择服务器证书。

  6. 单击 确定

证书

选择证书以对虚拟专用网 (VPN) 发起方和接收方进行身份验证。

可信证书颁发机构/集团

从列表中选择证书颁发机构配置文件,将其与本地证书相关联。

当身份验证方法是 RSA 签名时,这适用。

受保护的网络

配置所选设备的地址类型,以保护网络的一个区域与另一个区域的访问。

您还可以通过单击“ 添加新地址”来创建地址。

VPN 配置文件设置

单击 查看 VPN 配置文件设置 以查看或编辑 VPN 配置文件。如果 VPN 配置文件为默认值,则可以编辑配置。如果配置文件已共享,则只能查看配置。

表 4:VPN 配置文件设置

字段

行动
IKE 设置

IKE 版本

选择用于协商 IPsec 动态安全关联 (SA) 所需的 IKE 版本(V1 或 V2)。

默认情况下,使用 IKE V2。

模式

选择 IKE 策略模式。

  • 主 — 在三个对等交换中使用六条消息来建立 IKE SA。这三个步骤包括 IKE SA 协商、Diffie-Hellman 交换和对等方身份验证。此模式还提供身份保护。

  • 积极 — 采用主模式消息数的一半,协商能力较小,并且不提供身份保护。

当 IKE 版本为 V1 时,该模式适用。

加密算法

选择适当的加密机制。

身份验证算法

选择设备验证数据包真实性和完整性所必须使用的算法。

Deffie Hellman 组

选择一个 Diffie-Hellman (DH) 组,以确定密钥交换过程中使用的密钥的强度。

生存秒数

选择 IKE 安全关联 (SA) 的生存期(以秒为单位)。

有效范围为 180-86400 秒。

失效对等体检测

启用此选项以允许两个网关确定对等网关是否已开启并响应在 IPsec 建立期间协商的失效对等方检测 (DPD) 消息。

DPD 模式

选择 DPD 模式。

  • 优化:如果设备向对等方发送传出数据包后,如果在配置的时间间隔内没有传入 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。这是默认模式。

  • 探查空闲隧道: 如果在配置的时间间隔内没有传入或传出 IKE 或 IPsec 流量,则会触发 R-U-THERE 消息。R-U-THERE 消息会定期发送到对等方,直到出现流量活动。

  • Always-send:无论对等方之间的流量活动如何,都按配置的时间间隔发送 R-U-THERE 消息。

DPD 间隔

选择发送失效对等方检测消息的间隔(以秒为单位)。

默认间隔为 10 秒,有效范围为 2-60 秒。

DPD 阈值

选择失败 DPD 阈值。

这指定了当对等方没有响应时必须发送 DPD 消息的最大次数。默认传输次数为 5 次,有效范围为 1-5。
高级设置

通用 IKE ID

启用此选项以接受对等 IKE ID

默认情况下,此选项处于禁用状态。如果启用了通用 IKE ID,则会自动禁用 IKE ID 选项。

IKEv2 重新身份验证

选择重新验证频率。可以通过将重新认证频率设置为 0 来禁用重新认证。

有效范围为 0-100。

支持 IKEv2 RE 分段

启用此选项可将大型 IKEv2 消息拆分为一组较小的消息,以便在 IP 级别不会出现分段。

IKEv2 重新分片大小

选择消息分段的数据包大小。默认情况下,IPv4 的大小为 576 字节。

有效范围为 570—1320。

IKE ID

选择以下选项之一:

  • 可分辨名称

  • 主机名

  • IPv4 地址

  • 电子邮件地址

IKE ID 仅在禁用通用 IKE ID 时适用。

NAT-T

如果动态端点位于 NAT 设备后方,则启用网络地址转换遍历 (NAT-T)。

保持活力

选择一个时间段(以秒为单位)以保持连接保持运行。

在 VPN 对等方之间的连接期间,需要 NAT 激活来维护 NAT 转换。

有效范围为 1-300 秒。
IPsec 设置

协议

选择建立 VPN 所需的协议。

  • ESP — 封装安全性有效负载 (ESP) 协议提供加密和身份验证。

  • AH — 认证头 (AH) 协议提供数据完整性和数据身份验证。

加密算法

选择加密方法。

如果协议是 ESP,则这适用。

身份验证算法

选择设备验证数据包真实性和完整性所必须使用的算法。

完全向前保密

选择完全向前保密 (PFS) 作为设备用于生成加密密钥的方法。

PFS 独立于之前的密钥生成每个新加密密钥。编号越高的组提供更高的安全性,但需要更多的处理时间。

建立隧道

选择一个选项以指定何时激活 IKE。

  • 立即 — 在提交 VPN 配置更改后立即激活 IKE。

  • 流量上 — 仅当数据流量流动时激活 IKE,并且必须与对等网关协商。这是默认行为。
高级设置

VPN 监控器

启用此选项可发送互联网控制消息协议 (ICMP) 以确定 VPN 是否已开启。

优化

启用此选项可优化 VPN 监控,并将 SRX 系列防火墙配置为仅当有传出流量且配置的对等方没有通过 VPN 隧道传入流量时,才会发送 ICMP 回显请求(也称为 ping)。

如果有传入流量通过 VPN 隧道,SRX 系列防火墙会将该隧道视为活动状态,并且不会向对等方发送 ping。

防重放

为 IPsec 机制启用此选项,以防止使用 IPsec 数据包中内置的数字序列的 VPN 攻击。

IPsec 不接受已看到相同序列号的数据包。它检查序列号并强制执行检查,而不仅仅是忽略序列号。

如果 IPsec 机制存在错误,导致数据包无序,从而无法正常运行,请禁用此选项。

默认情况下,防重放检测处于启用状态。

安装间隔

选择允许在设备上安装重新密钥的出站安全关联 (SA) 的最大秒数。

空闲时间

选择适当的空闲时间间隔,在此之后,如果未收到流量,会话及其相应的转换将超时。

DF 位

选择如何处理 IP 消息中的不分段 (DF) 位。

  • 清除 — 禁用 IP 消息中的 DF 位。这是默认选项。

  • 复制 — 将 DF 位复制到 IP 消息。

  • 设置 — 启用 IP 消息中的 DF 位。

复制外部 DSCP

启用此选项可在解密期间将差异服务代码点 (DSCP) 字段从外部 IP 报头加密数据包复制到内部 IP 报头纯文本消息。

启用此功能的好处是,在 IPsec 解密之后,明文数据包会遵循内部服务等级 (CoS) 规则。

生存秒数

选择 IKE 安全关联 (SA) 的生存期(以秒为单位)。

有效范围为 180-86400 秒。

终身千字节

选择 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。

有效范围为 64 到 4294967294 千字节。

管理远程访问 VPN —瞻博网络安全连接

  • 编辑 - 选择 IPsec VPN,然后单击铅笔图标 ()。编辑 IPsec VPN 后,您必须部署这些 VPN,以便在设备上应用配置。

    您无法编辑标记为要删除的 IPsec VPN。

  • 删除 - 选择 IPsec VPN,然后单击垃圾桶图标 ()。按照屏幕上的说明进行作。此时,系统不会从关联的设备中删除 IPsec VPN。您必须重新部署 IPsec VPN 才能将其从设备中删除。

    要恢复标记为要删除的 IPsec VPN,请将鼠标悬停在“状态”列中的标志上,然后选择 “撤消删除”。IPsec VPN 状态将恢复为之前的状态。