Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用预共享密钥的本地用户身份验证(CLI 过程)

概述

在此配置中,您可以使用用户名和密码进行本地用户身份验证。此配置选项不允许您在未与防火墙管理员交互的情况下更改或恢复凭据,因此不建议使用此身份验证方法。相反,我们建议使用 RADIUS 外部用户身份验证 方法。

我们假设您已完成 SRX 系列防火墙的基本设置,包括 图 1 所示的接口、区域和安全策略。

图 1:拓扑 Topology

有关先决条件的信息,请参阅 系统要求

必须确保 SRX 系列防火墙使用签名证书或自签名证书,而不是系统生成的默认证书。开始配置瞻博网络安全连接之前,必须通过执行以下命令,将证书绑定到 SRX 系列防火墙:

例如:

其中SRX_Certificate是自签名证书。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。

逐步过程

要使用命令行界面配置 VPN 设置:

  1. 使用命令行界面 (CLI) 登录 SRX 系列防火墙。
  2. 进入配置模式。
  3. 配置远程访问 VPN。
    条件

    要部署瞻博网络安全连接,必须创建一个自签名证书,并将该证书绑定到 SRX 系列防火墙。有关更多信息,请参阅 准备瞻博网络安全连接配置

    IKE 配置:

    1. 配置 IKE 提议。
      • 定义 IKE 提议身份验证方法、Diffie-Hellman 组和身份验证算法。
      • 预共享密钥 配置为身份验证方法。

        输入 ASCII 格式的密钥。我们不支持十六进制格式的远程访问 VPN。

      请参阅 提议(安全 IKE)。
    2. 配置 IKE 策略。

      设置 IKE 第 1 阶段策略模式,引用 IKE 提议和 IKE 第 1 阶段策略身份验证方法。

      请参阅 策略(安全 IKE)。
    3. 配置 IKE 网关选项。了解动态

      如果未配置 DPD 值和版本信息,Junos OS 将为这些选项分配默认值。请参阅 失效对等检测

      配置要连接的客户端的外部接口 IP 地址。您必须为瞻博网络安全连接应用程序中的 网关地址 字段输入相同的 IP 地址(在此示例中为 192.0.2.0)。请参阅 网关

    IPsec 配置:

    1. 配置 IPsec 提议。
      请参阅 提议(安全 IPsec)。
    2. 配置 IPsec 策略。
      • 指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 19。
      • 指定 IPsec 第 2 阶段提议参考。
      请参阅 策略(安全 IPsec)。

    IPsec VPN 配置:

    1. 配置 IPsec VPN 参数。请参阅 vpn(安全)。
    2. 配置 VPN 流量选择器。请参阅流量选择器
  4. 配置远程用户客户端选项。
    1. 配置远程访问配置文件。请参阅远程访问
    2. 配置远程访问客户端配置。请参阅 client-config

    表 1 汇总了远程用户设置选项。

    表 1:远程用户设置选项

    远程用户设置

    描述

    连接模式

    要手动或自动建立客户端连接,请配置相应的选项。

    • 如果配置 手动 选项,则在瞻博网络安全连接应用程序中,必须单击切换按钮,或从菜单中选择连接 >连接

    • 如果配置 Always option,则瞻博网络安全连接会自动建立连接。

    已知限制:

    Android 设备:如果使用或选择 Always,则配置将从第一台使用的 SRX 设备下载。如果第一个 SRX 系列防火墙配置发生变化,或者连接到新的 SRX 设备,则配置不会下载到瞻博网络安全连接应用程序。

    这意味着,使用 Android 设备以 始终 模式连接后,SRX 系列防火墙中的任何配置更改均不会对瞻博网络安全连接生效。

    失效对等方检测

    默认情况下,不工作对等方检测 (DPD) 处于启用状态,以允许客户端检测 SRX 系列防火墙是否可访问且无法访问设备,请在恢复可访问性之前禁用连接。

    默认 -配置文件

    如果将 VPN 连接配置文件配置为默认配置文件,则只需在瞻博网络安全连接应用程序中输入网关地址。可以选择在瞻博网络安全连接应用程序中输入域名称,因为应用程序会自动选择默认配置文件作为领域名称。在此示例中,在瞻博网络安全连接应用程序的网关地址字段中输入 ra.example.com

    注意:

    从 Junos OS 23.1R1 版开始,我们在 [edit security remote-access] 层次结构级别隐藏default-profile了选项。在 Junos OS 23.1R1 版之前的版本中,您可以使用此选项将其中一个远程访问配置文件指定为瞻博网络安全连接中的默认配置文件。但是,随着远程访问配置文件名称格式的更改,我们不再需要该default-profile选项。

    我们弃用了default-profile选项(而不是立即删除选项)以提供向后兼容性,并让现有配置符合更改的配置。如果您继续使用配置中的选项,default-profile您将收到一条警告消息。但是,如果您修改当前配置,现有部署不会受到影响。请参阅默认配置文件(瞻博网络安全连接)。
  5. 配置本地网关。
    1. 为客户端动态 IP 分配创建地址池。请参阅地址分配(访问)。

      • 输入用于地址分配的网络地址。

      • 请输入您的 DNS 服务器地址。如果需要,请输入 WINS 服务器详细信息。创建地址范围以将 IP 地址分配给客户端。

      • 输入名称和上限。

    2. 创建访问配置文件。输入客户端 VPN 策略中本地 IP 池的详细信息。输入 IP 地址池的名称。

      输入客户端凭据 SRX 本地身份验证的用户名和密码。

    3. 创建 SSL 终止配置文件。SSL 终止是一个进程,其中 SRX 系列防火墙充当 SSL 代理服务器,并从客户端终止 SSL 会话。输入 SSL 终止配置文件的名称,并选择您在 SRX 系列防火墙上用于 SSL 终止的服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。
    4. 创建 SSL VPN 配置文件。请参阅 tcp-encap
    5. 创建防火墙策略。
      创建安全策略以允许从信任区域到 VPN 区域的流量。
      创建安全策略以允许从 VPN 区域到信任区域的流量。
  6. 配置以太网接口信息。

    配置将家族设置为 inet 的 st0 接口。

  7. 配置安全区域。

    对于 host-inbound-traffic 所需的最低配置:

    1. system-services - 在 VPN 区域,选择 ike 以允许 VPN 服务和 https HTTPS 连接将初始配置推送至瞻博网络安全连接应用程序。在 trust 区域上,选择 https

    2. protocols - 基本配置无。

      请参阅系统服务和协议

    在配置示例中,我们提到allsystem-servicesprotocols。但是,我们建议您仅允许必要的服务和协议。

  8. 成功配置了使用远程用户和本地网关的远程访问配置。
  9. 启动瞻博网络安全连接应用程序并提供与瞻博网络安全连接应用程序的“网关地址”字段中为外部 IP 地址配置的相同 IP 地址。

    在此示例中,您已将 192.0.2.0 配置为要连接的客户端的外部接口 IP 地址。您必须为瞻博网络安全连接应用程序中的网关地址字段输入此相同的 IP 地址 (192.0.2.0)。

结果

在操作模式下,输入 、 show accessshow services命令,show security以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

确保您已有要附加 SSL 终止配置文件的服务器证书。

完成设备上功能配置后,在配置模式下输入提交。

相关文档