Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 EAP-TLS 身份验证的基于证书的验证

总结 在此配置中,您可以使用用户名和密码进行外部用户身份验证(通过 RADIUS 服务器),并使用 EAP-TLS 身份验证方法验证用户证书。

我们假设您已完成 SRX 系列防火墙的基本设置,包括接口、区域和安全策略,如 瞻博网络安全连接的部署方案所示。

有关先决条件的信息,请参阅 系统要求

确保您将公钥基础架构 (PKI) 配置为后端身份验证。在这种情况下,您需要在每个客户端上安装 CA 的根证书,并在每个客户端设备上安装用户特定的证书。请注意,此方案不支持本地身份验证。

注意:

必须确保 SRX 系列防火墙使用签名证书或自签名证书,而不是系统生成的默认证书。开始配置瞻博网络安全连接之前,请务必阅读 部署瞻博网络安全连接的先决条件中的说明。

配置瞻博网络安全连接 VPN 设置

要使用 J-Web 界面配置 VPN 设置:

  1. 使用 J-Web 界面登录 SRX 系列防火墙。图 1 显示了 J-Web 登录页面。
    图 1:J-Web 访问和登录 J-Web Access and Login

    成功登录后,您登陆基本设置页面。 图 2 显示了登陆页的示例。

    图 2:J-Web 登陆页 J-Web Landing Page
  2. 在 J-Web 端面板中,导航至“网络> VPN > IPsec VPN”。
    1. 单击 IPsec VPN 后,将显示 IPsec VPN 页面。 图 3 显示了 IPsec VPN 页面的示例。

      图 3:IPsec VPN 页面 IPsec VPN Page
    2. 在页面右上角,选择 “创建 VPN >远程访问>瞻博网络安全连接 ”,为瞻博网络安全连接创建 IPsec VPN 设置。

      将显示以下警告消息:

      图 4:生成并绑定自签名证书 Warning Message To Generate And Bind Self-signed Certificate的警告消息

      正如警告消息中提到的,创建一个自签名证书,并将证书绑定到 SRX 系列防火墙。有关更多信息,请参阅 准备瞻博网络安全连接配置

      有关创建远程访问 VPN 的详细信息,请参阅 创建远程访问 VPN - 瞻博网络安全连接

    3. 再次导航至 “网络> VPN > IPsec VPN ”,在页面右上角,选择 “创建 VPN >远程访问>瞻博网络安全连接 ”,为瞻博网络安全连接创建 IPsec VPN 设置。此时将显示“创建远程访问(瞻博网络安全连接)”页面。 图 5 显示了创建远程访问 VPN 的示例。

      图 5:创建 VPN - 远程访问 Create VPN - Remote Access

      图 6 显示了使用基于证书的身份验证方法创建远程访问页面的示例。

      图 6:为基于证书的身份验证方法 Create Remote Access Page For Certificate-Based Authentication Method创建远程访问页面
  3. 在“创建远程访问(瞻博网络安全连接)”页面上(请参阅 图 7):
    1. 输入远程访问连接的名称(即瞻博网络安全连接应用程序中的最终用户领域名称上显示的名称)和说明。

    2. 路由模式默认设置为 流量选择器(自动路由插入 )。

    3. 选择身份验证方法。对于此示例,让我们从下拉列表中选择 “基于证书 ”。

    4. 选择 “是 ”,使用自动创建防火墙策略选项自动 创建防火墙策略

    图 7:基于证书的身份验证方法 Certificate-Based Authentication Method
  4. 单击 远程用户 图标以配置瞻博网络安全连接应用程序设置。
    图 8:远程用户页面 Remote User Page

    图 8 显示了“远程用户”页面的示例。

    选择“远程用户”页面上的选项,然后单击“确定”,配置远程用户客户端:

    表 1 汇总了远程用户设置选项。

    表 1:远程用户客户端设置选项

    远程用户客户端设置

    描述

    默认配置文件

    默认配置文件处于启用状态。如果您不希望此配置文件成为默认配置文件,请单击切换按钮。

    如果为 VPN 连接 配置文件启用默认配置文件 ,则瞻博网络安全连接会自动选择默认配置文件作为域名称(此示例中为 :https://12.12.12.12/)。在这种情况下,可以选择在瞻博网络安全连接中输入域名称。

    如果为 VPN 连接 配置文件禁用默认配置文件 ,则必须在瞻博网络安全连接中输入域名称和网关地址(此示例: https://12.12.12.12/JUNIPER_SECURE_CONNECT)。

    注意:

    从 Junos OS 23.1R1 版本开始,默认配置文件在 J-Web 中已弃用。但是,在 CLI 中(而不是立即删除 CLI)中,我们提供了向后兼容性,并让现有配置符合更改的配置。如果继续使用配置中的默认配置文件选项,您将收到一条警告消息。但是,如果使用 CLI 修改当前配置,则现有部署不会受到影响。请参阅默认配置文件(Juniper Secure)

    连接模式

    要手动或自动建立客户端连接,请选择相应的选项。

    • 如果选择 手动,则在瞻博网络安全连接应用程序中,必须单击切换按钮,或从菜单中选择连接 >连接

    • 如果您选择 始终,则瞻博网络安全连接会自动建立连接。

    已知限制:

    Android 设备:如果使用或选择 Always,则配置将从第一台使用的 SRX 设备下载。如果第一个 SRX 系列防火墙配置发生变化,或者连接到新的 SRX 设备,则配置不会下载到瞻博网络安全连接应用程序。

    这意味着,使用 Android 设备以始终模式连接后,SRX 系列防火墙中的任何配置更改均不会对瞻博网络安全连接生效。

    SSL VPN

    要启用从瞻博网络安全连接应用程序到 SRX 系列防火墙的 SSL VPN 连接支持,请单击切换按钮。通过启用 SSL VPN,客户端可以灵活地连接 SRX 系列防火墙。默认情况下, SSL VPN 已启用。

    生物特征识别身份验证

    默认情况下,此选项处于禁用状态。如果启用此选项,则当在瞻博网络安全连接中单击“连接”时,瞻博网络安全连接将显示身份验证提示。

    此选项允许用户使用操作系统的内置生物特征识别身份验证支持保护其凭据。

    失效对等方检测

    默认情况下,不工作对等方检测 (DPD) 处于启用状态,以允许客户端检测是否无法访问 SRX 系列防火墙,并禁用连接,直到可访问性恢复。

    证书

    默认情况下,此选项处于启用状态以配置证书选项。

    • 到期警告 — 默认启用此选项。启用后,当证书即将到期时,安全连接客户端上会收到证书到期警告。

    • 警告间隔 — 输入显示警告的间隔(以天为单位)

    • 每个连接的 Pin Req — 默认情况下,此选项处于启用状态。启用后,必须为每个连接输入证书引脚。

    EAP-TLS

    EAP-TLS 默认启用。

    Windows 登录

    此选项允许用户通过已建立的 VPN 隧道(使用 Windows 预登录)登录本地 Windows 系统,以便将其验证到中央 Windows 域或 Active Directory。

  5. 单击 本地网关 以配置本地网关设置。

    图 9 显示了本地网关配置设置的示例。

    图 9:本地网关配置 Local Gateway Configuration
    1. 如果启用 网关在 NAT 后面,将显示一个文本框。在文本框,输入 NAT IP 地址。我们仅支持 IPv4 地址。NAT 地址是外部地址。

    2. 输入 user@hostname.com 格式的 IKE ID。例如, abc@xyz.com

    3. 外部接口字段中,选择要连接的客户端的 IP 地址。您必须在瞻博网络安全连接应用程序中为网关地址字段输入此相同的 IP 地址(在此示例中为 https://12.12.12.12/)。

      如果启用 网关在 NAT 后面,则 NAT IP 地址将成为网关地址。

    4. “隧道接口 ”下拉列表中,选择要将其绑定到基于路由的 VPN 的接口。或者,单击 Add。如果 单击 Add,将显示 创建隧道接口 页面。

      图 10 显示了“创建隧道接口”页面的示例。

      图 10:创建隧道接口页面 Create Tunnel Interface Page

      下一个可用的 ST0 逻辑接口编号显示在接口单元字段中,您可以为此接口输入说明。选择要将此隧道接口添加到的区域。如果 自动创建防火墙策略 (在“创建远程访问”页面上)设置为 “是”,则防火墙策略将使用此区域。单击 确定

    5. 本地证书 字段中,选择一个已外部签名的本地证书。单击 Add 以添加新本地证书,或单击 导入 以导入本地证书。

      图 11 仅显示配置示例。

      图 11:为本地证书生成证书 Generate Certificate Page For Local certificate页面
    6. 对于 CA 证书,从 “可信 CA/组 ”字段中,选择一个已经外部签名的 CA 证书,包括匹配的可信 CA/组。如果没有任何此类设置,请单击 添加 CA 配置文件 并填写与您的环境匹配的值。 图 12 显示了 Add CA PROFILE 页面的示例。

      图 12:添加 CA 配置文件页面 ADD CA PROFILE page
    7. 用户身份验证 下拉菜单中,您可以选择现有访问配置文件,或单击 Add 以创建新的访问配置文件。如果 单击 Add,将显示 创建访问配置文件 窗口。

      图 13 显示了“创建访问配置文件”页面的示例。

      图 13:创建访问配置文件页面 Create Access Profile Page

      输入访问配置文件名称。从 “地址分配 ”下拉列表中,选择一个地址池,或单击“ 创建地址池”。单击“ 创建地址池”,将显示创建地址池页面。

      图 14 显示了“创建地址池”页面的示例。

      图 14:创建地址池页面 Create Address Pool Page
      • 输入客户端 VPN 策略中本地 IP 池的详细信息。输入 IP 地址池的名称。

      • 输入用于地址分配的网络地址。

      • 请输入您的 DNS 服务器地址。如果需要,请输入 WINS 服务器详细信息。立即单击 add 图标 (+),创建地址范围,以便为客户端分配 IP 地址。

      • 输入名称和上限。输入详细信息后,单击 OK

      选中 RADIUS 复选框,所有身份验证详细信息均存储在外部 radius 服务器上。

      • 单击 add 图标 (+) 以配置 radius 服务器详细信息。请参阅 图 15

        图 15:创建 RADIUS 服务器页面 Create RADIUS Server Page
      • 输入要源的 radius 通信的 Radius 服务器 IP 地址、Radius 密钥和源地址。单击 确定

        认证顺序中,从 订单 1 下拉列表中选择 RADIUS。单击 OK 完成访问配置文件配置。

        图 16 显示了“创建访问配置文件”页面的示例。

        图 16:创建访问配置文件页面 Create Access Profile Page
    8. SSL VPN 配置文件 下拉列表中,选择现有配置文件,或单击 Add 以创建新的 SSL VPN 配置文件。如果 单击 Add,将显示 添加 SSL VPN 配置文件 页面。

      图 17 显示了“添加 SSL VPN 配置文件”页面的示例。

      图 17:添加 SSL VPN 配置文件页面 Add SSL VPN Profile Page

      添加 SSL VPN 配置文件 页面上,您可以配置 SSL VPN 配置文件。在 Name 字段中输入 SSL VPN 配置文件名称,如果需要,可使用切换启用日志记录。在 SSL 终止配置文件 字段中,从下拉列表中选择 SSL 终止配置文件。SSL 终止是一个进程,其中 SRX 系列防火墙充当 SSL 代理服务器,并从客户端终止 SSL 会话。如果要创建新的 SSL 终止配置文件,请单击 Add。将显示 “创建 SSL 终止配置文件” 页面。

      图 18 显示了“创建 SSL 终止配置文件”页面的示例。

      图 18:创建 SSL 终止配置文件页面 Create SSL Termination Profile Page
      • 输入 SSL 终止配置文件的名称,并选择您在 SRX 系列防火墙上用于 SSL 终止的服务器证书。单击 Add 以添加新服务器证书,或单击 导入 以导入服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。

      • 单击 确定

    9. 默认情况下,源 NAT 流量选项处于启用状态。启用源 NAT 流量后,默认情况下,来自瞻博网络安全连接应用的所有流量都会 NATed 到所选接口。单击切换按钮以禁用源 NAT 流量选项。如果禁用选项,则必须确保有一个从网络指向 SRX 系列防火墙的路由,以便正确处理返回流量。

    10. “受保护的网络”下,单击 add 图标 (+),选择瞻博网络安全连接应用程序可连接到的网络。

      图 19 显示了“创建受保护网络”页面的示例。

      图 19:创建受保护网络页面 Create Protected Networks Page

      默认情况下,允许任何网络 0.0.0.0/0。如果配置特定网络,将启用瞻博网络安全连接应用程序的拆分隧道。如果保留默认值,则可以通过从客户端网络调整防火墙策略来限制对定义的网络的访问。单击 确定,所选网络现已在受保护网络列表中。单击 OK 完成本地网关配置。

      图 20 显示了成功完成使用远程用户和本地网关的远程访问配置的示例。

      图 20:完整远程访问配置 Complete Remote Access Configuration

      IKE 设置IPsec 设置 是高级选项。J-Web 已使用 IKE 和 IPsec 参数的默认值进行配置。配置这些设置并非必需。

  6. 现在,您可以找到要连接的远程用户的 URL。复制并存储此 URL,以便与远程用户共享。如果此配置不是您的默认配置文件,则只需要 /xxxx 信息。

    图 21 突出显示了远程用户必须输入瞻博网络安全连接应用 网关地址 字段才能建立远程访问连接的 URL。

    图 21:提交远程访问配置 Commit Remote Access Configuration
    1. 选择自动策略创建选项后,单击“ 保存 ”以完成瞻博网络安全连接 VPN 配置和相关策略。

    2. 单击突出显示的 “提交 ”按钮(位于页面右上角的反馈按钮旁)提交配置。

在客户端设备上下载并安装瞻博网络安全连接应用程序。启动瞻博网络安全连接并连接到 SRX 系列防火墙的网关地址。您还必须将根 CA 证书和用户证书放置在已安装瞻博网络安全连接应用程序的相应平台的相应目录位置。有关详细信息 ,请参阅瞻博网络安全连接用户指南