Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用预共享密钥的本地用户身份验证

总结 在此配置中,您可以使用用户名和密码进行本地用户认证。此配置选项不允许在不与防火墙管理员交互的情况下更改或恢复凭据,因此我们不推荐此认证方法。建议您使用 外部用户认证 使用 RADIUS 方法。

我们假设您已完成 SRX 系列设备的基本设置,包括接口、区域和安全策略,如"部署情景"瞻博网络安全连接。

有关先决条件的信息,请参阅 系统要求

注意:

必须确保 SRX 系列设备使用已签名证书或自签名证书,而不是默认系统生成的证书。开始配置瞻博网络安全连接之前,请阅读"部署网络先决条件" 中的瞻博网络安全连接

配置瞻博网络安全连接 VPN 设置

要使用 J-Web 界面配置 VPN 设置,

  1. 使用 J-Web 界面登录 SRX 系列设备。图 1 显示了 J-Web 登录页面。
    图 1:J-Web 访问和登录 J-Web Access and Login

    成功登录后,将登录 Basic Settings 页面。 图 2 显示了登录页面的示例。

    图 2:J-Web 登录页 J-Web Landing Page
  2. 在 J-Web 侧窗格,通过 IPsec VPN 导航>网络> VPN
    1. 单击 IPsec VPN 后,将显示 IPsec VPN 页面。 图 3 显示了 IPsec VPN 页面 的示例。

      图 3:IPsec VPN 页面 IPsec VPN Page
    2. 在页面右角,选择 Create VPN > 远程> 瞻博网络安全连接 , 为设备创建 IPsec VPN 瞻博网络安全连接。

      出现以下警告消息:

      图 4:生成和绑定自签名证书的警告消息 Warning Message To Generate And Bind Self-signed Certificate

      如警告消息中提及,创建自签名证书,将证书绑定至 SRX 系列设备。有关详细信息,请参阅 准备瞻博网络安全连接

      有关创建远程访问 VPN 的详细信息,请参阅 创建远程访问 VPN —瞻博网络安全连接

    3. 再次导航到 Network > VPN > IPsec VPN 和页面右角,选择 Create VPN > 远程访问 > 瞻博网络安全连接 以创建用于 瞻博网络安全连接 的 IPsec VPN 设置。将显示 Create Remote Access (瞻博网络安全连接) 页面。 图 5 显示了创建远程访问 VPN 的示例。

      图 5:创建 VPN - 远程访问 Create VPN - Remote Access

      图 6 显示了使用预共享密钥认证方法创建远程访问页面的示例。

      图 6:为预共享密钥身份验证方法创建远程访问页面 Create Remote Access Page For Pre-shared Key Authentication Method
  3. 在 Create Remote Access (瞻博网络安全连接) 页面上(请参阅 图 7):
    1. 输入远程访问 连接的名称(即,将在应用程序上的最终用户瞻博网络安全连接名称)和说明

    2. 默认情况下,路由模式设置为 流量选择器(自动路由 插入)。

    3. 选择认证方法。此示例从下拉列表中选择 共享密钥。

    4. 选择 Yes 使用 自动创建防火墙策略 选项自动 创建防火墙 策略。

    图 7:预共享密钥身份验证方法 Pre-shared key Authentication Method
  4. 单击 远程用户 图标以配置瞻博网络安全连接设置。
    图 8:远程用户页面 Remote User Page

    图 8 显示了远程用户页面的示例。

    在远程用户页面上选择选项,然后单击 OK ,以配置远程用户客户端

    表 1 汇总了远程用户设置选项。

    表 1:远程用户设置选项

    远程用户设置

    描述

    默认配置文件

    默认情况下 默认配置文件已启用。如果您不希望此配置文件成为默认配置文件,请单击切换按钮。

    如果为 VPN 连接配置文件启用 Default Profile ,瞻博网络安全连接将自动选择默认配置文件作为领域名称(此示例 https://12.12.12.12/)。在这种情况下,可以选择在 瞻博网络安全连接 中输入领域瞻博网络安全连接。

    如果禁用 VPN 连接配置文件的默认配置文件,则必须在默认情况下输入领域名称以及网关地址(此示例 https://12.12.12.12/JUNIPER_SECURE_CONNECT 瞻博网络安全连接。

    连接模式

    要手动或自动建立客户端连接,请选择相应的选项。

    • 如果选择 Manual ,然后在 瞻博网络安全连接 应用程序中建立连接,则必须从菜单中单击切换按钮或> 连接

    • 如果选择 始终 ,瞻博网络安全连接会自动建立连接。

    已知限制:

    Android 设备: 如果您使用或选择 始终 ,则配置从第一个使用中的 SRX 设备下载。如果第一个 SRX 设备配置发生变化,或者您连接到了新的 SRX 设备,此配置不会下载到瞻博网络安全连接应用程序。

    这意味着,一旦使用 Android 设备以"始终"模式连接,SRX 设备的任何配置更改都将不会瞻博网络安全连接。

    SSL VPN

    要启用从 瞻博网络安全连接到 SRX 系列设备的 SSL VPN 连接,请单击切换按钮。如果不允许使用 IPsec 端口,请选择此选项。通过启用 SSL VPN,客户端可以灵活地连接 SRX 系列设备。默认情况下, SSL VPN 已启用。

    生物测定身份验证

    默认情况下,此选项处于禁用状态。如果启用此选项,则当单击 瞻博网络安全连接 连接时,瞻博网络安全连接显示认证提示。

    此选项允许用户使用操作系统的内置生物测定身份验证支持保护其证书。

    不工作对等方检测

    默认情况下,不工作对等方检测 (DPD) 允许客户端检测 SRX 系列设备是否触到,如果设备不可访问,则禁用连接直到恢复可达性。

    Windows Logon

    此选项允许用户通过已建立的 VPN 隧道(使用 Windows Pre-Logon)登录到本地 Windows 系统,以便通过身份验证到中央 Windows 域或 Active Directory。

  5. 单击 本地网关 以配置本地网关设置。

    图 9 显示了本地网关配置设置的示例。

    图 9:本地网关配置 Local Gateway Configuration
    1. 如果启用 网关在 NAT 后,将显示一个文本框。在文本框中,输入 NAT IP 地址。我们仅支持 IPv4 地址。NAT地址是外部地址。

    2. 以IKE格式输入 user@hostname.com ID。例如, abc@xyz.com

    3. "外部接口"字段中,选择要连接的客户端的 IP 地址。您必须为应用程序中的网关地址字段输入此相同的 IP 地址(此示例 https://12.12.12.12/ 瞻博网络安全连接)。

      如果启用 网关位于 NAT之后,NAT IP 地址将成为网关地址。

    4. 隧道接口 下拉菜单中选择一个接口,将其绑定到基于路由的 VPN。或者,单击 添加 。如果单击 Add ,将显示 创建隧道接口 页面。

      图 10 显示了 Create Tunnel Interface 页面的示例。

      图 10:创建隧道接口页面 Create Tunnel Interface Page

      下一个可用 ST0 逻辑接口编号显示在 接口单元 字段中,您可以为此接口输入说明。选择要将此隧道接口添加至 的区域。如果 自动创建防火墙策略 (在 Create Remote Access 页面上)设置为 ,防火墙策略将使用此区域。单击 OK

    5. 以 ASCII 或十六进制格式输入预共享密钥。

    6. 从" 用户身份验证 "下拉列表中,选择现有访问配置文件或单击 添加 以创建新访问配置文件。如果单击 Add ,将显示 Create Access Profile 页面。

      图 11 显示了 Create Access Profile 页面的示例。

      图 11:创建访问配置文件页面 Create Access Profile Page

      输入访问配置文件名称。从地址 分配 下拉菜单中选择地址池或单击 创建地址池 。如果单击 Create Address Pool,将显示 Create Address Pool 页面。

      图 12 显示了 Create Address Pool 页面的示例。

      图 12:创建地址池页面 Create Address Pool Page
      • 输入客户端的 VPN 策略中的本地 IP 池的详细信息。输入 IP 地址池的名称。

      • 输入用于地址分配的网络地址。

      • 输入 DNS 服务器地址。如果需要,输入 WINS 服务器详细信息。现在单击 add 图标 (+) 以创建地址范围,将 IP 地址分配给客户端。

      • 输入名称以及下限和更高限制。输入详细信息后,单击 OK

      选择 本地 复选框以创建本地认证用户,其中所有认证详细信息都存储在 SRX 系列设备上。如果单击 add 图标 (+),将显示 创建本地认证用户 窗口。

      图 13 显示了创建本地身份验证用户页面的示例。

      图 13:创建本地身份验证用户页面 Create Local Authentication User Page

      输入用户名和密码,然后单击 OK 。再次 单击 OK 完成访问配置文件配置。

    7. SSL VPN 配置文件 下拉列表中,选择现有配置文件或单击 添加 以创建新的 SSL VPN 配置文件。如果单击 Add ,将显示 添加 SSL VPN 配置文件 页面。

      图 14 显示了添加 SSL VPN 配置文件页面的示例。

      图 14:添加 SSL VPN 配置文件页面 Add SSL VPN Profile Page

      添加 SSL VPN 配置文件 页面上,您可以配置 SSL VPN 配置文件。在"名称"字段中输入 SSL VPN 配置文件 名称,并 启用使用切换功能(如果需要)日志记录。在 SSL 终止配置文件 字段中,从下拉列表中选择 SSL 终止配置文件。SSL 终止是一个进程,SRX 系列设备可充当 SSL 代理服务器,并终止来自客户端的 SSL 会话。如果要创建新的 SSL 终端配置文件,请单击 添加 。将显示 Create SSL 终止配置文件 页面。

      图 15 显示了 Create SSL 终止配置文件页面的示例。

      图 15:创建 SSL 终端配置文件页面 Create SSL Termination Profile Page
      • 输入 SSL 终端配置文件的名称,并选择用于 SRX 系列设备上 SSL 终止的服务器证书。单击 添加 以添加新服务器证书或单击 导入 以导入服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。

      • 单击 OK

    8. 默认情况下 NAT Source NAT 信息流选项。启用 NAT源路由流量 时,来自 瞻博网络安全连接 应用程序的所有流量均是 NATed 到所选接口(默认)。单击切换按钮以禁用 Source NAT Traffic 选项。如果禁用 选项,则必须确保有一个路由从网络指向 SRX 系列设备,用于正确处理返回流量。

    9. "保护网络"下,单击 添加 图标 (+) 以选择瞻博网络安全连接可连接的网络。

      图 16 显示了 Create Protected Networks 页面的示例。

      图 16:创建受保护的网络页面 Create Protected Networks Page

      默认情况下,允许任何网络 0.0.0.0/0。如果配置特定网络,将启用针对瞻博网络安全连接隧道。如果保留默认值,您可以通过从客户端网络调整防火墙策略来限制对已定义网络的访问。单击 OK ,所选网络现在位于受保护网络列表中。单击 OK 完成本地网关配置。

      图 17 显示了成功使用远程用户和本地网关完成远程访问配置的示例。

      图 17:完整远程接入配置 Complete Remote Access Configuration

      IKE设置IPsec 设置 是高级选项。J-Web 已配置有 IKE 和 IPsec 参数的默认值。并非必须配置这些设置。

  6. 现在,您可以找到要连接的远程用户的 URL。复制并存储此 URL,以便与远程用户共享。如果此配置不是您的默认配置文件,则只需要 /xxxx 信息。

    图 18 突出显示了远程用户必须输入到应用程序网关地址字段中瞻博网络安全连接才能建立远程访问连接的 URL。

    图 18:提交远程接入配置 Commit Remote Access Configuration
    1. 单击 保存 以完成瞻博网络安全连接 VPN 配置和相关策略(如果您选择自动创建策略选项)。

    2. 单击突出显示 的 Commit 按钮(位于页面右上方,"反馈按钮"旁边)提交配置。

在客户端瞻博网络安全连接并安装应用程序。启动瞻博网络安全连接并连接到 SRX 系列设备的网关地址。有关详细信息 ,请参阅 瞻博网络安全连接 用户指南 。