Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 RADIUS 的外部用户身份验证

总结 此配置更安全,因为它允许您使用与域登录相同的用户名和密码,以及更改或恢复凭据,而无需与防火墙管理员交互。它还减少了管理员的工作量,因为必须经常更改密码。我们建议您使用此配置对用户进行身份验证。

我们假设您已完成 SRX 系列防火墙的基本设置,包括接口、区域和安全策略,如 瞻博网络安全连接部署方案所示。

有关先决条件的信息,请参阅 系统要求

注意:

您必须确保 SRX 系列防火墙使用签名证书或自签名证书,而不是默认的系统生成证书。在开始配置瞻博网络安全连接之前,请务必阅读 部署瞻博网络安全连接的先决条件中的说明。

配置瞻博网络安全连接 VPN 设置

要使用 J-Web 界面配置 VPN 设置,请执行以下操作:

  1. 使用 J-Web 界面登录 SRX 系列防火墙。图 1 显示了 J-Web 登录页面。
    图 1:J-Web 访问和登录 J-Web Access and Login

    成功登录后,您将进入“基本设置”页面。 图 2 显示了登录页面的示例。

    图 2:J-Web 登录页面 J-Web Landing Page
  2. 在 J-Web 侧窗格中,导航到网络> VPN > IPsec VPN

    1. 单击“ IPsec VPN”后,将显示“IPsec VPN”页面。 图 3 显示了 IPsec VPN 页面的示例。

      图 3:IPsec VPN 页面 IPsec VPN Page

    2. 在页面右上角,选择 >瞻博网络安全连接创建 VPN > 远程访问,为瞻博网络安全连接创建 IPsec VPN 设置。

      将出现以下警告消息:

      图 4:生成和绑定自签名证书 Warning Message To Generate And Bind Self-signed Certificate的警告消息

      如警告消息中所述,创建自签名证书并将证书绑定到 SRX 系列防火墙。有关更多信息,请参阅 准备部署瞻博网络安全连接

      有关创建远程访问 VPN 的详细信息,请参阅 创建远程访问 VPN - 瞻博网络安全连接

    3. 再次导航到“ 网络 > VPN > IPsec VPN ”,然后在页面右上角选择 “创建 VPN > >瞻博网络安全连接远程访问 ”,为瞻博网络安全连接创建 IPsec VPN 设置。此时将显示“创建远程访问(瞻博网络安全连接)”页面。 图 5 显示了创建远程访问 VPN 的示例。

      图 5:创建 VPN - 远程访问 Create VPN - Remote Access

      图 6 显示了使用预共享密钥身份验证方法创建远程访问页面的示例。

      图 6:为预共享密钥身份验证方法 Create Remote Access Page For Pre-shared Key Authentication Method创建远程访问页面
  3. 在“创建远程访问(瞻博网络安全连接)”页上(请参阅 图 7):

    1. 输入远程访问连接的名称(即将显示在瞻博网络安全连接应用程序中的最终用户领域名称上的名称)和描述。

    2. 默认情况下,路由模式设置为流量选择器(自动路由插入)。

    3. 选择身份验证方法。对于此示例,让我们从下拉菜单中选择预 共享密钥

    4. 选择“ ”以使用 “自动创建防火墙策略 ”选项自动创建防火墙策略。

    图 7:创建远程访问页面 Create Remote Access Page
  4. 单击 远程用户 图标以配置瞻博网络安全连接应用程序设置。
    图8:远程用户页面 Remote User Page

    图 8 显示了“远程用户”页面的示例。

    通过选择“ 远程用户 ”页面上的选项,然后单击“ 确定 ”来配置远程用户客户端:

    表 1 汇总了远程用户设置选项。

    表 1:远程用户客户端设置选项

    远程用户客户端设置

    描述

    默认配置文件

    默认情况下,默认配置文件处于启用状态。如果不希望此配置文件成为默认配置文件,请单击切换按钮。

    如果为 VPN 连接配置文件启用 默认配置文件 ,瞻博网络安全连接会自动选择默认配置文件作为域名(在本例中为: https://12.12.12.12/)。在这种情况下,可以选择在瞻博网络安全连接中输入域名。

    如果禁用 VPN 连接配置文件 的默认配置文件 ,则必须在瞻博网络安全连接中输入域名以及网关地址(在本例中为 https://12.12.12.12/JUNIPER_SECURE_CONNECT)。

    注意:

    从 Junos OS 23.1R1 版本开始,默认配置文件在 J-Web 中已弃用。但是,在 CLI 中,我们提供向后兼容性,并有机会使您的现有配置符合更改后的配置,而不是立即将其删除。如果继续在配置中使用默认配置文件选项,您将收到一条警告消息。但是,如果使用 CLI 修改当前配置,则现有部署不受影响。请参阅默认配置文件(瞻博网络安全)

    连接模式

    要手动或自动建立客户端连接,请选择相应的选项。

    • 如果选择 手动,则在瞻博网络安全连接应用程序中,要建立连接,您必须单击切换按钮或从菜单中选择 连接> 连接。

    • 如果选择 “始终”,则瞻博网络安全连接会自动建立连接。

    已知限制:

    Android 设备:如果使用或选择 始终,则会从第一个使用的 SRX 设备下载配置。如果第一个 SRX 系列防火墙配置发生更改,或者您连接到新的 SRX 设备,则配置不会下载到瞻博网络安全连接应用程序。

    这意味着,一旦您使用 Android 设备以始终模式进行连接,SRX 系列防火墙中的任何配置更改都不会在瞻博网络安全连接上生效。

    SSL VPN

    要启用从瞻博网络安全连接应用程序到 SRX 系列防火墙的 SSL VPN 连接支持,请单击切换按钮。当不允许使用 IPsec 端口时,请使用此选项。通过启用 SSL VPN,客户端可以灵活地连接 SRX 系列防火墙。默认情况下, SSL VPN 处于启用状态。

    生物识别认证

    默认情况下,此选项处于禁用状态。如果启用此选项,当您在瞻博网络安全连接中单击连接时,瞻博网络安全连接将显示身份验证提示。

    此选项允许用户使用操作系统的内置生物识别身份验证支持来保护其凭据。

    失效对等体检测

    默认情况下启用失效对等体检测 (DPD),以允许客户端检测 SRX 系列防火墙是否不可访问,禁用连接,直到可访问性恢复。

    Windows 登录

    此选项允许用户通过已建立的 VPN 隧道(使用 Windows 前登录)登录到本地 Windows 系统,以便通过中央 Windows 域或 Active Directory 对其进行身份验证。
  5. 单击 本地网关 以配置本地网关设置。

    图 9 显示了本地网关配置设置的示例。

    图 9:本地网关配置 Local Gateway Configuration

    1. 如果启用 “网关位于 NAT 后面”,则会显示一个文本框。在文本框中,输入 NAT IP 地址。我们仅支持 IPv4 地址。NAT 地址是外部地址。

    2. user@hostname.com 格式输入 IKE ID。例如, abc@xyz.com

    3. “外部接口”字段中,选择要连接的客户端的 IP 地址。您必须为瞻博网络安全连接应用程序中的网关地址字段输入相同的 IP 地址(在本例中为 https://12.12.12.12/)。

      如果启用 “网关位于 NAT 后面”,则 NAT IP 地址将成为网关地址。

    4. 隧道接口 下拉列表中,选择一个接口以将其绑定到基于路由的 VPN。或者,单击 “添加”。如果单击 添加,将显示 创建隧道接口 页面。

      图 10 显示了“创建隧道接口”页面的示例。

      图 10:创建隧道接口页面 Create Tunnel Interface Page

      下一个可用的 ST0 逻辑接口编号显示在接口单元字段中,您可以输入此接口的说明。选择要将此隧道接口添加到的区域。如果“自动创建防火墙策略”(在“创建远程访问”页中)设置为“是”,则防火墙策略将使用此区域。单击“确定”。

    5. 输入 ASCII 格式的预共享密钥。我们不支持远程访问 VPN 的十六进制格式。

    6. 用户身份验证 下拉列表中,选择现有访问配置文件,或单击 添加 以创建新的访问配置文件。如果单击 “添加”,将显示“ 创建访问配置文件 ”页。

      图 11 显示了“创建访问配置文件”页的示例。

      图 11:创建访问配置文件页面 Create Access Profile Page

      输入访问配置文件名称。从 地址分配 下拉列表中,选择一个地址池或单击 创建地址池。如果单击“ 创建地址池”,将显示“创建地址池”页面。

      将出现 创建地址池 窗口。

      图 12 显示了“创建地址池”页面的示例。

      图 12:创建地址池页面 Create Address Pool Page

      • 输入客户端 VPN 策略中的本地 IP 池的详细信息。输入 IP 地址池的名称。

      • 输入用于地址分配的网络地址。

      • 输入您的 DNS 服务器地址。如果需要,请输入 WINS 服务器详细信息。现在,单击添加图标 (+) 以创建地址范围以将 IP 地址分配给客户端。

      • 输入名称以及下限和上限。输入详细信息后,单击“确定”。

      选中“ RADIUS ”复选框,其中所有身份验证详细信息都存储在外部 RADIUS 服务器上。

      • 单击添加图标 (+) 以配置 RADIUS 服务器详细信息。参见 图 13

        图 13:创建 RADIUS 服务器页面 Create RADIUS Server Page

      • 输入要从中获取的 RADIUS 通信的 Radius 服务器 IP 地址、Radius 密钥和源地址。单击“确定”。

        “身份验证顺序”中,从“ 顺序 1 ”下拉列表中选择 RADIUS。单击 确定 完成访问配置文件配置。

        图 14 显示了“创建访问配置文件”页的示例。

        图 14:创建访问配置文件页面 Create Access Profile Page

    7. SSL VPN 配置文件 下拉列表中,选择现有配置文件或单击 添加 以创建新的 SSL VPN 配置文件。如果单击 添加,将显示 “添加 SSL VPN 配置文件 ”页面。

      图 15 显示了“添加 SSL VPN 配置文件”页面的示例。

      图 15:添加 SSL VPN 配置文件页面 Add SSL VPN Profile Page

      添加 SSL VPN 配置文件 页面上,您可以配置 SSL VPN 配置文件。在 名称 字段中输入 SSL VPN 配置文件名称,然后根据需要使用切换开关启用日志记录。在 “SSL 终止配置文件 ”字段中,从下拉列表中选择 SSL 终止配置文件。SSL 终止是 SRX 系列防火墙充当 SSL 代理服务器并终止来自客户端的 SSL 会话的过程。如果要创建新的 SSL 终止配置文件,请单击 添加。此时将显示 “创建 SSL 终止配置文件 ”页面。

      图 16 显示了“创建 SSL 终止配置文件”页面的示例。

      图 16:创建 SSL 终止配置文件页面 Create SSL Termination Profile Page

      • 输入 SSL 终止配置文件的名称,然后选择用于在 SRX 系列防火墙上进行 SSL 终止的服务器证书。单击“ 添加 ”添加新的服务器证书,或单击 “导入 ”导入服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。

      • 单击“确定”。

    8. 默认情况下,源 NAT 流量选项处于启用状态。启用源 NAT 流量后,默认情况下,来自瞻博网络安全连接应用程序的所有流量都将通过 NAT 传输到所选接口。单击切换按钮以禁用源 NAT 流量选项。如果禁用该选项,则必须确保有来自网络的路由指向 SRX 系列防火墙,以便正确处理返回流量。

    9. “受保护的网络”下,单击添加图标 (+) 以选择瞻博网络安全连接应用程序可以连接到的网络。

      图 17 显示了“ 创建受保护的网络 ”页面的示例。

      图 17:创建受保护的网络页面 Create Protected Networks Page

      默认情况下,允许任何网络 0.0.0.0/0。如果配置特定网络,则会为瞻博网络安全连接应用程序启用拆分隧道。如果保留默认值,则可以通过从客户端网络调整防火墙策略来限制对已定义网络的访问。单击“ 确定”,所选网络现在位于受保护网络列表中。单击 确定 ,完成本地网关配置。

      图 18 显示了使用远程用户和本地网关成功完成远程访问配置的示例。

      图 18:完整的远程访问配置 Complete Remote Access Configuration

      IKE 设置IPsec 设置 是高级选项。J-Web 已配置了 IKE 和 IPsec 参数的默认值。配置这些设置不是强制性的。

  6. 现在,您可以找到要连接到的远程用户的 URL。复制并存储此 URL,以便与远程用户共享。如果此配置不是默认配置文件,则只需要 /xxxx 信息。

    图 19 突出显示了远程用户在瞻博网络安全连接应用程序的 网关地址 字段中输入的 URL,以建立远程访问连接。

    图 19:提交远程访问配置 Commit Remote Access Configuration

    1. 单击 保存 以完成瞻博网络安全连接 VPN 配置和相关策略(如果已选择自动策略创建选项)。

    2. 单击突出显示的 “提交 ”按钮(位于页面右上角的“反馈按钮”旁边)以提交配置。

在客户端计算机上下载并安装瞻博网络安全连接应用程序。启动瞻博网络安全连接并连接到 SRX 系列防火墙的网关地址。有关更多详细信息,请参阅 瞻博网络安全连接用户指南

相关文档