Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 EAP-TLS 身份验证进行基于证书的验证(CLI 过程)

概述

在此配置中,您可以使用 EAP-TLS 身份验证方法来验证用户证书。您可以继续使用用户名和密码进行外部用户身份验证,通过 RADIUS 服务器从 SRX 系列防火墙下载初始配置。

我们假设您已经完成了 SRX 系列防火墙的基本设置,包括接口、区域和安全策略,如 图 1 所示。

图 1:拓扑 Topology

有关先决条件的信息,请参阅 瞻博网络安全连接的系统要求

确保已将公钥基础架构 (PKI) 配置为后端身份验证。在这种情况下,您需要在每个客户端上安装 CA 的根证书,并在每个客户端设备上安装特定于用户的证书。请注意,此方案不支持本地身份验证。

您必须确保 SRX 系列防火墙使用签名证书或自签名证书,而不是默认的系统生成的证书。开始配置瞻博网络安全连接之前,必须通过执行以下命令将证书绑定到 SRX 系列防火墙:

例如:

其中 SRX_Certificate 是自签名证书。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层级的 CLI 中。

循序渐进的过程

要使用命令行界面配置 VPN 设置,请执行以下作:

  1. 使用命令行界面 (CLI) 登录到 SRX 系列防火墙。
  2. 进入配置模式。
  3. 配置远程访问 VPN。

    要部署瞻博网络安全连接,您必须创建自签名证书并将该证书绑定到 SRX 系列防火墙。更多信息,请参阅 瞻博网络安全连接入门

    IKE 配置:

    1. 配置 IKE 提议。

      配置 rsa-signatures 为身份验证方法以配置基于证书的身份验证。

      为身份验证过程启用此选项。IKEv2 需要 EAP 进行用户身份验证。SRX 系列防火墙无法充当 EAP 服务器。IKEv2 EAP 必须使用外部 RADIUS 服务器才能执行 EAP 身份验证。SRX 将充当直通身份验证器,在瞻博网络安全连接客户端和 RADIUS 服务器之间中继 EAP 消息。

      选择基于证书的身份验证方法时,默认情况下会启用 EAP-TLS。

      定义 IKE 提议身份验证方法、Diffie-Hellman 组和身份验证算法。
      请参阅 提议(安全 IKE)。
    2. 配置 IKE 策略。

      设置 IKE 第 1 阶段策略模式、对 IKE 提议的引用和 IKE 第 1 阶段策略身份验证方法。

      请参阅 策略(安全 IKE)。
      要加载本地证书,请在本地设备有多个已加载的证书时, set security ike policy policy-name certificate local-certificate certificate-id 使用命令指定特定的本地证书。您可以选择已外部签名的本地证书之一。在此示例中, SRX_Certificate 是为 JUNIPER_SECURE_CONNECT 策略加载的现有本地证书。
      如果您没有现有的本地证书,可以按照以下步骤创建一个:
      创建本地证书后,可以使用命令将证书附加到 IKE 策略 set security ike policy policy-name certificate local-certificate certificate-id
    3. 配置 IKE 网关选项。请参阅动态

      如果未配置 DPD 值和版本信息,Junos OS 将为这些选项分配默认值。 请参阅 dead-peer-detection

      配置要连接的客户端的外部接口 IP 地址。您必须在 瞻博网络安全连接 应用程序的“ 网关地址 ”字段中输入相同的 IP 地址(在本例中为:https://192.0.2.0)。请参阅 网关

    IPsec 配置:

    1. 配置 IPsec 提议。
      指定 IPsec 第 2 阶段提议协议、加密算法和其他第 2 阶段选项。
      请参阅 提议(安全 IPsec)。
    2. 配置 IPsec 策略。
      • 指定 IPsec 第 2 阶段 PFS 以使用 Diffie-Hellman 组 19。
      • 指定 IPsec 第 2 阶段提议参考。
      请参阅 策略(安全 IPsec)。

    IPsec VPN 配置:

    1. 配置IPsec VPN参数。请参阅 VPN (安全)。
    2. 配置 VPN 流量选择器。请参阅 traffic-selector
  4. 配置远程用户客户端选项。
    1. 配置远程访问配置文件。请参阅远程访问
    2. 配置远程访问客户端配置。请参阅 client-config

    表 1 汇总了远程用户设置选项。

    表 1:远程用户设置选项

    远程用户设置

    描述

    连接模式

    要手动或自动建立客户端连接,请配置相应的选项。

    • 如果配置 手动 选项,则在瞻博网络安全连接应用程序中,要建立连接,必须单击切换按钮或从菜单中选择 连接>连接

    • 如果配置 始终 选项,则瞻博网络安全连接会自动建立连接。

    已知限制:

    Android 设备:如果使用或选择 “始终”,则将从第一个使用的 SRX 设备下载配置。如果第一个 SRX 系列防火墙配置发生更改,或者您连接到新的 SRX 设备,则配置不会下载到瞻博网络安全连接应用中。

    这意味着,一旦您使用 Android 设备以 始终 模式连接,SRX 系列防火墙中的任何配置更改都不会在瞻博网络安全连接上生效。

    失效对等体检测

    默认情况下,不工作对等方检测 (DPD) 处于启用状态,以允许客户端检测 SRX 系列防火墙是否可访问,如果设备无法访问,请禁用连接,直到可访问性恢复。

    默认 -profile

    如果将 VPN 连接配置文件配置为默认配置文件,则只能在瞻博网络安全连接应用程序中输入网关地址。在瞻博网络安全连接应用中输入领域名称是可选的,因为应用会自动选择默认配置文件作为领域名称。在此示例中,在 瞻博网络安全连接 应用程序的“网关地址”字段中输入 ra.example.com

    注意:

    从 Junos OS 23.1R1 版开始,我们在 [edit security remote-access] 层级隐藏了  default-profile该选项。在 Junos OS 23.1R1 之前的版本中,您可以使用此选项将其中一个远程访问配置文件指定为瞻博网络安全连接中的默认配置文件。但是,随着远程访问配置文件名称格式的更改,我们不再需要该default-profile选项。

    我们已弃用default-profile该选项,而不是立即将其删除,以提供向后兼容性,并有机会使现有配置符合更改后的配置。如果您继续在 配置中使用该default-profile 选项,您将收到一条警告消息。但是,如果修改当前配置,则现有部署不会受到影响。请参阅 default-profile(瞻博网络安全连接)。
  5. 配置本地网关。
    1. 为客户端动态 IP 分配创建地址池。请参阅地址分配 (Access)。

      • 输入用于地址分配的网络地址。

      • 输入您的 DNS 服务器地址。如果需要,输入 WINS 服务器详细信息。创建地址范围以将 IP 地址分配给客户端。

      • 输入名称以及下限和上限。

    2. 创建访问配置文件。

      对于外部用户身份验证,请提供 RADIUS 服务器 IP 地址、Radius 密钥和源地址,以便从中获取 RADIUS 通信。配置身份验证顺序的 RADIUS。

    3. 配置公钥基础架构 (PKI) 属性。请参见 pki
    4. 创建 SSL 终止配置文件。SSL 终止是 SRX 系列防火墙充当 SSL 代理服务器并终止客户端 SSL 会话的过程。输入 SSL 终止配置文件的名称,然后选择用于 SRX 系列防火墙上 SSL 终止的服务器证书。服务器证书是本地证书标识符。服务器证书用于验证服务器的身份。
    5. 创建 SSL VPN 配置文件。请参阅 tcp-encap
    6. 创建防火墙策略。
      创建安全策略以允许从信任区域到 VPN 区域的流量。
      创建安全策略以允许从 VPN 区域到信任区域的流量。
  6. 配置以太网接口信息。

    配置 st0 接口,并将系列设置为 inet。

  7. 配置安全区域。
  8. 已成功配置具有远程用户和本地网关的远程访问配置。
  9. 启动瞻博网络安全连接应用,并在瞻博网络安全连接应用的“网关地址”字段中提供为外部 IP 地址配置的相同 IP 地址。

    在此示例中,您已将 https://192.0.2.0/ 配置为客户端要连接的外部接口 IP 地址。您必须在 瞻博网络安全连接 应用程序的 “网关地址” 字段中输入相同的 IP 地址 (https://192.0.2.0/)。

结果

在作模式下,输入show securityshow access、和show security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

在设备上配置完该功能后,从配置模式进入提交。

相关主题