NetScreen防火墙VPN配置
Netscreen防火墙上建立VPN一般有两种:一是Site到Site的VPN ,就是两个LAN之间建立的VPN 。一种是客户端PC访问公司内部的VPN ,就是PC到Site的方式。
一 。Site到Site的VPN:
总部和分部之间欲通过VPN方式连接。其中总部使用NetScreen204防火墙,公网IP地址为通过LinkProof设备NAT获得的218.17.228.39;而分部使用SonicWall防火墙,具有公网IP为61.144.203.20.
我们先在netscreen上设定:1、建立第一阶段的数据加密方式及数据完整检验的算法。在netscreen左边树状目录中选择VPN -> AutoKey Advanced -> P1 Proposal ,单击右边的New按钮,建立自定义的数据加密方式及完整检验算法。
输入名称为to_sonicwall ,选择Authentication Method方式为Preshare ,DH Group 选择为Group1 ,Encryption Algorithm选择为DES-CBC ,Hash Algorithm选择为MD5 ,Lifetime选择为28800秒。然后单击OK退出。
2、建立第二阶段的数据加密及数据完整检验方式:在netscreen左边树状目录中选择VPN -> AutoKey Advanced -> P2 Proposal ,单击右边的New按钮,建立自定义的数据加密方式及完整检验算法。
输入名称为2sonicwall ,Perfect Forward Secrecy选择DH-Group1,在下面的Encapsulation中选择Encryption (ESP),并选择加密算法为3DES-CBC方式,Authentication Algorithm选择为MD5 ,Lifetime选择为28800秒。然后单击OK退出。
3、建立远程的网关:在树状目录中,VPN -> AutoKey Advanced ->Gateway中,单击右边New按钮:
输入网关名称为sonicwall ,Security Level选择为Custom ,Remote Gateway Type选择为Static IP Address并输入对方sonicwall的公网IP地址 61.144.203.20 ,在下面的Preshared Key输入自己定义的密钥,这里我们统一为netscreen ,然后单击Advanced按钮,在Phase 1 Proposal中我们选择刚才建立的to_sonicwall ,Mode (Initiator)选择为Main (ID Protection) ,然后单击Return 返回前一页面,并单击OK退出。
4、建立第二阶段的IKE :VPN -> AutoKey IKE ,单击右边New按钮:
输入VPN的名称,Security Level选择为Custom,Remote Gateway选择为Predefined ,并选择为刚才我们建立的sonicwall网关。单击Advanced 按钮:
Phase 2 Proposal选择为我们刚才建立2sonicwall ,然后单击Return返回前一页面,并单击OK退出。
5、单击左边的Policies ,选择From中的Trust ,以及To中的Untrust ,并单击New按钮:
Source Address在New Address中输入netscreen后的网络地址10.1.1.0 ,子网掩码为255.255.255.0 。Destination Address中输入京广中心的内部网络号172.16.80.0 ,子网掩码为255.255.255.0。在Action中选择Tunnel ,Tunnel VPN选择为我们建立的to sonic ,并将Modify matching bidirectional VPN policy和Position at Top的两个复选框选中。单击OK按钮退出。
然后在Sonicwall上进行设置:
此处略过。
二 。PC到Site的VPN:
如果一台PC在公司外面通过拨号上网获得公网IP地址,通过VPN client的软件来和公司内部建立VPN连接的,必须要有client软件来配合,假设netscreen后的公司内部地址为192.168.1.0网段。
1、建立用户:在树状目录中,Objects ->Users->Local ,单击右边New按钮:
输入User Name ,Status 选择为Enable ,将IKE User的复选框选中,并选择Simple Identity ,在IKE Identity 中输入字符串 ateam@ateam.com.cn 。单击OK后退出。
2、建立远程的网关:在树状目录中,VPN -> AutoKey Advanced ->Gateway中,单击右边New按钮:
输入相应的Gateway Name为ateam_vpn ,Security Level选择为Custom ,Remote Gateway Type中选择Dialup User ,并选择用户名为刚才我们所建立的用户名。在Preshared Key中输入自己定义的密钥 netscreen,然后单击Advanced按钮:
Phase 1 Proposal选择为pre-g2-des-md5 ,Mode (Initiator)选择为Aggressive 。单击Returen返回上一页面,并单击OK退出。
3、VPN->Autokey IKE中,单击右边New按钮:
在VPN Name中输入相应的名称,Remote Gateway选择我们刚才建立的网关ateam_vpn ,单击Advanced按钮:
Phase 2 Proposal选择g2-esp-des-md5 ,并单击Return返回前一页面,并单击OK退出。
4、单击Policies ,在From 中选择Untrust ,在To 中选择Trust ,单击New按钮:
在Source Address中选择Address Book ,并从下拉菜单中选择Dial-Up VPN ,Destination Address中输入本公司内部地址段192.168.1.0 ,子网掩码为255.255.255.0 。Action选择为Tunnel ,Tunnel VPN选择我们建立的tr ,将Position at Top的复选框选中。单击OK按钮退出。
5、PC端的设置:将客户端VPN软件安装后,在任务栏右下角会有一个蓝色的图标,双击打开Security Policy Editor:
在MyConection上右键单击,依次Add->Connection ,新建立一个VPN连接,名称为test 。
6、单击名为test的VPN连接:
在Connection Security中选择Securite ,在Remote Party Identity and Addressing中,ID Type选择为IP Subnet ,Subnet中输入公司内部网络号192.168.1.0 ,Mask中输入255.255.255.0 。将Connet using Secure Gateway Tunnel选中,并在ID Type 中选择IP Address ,并输入Netscreen 的公网IP 61.152.219.14 。
7、单击My Identity ,进行设置:
在Select Certificate中选择None ,ID Type选择E-mail Address ,并输入ateam@ateam.com.cn 。然后单击Pre-Shared Key,并输入在Netscreen中Gateway中事先定义的密钥netscreen ,然后单击OK确认。
8、单击File->Save或者Save的图标,保存设置。
9、在屏幕右下方的Netscreen的小图标上右键单击,选择Reload Security Policy ,使刚才设置的VPN策略生效。
这时,如果你ping公司的内部IP地址的话,在Netscreen的小图标上会有黄色的小钥匙,并有绿色的小点在闪动,证明已经和内部IP建立起正常的VPN通信了。
如果你要把当前VPN的配制导出在另外的PC上使用,可以单击File->Export Security Policy ,
提示你是否要保护该策略不被修改,如果选择Yes的话,则生成的策略文件在重新导入到PC的时候不能被修改;如果选择No的话,是可以继续修改的。这里建议选择Yes ,以确保不被修改。
由于该客户端软件7.03版本本身不支持NAT穿透,所以对于Netscreen本身不具有公网IP地址,是通过NAT方式获得公网IP的话,就不能建立VPN通信。
在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:
一、为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用”ping”命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
二、配置IKE
配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;
步骤1:用”isakmp enable”命令来启用或关闭IKE;
步骤2:用”isakmp policy”命令创建IKE策略;
步骤3:用”isakmp key”命令和相关命令来配置预共享密钥;
步骤4:用”show isakmp [policy]”命令来验证IKE的配置。
三、配置IPSec
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
步骤1:用access-list命令来配置加密用访问控制列表;
例如:
access-list acl-name {permit deny} protocol src_addr src_mask
[operator port [port]] dest_addr dest_mask [operator prot [port]] |
步骤2:用crypto ipsec transform-set 命令配置变换集;
例如:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] |
步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
步骤4:用crypto map 命令来配置加密图;
步骤5:用interface 命令和crypto map map-name interface应用到接口上;
步骤6:用各种可用的show命令来验证IPSec的配置。
四、测试和验证IPSec
该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
实验环境如拓朴图如下:
SSL VPN :
在做实验之前让我们先来了解一下
目前市场上VPN 产品很多,而且技术各异,就比如传统的IPSec VPN来讲, SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户 采纳SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。
SSL VPN 提供增强的远程安全接入功能。 IPSec VPN 通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC 就如同物理地处于企业LAN 中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。
SSLVPN 提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。 SSLVPN 能对加密隧道进行细分,从而使得终端用户能够同时接入 Internet 和访问内部企业网资源,也就是说它具备可控功能。另外,SSLVPN 还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN 来说几乎是不可能实现的。
SSL VPN 基本上不受接入位置限制,可以从众多 Internet 接入设备、任何远程位置访问网络资源。SSLVPN 通信基于标准 TCP/UDP 协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之 后,或是宽带连接中。IPSec VPN 在稍复杂的网络结构中难于实现,因为它很难实现防火墙和NAT遍历,无力解决IP地址冲突。
另外,SSLVPN能实现从可管理企业设备或非管理设备接入,如家用PC或公共Internet 接入场所,而IPSec VPN 客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入IPSec VPN 在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSLVPN 要理想得多。
SSL VPN 不需要复杂的客户端支撑,这就易于安装和配置,明显降低成本。IPSec VPN 需要在远程终端用户一方安装特定设备,以建立安全隧道,而且很多情况下在外部(或非企业控制)设备中建立隧道相当困难。另外,这类复杂的客户端难于升级, 对新用户来说面临的麻烦可能更多,如系统运行支撑问题、时间开销问题、管理问题等。 IPSec 解决方案初始成本较低,但运行支撑成本高。
如今,已有 SSL 开发商能提供网络层支持,进行网络应用访问,就如同远程机器处于 LAN 中一样;同时提供应用层接入,进行 Web 应用和许多客户端/服务器应用访问。了解了上述基本因素之后,下面我们将开始实验:
1,ASA 的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# webvpn
Archasa(config-webvpn)# enable outside
Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-webvpn)# svc enable
#上述配置是在外网口上启动WEBVPN ,并同时启动SSL VPN 功能
2、SSL VPN 配置准备工作
#创建SSL VPN 用户地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL VPN 数据流不做NAT翻译
Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-vpn
3、WEB VPN 隧道组与策略组的配置
#创建名为mysslvpn-group-policy 的组策略
Archasa(config)# group-policy mysslvpn-group-policy internal
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# vpn-tunnel-protocol webvpn
Archasa(config-group-policy)# webvpn
#在组策略中启用SSL VPN
Archasa(config-group-webvpn)# svc enable
Archasa(config-group-webvpn)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#创建SSL VPN 用户
Archasa(config-webvpn)# username test password woaicisco
#把mysslvpn-group-plicy 策略赋予用户test
Archasa(config)# username test attributes
Archasa(config-username)# vpn-group-policy mysslvpn-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group mysslvpn-group type webvpn
Archasa(config)# tunnel-group mysslvpn-group general-attributes
#使用用户地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
Archasa(config-tunnel-webvpn)# group-alias group2 enable
Archasa(config-tunnel-webvpn)# exit
Archasa(config)# webvpn
Archasa(config-webvpn)# tunnel-group-list enable
4、配置SSL VPN 隧道分离
#注意,SSL VPN 隧道分离是可选取的,可根据实际需求来做。
#这里的源地址是ASA 的INSIDE 地址,目标地址始终是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整个配置就完成了,下面可以进行测试:在浏览器中输入
https://192.168.0.1
访问WEBVPN,在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL VPN CLIENT 程序,单击“YES”,系统自动安装并连接SSLVPN ,在SSLVPN 连通之后在您的右下角的任务栏上会出现一个小钥匙状,你可以双击打开查看其状态。
Windows7的组策略设置
一:Windows7组策略设置技巧之让Win7上网浏览更高效
“管理模板”→“Windows组件”→“Internet explorer”子项→“阻止绕过SmartScreen筛选器警告”→“已禁用”→“确定”
二:Windows7组策略设置技巧之让媒体播放更畅快
“用户配置”→“管理模板”→“Windows组件”→“WindowsMediaPlayer”→“播放”→“允许运行屏幕保护程序”→“已禁用”
三: Windows7组策略设置技巧之不让用户“占位”不干活
“Windows设置”→“安全设置”→“本地策略”→“安全选项”→“安全选项”→“网络安全:在超过登录时间后强制注销”
四:Windows7组策略设置技巧之不让木马“进驻”临时文件
“计算机配置”→“Windows设置”→“安全设置”→“软件限制策略”→“其他规则”→“新建路径规则”→“浏览”按钮,打开本地系统的文件选择框,从中将Windows7系统的临时文件夹选中并导入进来;下面在“安全级别”位置处单击下拉按钮,从下拉列表中选中“不允许”选项,同时单击“确定”按钮执行设置保存操作,那样一来我们日后即使不小心遭遇到了木马病毒,但它们却不能随意自由运行、发作,那么本地系统的安全性也就能得到一定的保证了。
五: Windows7组策略设置技巧之不让用户恶意ping“我”
“计算机配置”→“Windows设置”→“安全设置”→“高级安全Windows防火墙”→“高级安全Windows防火墙——本地组策略对象”→“入站规则”→“新规则”→“自定义”→“所有程序”→“ICMPv4”→“阻止连接”选项
六:Windows7组策略设置技巧之关闭搜索记录
“本地组策略编辑器”“用户配置→管理模板→Windows组件→Windows资源管理器”→“在Windows资源管理器搜索框中关闭最近搜索条目的显示”→“已启用”,确认之后即可生效,以后就再也不会自动保存搜索记录了。
七:Windows7组策略设置技巧之关机时强制关闭程序
依次展开:“计算机配置”→“管理模板”→“系统”→“关机选项”→“关闭会阻止或取消关机的应用程序的自动终止功能”→“已启用”→“应用”并“确定”后退出
“用户配置”→“管理模板”→“网络”→“网络连接”→“删除所有用户远程访问连接”→“已启用”→“确定”。