“Mobile VPN with SSL” > 为 XTM 设备配置 Mobile VPN with SSL

为 XTM 设备配置 Mobile VPN with SSL

激活 Mobile VPN with SSL 时,会自动创建 SSLVPN 用户用户组和 WatchGuard SSLVPN 策略,以允许从 Internet 到外部接口的 SSL VPN 连接。 可以使用这些组,也可以创建与认证服务器上的用户组名称相匹配的新组。

配置连接设置

  1. 选择 VPN > Mobile VPN with SSL
    将打开 Mobile VPN with SSL 配置页面。
  1. 选中激活 Mobile VPN with SSL 复选框。
  2. 文本框中,键入公用 IP 地址或域名。
    在默认情况下,这是 Mobile VPN with SSL 客户端连接到的 IP 地址或域名。 这可能是外部 IP 地址、备用外部 IP 地址或外部 VLAN。 对于 Drop-in 模式下的设备,使用分配给所有接口的 IP 地址。
  3. 如果 XTM 设备有多个外部地址,则在 文本框中,输入不同的公用 IP 地址。
    如果 Mobile VPN with SSL 客户端无法与主 IP 地址建立连接,这就是它将连接到的 IP 地址。 如果添加 IP 地址,请确保它是分配给 XTM 设备外部接口或 VLAN 的 IP 地址。

配置网络和 IP 地址池设置

网络和 IP 地址池部分,可以配置 Mobile VPN with SSL 客户端能够使用的网络资源。

  1. 网络和 IP 地址池部分的下拉列表中选择 XTM 设备用来通过 VPN 隧道发送流量的方式。

    如果选择 XTMv 虚拟机上的 Mobile VPN with SSL 配置中的路由 VPN 流量,则必须在 VMware 中连接的虚拟交换机 (vSwitch) 上启用混杂模式。

  2. 选中或清除强制所有客户端流量通过隧道复选框。
  3. 配置 XTM 设备分配至 Mobile VPN with SSL客户端连接的 IP 地址。 这个地址池中的虚拟 IP 地址不能是以下情况:属于受 XTM 设备保护的网络的一部分、属于通过路由或 BOVPN 访问的任何网络、已被 DHCP 分配给位于 XTM 设备后的设备,或者已用于 Mobile VPN with IPSec 地址池或 Mobile VPN with PPTP 地址池。
  4. 路由 VPN 流量

    对于虚拟 IP 地址池,请保留默认设置 192.168.113.0/24,或输入其他地址范围。 以斜线记法键入子网的 IP 地址。 该子网中的 IP 地址将自动分配给 Mobile VPN with SSL 客户端连接。 您不能向用户分配 IP 地址。

    这个地址池中的虚拟 IP 地址不能是以下情况:属于受 XTM 设备保护的网络的一部分、属于可通过路由或 BOVPN 访问的任何网络、已被 DHCP 分配给位于 XTM 设备后的设备,或者已用于 Mobile VPN with IPSec 地址池或 Mobile VPN with PPTP 地址池。

    桥接 VPN 流量

    桥接到接口下拉列表中选择要桥接的接口的名称。 在开始结束文本框中,键入位于分配给 Mobile VPN with SSL 客户端连接的地址范围内的第一个和最后一个 IP 地址。 开始结束IP 地址必须与桥接接口位于同一子网内。

    桥接到接口选项不会将 Mobile VPN with SSL 流量桥接到所选接口上的任何从属网络。

有关虚拟 IP 地址的详细信息,请参阅虚拟 IP 地址和 Mobile VPN

配置认证设置

接下来,必须配置认证设置。 可以选用一台或多台配置的认证服务器。 列表顶部的服务器为默认服务器。 如果用户没有在 Mobile VPN with SSL 客户端中指定认证服务器或域,则默认服务器用于身份验证。

选择认证服务器

Mobile VPN with SSL 配置 页面

  1. 选择身份验证选项卡。
    将显示配置的认证服务器的列表。
  1. 选中要用于 Mobile VPN with SSL 用户认证的每台认证服务器的复选框。 可以选择任何已启用的认证服务器:内部 XTM 设备数据库 (Firebox-DB),或者 RADIUS、VACMAN Middleware、SecurID、LDAP 或 Active Directory Server 域。
    只列出启用的认证方法服务器和域。 有关支持的认证方法的信息,请参阅认证服务器类型
  2. 如果选择多台服务器用于身份验证,请选择要作为默认服务器的服务器。 单击设置为默认值以将该服务器移动到列表顶部。
    如果用户使用 Mobile VPN with SSL 客户端认证时没有在用户名文本框中指定认证服务器,则 Mobile VPN with SSL 会使用默认的认证服务器。
  3. 可以选中连接断开后强制用户进行认证复选框,以要求用户在 Mobile VPN with SSL 连接断开后进行认证。 如果使用一次性密码的双重身份验证方法,例如 RADIUS、SecurID 或 VASCO,建议选中此复选框。 如果在连接断开后不强制用户进行认证,自动连接尝试可能会失败。 这是因为连接断开后,Mobile VPN with SSL 客户端会尝试使用用户原来输入的一次性密码自动进行重新连接,而此时该密码已不再正确。

如果将 Mobile VPN with SSL 配置为使用多个认证服务器,则不使用默认认证服务器的用户必须指定认证服务器或域作为用户名的组成部分。 有关详细信息和示例,请参阅安装并连接 Mobile VPN with SSL 客户端

添加用户和组

如果使用 Firebox-DB 进行认证,则必须使用默认的 SSLVPN 用户组。 如果使用 Firebox-DB 以外的认证服务器,则可使用默认的 SSLVPN 用户组(如果也在认证服务器上添加该组),也可添加其他认证服务器上存在的用户或组的名称。

在默认情况下,会创建 SSLVPN 用户组。 可以添加使用 Mobile VPN with SSL 的其他组和用户的名称。 对于每个组或用户,可以选择该组所在的特定认证服务器,也可以选择任意(如果该组位于多个认证服务器上)。 添加的组或用户名必须位于认证服务器上。 组和用户名区分大小写,并且必须与认证服务器上的名称完全匹配。

要将用户和组添加到 Mobile VPN with SSL 配置:

  1. 选择用户以添加组或用户。
  2. 名称文本框中,在相邻文本框中键入组或用户的名称。 名称必须与认证服务器中的组或用户的名称相匹配。
  1. 认证服务器下拉列表中,选择用户或组所在的认证服务器。 或者,选择全部(如果该组可与所有选定的认证服务器一起使用)。
  2. 单击添加
    用户或组会添加到用户和组列表。
  3. 单击保存以保存配置设置。

要删除用户或组:

  1. 选择列表中的组或用户。
  2. 单击移除

允许 SSLVPN 用户策略以及 Mobile VPN with SSL 组和用户

保存 Mobile VPN with SSL 配置后,会创建或更新允许 SSLVPN 用户策略以应用到为身份验证配置的组和用户。 添加的组和用户名不会显示在允许 SSLVPN 用户策略的列表中。 相反,将显示单个组名称SSLVPN 用户。 尽管添加的组和用户名不会在列表中显示,但是此策略适用于在 Mobile VPN with SSL 认证设置中配置的所有用户和组。

配置 Mobile VPN with SSL 的高级设置

  1. 选择 VPN > Mobile VPN with SSL
    将显示 Mobile VPN with SSL 配置页面。
  1. 选择高级选项卡。
  2. 配置高级设置:

认证

选择要用于建立连接的认证方法: MD5SHASHA-1SHA-256SHA-512

加密

选择要用于加密流量的算法: BlowfishDES3DESAES(128 位)AES(192 位)AES(256 位)。 这些算法按由弱到强的顺序显示,但 Blowfish 是一个例外,它使用 128 位密钥进行强加密。

要通过高级别加密实现最佳性能,建议您选择使用 Blowfish 加密的 MD5 认证。

数据通道

在建立 VPN 连接后,选择 Mobile VPN with SSL 用来发送数据的协议和端口。 可以使用 TCPUDP 协议。 然后,选择一个端口。 Mobile VPN with SSL 的默认协议和端口是 TCP 端口 443。 这也是 HTTPS 流量的标准协议和端口。 您可以对 Mobile VPN with SSL 使用端口 443,前提是不在传入 HTTPS 策略中使用相同的外部 IP 地址。

如果将数据通道更改为使用除 443 以外的端口,则用户必须在 Mobile VPN with SSL 连接对话框中手动键入该端口。 例如,如果将数据通道更改为 444,且 XTM 设备 IP 地址为 203.0.113.2,则用户必须输入 203.0.113.2:444,而非 203.0.113.2

但是,如果将端口设置为默认值 443,那么用户只能输入 XTM 设备的 IP 地址。 不需要在 IP 地址后键入 :443

有关详细信息,请参阅为 Mobile VPN with SSL 选择端口和协议

配置通道

选择 Mobile VPN with SSL 用来协商数据通道并下载配置文件的协议和端口。 如果将数据通道协议设置为 TCP,那么配置通道将自动使用相同的端口和协议。 如果将数据通道协议设置为 UDP,那么可以将配置通道协议设置为 TCPUDP,也可以使用与数据通道不同的端口。

保持活动

在没有其他流量经由隧道发送时,为了保持隧道的活动状态,需要指定 XTM 设备经由隧道发送流量的频率。

超时

指定 XTM 设备等待响应的时长。 如果在达到超时值时仍未收到任何响应,隧道将会关闭,客户端必须重新进行连接。

重新协商数据通道

如果 Mobile VPN with SSL 连接处于活动状态的时长已经达到重新协商数据通道文本框中指定的时长,则 Mobile VPN with SSL 客户端必须创建一个新的隧道。 最小值为 60 分钟。

DNS 和 WINS 服务器

可以使用 DNS 或 WINS 来解析受 XTM 设备保护的资源的 IP 地址。 如果您希望 Mobile VPN with SSL 客户端使用位于 XTM 设备后的 DNS 或 WINS 服务器,而不使用由它们连接到的远程网络所分配的服务器,则需要键入您网络上的 DNS 和 WINS 服务器的域名和 IP 地址。 有关 DNS 和 WINS 的详细信息,请参阅 Mobile VPN with SSL 的名称解析

恢复默认值

单击即可将高级选项卡设置重置为默认值。 高级选项卡中所有的 DNS 和 WINS 服务器信息都将被删除。

配置策略以控制 Mobile VPN with SSL 客户端访问权限

启用 Mobile VPN with SSL 后,将会添加允许 SSLVPN 用户策略。 它会自动包括 Mobile VPN with SSL 配置中的所有用户和组,并对其允许的流量(从 SSL 客户端至受 XTM 设备保护的网络资源)没有任何限制。 要限制 Mobile VPN with SSL 客户端的访问权限,请禁用允许 SSLVPN 用户策略。 然后向配置中添加新的策略,或向策略的部分添加具有 Mobile VPN with SSL 访问权限的组。

如果您从可信任网络为 Mobile VPN with SSL 用户分配地址,则来自该 Mobile VPN with SSL 用户的流量将不被认为是可信的。 默认情况下,所有 Mobile VPN with SSL 流量都是不被信任的。 无论分配的 IP 地址如何,都必须创建策略以允许 Mobile VPN with SSL 用户访问网络资源。

允许 Mobile VPN with SSL 用户访问可信任网络

在本示例中,使用 Fireware XTM Web UI 添加任意策略,为 SSLVPN 用户组的所有成员提供所有可信任网络上的资源的完全访问权。

  1. 选择防火墙 > 防火墙策略。 单击
  2. 展开数据包筛选器文件夹。
    将显示数据包筛选器模板列表。
  3. 选择任意
  4. 名称文本框中输入策略的名称。 选择有助于在配置中识别此策略的名称。
  5. 单击添加策略
    将显示策略配置页面。
  6. 策略选项卡的部分中,选择 Any-Trusted,然后单击移除
  7. 部分中,单击添加
    将显示添加成员对话框。
  8. 成员类型下拉列表选择 SSLVPN 组
  9. 选择 SSLVPN 用户,然后单击确定
    SSLVPN 用户后面的圆括号中是认证方法的名称。
  10. 单击确定以关闭添加成员对话框。
  11. 部分中,选择 Any-External 并单击移除
  12. 部分中,单击添加
    将显示添加成员对话框。
  13. 选择成员列表中,选择 Any-Trusted,然后单击确定
  14. 单击保存将更改保存至 XTM 设备。

有关策略的详细信息,请参阅在配置中添加策略

在 Mobile VPN with SSL 策略中使用其他组或用户

要建立 Mobile VPN with SSL 连接,用户必须是 SSLVPN 用户组的成员,或者是添加到 Mobile VPN with SSL 配置的任意组的成员。 用户连接后,您可以对其他组应用策略来限制用户访问资源。 如果已从 Mobile VPN with SSL 配置中的第三方认证服务器添加组,并且要在策略中使用这些组名称限制范围,则还必须将这些组添加到 Fireware XTM 设备配置中的授权用户和组列表。要执行此操作,请选择身份验证 > 用户和组

有关详细信息,请参阅使用策略中的授权用户和组

将用户或组从 Mobile VPN with SSL 配置添加到授权用户和组列表后,可以编辑自动生成的允许 SSLVPN 用户策略以应用到特定组或用户。 例如,如果要将允许 SSLVPN 用户策略仅应用到用户组 LDAP-Users1

  1. 选择认证 > 用户和组
  2. 添加之前已添加到 Mobile VPN with SSL 配置的 LDAP-Users1 组。 添加组时,确保已将认证服务器设置为 LDAP
  3. 编辑允许 SSLVPN 用户策略。
  4. 部分中,移除 SSLVPN 用户组。
  5. 部分中,选择添加
    将显示添加成员对话框。
  6. 成员类型下拉列表选择 SSLVPN 组
    将显示组列表。
  7. 选择并添加 LDAP-Users1 组。
  8. 单击确定
    现在允许 SSLVPN 用户策略仅应用到 LDAP-Users1 组。

请参阅

安装并连接 Mobile VPN with SSL 客户端

卸载 Mobile VPN with SSL 客户端

远程学习Mobile VPN with SSL

提供反馈  •   获得支持  •   全部产品文件  •   知识库