UAC6_l3accesscontrol.ppt

配置UAC L3访问控制 课程目标 本章您将学到: IC配置组成 配置以下形式的访问控制 基于源地址的访问控制 客户端方式 无客户端方式 基于IPSEC的访问控制 个人防火墙访问控制 议程: L3访问控制 IC配置组成 配置基于源地址的访问控制 配置基于IPSec的访问控制 配置个人防火墙的访问控制 IC配置组成 配置防火墙作为IC的执行器的步骤 生成和导入证书！！ 在防火墙上添加Infranet Controller,在IC上添加Infranet Enforcer.保证防火墙和IC通讯正常 配置IC:resource policy, 选择通讯方式和控制策略 配置FW: 配置认证策略 生成和导入证书 IC上生成证书签发请求csr 用证书服务器生成根证书，为IC签发证书 将签发的证书导入到IC当中，并且与端口绑定 将根证书导入到防火墙当中，做相应的属性配置 生成和安装证书 (1 of 4) 生成和安装证书 (2 of 4) Step 5:生成和安装证书 (3 of 4) Step 5:生成和安装证书 (4 of 4) Step 6: 重启服务 证书的生成 设置时间! IC与证书服务器之间2min 检查 TIMEZONE! 生成 CSR 如果存在证书服务器，可以直接给IC签发一个证书，为服务器证书。 如果用 Windows CA, 使用 “webserver” certificate 的模版进行申请 如果无证书服务器，可以使用openssl来生成一套证书。可以使用windows和linux版本的openssl. 证书的生成－使用OPENSSL(1) 安装OPENSSL软件； 建立相关目录和文件 C:\cd openssl C:\OpenSSLmd certs C:\OpenSSLcd certs C:\OpenSSL\certsmd demoCA C:\OpenSSL\certsmd demoCA\newcerts C:\OpenSSL\certsedit demoCA\index.txt (内容为空） C:\OpenSSL\certsedit demoCA\serial (内容为01） 证书的生成－使用OPENSSL(2) 设置可执行文件的路径 set path=%path%;c:\openssl\bin 生成RSA密钥 openssl genrsa -out ca.key 1024 输入相关的DN信息（注：OU信息必须与IC证书请求的OU相同） 生成根证书 openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem c:\openssl\certs\ demoCA\cacert.pem为根证书 根证书用来签发IC的证书 根证书需要保存好，用来做防火墙证书和用户端可信根证书 证书的生成－使用OPENSSL(3) 准备证书请求文件 将IC生成的证书请求字符串复制到c:\openssl\certs\ic.csr当中 为IC签发证书 openssl ca -in ic.csr -out ic.crt -days 3650 -keyfile ca.key 导入证书 将c:\openssl\certs\ic.crt导入到IC当中 将根证书C:\OpenSSL\certs\demoCA\cacert.pem导入到防火墙当中 证书导入与绑定 导入证书后，必须将证书与相关的端口绑定，才会生效 证书绑定 证书导入 Infranet Enforcer (Netscreen FW) 与 Infranet Controller 用 SSL进行连接，用SSH进行通讯。 为了保证防火墙知道IC的证书是否可信，我们必须将签发了IC证书的根证书导入到防火墙当中。 如果用OPENSSL做，根证书为C:\OpenSSL\certs\demoCA\cacert.pem 注意: 如果使用自签发的 CA, 一定要禁用证书中的 CRL 校验选项。 配置IC和FW连接 FW 配置时间，与证书服务器同步。 将 CA 证书导入到 FW当中 记住禁用 CRL 检查！ 添加 Infranet Controller Configuration - Infranet Auth 定义IC的IP地址, NACN 密码 和端口, source interface (连接IC的interface), 选择正确的证书 配置IC和FW连接 FW 将 CA 证书导入到 IE当中(objectscertificates) 配置IC和FW连接 FW 禁用 CRL 检查！ 配置IC和FW连接 FW 添加 Infranet Controller 配置IC和FW连接 FW Infranet Controller属