防火墙如何配置VRC移动客户端接入(口令+证书).doc

VRC移动客户端接入（口令＋证书结合认证方式） ＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋ 注：缺省访问权限都允许的情况下，完成如下的配置即可 具体的访问控制配置过程参考访问控制操作篇 ＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋ 〖配置各个网口的IP地址〗 TopsecOS# network interface eth0 no switchport TopsecOS# network interface eth0 ip add 10.1.1.1 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdown TopsecOS# network interface eth1 no switchport TopsecOS# network interface eth1 ip add 202.99.27.199 mask 255.255.255.0 TopsecOS# network interface eth1 no shutdown 〖配置缺省路由〗〖极其重要〗 TopsecOS# network route add dst 0.0.0.0/0 gw 202.99.27.1 注：对于TOS内核的VPN模块来说不是所有的网口都能参与VPN通讯的，它是通过缺省路由来决定 具备VPN功能的网络接口，也就是说TOS防火墙只能有一个接口做为VPN通讯使用，因此此缺省路 由是必须得加上的。 〖定义区域对象〗 (此处就是定义各个网口区域的缺省访问权限，在此我们都暂定为“允许”) TopsecOS# define area add name area_eth0 attribute eth0 ipsec access on TopsecOS# define area add name area_eth1 attribute eth1 ipsec access on TopsecOS# define area add name ipsec0 attribute ipsec access on 注：强烈建议在此一定要为所有接口绑定ipsec属性，最后一个对象的定义主要是为了让移动客户 端能否PING通防火墙内网接口地址而配置的，这样便于设备调试。 〖开放VRC移动用户登陆的权限〗 TopsecOS# pf service add name pluto area area_eth1 addressname any TopsecOS# pf service add name vrc area area_eth1 addressname any 以下配置过程不建议在CLI方式下配置， 〖导入设备证书〗 〖导入设备根证书〗 〖获取VRC客户端根证书〗 〖生成客户端证书〗 〖VRC基本配置〗 〖地址池〗 地址池的选择一定不能于内部网段有包含关系，更不能分配于内部网络同一网段的地址池。 〖VRC访问权限控制〗 需要说明的是，对于VRC客户端的访问控制是分两个地方控制的， 1、是在此处的虚拟专网引擎中进行过滤的； 2、是在防火墙引擎中进行过滤； VRC客户端与VPN网关之间成功建立隧道以后，VRC客户端将会自动下载一张访问规则列表， 所有VPN的通讯在发起前都要先匹配此访问规则列表，匹配通过以后才能发向网关；此处定义的 访问权限就是这张规则表； 防火墙引擎中的访问规则是对VRC客户端发上来的加密数据解密以后，再在VPN网关上根据 访问规则对VRC客户端的通讯进行过滤； 综上所述，对VRC移动客户端的访问控制可以分2级来实现，即先在VRC移动客户端上进行第 一次过滤，再在VPN网关上进行第二次过滤； （1）自定义VRC客户端的访问权限规则表 （2）将自定义的访问策略规则表加入到缺省的访问策略规则表中（按需添加） （3）客户端缺省访问策略配置完毕 〖添加VRC移动用户账号〗 第 6 页 共 7 页