網(wǎng)件FVS338 V2.0如何應(yīng)用的遠程訪問
網(wǎng)件FVS338 V2.0如何應(yīng)用的遠程訪問
世界領(lǐng)先的企業(yè)網(wǎng)絡(luò)解決方案,及數(shù)字家庭網(wǎng)絡(luò)應(yīng)用倡導者美國網(wǎng)件公司,出產(chǎn)的netgear路由器設(shè)備功能強大,那么你知道網(wǎng)件FVS338 V2.0如何應(yīng)用的遠程訪問嗎?下面是學習啦小編整理的一些關(guān)于網(wǎng)件FVS338 V2.0如何應(yīng)用的遠程訪問的相關(guān)資料,供你參考。
網(wǎng)件FVS338 V2.0應(yīng)用的遠程訪問的方法:
本實驗將以FVX538 Version 2.0.0-139為例詳細描述Netgear系列防火墻的XAUTH的應(yīng)用配置。XAHTH融合在IPSec 里面的XAUTH擴展認證協(xié)議,XAUTH為這些需要區(qū)分每個用戶進行身份驗證的應(yīng)用提供了一種身份認證機制,該機制允許網(wǎng)關(guān)使用Radius服務(wù)器或者本地數(shù)據(jù)庫記錄中的用戶信息對用戶進行身份認證。主要包括以下內(nèi)容:
1.選擇并配置Radius服務(wù)器
2.FVX538防火墻的XAUTH配置
3.IPSec 客戶端軟件XAUTH的配置
通過以上實驗操作,實驗者能夠通過配置XAUTH應(yīng)用到遠程網(wǎng)絡(luò)中。(本文適合FVX538/FVS338 產(chǎn)品的用戶)
2、理解 XAUTH的應(yīng)用
目前由于寬帶接入的快速發(fā)展,廣泛的中小商用企業(yè)部署IPSec 網(wǎng)絡(luò),構(gòu)建遠程客戶端對公司中心資源訪問的應(yīng)用已極為普通。在部署此類遠程訪問的IPSec 應(yīng)用時,通常是要設(shè)置多個客戶端連接到中心網(wǎng)絡(luò),網(wǎng)管人員的通常做法是為每一個用戶設(shè)置不同策略和預置密碼用以區(qū)分每一個用戶,此工作量是巨大的,管理也不方便。因此現(xiàn)在市場上主流的IPSec 網(wǎng)關(guān)設(shè)備提供另外一種解決方案,就是在網(wǎng)關(guān)中只要配置一條的策略,就可允許多個如高達1000個遠程客戶端的同時接入,然后只要對遠程客戶分發(fā)一個相同的策略配置就可以了。這樣一來,由于所有遠程客戶端的配置策略是相同的,對每個遠程客戶不再進行單獨地區(qū)別,因此在提高了方便性的同時卻又降低了整個網(wǎng)絡(luò)的安全性。
這樣就促使用戶需要這樣一種技術(shù),就是在網(wǎng)關(guān)設(shè)備中只需要配置一條策略,但要求每個遠程客戶在接入時需要提供不同的用戶名和口令的身份認證,網(wǎng)關(guān)設(shè)備可以集中管理遠程用戶的合法信息。這樣就大大減少了網(wǎng)絡(luò)管理人員的工作負擔和保證遠程客戶接入的安全性,提高了企業(yè)的整體工作效率。這個技術(shù)就是融合在IPSec 里面的XAUTH擴展認證協(xié)議,XAUTH為這些需要區(qū)分每個用戶進行身份驗證的應(yīng)用提供了一種身份認證機制,該機制允許網(wǎng)關(guān)使用Radius服務(wù)器或者本地數(shù)據(jù)庫記錄中的用戶信息對用戶進行身份認證。
RADIUS (Remote Authentication Dial-In User Service, RFC 2865) 是一個管理網(wǎng)絡(luò)里多個用戶的驗證,授權(quán),計費(AAA)的協(xié)議。RADIUS服務(wù)器在數(shù)據(jù)庫里存儲有效的用戶信息,并能給要求訪問網(wǎng)絡(luò)資源的合法用戶授權(quán)。
下圖是個典型的遠程客戶到中心網(wǎng)關(guān)的應(yīng)用XAUTH的說明:
圖1:XAUTH和RADIUS使用范例
圖1中當遠程客戶端開始一個連接的請求的時候,網(wǎng)關(guān)通過XAUTH(擴展驗證)強行中斷協(xié)商的過程,并要求客戶端必須輸入合法的用戶名的密碼進行驗證,網(wǎng)關(guān)在接收到來自客戶端提供的用戶名和密碼之后首先在本地數(shù)據(jù)庫校驗信息是否合法,如果在本地數(shù)據(jù)庫找不到相對應(yīng)的用戶名,則將信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器進行校驗,如果判斷為合法,則繼續(xù)的協(xié)商過程并且在連結(jié)成功后為遠程客戶端分配IP地址,如果用戶不合法,則中斷連接。
由于XAUTH結(jié)合RADIUS給依賴于大量使用技術(shù)的商業(yè)用戶帶來了前所未有的安全性和方便的管理特性,因而國際很多知名的設(shè)備開發(fā)商,比如象Cisco,Checkpoint, Netgear公司等,在他們的產(chǎn)品中都開始支持XAUTH。
3、實驗環(huán)境
測試環(huán)境:FVX538的WAN1端口IP設(shè)置為58.62.221.130,LAN IP為192.168.1.1,RADIUS 服務(wù)器IP為192.168.1.200,參照下圖網(wǎng)絡(luò)配置:
TOP
4、實驗操作
4.1、選擇合適的 Radius服務(wù)
NETGEAR ProSafe Firewall FVX538支持多數(shù)標準的免費/商業(yè)發(fā)布的RADIUS服務(wù)程序,比如:
FreeRADIUS , 一個開放的LINUX原代碼程序
Microsoft Windows IAS
Funk Software Steel-Belted RADIUS
所有的RADIUS Server的配置信息均可以參考廠家提供的標準配置文檔,本文不再詳細介紹每一種RADIUS的配置辦法。
TOP
4.2、FVX538 防火墻的XAUTH配置
4.2.1、設(shè)置 防火墻的XAUTH模式
在配置的IKE策略的時候,選擇要求使用XAUTH驗證,則可以啟用的XAUTH功能。我們在配置該IKE策略的XAUTH的時候,系統(tǒng)會提供兩種模式給用戶選擇。如下:
IPsec Host — 作為客戶端,在連接到中心時需要提供用戶名和密碼
Edge Device — 作為服務(wù)器端(中心),要求客戶端必須進行口令驗證。
當防火墻定義為IPsec Host的時候,在建立連接的時候,設(shè)備會給服務(wù)器端提供用戶名和密碼信息。
當防火墻定義為Edge device模式的時候,網(wǎng)關(guān)則要求客戶端必須輸入合法的用戶名的密碼進行驗證,網(wǎng)關(guān)在接收到來自客戶端提供的用戶名和密碼之后首先在本地數(shù)據(jù)庫校驗信息是否合法,如果在本地數(shù)據(jù)庫找不到相對應(yīng)的用戶名,則將信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器進行校驗,如果判斷為合法,則繼續(xù)的協(xié)商過程,如果用戶不合法,則中斷連接。
具體設(shè)置如下:
進入IKE Policies選項并點擊Edit按鈕進入IKE Policies編輯頁面
在 X AUTHENTICATION 項目下面, 選擇Edge Device.
在Authentication Type下選擇Generic使用PAP協(xié)議, 否則選擇CHAP以使用CHAP協(xié)議. 如果你打算使用RADIUS,則您必須在RADIUS上設(shè)置相對應(yīng)的驗證協(xié)議。通常PAP 協(xié)議簡單實用,而CHAP則更為安全。
點擊應(yīng)用使配置生效。
下一步,設(shè)置您的防火墻是通過本地數(shù)據(jù)庫驗證還是通過擴展的RADIUS 服務(wù)器驗證。防火墻首先在User Database里面定義的本地數(shù)據(jù)庫的用戶名和密碼信息進行驗證,如果找不到匹配的條件,則轉(zhuǎn)交到在RADIUS Clien項目里定義的RADIUS服務(wù)器來驗證。
TOP
4.2.2、配置 防火強使用本地數(shù)據(jù)庫進行驗證
即使你沒有配置RADIUS服務(wù)器,你仍然可以使用防火墻自帶的用戶數(shù)據(jù)庫實現(xiàn)用戶驗證功能。在使用該功能之前,你必須在User Database項目下面配置用戶信息,如下:
在User Database項目下面點擊 add按鈕。
在User Name和Password 里分別填寫相應(yīng)的信息。
點擊Apply按鈕即可起用本地數(shù)據(jù)庫。
(3)配置防火墻使用RADIUS服務(wù)器進行驗證
在 Client>Radius Client項目里面,可以定義一個主的RADIUS服務(wù)器和備份的RADIUS服務(wù)器。防火墻首先和主的RADIUS服務(wù)器聯(lián)系,如果主的RADIUS服務(wù)器沒有響應(yīng),則轉(zhuǎn)到備份的RADIUS服務(wù)器上。
在Primary和Backup Server里面的設(shè)置介紹如下:
Do you want to enable a Primary RADIUS Server?選擇YES即啟用主RADIUS服務(wù)器
Do you want to enable a Backup RADIUS Server?選擇NO即啟用備用RADIUS服務(wù)器
Server IP Address — RADIUS的IP地址.
Secret Phrase — RADIUS客戶端和服務(wù)器之間的通訊密鑰。該密鑰必須在服器端和客戶端單獨配置,并要求相互一致。
NAS Identifier —防火墻充當NAS(網(wǎng)絡(luò)訪問服務(wù))角色,允許合法的外部用戶訪問網(wǎng)絡(luò)。在一個RADIUS會話里面,NAS必須遞交NAS身份標識到RADIUS服務(wù)器,在該例子里NAS的身份標識可以是防火墻的IP地址或有效的用戶名,在某些應(yīng)用場合里,RADIUS服務(wù)器有可能要求NAS提供有效的用戶名,而我們則可以在該處填寫合法的用戶名提交到RADIUS服務(wù)器進行驗證。然而在大多數(shù)場合下面,RADIUS服務(wù)器并不要求NAS提供用戶名。
點擊Apply保存配置
注意:在試驗中我們采用Steel服務(wù)器,NAS身份標識不需要在Steel服務(wù)器里面配置,同時在IKE策略里的Authentication Type 應(yīng)該選擇Generic (PAP)的方式。
TOP
4.3、IPSec 客戶端軟件XAUTH的配置
在此之前,你必須在不需要XAUTH的情況下,配置好客戶端。測試到防火墻的連接通過后,在配置里面添加相應(yīng)的XAUTH選項即可:
點擊Authentication選擇Proposal 1. 選擇和在防火墻的IKE策略里匹配的各項參數(shù)。
在Authentication Method, 選擇Pre-Shared Key; Extended Authentication.
點擊 floppy disk圖標以保存配置
TOP
4.4、測試連接
在WINDOWS工具欄里右鍵點擊 client圖標選擇My Connections \.
幾秒鐘后將出現(xiàn)登陸頁面。
輸入正確的用戶名和密碼信息后,客戶端軟件會顯示 "Successfully connected to My Connections\"的信息
從安裝客戶端軟件的PC上PING對方局域網(wǎng)內(nèi)的主機,可以PING通
遇到故障的時候,可以參考客戶端軟件里的日志以排除故障。
看過文章“網(wǎng)件FVS338 V2.0如何應(yīng)用的遠程訪問"的人還看了:
4.華為防火墻怎么樣