锐捷睿易 锐捷官方商城

中文

产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机

园区网交换机

园区网交换机

数据中心与云计算交换机

数据中心与云计算交换机

行业精选交换系列

行业精选交换系列

工业交换机

工业交换机

意图网络指挥官

意图网络指挥官

SDN

SDN

配件

配件
查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器

核心路由器

核心路由器

汇聚路由器

汇聚路由器

接入路由器

接入路由器

移动路由器

移动路由器

行业精选路由器系列

行业精选路由器系列
查看路由器首页 >

所有技术解决方案

无线

无线所有产品
< 返回产品
无线

放装型无线接入点

放装型无线接入点

墙面型无线接入点

墙面型无线接入点

智分无线接入点

智分无线接入点

室外无线接入点

室外无线接入点

场景化无线

场景化无线

无线控制器

无线控制器

行业精选无线系列

行业精选无线系列

无线管理与应用

无线管理与应用
查看无线首页 >

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面

云终端系列

云终端系列
查看云终端选型指导

云主机系列

云主机系列

云桌面软件系列

云桌面软件系列

配件系列

配件系列
查看云桌面首页 >

所有技术解决方案

安全

安全所有产品
< 返回产品
安全

大数据安全平台

大数据安全平台

下一代防火墙

下一代防火墙

安全网关

安全网关

检测管理安全

检测管理安全

应用防护安全

应用防护安全

安全服务

安全服务

安全云

安全云
查看安全首页 >

所有技术解决方案

统一运维

统一运维所有产品
< 返回产品
统一运维

IT运维产品

IT运维产品
查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理

安全管理系列

安全管理系列

运营管理系列

运营管理系列

身份中台

身份中台
查看身份管理首页 >

服务产品

服务产品所有产品
< 返回产品
服务产品

基础实施服务

基础实施服务

基础维护服务

基础维护服务

运维管理服务

运维管理服务

整网服务

整网服务

安全服务

安全服务

备件与扩容服务

备件与扩容服务

培训与认证服务

培训与认证服务
查看服务产品首页 >
产品中心首页 >

官方商城

锐捷睿易

体验中心

布尔实验室
行业
行业中心
< 返回主菜单
行业

运营商

运营商
< 返回行业
运营商
运营商首页 >

政府

政府
< 返回行业
政府
政府首页 >

金融

金融
< 返回行业
金融
金融首页 >

互联网

互联网
< 返回行业
互联网
互联网首页 >

制造业

制造业
< 返回行业
制造业
制造业首页 >

高教/职教

高教/职教
< 返回行业
高教/职教
高教/职教首页 >

普教

普教
< 返回行业
普教
普教首页 >

医疗卫生

医疗卫生
< 返回行业
医疗卫生
医疗卫生首页 >

交通

交通
< 返回行业
交通
交通首页 >

公共安全

公共安全
< 返回行业
公共安全
公共安全首页 >
行业中心首页 >

锐捷睿易

体验中心
服务支持
< 返回主菜单
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
服务与支持中心 >
合作伙伴
< 返回主菜单
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
合作伙伴中心 >
关于锐捷
< 返回主菜单
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
关于锐捷首页 >
投资者关系
登录 登录 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
  • Global / English
  • Japan / 日本語
  • Türkiye / Türkçe
  • Vietnam / Việt Nam
  • Indonesia / Indonesian
  • Thailand / ภาษาไทย
  • Spain / Español (España)
  • Portugal / Português
  • France / Français
  • Poland / Polski
  • Kazakhstan / Pусский
  • Germany / Deutsch
  • Italy / Italiano
  • Brazil / Português(Brazil)
  • LATAM / Español (América Latina))

    首页 >服务与支持 >常见问题 >【WALL1600下一代防火墙】下一代防火墙SSL vpn功能NGFW+NGFW数字证书方式

    【WALL1600下一代防火墙】下一代防火墙SSL vpn功能NGFW+NGFW数字证书方式

    发布时间:2013-09-11
    点击量:2217

    一、组网需求

        某集团公司有两个子公司,两个子公司使用的都是wall 1600下一代防火墙(即简称NGFW),它们之间通过SSL VPN建立虚拟隧道,且认证的方式为RSA数字证书,实现两地局域网之间的互相访问。

     

    二、网络拓扑

         1600SC1--内网口GE3:192.168.3.1  ; 外网口GE1:172.18.10.108   

         1600SC2--内网口GE2:192.168.1.1  ; 外网口GE0:192.168.33.77

     

     

     

    三、配置要点

        在配置SSL网关功能之前,先确保两端网络都是可正常上网的,本案例是在两端都以设置好了基本的上网功能后做的配置。

        简要说明CA根证书和两端设备的本地设备证书的生成:NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备颁发CA根证书和用户设备证书,本案例中我们选择其中一台1600SC(标号为1600SC1)为它自己和另外一台1600SC(标号为1600SC2)颁发证书。

        配置的基本步骤如下:

        1、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书

         a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1生成并导出CA根证书(选择导出PEM格式类型的证书)

         b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成用户证书

          生成证书请求 ,然后签发证书并下载证书到本地

          c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可 以用于IPSEC VPN中)

                给1600SC1导入CA根证书和用户证书

                给1600SC2导入CA根证书和用户证书

        2、配置1600SC1的SSL

         a、编辑SSL网关

         认证方式:RSC签名  算法:all

         b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

         类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问”

        3、配置1600SC2的SSL

         a、编辑SSL网关

         认证方式:RSA签名    算法:all

          b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

         类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问”

     

    四、操作步骤

        1、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书

         a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书,保存在本地电脑的某个文件夹里

    填写相关信息:

     

         

     

     

     

    b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成CA根证书和用户证书

     

     

    分别为1600SC1和1600SC2生成证书请求

     

       

          

     

    签发证书

     

    同理,为1600SC2做相同的操作

    最后,把1600SC1和1600SC2的证书下载到本地,建议放置在与CA根证书同一个文件夹里

     

     

    最终总共文件夹里有以下三个文件

    c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可以用于IPSEC VPN中)

            以下操作是给1600SC1导入CA根证书(如果原本已经存在有CA根证书,需要把旧的删除,才能导入新的)

     

    以下是为1600SC1导入本地证书

         

    类似的,为1600SC2导入CA根证书和本地用户证书,这里不再重复赘述

    2、配置1600SC1的SSL

    其中1600SC1基本的接口配置如下

    a、编辑SSL网关

        认证方式:RSC  算法:all

    b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

        类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问”

     

    最终的安全策略表如下所示:(以下第二条是允许内网用户访问互联网的配置,这里稍微说明下,建议把SSL相关的策略调整到前面)

     

    3、配置1600SC2的SSL

    其中1600SC2的基本接口设置如下

    a、编辑SSL网关

        认证方式:RSA    算法:all

     

     

    b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)

        类型选择“SITE TO SITE"  ,勾选“正向访问”和“反向访问”

     

    最终的安全策略表如下所示:(以下第二条是允许内网用户访问互联网的配置,这里稍微说明下,建议把SSL相关的策略调整到前面)

     

     

    五、配置验证

    1、从1600SC2的内网去测试ping 1600SC1的内网的用户主机,该操作是为了触发SSL VPN隧道的建立

    ping通以后,可以在 SSL 网关监视器里看到SSL VPN隧道建立的状态

     

     

     

     

     

    2、进一步测试,从1600SC1的内网去探测ping 1600SC2的内网用户的主机

     

     

     

     

    相关产品
    RG-MF2920系列,2口千兆电,千兆上行,一机双网

    RG-MF2920系列,2口千兆电,千兆上行,一机双网
    RG-S5310-E系列,24口千兆电,万兆上行,接入层

    RG-S5310-E系列,24口千兆电,万兆上行,接入层
    RG-S5310-E系列,24口千兆光,万兆上行,接入层

    RG-S5310-E系列,24口千兆光,万兆上行,接入层
    RG-S5310-E系列,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,48口千兆电,万兆上行,接入层
    RG-S5310-E系列,48口千兆光,万兆上行,接入层

    RG-S5310-E系列,48口千兆光,万兆上行,接入层
    RG-S5310-E系列新一代千兆交换机

    RG-S5310-E系列新一代千兆交换机
    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
    RG-S7800C系列融合核心交换机

    RG-S7800C系列融合核心交换机
    RG-S7800C-X系列新一代融合核心交换机

    RG-S7800C-X系列新一代融合核心交换机
    RG-N18006-X,6槽机箱,核心层,零背板

    RG-N18006-X,6槽机箱,核心层,零背板
    RG-S6120系列,24口万兆光,25G上行,汇聚层

    RG-S6120系列,24口万兆光,25G上行,汇聚层
    RG-S6120系列,48口万兆光,100G上行,汇聚层

    RG-S6120系列,48口万兆光,100G上行,汇聚层
    RG-S6120系列融合万兆交换机

    RG-S6120系列融合万兆交换机
    RG-EG3250新一代多业务安全网关

    RG-EG3250新一代多业务安全网关
    RG-EG3230新一代多业务安全网关

    RG-EG3230新一代多业务安全网关
    RG-EG3220新一代多业务安全网关

    RG-EG3220新一代多业务安全网关
    RG-EG3210 V2新一代多业务安全网关

    RG-EG3210 V2新一代多业务安全网关
    RG-EG3210新一代多业务安全网关

    RG-EG3210新一代多业务安全网关
    RG-AP820-L(V3)双射频Wi-Fi 6无线AP

    RG-AP820-L(V3)双射频Wi-Fi 6无线AP
    RG-WS7005-A多业务无线AC

    RG-WS7005-A多业务无线AC
    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
    RG-AP180-L双射频Wi-Fi 6无线AP

    RG-AP180-L双射频Wi-Fi 6无线AP
    RG-AP880(TR)三射频Wi-Fi 6无线AP

    RG-AP880(TR)三射频Wi-Fi 6无线AP
    RG-WS7208-A多业务无线AC

    RG-WS7208-A多业务无线AC
    RG-AP880-I双射频Wi-Fi 6无线AP

    RG-AP880-I双射频Wi-Fi 6无线AP
    RG-WS7880高性能无线AC

    RG-WS7880高性能无线AC
    RG-EG2100-P V2全能PoE网关

    RG-EG2100-P V2全能PoE网关
    RG-N18000-X系列

    RG-N18000-X系列
    RG-N18010-X,10槽机箱,核心层,零背板

    RG-N18010-X,10槽机箱,核心层,零背板
    RG-EG3000XE新一代高性能综合网关

    RG-EG3000XE新一代高性能综合网关
    RG-EG3000UE新一代高性能综合网关

    RG-EG3000UE新一代高性能综合网关
    RG-WS6816高性能无线AC

    RG-WS6816高性能无线AC
    RG-WS6108高性能无线AC

    RG-WS6108高性能无线AC
    RG-EG3000GE新一代高性能综合网关

    RG-EG3000GE新一代高性能综合网关
    RG-EG3000ME新一代高性能综合网关

    RG-EG3000ME新一代高性能综合网关
    RG-EG3000SE新一代高性能综合网关

    RG-EG3000SE新一代高性能综合网关
    RG-EG3000CE新一代高性能综合网关

    RG-EG3000CE新一代高性能综合网关
    RG-EG2000F

    RG-EG2000F
    RG-S2900G-E V3系列千兆交换机

    RG-S2900G-E V3系列千兆交换机
    RG-S2952G-E V3,48口千兆电,千兆上行,接入层

    RG-S2952G-E V3,48口千兆电,千兆上行,接入层
    您可能还关注的问题

    返回顶部

    请选择服务项目
    关闭咨询页
    售前咨询 售前咨询
    售前咨询
    售后服务 售后服务
    售后服务
    意见反馈 意见反馈
    意见反馈
    更多联系方式
    是否找到您想要的内容?
    您遇到了什么问题?
    找不到想要的信息
    筛选功能不好用
    加载速度太慢
    页面体验差
    提交
    您是否找到了与产品相关的文档
    筛选功能是否帮助您更快找到所需的文档?
    有帮助
    一般
    没有帮助
    没用过
    请问您遇到了什么问题?
    需要填写的内容太多
    有些信息不懂怎么填
    页面有问题/错误
    其他
    确定
    这些客户案例是否对您有帮助?
    非常有帮助
    比较有帮助
    没有帮助
    请您对这个客户案例进行评价
    兴趣度
    相关性
    可信度
    确定
    感谢您的反馈!
    感谢您的反馈!