华为防火墙ssl xxx配置

最新推荐文章于 2025-05-12 23:17:37 发布
最新推荐文章于 2025-05-12 23:17:37 发布
阅读量9k 收藏 58
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 网络技术 文章标签: 华为 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cx2csdn/article/details/122991978
本文详细介绍了如何在EVE-NG平台上配置SSLVPN,通过华为USG6K防火墙和思科交换机,实现员工在家或出差时远程访问内网资源,包括Web服务器、文件共享、设备管理及指定网段。步骤包括交换机配置、防火墙SSLVPN设置和安全策略制定。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ipsec vpn,gre vpn 适合企业间的连接,要求连接的两端设备都可以配置;如果是出差的员工,或员工在家想连接到企业网的内部,这两类vpn就不能满足条件。

可以使用PPTP VPN ,L2TP VPN,SSL VPN,EZVPN(CISOCO 专有),其中以SSL VPN最为安全,应用最普遍。

SSL VPN(CISCO称为 web vpn),使用SSL(安全套接层)协议,实现隧道加密数据传输,客户端使用浏览器即可(L2TP要手工在系统中建立一个连接),浏览器使用HTTPS协议加密数据,客户端只要能上网,连接到SSLVPN设备即可。

本实验使用 EVE-NG平台,华为USG6K防火墙和思科的路由交换机实现。

拓扑:

在这里插入图片描述

图中,内网使用ospf 协议,防火墙使用默认路由访问外网。内网服务器使用eve-ng中的linux服务器模拟,如EVE中 没有的话也可以使用桥接到Vmware 中的虚拟机,外网用户模拟客户端,使用vmware中的windows。

准备:eve-ng中添加两块网卡,用于桥接到vmware虚拟机

在eve-ng中查看ip

目标:在防火墙上配置SSL VPN,使windows10客户端,可以访问到内网的web服务器、文件共享服务器、可以远程管理内网交换机、可以访问内网的指定网段。

配置步骤:

1、交换机配置

sw
ena
conf t

ip routing
int lo 0
ip add 172.16.100.254 255.255.255.255
int g0/0
ip add 192.168.10.2 255.255.255.0
no sh
int g0/1
ip add 172.16.10.1 255.255.255.0
no sh
int g0/2
ip add 172.16.20.1 255.255.255.0
no sh
exit

router ospf 1
net 172.16.10.0 0.0.0.255 area 0
net 172.16.10.0 0.0.0.255 area 0
net 192.168.10.0 0.0.0.255 area 0
net 172.16.100.254 0.0.0.0 area 0
exit

line vty 0 4
login
password 1234
exit

========intnet路由器配置
ena
conf t

int g0/0
ip add 11.1.1.2 255.255.255.0
no sh
int g0/1
ip add 192.168.20.20 255.255.255.0
no sh
exit
=======防火墙修改默认的ip地址,使其与宿主机一个网段,
sys
int g0/0/0
ip add 192.168.8.100 24

2、配置防火墙

使用web 配置,eve-ng中console密码为admin,web默认用户名、密码为:admin\Admin@123,首次登录要修改密码

​ 配置网络接口、加入到相应的域

​ 配置对象

​ 配置路由

​ 配置ssl vpn

​ 配置策略

​ 2.1 配置接口

image-20220217192419853

​ 2.2 配置路由

​ 默认路由,访问外网

image-20220217192651588

OSPF 访问内网

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s2jn7gEn-1645103076269)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217192922820.png)]

​ 注,web界面配置ospf时,先新建ospf进程,确定后,点后面的“高级”,配置区域、网段等

​ 另:web界面没有引入默认路由的选项,在终端自行配置

​ default-route-advertise always

​ 查看路由表.,防火墙已经学到了内网的路由,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNkt67M4-1645103076291)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194236231.png)]

2.3 配置对象

​ 地址对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jypFvcTD-1645103076293)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217194441446.png)]

​ 用户对象,这里为ssl vpn的4种应用分别创建了4个用户,应用于web访问、

image-20220217194705779

2.4 配置ssl vpn

image-20220217194947055

​ 在模拟 器中,如果不能点下一步配置,配置完后点下一步没有反应,这时点“取消”,然后可以在SSL 配置进到下一步继续配置

​ ssl 配置默认,不用修改。

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IgLD6g0D-1645103076302)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195244940.png)]

​ 业务功能选择,即防火墙ssl vpn所支持的ssl vpn类型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q5EIHhDf-1645103076305)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217195434445.png)]

​ 配置web代理,填写相应资源

image-20220217195633749

​ 文件共享

image-20220217200321132

​ 端口转发

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gcT6k2TJ-1645103076311)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217200520501.png)]

角色授权、用户,:创建角色授权资源,将资源关联到相应用户。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wDFIdOf9-1645103076313)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217201010342.png)]

​ 分别为不同的类型vpn创建相应的用户和授权,完成

image-20220217201335393

4、创建相应的安全策略

​ 4。1 ssl vpn用户访问防火墙,

​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sEtCN0lg-1645103076317)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217203216038.png)]

​ 4。2 防火墙代理 访问内网的资源,web代理、文件共享都是这个策略生效

5、验证:在vmware 中的windows10虚拟机上访问防火墙外网接口,使用firefox,chrome浏览器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ui0M9l4u-1645103076319)(https://raw.githubusercontent.com/github2cx/picgo/master/image-20220217204401730.png)]

华为防火墙SSL VPN隧道连接实验配置
加油!
05-20 8509
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
防火墙初始化及对接二三层路由综合实战(附防火墙模拟器与topo实战环境)
悦分享
09-22 507
防火墙默认情况下,默认阻止local – untrust – 单播流量( OSPF DBD),无法阻止local-untrust 组播流量(hello),取消阻止local – untrust – 单播流量( OSPF DBD)。注意:portswitch将防火墙接口变为二层口,防火墙接口属于local,默认屏蔽ping,要将vlanif10和vlanif20加入trust区域。不通,因为service-manage只管控入方向规则,只针对当前接口生效,无法管理防火墙自身向外发出的流量。
华为防火墙配置 SSL VPN
走马
06-09 8505
哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。
IPsec VPN与SSL VPN实验思路(eNSP)
最新发布
WuYiCheng666的博客
05-12 879
本实验演示了VPN网络的搭建过程,涵盖IPsec与SSL VPN的配置、安全策略设计及故障排查方法。VPN技术在网络安全中的核心作用。防火墙多区域安全策略的精细化控制。NAT与VPN共存的解决方案。
华为防火墙 配置 SSLVPN
一直被模仿,从未被超越
11-02 9247
公司域环境,大陆客户端居家办公室需要连到公司域,这里可以在上海防火墙上面开通SSLVPN,员工就可以透过SSLVPN连通上海公司的内网,但是由于公司有域控有2个站点,一个在台北,一个在上海,所以还需要拨通VPN后,也实现跟台北的内网互通。可访问内网网段列表:拨通VPN后,客户端可以访问的内网地址,如果内网是IPSec VPN中的地址,还需要进入 IPSec 进行设置,本例10.3.0.0/24是上海防火墙的内网地址,10.3.6.0/24 是 台北的。1、打开防火墙进入 SSL VPN,新建。
华为防火墙 SSL VPN配置实验
哦 卷!
09-05 1万+
SSL VPN 可以实现员工到公司内部,由员工电脑进行 VPN 连接。一般由员工 Web 登录虚拟机网关手动连接,或由 SecoClient 客户端自动连接。IPSEC VPN可以实现不同局域网之间通过Internet进行VPN连接,一般由网关设备进行VPN连接。在界面配置会显示“服务器忙,请稍后重试”。
华为防火墙(以USG6330为例)配置SSL,限制公司员工在公司外只能访问指定的服务器
爱新觉罗启钰的优快云博客
08-14 5603
目录 一、部署用户认证策略 1、操作入口 2、华为技术文档原文链接 3、华为技术文档原文快照(2021年8月14日) 一、部署用户认证策略 1、操作入口 对象-用户。 2、华为技术文档原文链接 Web举例:SSL VPN接入用户+本地认证 3、华为技术文档原文快照(2021年8月14日) 二、 部署用户认证策略 ...
华为USG系列防火墙 RESTCONF NAT配置 Python实现
ck784101777的博客
12-10 1782
一般的NAT规则要在Web界面或console控制台配置,都是手动的操作,想实现自动化或接入业务,可通过华为提供的RESTCONF接口实现。本文章适合有NAT基础的人群观看,主要讲解SNAT的自动化接口配置,补充部分也有一些NAT技术的资料参考。
软考网工|防火墙考点解析
weixin_43968339的博客
10-25 1028
内网用户域为trust,外网为untrust域这个应该必须知道的,在防火墙会话表中可以看到trust到untrust的安全策略已经命中,源IP是10.21.0.2一个私网IP,结合拓扑图中防火墙在出口,私网IP在访问外网时需要做NAT,在会话表中没有看到NAT转换信息。大家可能会有疑惑之前介绍的Inbound和Outbound在哪里配置,其实目前华为防火墙版本配置已经不使用这两个命令了,直接配置源安全区域和目的安全区域防火墙就能识别区域之间的流向了。DDOS不威胁敏感数据,它使合法用户不能获得应有服务。
Linux部署apache并配置SSL证书
开源世界
04-26 1828
一、 服务器资源 服务名称:Linux服务器 IP:服务器公网ip 操作系统:CentOS 7.9 x64 二、 卸载系统自带的httpd Centos可能自带了httpd,但是版本可能会较低,执行下面的命令检测是否已经安装了httpd # rpm -qa | grep httpd 复制代码 如果检测已经安装了二进制的httpd,则使用下面的命令卸载,防止现在的二进制httpd对你之后安装的源码httpd干扰 可能已经安装,但是版本相当于官网较低,为防止干扰,所以先卸载自带httpd # yum -y r
基于STM32+华为云设计的智慧农业灌溉系统(2023升级版)(158)
热门推荐
10-23 1万+
本项目设计一种基于STM32的智慧农业监测系统。该系统能够检测空气温度、湿度、光强度和土壤湿度等关键指标,并自动调节浇水量,实现作物生长环境的精细化管理。同时,本项目还支持本地LCD屏幕数据显示和通过ESP8266上传数据到华为云物联网平台,同时搭建流媒体服务器实现摄像头远程监控。最重要的是,本项目将利用Qt开发Android手机APP,使用户可以远程查看监测情况,了解农作物生成情况。
华为eNSP防火墙 配置使用SSL隧道
m0_75102488的博客
08-20 3407
华为eNSP防火墙配置
华为防火墙配置SSL+自签CA证书挑战登录
qq948718360的博客
06-08 8083
华为防火墙配置SSLVPN+证书挑战登录 前言 关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考! 了解证书 公钥CA:理解为母体,公开信息,唯一 公钥RSA:理解为母体的密码 私钥CA:理解为包含公钥信息+个人用户名的子证书 私钥RSA:理解为私钥的密码,可以与公钥共用一个密码 证书导出密码:文件的解压密码(文件=私钥CA+私钥RSA) 在华为USG的作用: 公钥CA:服务器证书,验证客户端证书是否通过公钥签发 私钥CA:客户端证书,用于识别用户名 证书导出密码:客户端导入时解压密码 自签
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 3586
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
华为 SSL VPN 介绍以及配置实例故障案例分析-(值得收藏)
满地找牙的博客
07-01 4063
华为SSL (`Secure Sockets Layer`) VPN是一种安全的远程访问技术,它允许用户通过HTTPS协议安全地访问企业内部网络资源。SSL协议位于TCP/IP协议与各种应用层协议之间,提供数据加密、身份验证和消息完整性校验等功能,确保了从客户端到服务器端的数据传输过程中的安全。
企业网 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 9315
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加网卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子网处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白玩-通了之后再往下玩。
华为USG6308配置ssl vpn
JackNiMaBaBa的博客
09-07 2730
接下来就是配置vpn的安全策略,一般建议配置两条,一条用户控制用户登陆,只对vpn服务(需要预先在服务中手动添加一个针对开始创建的vpn端口的服务)放行,允许登陆;另一条是针对用户登陆访问内网设备的策略。可以参考下方的策略配置。uniVPN客户端或者web浏览器访问。
华为ssl vpn配置案例
IT技术
11-10 4149
华为ssl vpn配置案例
树莓派mqtt华为
03-20
<think>好的,我现在需要帮助用户在树莓派上配置MQTT并连接到华为云平台。首先,我得回忆一下MQTT的基本概念和配置步骤。用户提到他们已经在华为云有相关的工具,比如生成鉴权三元组的在线工具,这可能涉及到ClientID、用户名和密码的设置。 首先,树莓派上安装MQTT客户端库,通常是用Python的paho-mqtt库。我需要确保用户正确安装了这个库,可以通过pip安装。然后,连接到华为云需要获取正确的连接参数,比如服务器地址、端口、设备ID、密钥等。用户提供的引用里提到,华为云的MQTT连接参数包括服务器地址、端口1883或8883(SSL),以及鉴权三元组。 接下来,生成鉴权三元组可能需要使用华为云提供的工具,引用[1]中的链接可能相关。用户需要登录华为云IoT平台,创建设备,获取设备ID、密钥,然后用工具生成用户名和密码。用户名通常包含设备ID、产品ID和时间戳,密码可能是使用密钥加密后的字符串。 然后,编写Python代码连接到MQTT服务器。代码结构可能包括导入库、设置参数、定义回调函数、连接和订阅主题。需要注意的是,引用[2]提到命令中的会话编号和消息格式,虽然这是针对AT指令的,但MQTT库的使用也需要正确处理参数,比如client_id、用户名、密码,以及保持连接的心跳间隔。 可能还需要处理SSL连接,如果需要使用8883端口,用户可能需要下载华为云的CA证书,并在代码中指定证书路径。引用[3]提到不同云平台的参数类似,可以用数组存储,所以用户可能需要灵活配置参数。 测试连接时,用户需要确保树莓派联网,并且防火墙允许MQTT端口的通信。发布和订阅消息时,主题需要符合华为云的规定,比如$oc/devices/{device_id}/sys/properties/report上报属性。 最后,用户可能需要参考示例代码,确保消息格式正确,并处理异常情况,比如网络断开重连。引用[4]中的树莓派示例可能提供了基本的框架,用户可以根据华为云的文档进行调整。 总结步骤:安装依赖、获取华为云连接参数、编写连接代码、测试连接并处理消息。需要提醒用户注意参数的正确性,尤其是设备ID和密钥,以及SSL证书的使用。可能的问题包括网络连接问题、参数错误或权限问题,需要逐步排查。</think>### 在树莓派上配置MQTT并连接华为云平台的步骤 #### 1. 安装MQTT客户端库 在树莓派终端执行以下命令安装Python的`paho-mqtt`库: ```bash pip install paho-mqtt ``` #### 2. 获取华为云MQTT连接参数 - **服务器地址**: 参考华为云IoT平台中设备详情页的接入地址,例如:`xxx.iotda.cn-north-4.myhuaweicloud.com`[^1] - **端口**: 非加密端口为`1883`,加密端口为`8883`(需配置SSL证书) - **设备ID**(ClientID): 在华为云IoT平台创建设备时分配的ID,格式如`xxx_xxx` - **用户名**: 格式为`{设备ID}@{产品ID}|{时间戳}|安全模式` - **密码**: 通过华为云工具生成的加密字符串,使用设备密钥和工具生成[^1] #### 3. 编写MQTT连接代码 ```python import paho.mqtt.client as mqtt # 华为云连接参数(替换为实际值) huawei_params = { "server": "xxx.iotda.cn-north-4.myhuaweicloud.com", "port": 1883, "client_id": "your_device_id", "username": "your_username", "password": "your_password" } def on_connect(client, userdata, flags, rc): if rc == 0: print("Connected to Huawei Cloud!") client.subscribe("$oc/devices/#") # 订阅设备主题 else: print(f"Connection failed with code {rc}") client = mqtt.Client(client_id=huawei_params["client_id"]) client.username_pw_set(huawei_params["username"], huawei_params["password"]) client.on_connect = on_connect try: client.connect(huawei_params["server"], huawei_params["port"], 60) client.loop_forever() except Exception as e: print(f"Connection error: {e}") ``` #### 4. 数据上报与订阅 - **上报属性**(JSON格式): ```python topic = f"$oc/devices/{huawei_params['client_id']}/sys/properties/report" payload = '{"services": [{"service_id": "temperature","properties": {"value": 25}}]}' client.publish(topic, payload) ``` - **订阅命令**:通过`on_message`回调处理云端下发的指令[^3] #### 5. 配置SSL加密(可选) 若使用8883端口,需下载华为云CA证书并修改代码: ```python client.tls_set(ca_certs="/path/to/ca.crt") client.connect(huawei_params["server"], 8883, 60) ``` #### 关键注意事项 1. 确保树莓派已通过`sudo raspi-config`启用网络接口并连接互联网 2. 设备密钥需通过华为云工具生成 3. 若使用企业版IoTDA,需核对地域节点地址 4. 心跳间隔建议设置为`60-120`秒[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值