V7防火墙SSLVPN配合IMC密码+动态短信验证码认证案例

一、需求介绍

在本案例中为SSLVPN用户提供用户名/密码认证+短信动态密码验证,验证成功后不同的用户访问不同的资源。此处短信验证码由IMC模拟生成,也就是此处短信验证网关为IMC。

     1.jpg

二、配置过程

1、SSLVPN网关配置:

object-group ip address client

 security-zone Trust

 0 network subnet 100.0.0.0 255.255.255.0

#连接radius服务器接口地址(略)     

#连接客户端接口地址(略)

#连接ServerA端地址(略)

#连接ServerB端地址及区域划分(略)

#定义radius策略(略)

#配置PKI域

pki domain sslvpn

 public-key rsa general name sslvpn

 undo crl check enable

#配置ssl策略

ssl server-policy ssl

 pki-domain sslvpn

#配置netconf参数

 netconf soap http enable

 netconf soap https enable

 netconf ssh server enable#

 ip https enable

 webui log enable

#配置SSLVPN IP接入地址池

sslvpn ip address-pool ippool 100.0.0.2 100.0.0.254

#配置SSLVPN网关

sslvpn gateway gw

 ip address 10.0.0.1 port 2000

 ssl server-policy ssl

 service enable

#

sslvpn context ctx

 gateway gw

 ip-tunnel interface SSLVPN-AC0

 ip-tunnel address-pool ippool mask 255.255.255.0

#配置用户A可以访问的路由列表

 ip-route-list iplist

  include 20.0.0.0 255.255.255.0

  include 192.168.206.0 255.255.254.0

#配置用户B可以访问的路由列表

 ip-route-list iplist1

  include 30.0.0.0 255.255.255.0

  include 192.168.206.0 255.255.254.0

#配置IP接入要访问的资源快捷方式

 shortcut resource1

  execution url('20.0.0.3:81')

 shortcut-list resource1

  resources shortcut resource1

 #

shortcut resource2

  execution url('30.0.0.3:81')

 shortcut-list resource2

  resources shortcut resource2

#配置用户A的资源池

 policy-group pgroup

  filter ip-tunnel acl 3001

  ip-tunnel access-route force-all

  ip-tunnel access-route ip-route-list iplist

  resources shortcut-list resource1

#配置用户B的资源池

 policy-group pgroup1

  filter ip-tunnel acl 3002

  ip-tunnel access-route ip-route-list iplist1

  resources shortcut-list resource2

 aaa domain sslvpn

#配置短信网关

 sms-imc address 192.168.207.21 port 8080

 sms-imc enable

 service enable

#配置安全策略

security-policy ip

 rule 0 name test

  action pass

  source-zone Trust

  source-zone Local

  destination-zone Local

  destination-zone Trust

2、客户端配置: 

iNODE客户端默认是不支持短信验证码的,需要手工定制SSLVPN支持短信验证码。

1)打开iNODE管理中心,点击客户端定制,在网络接入组件中勾选SSLVPN,点击高级定制,进入高级定制配置页面。

      2.jpg

2)进入“基本功能项”,勾选“启用短信动态密码校验”,输入短信网关的地址和端口,此处的地址和端口任意设置,因为短信网关在SSLVPN网关设备上配置了。

      3.jpg

3)点完成进入客户端定制页面,此处勾选生成客户端安装包或者静默安装都可以。

      4.jpg

4)安装定制好的iNODE客户端。

3、IMC配置

1)资源——增加设备(略)。

2)增加接入设备(略)。

3)配置接入策略,不同的用户组下发不同的接入策略。

进入接入策略配置视图,点击增加。

   5.jpg

配置用户A的接入策略sslvpn,下发用户组usegroup,认证密码方式选择:账号密码+动态密码。

   6.jpg

配置用户B的接入策略,下发用户组usergroup1,认证密码方式选择:账号密码+动态密码。

   7.jpg

4)配置接入服务。

  8.jpg

配合用户A的接入服务sslvpn,引用用户A的接入策略sslvpn。

   9.jpg

配置用户B的接入服务sslvpn1,引用用户B的接入策略sslvpn。

5)配置接入用户。

 10.jpg

配置用户A,引用接入服务sslvpn。

   1.jpg

配置用户B,引用接入服务sslvpn1。

6)配置短信网关。

放入jar包,将imc_sms_test(2014-2-11.new).jar包放入iMC安装环境下的以下目录:C:\Program Files\iMC\client\repository\imc\jars

iMC前台短信网关配置,进入以下“短信业务中心配置”页面,选择“其他厂商短信平台”,点击“确定”即可。

   2.jpg

短信验证码记录在日志文件\iMC\client\log\imcforeground.log中。

请注意:必须是先放入jar包,再重启jserver,配置才能生效。有些旧的平台版本不支持,E0303版本及以上应该都支持。

三、注意事项

1、iNODE定制生成后,虽然定制了短信验证码功能,但是短信验证码默认是不启用的,需要手工启用。

2、打开iNODE客户端,点击右下角管理中心进入管理中心配置页面,选择SSL VPN右键属性,勾选“使用短信动态密码校验”。

  3.jpg

3、输入sslvpn网关地址和端口号,用户名,密码,短信验证码点击连接。

 


2018年11月