V7防火墙SSLVPN配合IMC密码+动态短信验证码认证案例

一、需求介绍

在本案例中为SSLVPN用户提供用户名/密码认证+短信动态密码验证，验证成功后不同的用户访问不同的资源。此处短信验证码由IMC模拟生成，也就是此处短信验证网关为IMC。

二、配置过程

1、SSLVPN网关配置：

object-group ip address client

 security-zone Trust

 0 network subnet 100.0.0.0 255.255.255.0

#连接radius服务器接口地址(略)     

#连接客户端接口地址(略)

#连接ServerA端地址(略)

#连接ServerB端地址及区域划分(略)

#定义radius策略(略)

#配置PKI域

pki domain sslvpn

 public-key rsa general name sslvpn

 undo crl check enable

#配置ssl策略

ssl server-policy ssl

 pki-domain sslvpn

#配置netconf参数

 netconf soap http enable

 netconf soap https enable

 netconf ssh server enable#

 ip https enable

 webui log enable

#配置SSLVPN IP接入地址池

sslvpn ip address-pool ippool 100.0.0.2 100.0.0.254

#配置SSLVPN网关

sslvpn gateway gw

 ip address 10.0.0.1 port 2000

 ssl server-policy ssl

 service enable

#

sslvpn context ctx

 gateway gw

 ip-tunnel interface SSLVPN-AC0

 ip-tunnel address-pool ippool mask 255.255.255.0

#配置用户A可以访问的路由列表

 ip-route-list iplist

  include 20.0.0.0 255.255.255.0

  include 192.168.206.0 255.255.254.0

#配置用户B可以访问的路由列表

 ip-route-list iplist1

  include 30.0.0.0 255.255.255.0

  include 192.168.206.0 255.255.254.0

#配置IP接入要访问的资源快捷方式

 shortcut resource1

  execution url(&＃39;20.0.0.3:81&＃39;)

 shortcut-list resource1

  resources shortcut resource1

 #

shortcut resource2

  execution url(&＃39;30.0.0.3:81&＃39;)

 shortcut-list resource2

  resources shortcut resource2

#配置用户A的资源池

 policy-group pgroup

  filter ip-tunnel acl 3001

  ip-tunnel access-route force-all

  ip-tunnel access-route ip-route-list iplist

  resources shortcut-list resource1

#配置用户B的资源池

 policy-group pgroup1

  filter ip-tunnel acl 3002

  ip-tunnel access-route ip-route-list iplist1

  resources shortcut-list resource2

 aaa domain sslvpn

#配置短信网关

 sms-imc address 192.168.207.21 port 8080

 sms-imc enable

 service enable

#配置安全策略

security-policy ip

 rule 0 name test

  action pass

  source-zone Trust

  source-zone Local

  destination-zone Local

  destination-zone Trust

2、客户端配置： 

iNODE客户端默认是不支持短信验证码的，需要手工定制SSLVPN支持短信验证码。

1）打开iNODE管理中心，点击客户端定制，在网络接入组件中勾选SSLVPN，点击高级定制，进入高级定制配置页面。

2）进入“基本功能项”，勾选“启用短信动态密码校验”，输入短信网关的地址和端口，此处的地址和端口任意设置，因为短信网关在SSLVPN网关设备上配置了。

3）点完成进入客户端定制页面，此处勾选生成客户端安装包或者静默安装都可以。

4）安装定制好的iNODE客户端。

3、IMC配置

1）资源——增加设备(略)。

2）增加接入设备(略)。

3）配置接入策略，不同的用户组下发不同的接入策略。

进入接入策略配置视图，点击增加。

配置用户A的接入策略sslvpn，下发用户组usegroup,认证密码方式选择：账号密码+动态密码。

配置用户B的接入策略，下发用户组usergroup1,认证密码方式选择：账号密码+动态密码。

4）配置接入服务。

配合用户A的接入服务sslvpn，引用用户A的接入策略sslvpn。

配置用户B的接入服务sslvpn1，引用用户B的接入策略sslvpn。

5)配置接入用户。

配置用户A，引用接入服务sslvpn。

配置用户B，引用接入服务sslvpn1。

6)配置短信网关。

放入jar包，将imc_sms_test(2014-2-11.new).jar包放入iMC安装环境下的以下目录：C:\Program Files\iMC\client\repository\imc\jars

iMC前台短信网关配置，进入以下“短信业务中心配置”页面，选择“其他厂商短信平台”，点击“确定”即可。

短信验证码记录在日志文件\iMC\client\log\imcforeground.log中。

请注意：必须是先放入jar包，再重启jserver，配置才能生效。有些旧的平台版本不支持，E0303版本及以上应该都支持。

三、注意事项

1、iNODE定制生成后，虽然定制了短信验证码功能，但是短信验证码默认是不启用的，需要手工启用。

2、打开iNODE客户端，点击右下角管理中心进入管理中心配置页面，选择SSL VPN右键属性，勾选“使用短信动态密码校验”。

3、输入sslvpn网关地址和端口号，用户名，密码，短信验证码点击连接。

2018年11月