網(wǎng)件FVS338 V2.0如何應(yīng)用的遠(yuǎn)程訪問(wèn)

時(shí)間：2016-03-23 16:11:19 權(quán)威724由分享

　　世界領(lǐng)先的企業(yè)網(wǎng)絡(luò)解決方案，及數(shù)字家庭網(wǎng)絡(luò)應(yīng)用倡導(dǎo)者美國(guó)網(wǎng)件公司，出產(chǎn)的netgear路由器設(shè)備功能強(qiáng)大，那么你知道網(wǎng)件FVS338 V2.0如何應(yīng)用的遠(yuǎn)程訪問(wèn)嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于網(wǎng)件FVS338 V2.0如何應(yīng)用的遠(yuǎn)程訪問(wèn)的相關(guān)資料，供你參考。

　　網(wǎng)件FVS338 V2.0應(yīng)用的遠(yuǎn)程訪問(wèn)的方法：

　　本實(shí)驗(yàn)將以FVX538 Version 2.0.0-139為例詳細(xì)描述Netgear系列防火墻的XAUTH的應(yīng)用配置。XAHTH融合在IPSec 里面的XAUTH擴(kuò)展認(rèn)證協(xié)議，XAUTH為這些需要區(qū)分每個(gè)用戶進(jìn)行身份驗(yàn)證的應(yīng)用提供了一種身份認(rèn)證機(jī)制，該機(jī)制允許網(wǎng)關(guān)使用Radius服務(wù)器或者本地?cái)?shù)據(jù)庫(kù)記錄中的用戶信息對(duì)用戶進(jìn)行身份認(rèn)證。主要包括以下內(nèi)容：

　　1.選擇并配置Radius服務(wù)器

　　2.FVX538防火墻的XAUTH配置

　　3.IPSec 客戶端軟件XAUTH的配置

　　通過(guò)以上實(shí)驗(yàn)操作，實(shí)驗(yàn)者能夠通過(guò)配置XAUTH應(yīng)用到遠(yuǎn)程網(wǎng)絡(luò)中。(本文適合FVX538/FVS338 產(chǎn)品的用戶)

　　2、理解 XAUTH的應(yīng)用

　　目前由于寬帶接入的快速發(fā)展，廣泛的中小商用企業(yè)部署IPSec 網(wǎng)絡(luò)，構(gòu)建遠(yuǎn)程客戶端對(duì)公司中心資源訪問(wèn)的應(yīng)用已極為普通。在部署此類遠(yuǎn)程訪問(wèn)的IPSec 應(yīng)用時(shí)，通常是要設(shè)置多個(gè)客戶端連接到中心網(wǎng)絡(luò)，網(wǎng)管人員的通常做法是為每一個(gè)用戶設(shè)置不同策略和預(yù)置密碼用以區(qū)分每一個(gè)用戶，此工作量是巨大的，管理也不方便。因此現(xiàn)在市場(chǎng)上主流的IPSec 網(wǎng)關(guān)設(shè)備提供另外一種解決方案，就是在網(wǎng)關(guān)中只要配置一條的策略，就可允許多個(gè)如高達(dá)1000個(gè)遠(yuǎn)程客戶端的同時(shí)接入，然后只要對(duì)遠(yuǎn)程客戶分發(fā)一個(gè)相同的策略配置就可以了。這樣一來(lái)，由于所有遠(yuǎn)程客戶端的配置策略是相同的，對(duì)每個(gè)遠(yuǎn)程客戶不再進(jìn)行單獨(dú)地區(qū)別，因此在提高了方便性的同時(shí)卻又降低了整個(gè)網(wǎng)絡(luò)的安全性。

　　這樣就促使用戶需要這樣一種技術(shù)，就是在網(wǎng)關(guān)設(shè)備中只需要配置一條策略，但要求每個(gè)遠(yuǎn)程客戶在接入時(shí)需要提供不同的用戶名和口令的身份認(rèn)證，網(wǎng)關(guān)設(shè)備可以集中管理遠(yuǎn)程用戶的合法信息。這樣就大大減少了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和保證遠(yuǎn)程客戶接入的安全性，提高了企業(yè)的整體工作效率。這個(gè)技術(shù)就是融合在IPSec 里面的XAUTH擴(kuò)展認(rèn)證協(xié)議，XAUTH為這些需要區(qū)分每個(gè)用戶進(jìn)行身份驗(yàn)證的應(yīng)用提供了一種身份認(rèn)證機(jī)制，該機(jī)制允許網(wǎng)關(guān)使用Radius服務(wù)器或者本地?cái)?shù)據(jù)庫(kù)記錄中的用戶信息對(duì)用戶進(jìn)行身份認(rèn)證。

　　RADIUS (Remote Authentication Dial-In User Service， RFC 2865) 是一個(gè)管理網(wǎng)絡(luò)里多個(gè)用戶的驗(yàn)證，授權(quán)，計(jì)費(fèi)(AAA)的協(xié)議。RADIUS服務(wù)器在數(shù)據(jù)庫(kù)里存儲(chǔ)有效的用戶信息，并能給要求訪問(wèn)網(wǎng)絡(luò)資源的合法用戶授權(quán)。

　　下圖是個(gè)典型的遠(yuǎn)程客戶到中心網(wǎng)關(guān)的應(yīng)用XAUTH的說(shuō)明：

　　圖1：XAUTH和RADIUS使用范例

　　圖1中當(dāng)遠(yuǎn)程客戶端開(kāi)始一個(gè)連接的請(qǐng)求的時(shí)候，網(wǎng)關(guān)通過(guò)XAUTH(擴(kuò)展驗(yàn)證)強(qiáng)行中斷協(xié)商的過(guò)程，并要求客戶端必須輸入合法的用戶名的密碼進(jìn)行驗(yàn)證，網(wǎng)關(guān)在接收到來(lái)自客戶端提供的用戶名和密碼之后首先在本地?cái)?shù)據(jù)庫(kù)校驗(yàn)信息是否合法，如果在本地?cái)?shù)據(jù)庫(kù)找不到相對(duì)應(yīng)的用戶名，則將信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器進(jìn)行校驗(yàn)，如果判斷為合法，則繼續(xù)的協(xié)商過(guò)程并且在連結(jié)成功后為遠(yuǎn)程客戶端分配IP地址，如果用戶不合法，則中斷連接。

　　由于XAUTH結(jié)合RADIUS給依賴于大量使用技術(shù)的商業(yè)用戶帶來(lái)了前所未有的安全性和方便的管理特性，因而國(guó)際很多知名的設(shè)備開(kāi)發(fā)商，比如象Cisco，Checkpoint， Netgear公司等，在他們的產(chǎn)品中都開(kāi)始支持XAUTH。

　　3、實(shí)驗(yàn)環(huán)境

　　測(cè)試環(huán)境：FVX538的WAN1端口IP設(shè)置為58.62.221.130，LAN IP為192.168.1.1，RADIUS 服務(wù)器IP為192.168.1.200，參照下圖網(wǎng)絡(luò)配置：

　　TOP

　　4、實(shí)驗(yàn)操作

　　 4.1、選擇合適的 Radius服務(wù)

　　NETGEAR ProSafe Firewall FVX538支持多數(shù)標(biāo)準(zhǔn)的免費(fèi)/商業(yè)發(fā)布的RADIUS服務(wù)程序，比如：

　　FreeRADIUS ，一個(gè)開(kāi)放的LINUX原代碼程序

　　Microsoft Windows IAS

　　Funk Software Steel-Belted RADIUS

　　所有的RADIUS Server的配置信息均可以參考廠家提供的標(biāo)準(zhǔn)配置文檔，本文不再詳細(xì)介紹每一種RADIUS的配置辦法。

　　TOP

　　4.2、FVX538 防火墻的XAUTH配置

　　4.2.1、設(shè)置防火墻的XAUTH模式

　　在配置的IKE策略的時(shí)候，選擇要求使用XAUTH驗(yàn)證，則可以啟用的XAUTH功能。我們?cè)谂渲迷揑KE策略的XAUTH的時(shí)候，系統(tǒng)會(huì)提供兩種模式給用戶選擇。如下:

　　IPsec Host — 作為客戶端，在連接到中心時(shí)需要提供用戶名和密碼

　　Edge Device — 作為服務(wù)器端(中心)，要求客戶端必須進(jìn)行口令驗(yàn)證。

　　當(dāng)防火墻定義為IPsec Host的時(shí)候，在建立連接的時(shí)候，設(shè)備會(huì)給服務(wù)器端提供用戶名和密碼信息。

　　當(dāng)防火墻定義為Edge device模式的時(shí)候，網(wǎng)關(guān)則要求客戶端必須輸入合法的用戶名的密碼進(jìn)行驗(yàn)證，網(wǎng)關(guān)在接收到來(lái)自客戶端提供的用戶名和密碼之后首先在本地?cái)?shù)據(jù)庫(kù)校驗(yàn)信息是否合法，如果在本地?cái)?shù)據(jù)庫(kù)找不到相對(duì)應(yīng)的用戶名，則將信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器進(jìn)行校驗(yàn)，如果判斷為合法，則繼續(xù)的協(xié)商過(guò)程，如果用戶不合法，則中斷連接。

　　具體設(shè)置如下：

　　進(jìn)入IKE Policies選項(xiàng)并點(diǎn)擊Edit按鈕進(jìn)入IKE Policies編輯頁(yè)面

　　在 X AUTHENTICATION 項(xiàng)目下面，選擇Edge Device.

　　在Authentication Type下選擇Generic使用PAP協(xié)議，否則選擇CHAP以使用CHAP協(xié)議. 如果你打算使用RADIUS，則您必須在RADIUS上設(shè)置相對(duì)應(yīng)的驗(yàn)證協(xié)議。通常PAP 協(xié)議簡(jiǎn)單實(shí)用，而CHAP則更為安全。

　　點(diǎn)擊應(yīng)用使配置生效。

　　下一步，設(shè)置您的防火墻是通過(guò)本地?cái)?shù)據(jù)庫(kù)驗(yàn)證還是通過(guò)擴(kuò)展的RADIUS 服務(wù)器驗(yàn)證。防火墻首先在User Database里面定義的本地?cái)?shù)據(jù)庫(kù)的用戶名和密碼信息進(jìn)行驗(yàn)證，如果找不到匹配的條件，則轉(zhuǎn)交到在RADIUS Clien項(xiàng)目里定義的RADIUS服務(wù)器來(lái)驗(yàn)證。

　　TOP

　　4.2.2、配置防火強(qiáng)使用本地?cái)?shù)據(jù)庫(kù)進(jìn)行驗(yàn)證

　　即使你沒(méi)有配置RADIUS服務(wù)器，你仍然可以使用防火墻自帶的用戶數(shù)據(jù)庫(kù)實(shí)現(xiàn)用戶驗(yàn)證功能。在使用該功能之前，你必須在User Database項(xiàng)目下面配置用戶信息，如下：

　　在User Database項(xiàng)目下面點(diǎn)擊 add按鈕。

　　在User Name和Password 里分別填寫(xiě)相應(yīng)的信息。

　　點(diǎn)擊Apply按鈕即可起用本地?cái)?shù)據(jù)庫(kù)。

　　(3)配置防火墻使用RADIUS服務(wù)器進(jìn)行驗(yàn)證

　　在 Client>Radius Client項(xiàng)目里面，可以定義一個(gè)主的RADIUS服務(wù)器和備份的RADIUS服務(wù)器。防火墻首先和主的RADIUS服務(wù)器聯(lián)系，如果主的RADIUS服務(wù)器沒(méi)有響應(yīng)，則轉(zhuǎn)到備份的RADIUS服務(wù)器上。

　　在Primary和Backup Server里面的設(shè)置介紹如下:

　　Do you want to enable a Primary RADIUS Server?選擇YES即啟用主RADIUS服務(wù)器

　　Do you want to enable a Backup RADIUS Server?選擇NO即啟用備用RADIUS服務(wù)器

　　Server IP Address — RADIUS的IP地址.

　　Secret Phrase — RADIUS客戶端和服務(wù)器之間的通訊密鑰。該密鑰必須在服器端和客戶端單獨(dú)配置，并要求相互一致。

　　NAS Identifier —防火墻充當(dāng)NAS(網(wǎng)絡(luò)訪問(wèn)服務(wù))角色，允許合法的外部用戶訪問(wèn)網(wǎng)絡(luò)。在一個(gè)RADIUS會(huì)話里面，NAS必須遞交NAS身份標(biāo)識(shí)到RADIUS服務(wù)器，在該例子里NAS的身份標(biāo)識(shí)可以是防火墻的IP地址或有效的用戶名，在某些應(yīng)用場(chǎng)合里，RADIUS服務(wù)器有可能要求NAS提供有效的用戶名，而我們則可以在該處填寫(xiě)合法的用戶名提交到RADIUS服務(wù)器進(jìn)行驗(yàn)證。然而在大多數(shù)場(chǎng)合下面，RADIUS服務(wù)器并不要求NAS提供用戶名。

　　點(diǎn)擊Apply保存配置

　　注意：在試驗(yàn)中我們采用Steel服務(wù)器，NAS身份標(biāo)識(shí)不需要在Steel服務(wù)器里面配置，同時(shí)在IKE策略里的Authentication Type 應(yīng)該選擇Generic (PAP)的方式。

　　TOP

　　4.3、IPSec 客戶端軟件XAUTH的配置

　　在此之前，你必須在不需要XAUTH的情況下，配置好客戶端。測(cè)試到防火墻的連接通過(guò)后，在配置里面添加相應(yīng)的XAUTH選項(xiàng)即可:

　　點(diǎn)擊Authentication選擇Proposal 1. 選擇和在防火墻的IKE策略里匹配的各項(xiàng)參數(shù)。

　　在Authentication Method，選擇Pre-Shared Key; Extended Authentication.

　　點(diǎn)擊 floppy disk圖標(biāo)以保存配置

　　TOP

　　4.4、測(cè)試連接

　　在WINDOWS工具欄里右鍵點(diǎn)擊 client圖標(biāo)選擇My Connections \.

　　幾秒鐘后將出現(xiàn)登陸頁(yè)面。