網(wǎng)件FVS338 V2.0如何應用的遠程訪問

時間：2016-03-23 16:11:19 權威724由分享

　　世界領先的企業(yè)網(wǎng)絡解決方案，及數(shù)字家庭網(wǎng)絡應用倡導者美國網(wǎng)件公司，出產(chǎn)的netgear路由器設備功能強大，那么你知道網(wǎng)件FVS338 V2.0如何應用的遠程訪問嗎?下面是學習啦小編整理的一些關于網(wǎng)件FVS338 V2.0如何應用的遠程訪問的相關資料，供你參考。

　　網(wǎng)件FVS338 V2.0應用的遠程訪問的方法：

　　本實驗將以FVX538 Version 2.0.0-139為例詳細描述Netgear系列防火墻的XAUTH的應用配置。XAHTH融合在IPSec 里面的XAUTH擴展認證協(xié)議，XAUTH為這些需要區(qū)分每個用戶進行身份驗證的應用提供了一種身份認證機制，該機制允許網(wǎng)關使用Radius服務器或者本地數(shù)據(jù)庫記錄中的用戶信息對用戶進行身份認證。主要包括以下內容：

　　1.選擇并配置Radius服務器

　　2.FVX538防火墻的XAUTH配置

　　3.IPSec 客戶端軟件XAUTH的配置

　　通過以上實驗操作，實驗者能夠通過配置XAUTH應用到遠程網(wǎng)絡中。(本文適合FVX538/FVS338 產(chǎn)品的用戶)

　　2、理解 XAUTH的應用

　　目前由于寬帶接入的快速發(fā)展，廣泛的中小商用企業(yè)部署IPSec 網(wǎng)絡，構建遠程客戶端對公司中心資源訪問的應用已極為普通。在部署此類遠程訪問的IPSec 應用時，通常是要設置多個客戶端連接到中心網(wǎng)絡，網(wǎng)管人員的通常做法是為每一個用戶設置不同策略和預置密碼用以區(qū)分每一個用戶，此工作量是巨大的，管理也不方便。因此現(xiàn)在市場上主流的IPSec 網(wǎng)關設備提供另外一種解決方案，就是在網(wǎng)關中只要配置一條的策略，就可允許多個如高達1000個遠程客戶端的同時接入，然后只要對遠程客戶分發(fā)一個相同的策略配置就可以了。這樣一來，由于所有遠程客戶端的配置策略是相同的，對每個遠程客戶不再進行單獨地區(qū)別，因此在提高了方便性的同時卻又降低了整個網(wǎng)絡的安全性。

　　這樣就促使用戶需要這樣一種技術，就是在網(wǎng)關設備中只需要配置一條策略，但要求每個遠程客戶在接入時需要提供不同的用戶名和口令的身份認證，網(wǎng)關設備可以集中管理遠程用戶的合法信息。這樣就大大減少了網(wǎng)絡管理人員的工作負擔和保證遠程客戶接入的安全性，提高了企業(yè)的整體工作效率。這個技術就是融合在IPSec 里面的XAUTH擴展認證協(xié)議，XAUTH為這些需要區(qū)分每個用戶進行身份驗證的應用提供了一種身份認證機制，該機制允許網(wǎng)關使用Radius服務器或者本地數(shù)據(jù)庫記錄中的用戶信息對用戶進行身份認證。

　　RADIUS (Remote Authentication Dial-In User Service， RFC 2865) 是一個管理網(wǎng)絡里多個用戶的驗證，授權，計費(AAA)的協(xié)議。RADIUS服務器在數(shù)據(jù)庫里存儲有效的用戶信息，并能給要求訪問網(wǎng)絡資源的合法用戶授權。

　　下圖是個典型的遠程客戶到中心網(wǎng)關的應用XAUTH的說明：

　　圖1：XAUTH和RADIUS使用范例

　　圖1中當遠程客戶端開始一個連接的請求的時候，網(wǎng)關通過XAUTH(擴展驗證)強行中斷協(xié)商的過程，并要求客戶端必須輸入合法的用戶名的密碼進行驗證，網(wǎng)關在接收到來自客戶端提供的用戶名和密碼之后首先在本地數(shù)據(jù)庫校驗信息是否合法，如果在本地數(shù)據(jù)庫找不到相對應的用戶名，則將信息轉發(fā)到RADIUS服務器進行校驗，如果判斷為合法，則繼續(xù)的協(xié)商過程并且在連結成功后為遠程客戶端分配IP地址，如果用戶不合法，則中斷連接。

　　由于XAUTH結合RADIUS給依賴于大量使用技術的商業(yè)用戶帶來了前所未有的安全性和方便的管理特性，因而國際很多知名的設備開發(fā)商，比如象Cisco，Checkpoint， Netgear公司等，在他們的產(chǎn)品中都開始支持XAUTH。

　　3、實驗環(huán)境

　　測試環(huán)境：FVX538的WAN1端口IP設置為58.62.221.130，LAN IP為192.168.1.1，RADIUS 服務器IP為192.168.1.200，參照下圖網(wǎng)絡配置：

　　TOP

　　4、實驗操作

　　 4.1、選擇合適的 Radius服務

　　NETGEAR ProSafe Firewall FVX538支持多數(shù)標準的免費/商業(yè)發(fā)布的RADIUS服務程序，比如：

　　FreeRADIUS ，一個開放的LINUX原代碼程序

　　Microsoft Windows IAS

　　Funk Software Steel-Belted RADIUS

　　所有的RADIUS Server的配置信息均可以參考廠家提供的標準配置文檔，本文不再詳細介紹每一種RADIUS的配置辦法。

　　TOP

　　4.2、FVX538 防火墻的XAUTH配置

　　4.2.1、設置防火墻的XAUTH模式

　　在配置的IKE策略的時候，選擇要求使用XAUTH驗證，則可以啟用的XAUTH功能。我們在配置該IKE策略的XAUTH的時候，系統(tǒng)會提供兩種模式給用戶選擇。如下:

　　IPsec Host — 作為客戶端，在連接到中心時需要提供用戶名和密碼

　　Edge Device — 作為服務器端(中心)，要求客戶端必須進行口令驗證。

　　當防火墻定義為IPsec Host的時候，在建立連接的時候，設備會給服務器端提供用戶名和密碼信息。

　　當防火墻定義為Edge device模式的時候，網(wǎng)關則要求客戶端必須輸入合法的用戶名的密碼進行驗證，網(wǎng)關在接收到來自客戶端提供的用戶名和密碼之后首先在本地數(shù)據(jù)庫校驗信息是否合法，如果在本地數(shù)據(jù)庫找不到相對應的用戶名，則將信息轉發(fā)到RADIUS服務器進行校驗，如果判斷為合法，則繼續(xù)的協(xié)商過程，如果用戶不合法，則中斷連接。

　　具體設置如下：

　　進入IKE Policies選項并點擊Edit按鈕進入IKE Policies編輯頁面

　　在 X AUTHENTICATION 項目下面，選擇Edge Device.

　　在Authentication Type下選擇Generic使用PAP協(xié)議，否則選擇CHAP以使用CHAP協(xié)議. 如果你打算使用RADIUS，則您必須在RADIUS上設置相對應的驗證協(xié)議。通常PAP 協(xié)議簡單實用，而CHAP則更為安全。

　　點擊應用使配置生效。

　　下一步，設置您的防火墻是通過本地數(shù)據(jù)庫驗證還是通過擴展的RADIUS 服務器驗證。防火墻首先在User Database里面定義的本地數(shù)據(jù)庫的用戶名和密碼信息進行驗證，如果找不到匹配的條件，則轉交到在RADIUS Clien項目里定義的RADIUS服務器來驗證。

　　TOP

　　4.2.2、配置防火強使用本地數(shù)據(jù)庫進行驗證

　　即使你沒有配置RADIUS服務器，你仍然可以使用防火墻自帶的用戶數(shù)據(jù)庫實現(xiàn)用戶驗證功能。在使用該功能之前，你必須在User Database項目下面配置用戶信息，如下：

　　在User Database項目下面點擊 add按鈕。

　　在User Name和Password 里分別填寫相應的信息。

　　點擊Apply按鈕即可起用本地數(shù)據(jù)庫。

　　(3)配置防火墻使用RADIUS服務器進行驗證

　　在 Client>Radius Client項目里面，可以定義一個主的RADIUS服務器和備份的RADIUS服務器。防火墻首先和主的RADIUS服務器聯(lián)系，如果主的RADIUS服務器沒有響應，則轉到備份的RADIUS服務器上。

　　在Primary和Backup Server里面的設置介紹如下:

　　Do you want to enable a Primary RADIUS Server?選擇YES即啟用主RADIUS服務器

　　Do you want to enable a Backup RADIUS Server?選擇NO即啟用備用RADIUS服務器

　　Server IP Address — RADIUS的IP地址.

　　Secret Phrase — RADIUS客戶端和服務器之間的通訊密鑰。該密鑰必須在服器端和客戶端單獨配置，并要求相互一致。

　　NAS Identifier —防火墻充當NAS(網(wǎng)絡訪問服務)角色，允許合法的外部用戶訪問網(wǎng)絡。在一個RADIUS會話里面，NAS必須遞交NAS身份標識到RADIUS服務器，在該例子里NAS的身份標識可以是防火墻的IP地址或有效的用戶名，在某些應用場合里，RADIUS服務器有可能要求NAS提供有效的用戶名，而我們則可以在該處填寫合法的用戶名提交到RADIUS服務器進行驗證。然而在大多數(shù)場合下面，RADIUS服務器并不要求NAS提供用戶名。

　　點擊Apply保存配置

　　注意：在試驗中我們采用Steel服務器，NAS身份標識不需要在Steel服務器里面配置，同時在IKE策略里的Authentication Type 應該選擇Generic (PAP)的方式。

　　TOP

　　4.3、IPSec 客戶端軟件XAUTH的配置

　　在此之前，你必須在不需要XAUTH的情況下，配置好客戶端。測試到防火墻的連接通過后，在配置里面添加相應的XAUTH選項即可:

　　點擊Authentication選擇Proposal 1. 選擇和在防火墻的IKE策略里匹配的各項參數(shù)。

　　在Authentication Method，選擇Pre-Shared Key; Extended Authentication.

　　點擊 floppy disk圖標以保存配置

　　TOP

　　4.4、測試連接

　　在WINDOWS工具欄里右鍵點擊 client圖標選擇My Connections \.

　　幾秒鐘后將出現(xiàn)登陸頁面。