短信双因子认证典型配置(阿里云)

1.1   业务需求

企业网络如图所示,企业使用设备的SSL VPN功能为远程办公用户提供内网资源安全访问隧道,接入的用户使用本地认证和短信验证码双重校验,通过认证的员工才能获得访问企业内部网络的权限。

                                              image.png

 

配置项

数据

说明

网络接口

接口:Ge0/0172.17.123.47),untrust

接口:Ge0/310.2.0.47),trust

SSL VPN网关配置

接口:Ge0/0172.17.123.47:8443

认证方式

本地认证

SSL VPN用户

用户组:group1

用户名:user1

密码:test@123

手机号码:187xxxx9590

示例将手机号码隐藏,实际配置时需要确保手机号码真实可用

短信认证服务器

服务商:阿里云

详细服务器参数由阿里云短信业务提供

虚拟地址池

172.17.151.0/24

客户端登录成功后会从虚拟地址池中获得一个IP地址。其中,172.17.151.1作为设备端虚拟地址不分配

内网资源网段

10.2.0.0/24

客户端可访问的内网资源网段

 

1.2   配置限制与说明

1.3   前置条件

1.4  配置步骤

1.4.1  配置接口与安全域

(1)   登录防火墙Web管理页面,点击[网络配置]>>[接口]>>[物理接口]菜单项。

(2)   点击Ge0/0最右边的“编辑”按钮,修改Ge0/0配置:

         所属区域:untrust

         IPv4/网络掩码:172.17.123.47/26

         下一跳地址:172.17.123.1,根据实际情况填写。

         其他参数配置使用默认配置。

 image.png

 

(3)   点击<保存>

(4)   按照相同的方式配置G0/3,所属区域选择“trust”IPv4/网络掩码设置为10.2.0.47/24

1.5.2  配置用户组与用户

(1)   点击[对象配置] >> [用户认证] >> [用户管理]菜单项。

(2)   点击<新增用户组>,添加一个名为“group1”的用户组。

image.png

 

(3)   点击<保存>

(4)   配置user1用户信息

         登录名:user1

         所属分组:/default/group1

         密码:test@123

         手机号码:187xxxx9590,根据实际情况填写,用于接收短信验证码。

image.png

 

         点击<保存>

1.4.3  配置短信认证服务器

(1)   点击[对象配置]>>[认证服务器]>>[短信认证服务器]

(2)   点击<新增>

(3)   根据阿里云短信平台提供的账号信息,填充配置选项。

image.png


 说明:实际配置时,建议输入测试手机号码,点击<发送测试短信>,验证短信服务器是否可用。

 

(4)   点击<保存>

1.4.4  配置SSL VPN网关

1.    基本配置

(1)   点击[网络配置]>>[SSLVPN]>>[SSLVPN]>>[SSLVPN网关]菜单项。

(2)   点击<新增>,按照以下参数创建SSL VPN网关:

         网关地址选择Ge0/0,端口使用默认的8443,实际配置时若存在端口冲突可更改为其他端口。

         最大并发用户数按照实际需要配置,示例配置为10

         其他参数使用默认配置。

image.png

 

(3)   点击<下一步>

2.    登录控制

(1)   点击<用户认证域>下拉框,选择default

(2)   开启短信双因子功能。

         点击<短信双因子认证>选项开关,开启短信认证。

         点击<短信认证服务器>下拉框,选择配置好的阿里云短信平台

         其他配置选项保持默认值,如下图所示。

image.png

 

(3)   点击<下一步>

3.    添加资源

(1)   可分配IP网段设置为:172.17.151.0/255.255.255.0

(2)   隧道接入保活、失联最大时间使用默认配置。

(3)   隧道资源组列表区域点击<新增>创建隧道资源组“resource_grp_1”,并在该组中添加一条资源:

         资源名称:resource_1

         资源类型:网段

         资源:10.2.0.0/24

         协议:any

image.png

 

(4)   点击<确认>创建资源,再次点击<确认>创建资源组,如下图所示。

image.png

 

(5)   点击<下一步>

4.    绑定资源

设备默认提供一条default策略,用户/用户组固定为当前配置的认证域根域(本例中为default)不可编辑,且未绑定任何资源,default策略不可删除。用户可以选择编辑default策略或新增一条策略。本案例选择新增一条名为policy_1的策略。

(1)   点击<新增>创建一条授权策略。

    授权策略名称:policy_1

    用户/用户组:group1

    IP隧道资源:resource_grp_1

image.png

 

(2)   点击<确认>保存授权策略。

(3)   点击<完成>,页面弹出创建安全策略的提示信息,点击<确认>

image.png

 

(4)   SSL VPN网关创建完成。

1.5   验证配置结果

1.5.1  客户端登录验证

(1)   打开SSL VPN客户端,输入网关接入信息:

         服务器地址:https://172.17.123.47:8443

         用户名:user1

         密码:test@123

image.png

 

(2)   点击<登录>,弹窗提示用于双因子认证的动态验证码已下发。

image.png

 

(3)   输入接收到的短信验证码后,点击<提交>

(4)   登录成功,点击<连接信息>,客户端获取到分配的虚拟地址。

image.png

 

(5)   客户端通过浏览器可以成功访问内网资源,本案例以成功访问一个简单的Web Server为例。

image.png

 

1.5.2  设备端验证

(1)   点击[网络配置]>>[SSLVPN]>>[运行监控]菜单项,可查看在线用户信息。若存在多个网关,可以在页面右上角切换到当前网关查看在线用户信息。

image.png

 

(2)   点击[安全监控]>>[日志监控]>>[SSLVPN日志]菜单项,可查看到SSL VPN登录日志。

image.png