云服务器内容精选
-
配置步骤 登录防火墙设备的命令行配置界面。 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) 创建ACL并绑定到对应的vpn-instance。 acl number 3065 vpn-instance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 创建ike proposal。 ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q 创建ike peer,并引用之前创建的ike proposal,其中对端IP地址是1.1.1.1。 ike peer vpnikepeer_64 pre-shared-key ******** (********为您输入的预共享密码) ike-proposal 64 undo version 2 remote-address vpn-instance vpn64 1.1.1.1 sa binding vpn-instance vpn64 q 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q 创建IPsec策略,并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal IPsecpro64 local-address xx.xx.xx.xx q 将IPsec策略应用到相应的子接口上去。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 测试连通性。 在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示:
-
操作步骤 下载Easy-RSA。 下载后请解压缩软件压缩包。 打开Easy-RSA shell。 打开命令行窗口,切换到软件所在目录,执行“.\EasyRSA-Start.bat”命令。 图1 打开Easy-RSA shell 初始化PKI环境。 执行“./easyrsa init-pki”命令,生成PKI,自动创建名为“pki”的文件夹。 (可选)配置变量参数。 默认按配置模板“vars.example”中描述的参数值进行配置。如需自定义参数值,先将“vars.example”复制到“pki”文件夹下并重命名为“vars”,再按需设置参数值。 图2 配置变量参数 生成CA证书。 执行“ ./easyrsa build-ca nopass”命令生成CA证书,存放在“pki”文件夹中。 生成服务端证书和私钥。 执行 “./easyrsa build-server-full filename_base nopass”命令生成服务端证书和私钥。 此命令中,“filename_base”为证书的CN,请根据实际填写。 “filename_base”必须是域名格式,否则无法正常托管到云证书管理服务,示例如下: ./easyrsa build-server-full p2cvpn.server nopass 生成客户端证书和私钥。 执行“ ./easyrsa build-client-full filename_base nopass”命令生成客户端证书和私钥。 查看服务端、客户端证书和私钥。 生成的服务端和客户端证书默认存放在“issued”文件夹中,生成的服务端和客户端的私钥默认存放在“private”文件夹中。 图3 查看证书和私钥
-
操作步骤 下载Easy-RSA。 下载后请解压缩软件压缩包。 打开Easy-RSA shell。 打开命令行窗口,切换到软件所在目录,执行“.\EasyRSA-Start.bat”命令。 图1 打开Easy-RSA shell 初始化PKI环境。 执行“./easyrsa init-pki”命令,生成PKI,自动创建名为“pki”的文件夹。 (可选)配置变量参数。 默认按配置模板“vars.example”中描述的参数值进行配置。如需自定义参数值,先将“vars.example”复制到“pki”文件夹下并重命名为“vars”,再按需设置参数值。 图2 配置变量参数 生成CA证书。 执行“ ./easyrsa build-ca nopass”命令生成CA证书,存放在“pki”文件夹中。 生成服务端证书和私钥。 执行 “./easyrsa build-server-full filename_base nopass”命令生成服务端证书和私钥。 此命令中,“filename_base”为证书的CN,请根据实际填写。 “filename_base”必须是域名格式,否则无法正常托管到云证书管理服务,示例如下: ./easyrsa build-server-full p2cvpn.server nopass 生成客户端证书和私钥。 执行“ ./easyrsa build-client-full filename_base nopass”命令生成客户端证书和私钥。 查看服务端、客户端证书和私钥。 生成的服务端和客户端证书默认存放在“issued”文件夹中,生成的服务端和客户端的私钥默认存放在“private”文件夹中。 图3 查看证书和私钥
-
iOS客户端 此处以安装OpenVPN Connect(3.4.1)为例,不同软件版本的安装界面可能存在差异,请以实际为准。 在App Store搜索“OpenVPN Connect”,下载并安装。 下载客户端配置,在“client_config.ovpn”文件中添加客户端证书及私钥,然后通过OpenVPN Connect打开,按照界面提示添加客户端配置。 图11 导入配置文件 出现类似下图所示界面,代表连接成功。 图12 连接成功
-
Mac客户端(OpenVPN Connect) 此处以安装OpenVPN Connect(3.4.0.4506)为例,不同软件版本的安装界面可能存在差异,请以实际为准。 在OpenVPN官方网站下载OpenVPN Connect,根据硬件规格选择对应安装程序。 图5 选择安装包 根据界面提示,完成软件安装。 图6 安装OpenVPN Connect 启动OpenVPN Connect客户端,导入已添加客户端证书及私钥的配置文件,填写配置信息后尝试连接。 图7 导入配置文件 出现类似下图所示界面,代表连接成功。 图8 连接成功
-
Mac客户端(Tunnelblick) 此处以安装Tunnelblick(3.8.8d)为例,不同软件版本的安装界面可能存在差异,请以实际为准。 前往官方网站下载Tunnelblick。 您可以根据实际需要下载适用的版本,推荐使用正式版本。下载软件时推荐下载DMG格式的软件,可以直接安装使用。 安装Tunnelblick。 图2 安装Tunelblick 启动Tunnelblick客户端,将已添加客户端证书及私钥的配置文件上传至Tunnelblick客户端,建立VPN连接。 图3 上传客户端配置文件 出现类似下图所示界面,代表连接成功。 图4 连接成功
-
Windows客户端(OpenVPN Connect) 此处以安装OpenVPN Connect 3.3.4(2600)为例,不同软件版本的安装界面可能存在差异,请以实际为准。 在OpenVPN官方网站下载OpenVPN Connect,根据界面提示进行安装。 启动OpenVPN Connect客户端,支持以下两种方式添加配置信息。 方式1:使用配置文件(已添加客户端证书及私钥)建立VPN连接 方式2:使用原始配置文件(未添加客户端证书及私钥)+USB-Key的组合 初始化USB-Key。 此处以使用龙脉mToken GM3000管理员工具(v2.2.19.619)制作USB-Key为例。USB-Key初始化成功后如下图所示,此时需要插拔一下USB设备。 将证书导入USB-Key。 使用USB-Key建立VPN连接。 在OpenVPN Connect中添加USB-Key,单击“CONNECT”。 建连过程中,USB-Key需要保持插入状态。 建连成功后,拔出USB-Key,连接不会中断,需要手动断连;USB-Key拔出后,重新建连将失败。 出现类似下图所示界面,代表连接成功。 图1 连接成功
-
Linux客户端 此处以在Ubuntu(20.04.6-live-server-amd64)操作系统上安装OpenVPN为例,不同Linux系统的安装命令可能存在差异,请以实际为准。 打开命令行窗口。 执行以下命令安装OpenVPN客户端。 yum install -y openvpn 将已添加客户端证书及私钥的客户端配置文件内容复制至/etc/openvpn/conf/目录。 进入/etc/openvpn/conf/目录,执行以下命令建立VPN连接。 openvpn --config /etc/openvpn/conf/config.ovpn --daemon
-
背景信息 根据对端网关IP地址个数不同,推荐的组网如表1所示。 表1 组网关系 对端网关IP个数 推荐组网 说明 1 VPN网关推荐使用双活模式,该场景占用1个VPN连接组配额。 2 VPN网关推荐使用主备模式,该场景占用2个VPN连接组配额。 如果用户数据中心仅有一个对端网关,且对端网关只能配置一个IP地址,VPN网关推荐使用双活模式,主EIP、主EIP2各创建一条VPN连接,对接同一个对端网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。 如果用户数据中心存在两个对端网关,或一个对端网关可以配置两个IP地址,VPN网关推荐使用主备模式,主EIP、备EIP各创建一条VPN连接,对接到对端网关的不同IP地址。该场景下占用两个VPN连接组配额。
-
示例流程 图1 给用户授予VPN权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予虚拟专用网络服务权限“VPN Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择“网络 > 虚拟专用网络”,进入“虚拟专用网络 > 企业版-VPN网关”页面,单击右上角“创建VPN网关”,尝试创建VPN网关,如果创建成功,表示“VPN Administrator”已生效。 在“服务列表”中选择除VPN服务外(假设当前权限仅包含VPN Administrator)的任一服务,若提示权限不足,表示“VPN Administrator”已生效。
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的华为云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善华为云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。 租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API 网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
-
产品概述 虚拟专用网络(Virtual Private Network,以下简称VPN),用于在企业用户本地网络、数据中心与云上网络之间搭建安全、可靠、高性价比的加密连接通道。 VPN仅支持建立非跨境连接,不支持建立跨境连接。 VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口,与用户数据中心的对端网关对应。 VPN连接通过加密技术,将VPN网关与对端网关相关联,使数据中心与VPC通信,更快速、更安全地构建混合云环境。 VPN组网图如图1所示。 图1 VPN组网图
-
VPN权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问VPN时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对VPN服务,管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。 如表1所示,包括了VPN的所有系统权限。 表1 VPN系统权限 系统角色/策略名称 描述 依赖关系 VPN Administrator VPN服务的管理员权限,拥有该权限的用户拥有VPN服务所有执行权限。 拥有该权限的用户默认拥有Tenant Guest、VPC Administrator权限。 VPC Administrator:项目级策略,在同项目中勾选。 Tenant Guest:项目级策略,在同项目中勾选。 - VPN FullAccess VPN服务的所有执行权限。 如果需要操作以下场景,则需要在VPN FullAccess权限基础上追加配置VPC Administrator和Tenant Guest权限。 创建VPN网关 创建VPN连接 VPN ReadOnlyAccess VPN服务只读权限,拥有该权限的用户仅能查看VPN服务下的资源信息。 - 表2列出了VPN常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 VPN Administrator VPN FullAccess VPN ReadOnlyAccess 创建VPN网关 √ 企业版VPN:√ 经典版VPN:× × 查询VPN网关 √ √ √ 查询VPN网关列表 √ √ √ 更新VPN网关 √ 企业版VPN:√ 经典版VPN:× × 删除VPN网关 √ 企业版VPN:√ 经典版VPN:× × 创建VPN连接 √ 企业版VPN:× 经典版VPN:√ × 查询VPN连接 √ √ √ 查询VPN连接列表 √ √ √ 更新VPN连接 √ 企业版VPN:× 经典版VPN:√ × 删除VPN连接 √ 企业版VPN:× 经典版VPN:√ × 创建对端网关 √ 企业版VPN:√ 经典版VPN:不涉及 × 查询对端网关 √ 企业版VPN:√ 经典版VPN:不涉及 √ 查询对端网关列表 √ 企业版VPN:√ 经典版VPN:不涉及 √ 更新对端网关 √ 企业版VPN:√ 经典版VPN:不涉及 × 删除对端网关 √ 企业版VPN:√ 经典版VPN:不涉及 × 创建连接监控 √ 企业版VPN:√ 经典版VPN:× × 查询连接监控 √ 企业版VPN:√ 经典版VPN:× × 查询连接监控列表 √ 企业版VPN:√ 经典版VPN:× × 删除连接监控 √ 企业版VPN:√ 经典版VPN:× ×
-
操作步骤 在“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。 根据界面提示配置参数,然后单击“确定”。 本示例仅对关键参数进行说明,全量参数请参见配置服务端。 表1 服务端参数说明 区域 参数 说明 取值样例 基本信息 本端网段 客户端需要访问的目标网段。 支持“选择子网”和“输入网段”两种方式。 192.168.1.0/24 客户端网段 分配给客户端虚拟网卡地址的网段。 172.16.0.0/16 认证信息 服务端证书 选择服务端证书。 cert-scsxxxxxxxxxxxxx 客户端CA证书 需要先单击“上传CA证书”进行上传操作。 如果存在多级CA证书,需要将证书链的所有CA证书都上传。 ca-cert-xxxx 高级配置 协议 保持默认。 UDP 端口 保持默认。 443 加密算法 保持默认 AES-128-GCM
-
数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信,请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 EIP地址 EIP地址在购买EIP时由系统自动生成 本示例假设EIP地址生成如下:11.xx.xx.11 服务端 本端网段 192.168.1.0/24 服务端证书 cert-scsxxxxxxxxxxxxx(使用云证书管理服务托管的服务端证书名称) SSL参数 协议:UDP 端口:443 加密算法:AES-128-GCM 认证算法:SHA256 是否压缩:否 客户端 客户端网段 172.16.0.0/16 客户端CA证书 ca-cert-xxxx(上传CA证书时自定义证书名称)
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格