文章目录
1.SSL VPN 概述
SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。
因为Web 浏览器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署,从而使得远程安全接入的使用非常简单,而且整个系统更加易于维护。
SSL 协议相关博客链接:
https://blog.csdn.net/csdn10086110/article/details/90742471
SSL VPN一 般采用插件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN
并相对于IPSec VPN 更符合应用安全的需求,成为远程安全接入的主要手段和选择。
SSL VPN 技术优势
身份安全 | 支持多达8种认证方式,支持认证方式 的灵活组合 多重密码安全保障 |
---|---|
终端安全 | 防中间人攻击 客户端安全检查 SSL专线 客户端零痕迹 |
传输安全 | 标准加密算法 |
应用权限安全 | 角色授权、URL级 别授权 主从账号绑定 服务器地址伪装、 应用隐藏 |
审计安全 | 独立日志中心 日志中心管理员权 限分级 |
2.SSL VPN 基本配置
2.1配置界面
红色标记框中名词表示含义
SSL VPN 用户数 | SSL VPN并发接入用户数授权 |
---|---|
IPSec 移动用户数 | SANGFOR VPN移动端PDLAN并发用户数授权 |
线路数 | 外网WAN口线路数授权 |
分支机构数 | 与第三方设备对接标准IPSEC VPN隧道数 |
远程应用用户数 | 使用远程应用发布资源的用户并发数 |
2.2 SSL VPN基础配置
配置思路
1.创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式组合认证)
2、发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、 L3VPN类型、远程应用四种类型)
3、创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访 问哪些资源的权限)
测试效果: 用户张三接入VPN后具备访问ERP系统的权限,除了访问此资源,其他资源 都没有权限访问。
3. SSL VPN 组网方案
3.1 网关模式组网
(1)网关单线路
用户需求
用户网需要将SSL VPN作为网络出口设备,满足内网电脑的正常上网, 同时实现外部用户通过SSL VPN安全的数据访问
配置思路
1.网关模式配置:配置设备的内外网口地址信息,外网口如果是拨号场景需 要先配置拨号
2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
3.2 单臂模式组网
(1)单臂单线路
用户需求
用户网络已经部署好,出口单条公网线路,现在需要在不改动现有网络拓扑的情况下部署SSL VPN,实现外网接入后访问服务器资源
配置思路
1、单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IP、DNS;
2、前置网关做TCP 443和80端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)