天融信sslvpn文檔

1、SSL VPN培訓(xùn)客戶服務(wù)部客戶服務(wù)部July 5, 2022目錄：目錄： VPN概述 什么是SSL VPN 天融信SSL VPN功能運用及原理 SSL VPN部署案例 SSL VPN配置實例 SSL VPN常見故障排錯 總結(jié)目錄：目錄：目錄：目錄：IETF定義了許多VPN協(xié)議，如下所示：點對點隧道協(xié)議PPTP，Ponit-to-Point Tunneling Protocol第2層轉(zhuǎn)發(fā)L2F，Layer 2 Forwarding第2層隧道協(xié)議L2TP，Layer 2 Tunneling Protocol通用路由選擇封裝GRE，Generic Routing Encapsulation多協(xié)議標(biāo)

2、記交換MPLS，Multiprotocol Label Switching VPNInternet協(xié)議安全I(xiàn)PSec，Internet Protocol Security安全套接字層VPN（SSL VPN）遠(yuǎn)程訪問VPN技術(shù)VPN協(xié)議可以明確的分為以下兩組： 站點到站點協(xié)議 遠(yuǎn)程訪問協(xié)議IPSec、GRE和MPLS VPN都是常用的站點到站點VPN協(xié)議。常用的遠(yuǎn)程訪問VPN協(xié)議有SSL VPN、IPSec、L2TP、基于IPSec的L2TP和PPTP。IPSec既可作為站點到站點的訪問協(xié)議又可作為遠(yuǎn)程訪問協(xié)議。VPN協(xié)議基于應(yīng)用的分類IPSec介紹 IPSec能夠在ip層提供保護，可以部署IP

3、Sec來保護兩個網(wǎng)關(guān)間、兩個主機間、甚至網(wǎng)關(guān)和主機間的通信。 IPSec提供數(shù)據(jù)完整性，以確保分組在傳輸?shù)倪^程中不會被更改，分組驗證過程能夠確保分組來自有效的源地址，而數(shù)據(jù)加密過程能夠確保內(nèi)容的機密性。IPSec兩個階段的作用（ISAKMP） 第一階段，ISAKMP在兩個對等實體間建立一個安全且可信的通信信道。通過使用這個雙向的信道，這兩個VPN對等實體能夠相互發(fā)送保護消息，從而對如何處理下一步的協(xié)商達(dá)成一致； 第二階段，通過協(xié)商再建立兩個單向信道，用于保護和驗證實際分組。L2TP介紹 第2層隧道協(xié)議，它結(jié)合了來自第2層轉(zhuǎn)發(fā)、Cisco系統(tǒng)和PPTP以及Microsoft的特性。 此協(xié)議在點對

4、點協(xié)議下打包分組，并使用已注冊的用戶數(shù)據(jù)報協(xié)議UDP端口1701來實現(xiàn)隧道協(xié)商和數(shù)據(jù)封裝。注意：L2TP使用UDP端口1701同時進(jìn)行隧道協(xié)商和數(shù)據(jù)封裝。基于IPSec的L2TP 組織機構(gòu)更愿意使用基于Windows的、能夠使用L2TP操作系統(tǒng)中的內(nèi)置遠(yuǎn)程訪問客戶端。然而，L2TP卻不能提供很強的數(shù)據(jù)機密性。因此，在大多數(shù)L2TP執(zhí)行中使用IPSec來提供數(shù)據(jù)安全性。這種方法通常被稱為基于IPSec的L2TP。基于IPSec的L2TP協(xié)商過程1.用戶與服務(wù)提供商訪問路由器建立一個PPP會話，并獲得一個動態(tài)的公共ip地址。如果工作站已有一個ip地址并能夠向Internet發(fā)送流量，那么這一步是可

5、選的。2.用戶發(fā)起一個配置為使用IPSec來保護數(shù)據(jù)安全的L2TP客戶端。3.客戶端工作站發(fā)起一個會話并協(xié)商一條安全信道用于交換密鑰（IKE第1階段協(xié)商）。4.在第一階段成功建立后，客戶端再建立兩條安全信道用于數(shù)據(jù)加密和驗證（IKE第2階段協(xié)商）。此數(shù)據(jù)信道用于加密去往UDP1701端口的L2TP流量。5.當(dāng)IPSec建立后，客戶端在IPSec內(nèi)發(fā)起一個L2TP會話。6.指定用戶的驗證證書，用于驗證L2TP會話。任何PPP或L2TP的屬性均在成功驗證用戶后進(jìn)行協(xié)商。7.當(dāng)L2TP會話建立后，用戶工作站發(fā)送封裝在L2TP中的數(shù)據(jù)流量。這些L2TP分組由IPSec加密并通過Internet被發(fā)送到

6、隧道的另一端?；贗PSec的L2TP協(xié)商過程注意： 如果在基于IPSec的L2TP客戶端和網(wǎng)關(guān)之間存在一道防火墻，那么用戶應(yīng)允許IP協(xié)議50和UDP端口500能夠通過。L2TP分組（UDP1701端口）被封裝在ESP中。一些基于IPSec的L2TP提供商將流量封裝進(jìn)UDP4500端口以實現(xiàn)NAT透明度（NAT-T，NAT transparency）PPTP介紹 點對點隧道協(xié)議（PPTP，Point-to-Point Tunneling Protocol）是一個客戶服務(wù)器網(wǎng)絡(luò)協(xié)議，它允許遠(yuǎn)程用戶通過Internet訪問網(wǎng)絡(luò)資源。 PPTP在點對點協(xié)議（PPP，Point-to-Point Pr

7、otocol）下打包數(shù)據(jù)，并將數(shù)據(jù)封進(jìn)IP分組。PPTP將通用路由選擇封裝（GRE，Generic Routing Encapsulation）協(xié)議的擴展版本作為封裝機制，以使得IP分組可路由。 有了PPTP，客戶端可以使用TCP端口1723來發(fā)起一個與PPTP網(wǎng)關(guān)的連接。PPTP連接協(xié)商過程 GRE是Internet協(xié)議47。如果在客戶端與服務(wù)器之間存在防火墻，用戶應(yīng)確定允許TCP 1723和GRE協(xié)議能夠通過此防火墻。 與L2TP類似，使用Microsoft點對點加密（MPPE，Microsoft Point-to-Point Encryption）提供40128bit的加密，以實現(xiàn)數(shù)據(jù)機

8、密性。PPTP連接協(xié)商說明遠(yuǎn)程VPN技術(shù)總結(jié)功能功能PPTPIPSecL2TP基于基于IPSec的的L2TPSSL VPNVPN客戶端內(nèi)置在多數(shù)Windows OS中需要一個第三方客戶端內(nèi)置在較新的Windows OS中內(nèi)置在較新的Windows OS中有無VPN客戶端是可選的加密MPPEDES、3DES、AESMPPEDES、3DES、AESDES、3DES、RC4-128、RC4-40、AES部署很少用廣泛地使用很少用有限地使用使用范圍正穩(wěn)步增長VPNVPN歷史歷史 第一代 專網(wǎng) 在兩個點之間通過ISP租用物理鏈路。 第二代 IPSEC VPN 通過互聯(lián)網(wǎng)邏輯的在兩個點之間建立鏈路。 第三

9、代 SSL VPN 通過網(wǎng)頁訪問的方式連接。組網(wǎng)方式組網(wǎng)方式 基于專網(wǎng)的組網(wǎng)方式 租用ISP物理鏈路，并封裝廣域網(wǎng)的二層協(xié)議DDN、FR、X.25、PSTN等 基于互聯(lián)網(wǎng)的組網(wǎng)方式 Ipsec、ssl、pptp、l2tp等Internet專線中心站點分支機構(gòu)Internet專線中心站點分支機構(gòu)專線方式VPN方式 費用高 靈活性差 復(fù)雜的拓?fù)浣Y(jié)構(gòu) 費用低 靈活性好 簡單的網(wǎng)絡(luò)管理組網(wǎng)方式的對比組網(wǎng)方式的對比VPNVPN概述概述v VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸v VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接v 為企業(yè)提供簡便的低成本的網(wǎng)絡(luò)擴展的解決方案遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)

10、合作伙伴分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用的典型應(yīng)用遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機構(gòu)安全網(wǎng)關(guān)安全網(wǎng)關(guān)ISP接入設(shè)備端到端數(shù)據(jù)通路的典型構(gòu)成撥入段外部段（公共因特網(wǎng)）內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)VPN的安全性的安全性VPN的安全性的安全性v 撥入段數(shù)據(jù)泄漏風(fēng)險v 因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險v 安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險v 內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險數(shù)據(jù)在撥入段泄漏風(fēng)險數(shù)據(jù)在撥入段泄漏風(fēng)險遠(yuǎn)程訪問ISP接入設(shè)備撥入段Internetv 撥入段用戶數(shù)據(jù)以明文方式直接傳遞到ISP：1.攻擊者可以很容易的在撥入鏈路上實施監(jiān)聽2.ISP很容易檢查用戶的數(shù)據(jù)3.可以通過

11、鏈路加密來防止被動的監(jiān)聽，但無法防范惡意竊取數(shù)據(jù)的ISP。PSTN搭線監(jiān)聽攻擊者ISPISP竊聽密文傳輸?shù)搅薎SP處已解密成明文明文傳輸Internet內(nèi)部網(wǎng)惡意修改通道終點到：假冒網(wǎng)關(guān)外部段（公共因特網(wǎng)）ISP接入設(shè)備原始終點為：安全網(wǎng)關(guān)1.數(shù)據(jù)在到達(dá)終點之前要經(jīng)過許多路由器，明文傳輸?shù)膱笪暮苋菀自诼酚善魃媳徊榭春托薷?.監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)3.逐段加密不能防范在路由器上查看報文，因為路由器需要解密報文選擇路由信息，然后再重新加密發(fā)送4.惡意的ISP可以修改通道的終點到一臺假冒的網(wǎng)關(guān)遠(yuǎn)程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道數(shù)據(jù)在互聯(lián)網(wǎng)段泄漏風(fēng)險數(shù)據(jù)在互聯(lián)網(wǎng)段泄漏風(fēng)險In

12、ternet遠(yuǎn)程訪問內(nèi)部網(wǎng)安全網(wǎng)關(guān)ISP接入設(shè)備內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)1.內(nèi)部網(wǎng)中可能存在不信任的主機、路由器等2.內(nèi)部員工可以監(jiān)聽、篡改、重定向企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報文3.來自企業(yè)網(wǎng)內(nèi)部員工的其他攻擊方式數(shù)據(jù)在內(nèi)部泄漏風(fēng)險數(shù)據(jù)在內(nèi)部泄漏風(fēng)險1.1. Host Host 對對 HostHost2.2. Host Host 對對 VPN VPN 網(wǎng)關(guān)網(wǎng)關(guān)3.3. VPN VPN 對對 VPN VPN 網(wǎng)關(guān)網(wǎng)關(guān)遠(yuǎn)程接入需要遠(yuǎn)程接入需要VPNVPN技術(shù)技術(shù) 隨著信息時代的發(fā)展，越來越多的企業(yè)加大了對自身信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)，同時企業(yè)出差員工、分支機構(gòu)員工、合作伙伴與公司總部業(yè)務(wù)系統(tǒng)的聯(lián)系也日益緊密。企業(yè)發(fā)展

13、帶來的問題企業(yè)發(fā)展帶來的問題企業(yè)的需求企業(yè)的需求他們需要讓出差的員工在出差的同時也可以訪問企業(yè)內(nèi)部資源。他們需要讓分支機構(gòu)的業(yè)務(wù)系統(tǒng)與總部聯(lián)系。他們需要讓合作伙伴也能夠知道公司的動態(tài)。VPNVPN接入方式接入方式點對點接入點對點接入(Site-to-Site)：性能高、運行簡單可靠、適于大型局域網(wǎng)的遠(yuǎn)程互聯(lián)。遠(yuǎn)程接入遠(yuǎn)程接入(Remote-Access)：接入靈活，使用方便，成本低，適于遠(yuǎn)程主機直接接入系統(tǒng)網(wǎng)絡(luò)。遠(yuǎn)程接入遠(yuǎn)程接入點對點接入點對點接入遠(yuǎn)程接入的需求遠(yuǎn)程接入的需求安全性安全性傳輸加密用戶認(rèn)證權(quán)限管理易于接入易于接入任何地點任何時間任何設(shè)備客戶端易于使用客戶端易于使用免安裝免維護易于

14、集成易于集成認(rèn)證集成應(yīng)用集成兩種常見的遠(yuǎn)程接入方式兩種常見的遠(yuǎn)程接入方式SSL VPNIPSEC VPNVS兩種方式的對比兩種方式的對比項目項目SSL VPNIpsec vpn工作的網(wǎng)絡(luò)層工作的網(wǎng)絡(luò)層TCP與應(yīng)用層之間IP層是否需要客戶端是否需要客戶端B/S不需要C/S需要，但是不用做配置在LAN TO LAN模式中不需要終端接入需要安裝，并且需要配置客戶端程序?qū)τ脩舻恼J(rèn)證對用戶的認(rèn)證必須要認(rèn)證LAN TO LAN 不需要終端接入需要認(rèn)證應(yīng)用支持應(yīng)用支持所有基于IP的應(yīng)用所有基于IP的應(yīng)用資源授權(quán)資源授權(quán)采用基于用戶/組/角色的認(rèn)證機制，做到細(xì)致的對資源訪問控制。LAN TO LAN 需要借助

15、防火墻，使用client時可以控制安全及認(rèn)證安全及認(rèn)證可使用U-KEY、證書認(rèn)證支持各種主流加密方式可使用U-KEY、證書認(rèn)證支持各種主流加密方式管理管理集中管理，并且只需要配置網(wǎng)關(guān)lan to lan是需要對各端點管理及配置。切配置復(fù)雜NATNAT穿越的支持穿越的支持不需要特殊的設(shè)置需要特殊設(shè)置才能支持NAT維護成本維護成本易于安裝、易于管理用戶或分支越多維護成本越高SSL VPNSSL VPN與與IPsecIPsec VPN VPN比比SSL VPNSSL VPN1、用戶可以從任何地點發(fā)起連接，請求接入。2、可以對客戶端的安全狀態(tài)進(jìn)行評估：當(dāng)發(fā)現(xiàn)客戶端不安全時，就拒絕接入。3、可以支持多種

16、瀏覽器(IE、Firefox)，多種終端(個人電腦、手機，PDA)4、對用戶訪問權(quán)限進(jìn)行有效地管理和控制：遠(yuǎn)程接入的用戶可能是公司的高級主管，也可能是普通員工，還有可能是合作伙伴，對不同身份的人應(yīng)該授予不同的訪問權(quán)限，對越權(quán)的訪問請求應(yīng)該拒絕。5、高細(xì)粒度的權(quán)限控制:URL、文件目錄、IP、TCP/UDP端口號，可以細(xì)致地限制用戶所訪問的網(wǎng)絡(luò)資源。IPSEC VPNIPSEC VPN(1) 在用戶主機上部署IPsec VPN時，需要預(yù)先安裝客戶端軟件。維護IPsec VPN的客戶端對企業(yè)網(wǎng)管或運營商都是一件麻煩的事情。(2) 無法支持不同平臺如liunx、手機、PDA等。(3) 轉(zhuǎn)換受限。IP

17、sec報文不能透明地穿越NAT和防火墻，在組網(wǎng)時需要進(jìn)行特殊的配置。(6)IPsec VPN比較適合連接固定的網(wǎng)絡(luò)。對比結(jié)論對比結(jié)論 SSL VPN最適合于“遠(yuǎn)程接入”的場合，如移動辦公和出差人員遠(yuǎn)程接入，因為使用者對網(wǎng)絡(luò)技術(shù)了解程度不同，SSL VPN不需要任何配置。 IPsec VPN比較適合“點對點接入”的場合，如總部和分支機構(gòu)的點對點接入。 在實際運用中可以根據(jù)情況將兩種VPN接入方式有機結(jié)合起來。SSL和TLS的歷史 安全套接字層（SSL，Secure Socket Layer）最初是由Netscape通信公司在1990年提出的，它使得通信在萬維網(wǎng)（WWW，World Wide We

18、b）的環(huán)境下能夠安全進(jìn)行。 此協(xié)議的設(shè)計目標(biāo)是提供機密性、消息完整性、身份認(rèn)證（服務(wù)器驗證和可選的客戶端驗證）和應(yīng)用透明性（使得SSL能夠用于保護其他通信協(xié)議。） 1996年，Internet工程任務(wù)組（IETF，Internet Engineering Task Force）建立了傳輸層安全（TLS，Transport Layer Security）工作組，致力于使來自不同提供商的SSL協(xié)議標(biāo)準(zhǔn)化。SSLSSL和和TLSTLSOSI層布局和TCP/IP協(xié)議支持 SSL是一個獨立于平臺并獨立于應(yīng)用的協(xié)議，用于保護基于TCP的應(yīng)用。SSL在TCP層之上應(yīng)用層之下。SSLSSL協(xié)議概述協(xié)議概述TC

19、PUDPIPSSLApplicationTCPUDPIPSSLApplication基于SSL的HTTP：保護網(wǎng)頁是最初設(shè)計SSL的主要動力，而HTTP是由SSL保護的第一個應(yīng)用層協(xié)議。HTTPS在TCP端口443上操作，而HTTP則默認(rèn)在TCP端口80上操作。基于SSL的電子郵件：與基于SSL的HTTP類似，電子郵件協(xié)議，如SMTP、郵局協(xié)議3（POP3，Post Office Protocol 3）和Internet消息訪問協(xié)議（IMAP，Internet Message Access Protocol）均可由SSL支持?；诨赟SLSSL的應(yīng)用的應(yīng)用 一個SSL連接的建立需要經(jīng)過兩個階

20、段。在握手階段（階段1）協(xié)商加密算法、驗證服務(wù)器并建立用于數(shù)據(jù)加密和MAC的密鑰。安全數(shù)據(jù)傳輸階段（階段2）處于已建立的SSL連接的保護之下。 SSL是一個分層協(xié)議，在最低層的是SSL記錄協(xié)議，記錄協(xié)議由幾種執(zhí)行不同任務(wù)的消息類型或協(xié)議組成。SSLSSL記錄協(xié)議和握手協(xié)議記錄協(xié)議和握手協(xié)議記 錄 協(xié) 議握手報警修改密碼規(guī)范應(yīng)用數(shù)據(jù)記錄協(xié)議記錄協(xié)議主要是一個封裝協(xié)議，用于傳輸各種高層協(xié)議和應(yīng)用數(shù)據(jù)。記錄協(xié)議主要接收來自上層客戶端協(xié)議的信息；執(zhí)行一些必須的工作，如分片、壓縮、應(yīng)用MAC和加密，并傳輸最終的數(shù)據(jù)。此協(xié)議還執(zhí)行相反的工作，對收到的數(shù)據(jù)進(jìn)行解密、驗證、解壓縮和重組。記錄協(xié)議由4個上層客戶

21、端協(xié)議組成；握手協(xié)議、報警協(xié)議、修改密碼規(guī)范協(xié)議和應(yīng)用數(shù)據(jù)協(xié)議。握手協(xié)議握手協(xié)議負(fù)責(zé)建立和恢復(fù)SSL會話，存在如下三個子協(xié)議。1. 握手協(xié)議握手協(xié)議協(xié)商SSL會話的安全屬性。2. 報警協(xié)議報警協(xié)議是一個內(nèi)務(wù)處理協(xié)議，用于在SSL對等實體間傳送報警消息。報警消息包括錯誤、異常情況（如一個錯誤的MAC或解密失敗）或通告（如一個會話的關(guān)閉）3. 應(yīng)用數(shù)據(jù)協(xié)議應(yīng)用數(shù)據(jù)協(xié)議處理上層應(yīng)用數(shù)據(jù)的傳輸。注意，TLS記錄協(xié)議設(shè)計為一個框架，因此將來很容易添加新的客戶端協(xié)議。以上所介紹的客戶端協(xié)議是用在SSL連接中的。SSL/TLSSSL/TLS中各協(xié)議的功能中各協(xié)議的功能 握手協(xié)議用于SSL客戶端和服務(wù)器以建立

22、連接。這個過程的主要任務(wù)如下：協(xié)商安全性能力：處理協(xié)議版本和密碼組。驗證：客戶端驗證服務(wù)器，服務(wù)器也可以驗證客戶端。密鑰交換：兩個團體交換用于產(chǎn)生主密鑰的密鑰或信息。密鑰導(dǎo)出：兩個團體導(dǎo)出主密鑰，用此主密鑰產(chǎn)生的密鑰用于大量數(shù)據(jù)的加密和MAC。SSLSSL連接建立連接建立SSLVPN SSLVPN 概述概述什么是什么是SSLVPNSSLVPNSSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP協(xié)議）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。SSL VPN充分利用了SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗證機制，可以為應(yīng)用層之間的通信

23、建立安全連接。SSLVPN SSLVPN 概述概述誰需要用誰需要用SSL VPNSSL VPN企業(yè)的員工可以在家中、路上、網(wǎng)吧、旅館，使用自己的、別人的、公用的電腦或手機，通過ADSL網(wǎng)絡(luò)、小區(qū)寬帶網(wǎng)絡(luò)、移動電話網(wǎng)絡(luò)、無線網(wǎng)絡(luò)等多種接入網(wǎng)絡(luò)，遠(yuǎn)程訪問公司的信息資源。企業(yè)合作伙伴等非員工可以限制其訪問某些服務(wù)器、Web頁面或文件，提高企業(yè)生產(chǎn)效率。天融信天融信SSL VPNSSL VPN的優(yōu)勢的優(yōu)勢SSL VPN利用SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗證機制，為用戶遠(yuǎn)程訪問公司內(nèi)部網(wǎng)絡(luò)提供了安全保證。天融信SSL VPN具有如下優(yōu)點： 1 1、支持各種應(yīng)用協(xié)議、支持各種應(yīng)用

24、協(xié)議SSL VPN可提供以下三類工作方式： Web轉(zhuǎn)發(fā)方式訪問資源：是指用戶使用瀏覽器以HTTPS方式通過SSL VPN網(wǎng)關(guān)對服務(wù)器提供的資源進(jìn)行訪問。Web轉(zhuǎn)發(fā)方式下的訪問資源有兩種：文件共享資源和Web代理服務(wù)器資源。端口轉(zhuǎn)發(fā)方式訪問資源：用于實現(xiàn)用戶應(yīng)用程序?qū)Ψ?wù)器開放端口的安全訪問，包括遠(yuǎn)程訪問服務(wù)、桌面共享服務(wù)、郵件服務(wù)和通用應(yīng)用程序服務(wù)資源。全網(wǎng)接入訪問資源：用于實現(xiàn)用戶終端與服務(wù)器網(wǎng)絡(luò)層之間的安全通信，進(jìn)而實現(xiàn)所有基于IP的應(yīng)用與服務(wù)器的互通。天融信天融信SSL VPNSSL VPN的優(yōu)勢的優(yōu)勢2、部署簡單、部署簡單目前SSL協(xié)議已被集成到大部分的瀏覽器中，如IE、Firefox

25、等。這就意味著幾乎任意一臺裝有瀏覽器的計算機都支持SSL連接，通過Web方式訪問資源（Web資源、共享文件資源等）時不需要安裝額外的客戶端軟件；訪問TCP接入方式下和IP接入方式下的資源時，需要在客戶端安裝專用的軟件，安裝過程非常簡單。幾乎不需要人為干預(yù)。3 3、個性化的用戶界面、個性化的用戶界面SSL VPN提供了虛擬門戶功能，從而使得企業(yè)及部門都可擁有自己獨立的遠(yuǎn)程接入門戶。每個虛擬門戶都可以定制不同的登錄界面、定制是否使用控件、定制使用哪些功能模塊、定制不同的認(rèn)證方式、定制不同的公告信息等。與企業(yè)門戶無縫融合4 4、支持多種用戶認(rèn)證方式、支持多種用戶認(rèn)證方式除了可以利用SSL協(xié)議本身提供

26、的證書認(rèn)證機制，對SSL客戶端進(jìn)行身份確認(rèn)外，SSL VPN還支持四種認(rèn)證方式：本地認(rèn)證、RADIUS認(rèn)證、LDAP認(rèn)證、AD認(rèn)證。天融信天融信SSL VPNSSL VPN的優(yōu)勢的優(yōu)勢6 6、對客戶端主機進(jìn)行安全評估、對客戶端主機進(jìn)行安全評估在遠(yuǎn)程主機請求接入時，網(wǎng)關(guān)會在客戶端下載一個小程序?qū)χ鳈C的安全狀態(tài)進(jìn)行檢查?？梢詸z查主機的操作系統(tǒng)版本及其補丁、瀏覽器版本及其補丁、防火墻版本、殺毒軟件版本等等。通過對主機安全狀態(tài)的評估，可以判斷遠(yuǎn)程主機是否安全，以及安全程度的高低。進(jìn)而對用戶訪問權(quán)限進(jìn)行限制。5 5、實現(xiàn)了對網(wǎng)絡(luò)資源的細(xì)粒度的控制訪問、實現(xiàn)了對網(wǎng)絡(luò)資源的細(xì)粒度的控制訪問SSL VPN采用

27、基于角色的權(quán)限管理方法，根據(jù)登錄用戶的身份，限制用戶訪問的資源，從而方便靈活地控制用戶訪問權(quán)限。Web轉(zhuǎn)發(fā)實現(xiàn)了在不安裝客戶端的情況下直接通過瀏覽器訪問內(nèi)網(wǎng)WEB資源。但Web轉(zhuǎn)發(fā)只能支持簡單的B/S架構(gòu)應(yīng)用。WEBWEB轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)WEBWEB轉(zhuǎn)發(fā)實現(xiàn)原理轉(zhuǎn)發(fā)實現(xiàn)原理以訪問內(nèi)網(wǎng)WEB服務(wù)器為例：1.客戶端向內(nèi)網(wǎng)WEB服務(wù)器發(fā)起HTTPS方式請求，發(fā)送到VONE設(shè)備。2.VONE設(shè)備將HTTPS格式的請求報文轉(zhuǎn)換為標(biāo)準(zhǔn)HTTP格式。3.VONE發(fā)送標(biāo)準(zhǔn)的HTTP格式的請求傳給WEB服務(wù)器。4.WEB服務(wù)器接受到請求報文后將請求結(jié)果發(fā)送給VONE。5.VONE將HTTP應(yīng)答報文加密并轉(zhuǎn)。發(fā)給客戶端端

28、口轉(zhuǎn)發(fā)端口轉(zhuǎn)發(fā)天融信SSL VPN提供豐富的應(yīng)用服務(wù)：用于實現(xiàn)客戶端對C/S架構(gòu)應(yīng)用的訪問。端口轉(zhuǎn)發(fā)實現(xiàn)過程端口轉(zhuǎn)發(fā)實現(xiàn)過程 彌補WEB轉(zhuǎn)發(fā)兼容性問題。 解決對C/S架構(gòu)應(yīng)用的兼容。 所有數(shù)據(jù)均可統(tǒng)一認(rèn)證授權(quán)。 采用代理方式處理數(shù)據(jù)可以使服務(wù)器更加安全。 客戶端無需配置即可使用。端口轉(zhuǎn)發(fā)總結(jié)端口轉(zhuǎn)發(fā)總結(jié)可實現(xiàn)對內(nèi)網(wǎng)復(fù)雜應(yīng)用完全訪問 通過SSL vpn實現(xiàn)對內(nèi)網(wǎng)基于IP的安全訪問。 實現(xiàn)方式：ACTIVE插件。專用客戶端軟件，一次安裝，零配置。 訪問方式：可根據(jù)網(wǎng)絡(luò)環(huán)境選擇完全隧道：只允許訪問企業(yè)內(nèi)網(wǎng)。隧道分離：可訪問子網(wǎng)資源也可以訪問隧道資源。全網(wǎng)接入全網(wǎng)接入全網(wǎng)接入實現(xiàn)過程：1. 下載客戶端

29、，安裝虛擬網(wǎng)卡并可以獲取vpn網(wǎng)關(guān)分配的ip地址。2. 客戶端發(fā)起基于ip的內(nèi)網(wǎng)應(yīng)用客戶端軟件將數(shù)據(jù)加密發(fā)送到網(wǎng)關(guān)設(shè)備。3. Vpn設(shè)備解密后轉(zhuǎn)發(fā)給服務(wù)器。4. 內(nèi)網(wǎng)服務(wù)器收到請求后回應(yīng)vpn網(wǎng)關(guān)，網(wǎng)關(guān)再會應(yīng)給客戶端。全網(wǎng)接入工作原理全網(wǎng)接入工作原理全網(wǎng)接入之分離隧道全網(wǎng)接入之分離隧道分離隧道不光可以訪問遠(yuǎn)程資源，也可以訪問本地內(nèi)網(wǎng)資源。全網(wǎng)接入之完全隧道全網(wǎng)接入之完全隧道完全隧道只能夠訪問遠(yuǎn)程資源不能夠訪問本地資源。 全網(wǎng)接入可實現(xiàn)對內(nèi)網(wǎng)復(fù)雜訪問的需求。 分離隧道適用于內(nèi)網(wǎng)資源與遠(yuǎn)端資源無沖突的情況，并且可以訪問內(nèi)網(wǎng)資源和互聯(lián)網(wǎng)絡(luò)。 完全隧道適用于內(nèi)網(wǎng)資源與遠(yuǎn)程資源沖突的情況下使用。保證數(shù)據(jù)

30、包全部進(jìn)入隧道而不經(jīng)過其他路由。 客戶端不需要任何配置。完全自動下載安裝。全網(wǎng)接入總結(jié)全網(wǎng)接入總結(jié)SSLVPN功能總結(jié)功能總結(jié)WEB轉(zhuǎn)發(fā)文件訪問telnet、ftp復(fù)雜應(yīng)用互聯(lián)網(wǎng)WEB訪問端口轉(zhuǎn)發(fā)文件共享全網(wǎng)接入SSLVPNSSLVPN設(shè)備網(wǎng)絡(luò)位置設(shè)備網(wǎng)絡(luò)位置-串行串行VONE設(shè)備常部署于防火墻之后，各種應(yīng)用服務(wù)器之前。SSLVPNSSLVPN設(shè)備網(wǎng)絡(luò)位置設(shè)備網(wǎng)絡(luò)位置-單臂單臂VONE設(shè)備部署在防火墻或核心交換旁，防火墻或核心交換均通過一個網(wǎng)口通信，這種拓?fù)淠Ｊ奖环Q為單臂。本地認(rèn)證：本地口令認(rèn)證本地證書認(rèn)證本地口令+證書認(rèn)證外部認(rèn)證：外部口令認(rèn)證外部證書認(rèn)證外部口令+證書認(rèn)證SSLVPNSSL

31、VPN認(rèn)證方式認(rèn)證方式SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地口令認(rèn)證本地口令認(rèn)證SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地證書認(rèn)證本地證書認(rèn)證SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地證書認(rèn)證本地證書認(rèn)證SSLVPNSSLVPN本地認(rèn)證本地認(rèn)證本地證書認(rèn)證本地證書認(rèn)證SSLVPNSSLVPN外部認(rèn)證外部認(rèn)證SSLVPNSSLVPN外部認(rèn)證外部認(rèn)證外部口令認(rèn)證外部口令認(rèn)證SSLVPNSSLVPN外部認(rèn)證外部認(rèn)證 添加用戶及角色：添加用戶及角色：添加用戶并選擇用戶的認(rèn)證方式及隸屬于哪種角色。 資源管理資源管理 配置用戶訪問的內(nèi)網(wǎng)資源，可以根據(jù)訪問方式配置應(yīng)用web化、web轉(zhuǎn)發(fā)、端口轉(zhuǎn)發(fā)

32、、全網(wǎng)接入四種資源，不同的資源有不同的參數(shù)，也可以配置不同的協(xié)議類型 ACL管理管理 為資源配置相應(yīng)的ACL規(guī)則，如每周訪問時段、時間、允許或者禁止的操作方式 安全策略安全策略 定義用戶或角色開啟的模塊，為用戶或者角色綁定ACL規(guī)則SSLVPNSSLVPN配置介紹配置介紹SSLVPNSSLVPN配置案例配置案例Web轉(zhuǎn)發(fā) 用戶的應(yīng)用系統(tǒng)為 B/S 結(jié)構(gòu)應(yīng)用，應(yīng)用系統(tǒng)中沒有復(fù)雜的javascript、flash、activex控件等頁面元素。用戶希望能夠遠(yuǎn)程訪問應(yīng)用系統(tǒng)，并進(jìn)行基于URL 的訪問內(nèi)容安全控制，無需安裝客戶端瀏覽器控件。使用網(wǎng)關(guān)內(nèi)置的用戶數(shù)據(jù)庫進(jìn)行認(rèn)證授權(quán)，用戶登錄采用用戶口令的認(rèn)

33、證方式，不需要圖形認(rèn)證碼。所有移動用戶分為普通職員和經(jīng)理兩個角色，分別授權(quán)訪問內(nèi)部不同的應(yīng)用服務(wù)器。所有用戶都不允許多點登錄。網(wǎng)關(guān)設(shè)備采用快速簡易的安裝方式，不影響用戶原有的網(wǎng)絡(luò)環(huán)境。基本需求基本需求 采用單臂模式，將 SSL VPN 網(wǎng)關(guān)部署在網(wǎng)絡(luò)內(nèi)部。SSL VPN 網(wǎng)關(guān)的對外IP 為“”，內(nèi)網(wǎng)IP 為“37”。 采用“用戶口令”的認(rèn)證方式對用戶進(jìn)行認(rèn)證。 禁止角色“user”中的用戶“user1”多點登錄，只允許該用戶訪問公司內(nèi)網(wǎng)的Web 服務(wù)器“18”。 禁止角色“manager”中的用戶“manager1”多點登錄，

34、并且允許該用戶訪問公司內(nèi)網(wǎng)的Web 服務(wù)器“18”和“35”。SSL VPN 網(wǎng)關(guān)網(wǎng)關(guān)Web 轉(zhuǎn)發(fā)示意圖轉(zhuǎn)發(fā)示意圖配置要點配置要點在防火墻 A 上進(jìn)行相關(guān)配置 添加用戶 添加角色 配置授權(quán)資源 配置 ACL 規(guī)則 配置安全策略 配置虛擬門戶 驗證：在 SSL VPN 網(wǎng)關(guān)的用戶界面中，用戶成功登錄后可以訪問授權(quán)資源。防火墻防火墻 A 的配置步驟的配置步驟 為了保護 SSL VPN 網(wǎng)關(guān)的安全，管理員一般將防火墻A 的eth0 口所屬區(qū)域的權(quán)限設(shè)置為“禁止訪問”，然后通過配置訪問控制規(guī)則，只允許遠(yuǎn)程用戶對SSL VPN 網(wǎng)關(guān)上特定端口進(jìn)行訪問。1）

35、在防火墻A 上開放TCP 443 端口，用于遠(yuǎn)程用戶訪問SSL VPN 網(wǎng)關(guān)用戶界面，如下圖所示。2）定義訪問控制規(guī)則，如下圖所示。3）配置主機地址，即SSL VPN 網(wǎng)關(guān)的真實地址“37”和對外地址“”，如下圖所示。4）配置雙向地址轉(zhuǎn)換（到SSL VPN 網(wǎng)關(guān)的映射），如下圖所示。WEBUI 配置步驟配置步驟1添加用戶。a）點擊導(dǎo)航菜單用戶認(rèn)證 用戶管理，然后激活“用戶管理”頁簽，點擊“添加用戶”。b）分別添加普通職員用戶user1 和經(jīng)理用戶manager1。 添加普通職員用戶user1，禁止多點登錄，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕

36、完成配置。 添加經(jīng)理用戶manager1，禁止多點登錄，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕完成配置。2添加角色，并為其添加成員。a）點擊導(dǎo)航菜單用戶認(rèn)證 角色管理，激活“角色管理”頁簽，然后點擊“添加角色”。b）分別添加普通職員級角色user 和經(jīng)理級角色manager。 添加普通職員級角色user，并為其添加成員“user1”，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕完成配置。 添加經(jīng)理級角色manager，并為其添加成員“manager1”，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕完成配置。3配置授權(quán)資源。a）點擊導(dǎo)航菜單SSLVPN 資源管理，然后點擊資源列表左上方的“

37、添加”，配置web 轉(zhuǎn)發(fā)資源“webforward_218”，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。參數(shù)設(shè)置完成后，點擊“確定”按鈕。b）點擊導(dǎo)航菜單SSLVPN 資源管理，然后點擊資源列表左上方的“添加”，配置web 轉(zhuǎn)發(fā)資源“webforward_235”，如下圖所示。4配置ACL 規(guī)則。默認(rèn)禁止遠(yuǎn)程用戶訪問內(nèi)網(wǎng)資源，然后配置兩條 ACL 規(guī)則，分別允許訪問內(nèi)網(wǎng)資源“webforward_218”和“webforward_235”。a）點擊導(dǎo)航菜單SSLVPN ACL 管理，然后在右側(cè)界面中選中“ACL 默認(rèn)策略”右側(cè)的“禁止”，如下圖所示。設(shè)置完成后，點擊“確定”按鈕即可。b）點

38、擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪問“webforward_218”的ACL 規(guī)則，如下圖所示。c）點擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪問“webforward_235”的ACL 規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。此時，“ACL 管理”頁面的配置如下圖所示。5配置安全策略。為用戶“user1”配置一條安全策略，允許該用戶訪問公司內(nèi)網(wǎng)的Web 服務(wù)器“18”；為用戶“manager1”配置一條安全策略，允許該用戶訪問公司內(nèi)網(wǎng)的Web 服務(wù)器“18”和“35”。a）為用

39、戶“user1”配置安全策略。 點擊導(dǎo)航菜單SSLVPN 安全策略，然后選擇“用戶安全策略”頁簽，點擊用戶“user1”條目右側(cè)的“安全策略設(shè)置”圖標(biāo)。 勾選“自定義模塊設(shè)置”，然后選中“啟用web 轉(zhuǎn)發(fā)”，如下圖所示。設(shè)置完成后，點擊“確定”按鈕。 點擊“添加規(guī)則”，為用戶“user1”賦予訪問控制權(quán)限。由于只允許該用戶訪問內(nèi)網(wǎng)資源“webforward_218”，所以將允許訪問該資源的ACL 規(guī)則“允許訪問Doc”賦予該用戶，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。至此，用戶“user1”的安全策略配置完成。b）為用戶“manager1”配置安全策略。 點擊導(dǎo)航菜單SSLVPN 安全

40、策略，然后選擇“用戶安全策略”頁簽，點擊用戶“manager1”條目右側(cè)的“安全策略設(shè)置”圖標(biāo)。 勾選“自定義模塊設(shè)置”，然后選中“啟用web 轉(zhuǎn)發(fā)”，如下圖所示。設(shè)置完成后，點擊“確定”按鈕。 點擊“添加規(guī)則”，將允許訪問內(nèi)網(wǎng)資源“webforward_218”的ACL 規(guī)則“允許訪問Doc”賦予該用戶，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。 點擊“添加規(guī)則”，將允許訪問內(nèi)網(wǎng)資源“webforward_235”的ACL 規(guī)則“允許訪問Test”賦予該用戶，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。至此，用戶“manager 1”的安全策略配置完成。6配置虛擬門戶。a）點擊導(dǎo)航菜單

41、SSLVPN 虛擬門戶。b）點擊虛擬門戶列表左上方的“添加”，自定義遠(yuǎn)程用戶訪問SSL VPN 網(wǎng)關(guān)的用戶界面。自定義虛擬門戶時，參數(shù)“地址”必須配置為遠(yuǎn)程用戶登錄SSL VPN 網(wǎng)關(guān)時的地址，即SSL VPN 網(wǎng)關(guān)的對外IP“”，參數(shù)“認(rèn)證服務(wù)器名稱”必須配置為對遠(yuǎn)程用戶進(jìn)行認(rèn)證的服務(wù)器名稱，此案例為本地認(rèn)證服務(wù)器“l(fā)ocaldb”，而且必須啟用web轉(zhuǎn)發(fā)開關(guān)，具體配置頁面如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。7驗證：在SSL VPN 網(wǎng)關(guān)的用戶界面中，用戶成功登錄后可以訪問授權(quán)資源。1）在瀏覽器的URL 地址欄輸入SSL VPN 網(wǎng)關(guān)的外網(wǎng)地址“https:/1

42、”，進(jìn)入用戶登錄界面，界面如下圖所示。輸入“user1”正確的用戶名、密碼，并成功登錄后，盡管網(wǎng)關(guān)中已經(jīng)定義了多個Web轉(zhuǎn)發(fā)資源，但該用戶只能訪問可用資源（即：webforward_218），如下圖所示。點擊“webforward_218”后，成功進(jìn)入服務(wù)器“18”的訪問頁面，如下圖所示。2）角色“manager”中的用戶“manager 1”成功登錄SSL VPN 網(wǎng)關(guān)的用戶界面后，可以訪問網(wǎng)關(guān)中設(shè)置的“webforward_218”和“webforward_235”，如下圖所示。點擊任意 Web 轉(zhuǎn)發(fā)資源后，均可以成功進(jìn)入相應(yīng)服務(wù)器的訪問頁面。端口

43、轉(zhuǎn)發(fā)基本需求 采用單臂模式，將 SSL VPN 網(wǎng)關(guān)部署在網(wǎng)絡(luò)內(nèi)部。SSL VPN 網(wǎng)關(guān)的對外IP 為“”，內(nèi)網(wǎng)IP 為“37”。 采用“用戶口令”的認(rèn)證方式對用戶進(jìn)行認(rèn)證。 允許角色“test”中的用戶“test1”以域名的方式（域名為“”）訪問公司內(nèi)網(wǎng)Web 服務(wù)器“192.168. 83.235”，同時允許該用戶訪問公司內(nèi)網(wǎng)FTP服務(wù)器“20”，禁止其它訪問。SSL VPN 網(wǎng)關(guān)端口轉(zhuǎn)發(fā)示意圖網(wǎng)關(guān)端口轉(zhuǎn)發(fā)示意圖配置要點在防火墻 A 上進(jìn)行相關(guān)配置。在網(wǎng)關(guān)的管理員界面中，配置域名參數(shù)。在網(wǎng)關(guān)的管理員界面中，添加用戶“tes

44、t1”信息。在網(wǎng)關(guān)的管理員界面中，添加角色“test”，然后將用戶“test1”添加到該組中。在網(wǎng)關(guān)的管理員界面中，配置授權(quán)資源。在網(wǎng)關(guān)的管理員界面中，配置 ACL 規(guī)則。在網(wǎng)關(guān)的管理員界面中，配置安全策略。在網(wǎng)關(guān)的管理員界面中，配置虛擬門戶。驗證：用戶“test1”登錄成功后，可以訪問授權(quán)的端口轉(zhuǎn)發(fā)資源“web_235”和“ftp_220”。防火墻 A 的配置步驟為了保護 SSL VPN 網(wǎng)關(guān)的安全，管理員一般將防火墻A 的eth0 口所屬區(qū)域的權(quán)限設(shè)置為“禁止訪問”，然后通過配置訪問控制規(guī)則，只允許遠(yuǎn)程用戶對SSL VPN 網(wǎng)關(guān)上特定端口進(jìn)行訪問。1）在防火墻A 上開放TCP 443 端口

45、，用于遠(yuǎn)程用戶訪問SSL VPN 網(wǎng)關(guān)用戶界面，如下圖所示。2）定義訪問控制規(guī)則，如下圖所示。3）配置主機地址，即SSL VPN 網(wǎng)關(guān)的真實地址“37”和對外地址“”，如下圖所示。4）配置雙向地址轉(zhuǎn)換（到SSL VPN 網(wǎng)關(guān)的映射），如下圖所示。WEBUI 配置步驟1配置域名參數(shù)1）在左側(cè)導(dǎo)航樹上，點擊SSL VPN 基本設(shè)置，然后激活“登錄設(shè)置”頁簽，配置域名參數(shù)，如下圖所示。2）參數(shù)設(shè)置完成后，點擊“應(yīng)用”按鈕即可。2添加用戶“test1”。a）點擊導(dǎo)航菜單用戶認(rèn)證 用戶管理，然后激活“用戶管理”頁簽，點擊“添加用戶”，進(jìn)入用戶的添加界面。b）設(shè)

46、置用戶“test1”的用戶信息，如下圖所示。c）參數(shù)設(shè)置完成后，點擊“確定”按鈕完成配置。3添加角色“test”，然后將用戶“test1”添加到該組中。a）在左側(cè)導(dǎo)航樹上，點擊用戶認(rèn)證 角色管理，激活“角色管理”頁簽，然后點擊“添加角色”，進(jìn)入角色配置界面。b）設(shè)置角色“test”的信息，然后將用戶“test1”添加到該組中，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕完成配置。4配置授權(quán)資源。a）點擊導(dǎo)航菜單SSLVPN 資源管理，然后點擊資源列表左上方的“添加”，配置端口轉(zhuǎn)發(fā)資源“ftp_220”，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。b）點擊導(dǎo)航菜單SSLVPN 資源管理，然后點

47、擊資源列表左上方的“添加”，配置端口轉(zhuǎn)發(fā)資源“web_235”，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。5配置ACL 規(guī)則。默認(rèn)禁止遠(yuǎn)程用戶訪問內(nèi)網(wǎng)資源，然后配置兩條 ACL 規(guī)則，分別允許訪問內(nèi)網(wǎng)資源“ftp_220”和“web_235”。a）點擊導(dǎo)航菜單SSLVPN ACL 管理，然后在右側(cè)界面中選中“ACL 默認(rèn)策略”右側(cè)的“禁止”，如下圖所示。設(shè)置完成后，點擊“確定”按鈕即可。b）點擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪問“ftp_220”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。c）點擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪問“w

48、eb_235”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。此時，“ACL 管理”頁面的配置如下圖所示。6配置安全策略。為用戶“test1”配置兩條安全策略，允許該用戶以域名的方式訪問公司內(nèi)網(wǎng)的Web服務(wù)器“35”，同時允許該用戶訪問公司內(nèi)網(wǎng)的FTP 服務(wù)器“20”。a）點擊導(dǎo)航菜單SSLVPN 安全策略，然后選擇“用戶安全策略”頁簽，點擊用戶“test1”條目右側(cè)的“安全策略設(shè)置”圖標(biāo)。b）勾選“自定義模塊設(shè)置”，然后選中“啟用端口轉(zhuǎn)發(fā)”，如下圖所示。設(shè)置完成后，點擊“確定”按鈕。c）點擊“添加規(guī)則”，將允許訪問公司內(nèi)網(wǎng)Web 資

49、源的ACL 規(guī)則“web 服務(wù)器_235”賦予該用戶，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。d）點擊“添加規(guī)則”，將允許訪問公司內(nèi)網(wǎng)ftp 資源的ACL 規(guī)則“FTP 服務(wù)器_220”賦予該用戶，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。至此，用戶“test1”的安全策略配置完成。7配置虛擬門戶。a）點擊導(dǎo)航菜單SSLVPN 虛擬門戶。虛擬門戶。b）點擊虛擬門戶列表左上方的“添加”，自定義遠(yuǎn)程用戶訪問SSL VPN 網(wǎng)關(guān)的用戶界面。自定義虛擬門戶時，參數(shù)“地址”必須配置為遠(yuǎn)程用戶登錄SSL VPN 網(wǎng)關(guān)時的地址，即SSL VPN 網(wǎng)關(guān)的對外IP“”，參數(shù)“認(rèn)證服

50、務(wù)器名稱”必須配置為對遠(yuǎn)程用戶進(jìn)行認(rèn)證的服務(wù)器名稱，此案例為本地認(rèn)證服務(wù)器“l(fā)ocaldb”，而且必須啟用端口轉(zhuǎn)發(fā)開關(guān)，具體配置頁面如下圖所示。c）參數(shù)設(shè)置完成后，點擊“確定”按鈕。8驗證：用戶“test1”登錄成功后，可以訪問授權(quán)的端口轉(zhuǎn)發(fā)資源“web_235”和“ftp_220”。1）在瀏覽器的URL 地址欄輸入SSL VPN 網(wǎng)關(guān)的外網(wǎng)地址“”，進(jìn)入用戶登錄界面，界面如下圖所示。2）輸入“test1”正確的用戶名、密碼，并成功登錄后，用戶界面中顯示可用資源“web_235”和“ftp_220”，如下圖所示。3）點擊“web_235” 鏈接后，成功以域名“

51、”訪問Web 服務(wù)器“35”，如下圖所示。4）點擊“ftp_220”條目右側(cè)的“ ”，選擇客戶端程序為“CuteFTP”，然后在用戶界面中點擊“ftp_220”鏈接，自動彈出CutpFTP 客戶端，在客戶端界面中輸入主機地址、用戶名和密碼后點擊連接圖標(biāo)“ ”，如下圖所示。稍候，遠(yuǎn)程用戶通過 CuteFTP 客戶端登錄到FTP 服務(wù)器“20”，如下圖所示。全網(wǎng)接入 IPSec/SSL SSL VPN 網(wǎng)關(guān)可以給遠(yuǎn)程機構(gòu)或個人使用者提供到內(nèi)部網(wǎng)絡(luò)的虛擬連接，這種連接一旦建立，遠(yuǎn)程節(jié)點就變成企業(yè)內(nèi)網(wǎng)的一個節(jié)點，在未進(jìn)行訪問控制的情況下，它的接入權(quán)限與用

52、戶真正身處內(nèi)網(wǎng)使用時一樣，如果需要對遠(yuǎn)程用戶進(jìn)行訪問控制，可以通過在SSL VPN 網(wǎng)關(guān)上添加訪問控制規(guī)則實現(xiàn)。 在進(jìn)行全網(wǎng)接入配置時，管理員首先要進(jìn)行虛擬網(wǎng)絡(luò)參數(shù)的配置，為遠(yuǎn)程用戶提供接入內(nèi)網(wǎng)的接口，以及為遠(yuǎn)程用戶分配IP 地址，最后，對用戶進(jìn)行訪問控制，通過設(shè)置針對用戶或角色的訪問控制規(guī)則，限定只有匹配訪問控制規(guī)則的用戶才能夠遠(yuǎn)程訪問某資源，同時，還可針對服務(wù)進(jìn)行訪問控制，從而實現(xiàn)對遠(yuǎn)程接入用戶的更細(xì)粒度的訪問控制。基本需求某企業(yè)采用雙臂模式將 SSL VPN 部署于網(wǎng)絡(luò)出口處，以便實現(xiàn)對內(nèi)部網(wǎng)絡(luò)中的核心業(yè)務(wù)進(jìn)行有效保障，同時為移動客戶和分支客戶提供安全的VPN 通路。要求如下所示：采用網(wǎng)

53、絡(luò)隔離的隧道模式，以便用戶接入 VPN 后不能在訪問Internet。使用內(nèi)置數(shù)據(jù)庫使用“用戶+口令”的方式對移動用戶進(jìn)行認(rèn)證。用戶“user”和用戶“manager”同屬于角色“doc_role”，且低級用戶“user”只能訪問WEB 服務(wù)器“35”，而高級用戶“manager”機既能訪問該WEB 服務(wù)器，也能夠訪問FTP 服務(wù)器“34”。SSL VPN 網(wǎng)關(guān)全網(wǎng)接入示意圖網(wǎng)關(guān)全網(wǎng)接入示意圖配置要點 在防火墻 A 上進(jìn)行相關(guān)配置。開啟 Eth1 所屬區(qū)域的SSLVPN 服務(wù)。配置全網(wǎng)接入模塊。配置網(wǎng)關(guān)提供 DHCP 服務(wù)的接口和DHCP 地址池

54、。配置源地址轉(zhuǎn)換，將用戶的虛擬網(wǎng)卡所在網(wǎng)段轉(zhuǎn)換為SSL VPN 網(wǎng)關(guān)的接口地址。添加用戶“user”和“manager”。添加角色“doc_role”，然后將用戶“user”和“manager”添加到該組中。配置授權(quán)資源。配置 ACL 規(guī)則。配置安全策略。配置虛擬門戶。驗證：用戶“user”登錄成功后，可以訪問授權(quán)的全網(wǎng)接入資源“web_235”；用戶“manager”登錄成功后，可以訪問授權(quán)的全網(wǎng)接入資源“web_235”和“ftp_220”。防火墻 A 的配置步驟為了保護 SSL VPN 網(wǎng)關(guān)的安全，管理員一般將防火墻A 的eth1 口所屬區(qū)域的權(quán)限設(shè)置為“禁止訪問”，然后通過配置訪問控制

55、規(guī)則，只允許遠(yuǎn)程用戶對SSL VPN 網(wǎng)關(guān)上特定端口進(jìn)行訪問。1）在防火墻A 上開放TCP 443 端口，用于遠(yuǎn)程用戶訪問SSL VPN 網(wǎng)關(guān)用戶界面，如下圖所示。2）定義訪問控制規(guī)則，如下圖所示。3）配置主機地址，即SSL VPN 網(wǎng)關(guān)的真實地址“”和對外地址“0”，如下圖所示。4）配置雙向地址轉(zhuǎn)換（到SSL VPN 網(wǎng)關(guān)的映射），如下圖所示。WEBUI 配置步驟1開啟Eth1 所屬區(qū)域的SSLVPN 服務(wù)。選擇 系統(tǒng)管理 配置，激活“開放服務(wù)”頁簽，然后點擊“添加”，開放Eth1 口所屬區(qū)域的SSLVPN 服務(wù)，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定

56、”按鈕即可。2配置全網(wǎng)接入模塊。1）選擇SSL VPN 模塊管理，點擊“全網(wǎng)接入”條目右側(cè)的“模塊設(shè)置”圖標(biāo)，配置全網(wǎng)接入?yún)?shù)，如下圖所示。本例中 DHCP 服務(wù)器為SSL VPN 網(wǎng)關(guān)本身，因此“DHCP 服務(wù)器類型”選擇“本地”。說明 如果 DHCP 服務(wù)器不使用SSL VPN 網(wǎng)關(guān)，則在上圖中設(shè)置“DHCP 服務(wù)器類型”選擇“外部”，然后設(shè)置DHCP 服務(wù)器的IP 和請求端口。 “虛擬網(wǎng)卡接口 IP” 用于與客戶端的虛擬IP 進(jìn)行通信，管理員可以自行設(shè)置，可以不與內(nèi)網(wǎng)資源的IP 地址設(shè)定在同一個網(wǎng)段，但一定不能與其它IP 地址沖突。3配置網(wǎng)關(guān)提供DHCP 服務(wù)的接口和DHCP 地址池。1

57、）選擇網(wǎng)絡(luò)管理 DHCP，然后選擇“DHCP 服務(wù)器”頁簽，點擊“添加地址池”，添加作用域為“/24”的DHCP 地址池（用于分配給全網(wǎng)接入客戶端），如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。2）將DHCP 服務(wù)器的“運行接口”設(shè)置為“l(fā)o”，然后點擊“運行”按鈕啟動DHCP服務(wù)器進(jìn)程，如下圖所示。4配置源地址轉(zhuǎn)換，將用戶的虛擬網(wǎng)卡所在網(wǎng)段轉(zhuǎn)換為SSL VPN 網(wǎng)關(guān)的接口地址（或能與應(yīng)用服務(wù)器通信的地址）。1）選擇資源管理 地址，然后選擇“子網(wǎng)”頁簽，點擊“添加”，添加子網(wǎng)地址資源，子網(wǎng)地址必須與分配給遠(yuǎn)程用戶的虛擬地址所屬的地址池一致，如下圖所示。參數(shù)設(shè)置完成后，

58、點擊“確定”按鈕即可。2）選擇防火墻 地址轉(zhuǎn)換，點擊“添加”，勾選“源轉(zhuǎn)換”前的單選按鈕，然后設(shè)定源地址轉(zhuǎn)換規(guī)則的源為“sv_”，設(shè)置源地址轉(zhuǎn)換為“eth0 屬性”，最后點擊“確定”按鈕。配置完成的地址轉(zhuǎn)換規(guī)則如下圖所示。5添加用戶“user”和“manager”。a）點擊導(dǎo)航菜單用戶認(rèn)證 用戶管理，然后激活“用戶管理”頁簽。b）點擊“添加用戶”，設(shè)置用戶“user”的用戶信息，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕使配置生效。c）點擊“添加用戶”，設(shè)置用戶“manager”的用戶信息，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕使配置生效。6添加角色“doc_rol

59、e”，然后將用戶“user”和“manager”添加到該組中。a）在左側(cè)導(dǎo)航樹上，點擊用戶認(rèn)證 角色管理，激活“角色管理”頁簽，然后點擊“添加角色”，進(jìn)入角色配置界面。b）設(shè)置角色“doc_role”的信息，然后將用戶“user”和“manager”添加到該組中，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕完成配置。7配置授權(quán)資源。a）點擊導(dǎo)航菜單SSLVPN 資源管理，然后點擊資源列表左上方的“添加”，配置全網(wǎng)接入資源“ftp_220”，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。b）點擊導(dǎo)航菜單SSLVPN 資源管理，然后點擊資源列表左上方的“添加”，配置全網(wǎng)接入資源“web_235”，

60、如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。8配置ACL 規(guī)則。默認(rèn)禁止遠(yuǎn)程用戶訪問內(nèi)網(wǎng)資源，然后配置兩條 ACL 規(guī)則，分別允許訪問內(nèi)網(wǎng)資源“ftp_220”和“web_235”。a）點擊導(dǎo)航菜單SSLVPN ACL 管理，然后在右側(cè)界面中選中“ACL 默認(rèn)策略”右側(cè)的“禁止”，如下圖所示。設(shè)置完成后，點擊“確定”按鈕即可。b）點擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪問“ftp_220”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕。c）點擊ACL 規(guī)則列表左上方的“添加規(guī)則”，配置一條允許訪問“web_235”的ACL規(guī)則，如下圖所示。參數(shù)設(shè)置完成后，點擊“確