当前位置: 首页 > news >正文

安全合规:AC(上网行为安全)--下

news 2025/8/26 6:06:22

五、SSL移动接入方案概述

1、SSL VPN概述
        SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署。SSL VPN一般采用插件系统来支持各种TCPUDP的非Web应用,使得SSL VPN真正称得上是一种VPN, 并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
      (1)SSL协议介绍
         SSL协议主要通过三个协议实现:
                • SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户 机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建 立SSL连接时,服务器与客户机交换一系列消息。
               SSL连接主要依靠SSL握手协议,简短的一句话就可以概括SSL握手协 议的基本设计思路:采用公钥加密算法进行密文传输。也就是说,服务端将其 公钥告诉客户端,然后客户端采用服务器的公钥加密信息,服务端收到密文后, 用自己的私钥解密。
               • SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每 隔一段时间改变加密规范。
               • SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在 信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。
              • SSL记录协议:
        (2)SSL协议结构
               
         
         (3)SSL VPN技术优势
2、SSL VPN授权
        SSL VPN用户数SSL VPN并发接入用户数授权
        IPSec移动用户数SANGFOR VPN移动端PDLAN并发用户数授权
        线路数:外网WAN口线路数授权
       分支机构数:与第三方设备对接标准IPSEC VPN隧道数
       远程应用用户数:使用远程应用发布资源的用户并发数
(1)创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式 组合认证)
(2)发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、 L3VPN类型、远程应用四种类型)
(3)创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访问哪些资源的权限)
3、SSL VPN组网方案
(1)网关模式组网
1、网关模式配置:配置设备的内外网口地址信息,外网口如果是拨号场景需 要先配置拨号
2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是 的话需要添加相应的回包路由回指给设备下接的核心交换机。
(2)单臂模式组网
1、单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IPDNS
2、前置网关做TCP 44380端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)

2/2、移动资源发布

1、移动接入资源发布需求

需求:
1. 出差或在家能接入企业/单位内网 的应用系统
2. 需要支持电脑接入访问B/SC/S类 所有应用
3. 支持在移动终端(手机、平板)使 用windows上的应用
解决方案:
1. 允许电脑接入后访问授权的业务系统(地址、协议、端口)
2. 远程应用发布实现windows应用在移动终端上使用
2、移动接入资源发布技术
资源是指远程接入SSL VPN后授权终端允许访问的网络服务
根据实现机制和应用服务的不同将资源分为4类:
1. WEB应用  2. TCP应用  3. L3VPN  4. 远程应用
(1)WEB应用
Web资源需求背景
1. 用户在外手机办公,已经和总部建立了SSL VPN。现在用户需要通过手机访问总部 的web资源。
2. 用户不希望在手机上安装额外的控件。
WEB应用技术原理
WEB应用
WEB应用通过SSL设备将内网服务转换成HTTPS协议。
支持应用类型:HTTPHTTPSMAILFTPFileShare
优点:客户端免控件,所有浏览器均支持。
Web应用技术原理
SSLVP
(2)TCP应用
   TCP资源需求背景
          用户在外电脑办公,需要通过电脑远程登录总部的web服务器进行资源更新。
   TCP应用技术原理
(3)L3VPN
  L3VPN资源需求背景
          用户在外电脑办公,需要通过电脑访问总部的SNMP服务器进行管理。
   L3VPN应用技术原理
(4)远程应用
采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护 以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务 器进行操作,输入输出的内容通过网络传输到客户端。
远程应用技术原理
需要安装EasyConnect客户端终端服 务器需要安装RemoteServerAgent组件。某些B/S架构的应用需要在客户端浏览器安装插件才能访问。
3、用户、角色、资源、策略组
        SANGFOR SSL角色是用户和资源之间的纽带,它用于给不同的用户关联 不同的内网资源,以实现更细致化的远程接入控制。
         策略组用来设置用户的接入VPN的安全策略。包括以下内容:客户端相关选项,帐号属 性和安全桌面相关信息。策略组设置完成后,需被用户或者用户组关联才生效。根据需求的不同,可设置不同的策略组分别与用户,用户组关联。
        客户端选项用来设置客户端的隐私保护,带宽会话,是否允许PPTP方式
接入,SSL专线,硬件特征码个数限制。
         账号控制用来设置账号相关的权限。
http://www.dtcms.com/a/349356.html

相关文章:

  • LeetCode热题100--102. 二叉树的层序遍历--中等
  • 什么是JSON-RPC 2.0,在项目中应该怎么使用
  • 09-数据存储与服务开发
  • GPIO子系统自主实现(简单版)
  • C++ static 关键字面试深度解析
  • 匹配网络处理不平衡数据集的6种优化策略:有效提升分类准确率
  • 【每天一个知识点】大模型训推一体机
  • RK3128 Android 7.1 进入深度休眠流程分析
  • Apache Maven 3.1.1 (eclipse luna)
  • Portswigger靶场之 Blind SQL injection with time delays通关秘籍
  • 维度建模 —— 雪花模型 和 星型模型的优缺点
  • 异常记录-神通数据库-已解决
  • go-redis库使用总结
  • jasperreports 使用
  • Vmware centos系统中通过docker部署dify,网络超时和磁盘容量解决方案
  • 解决getLocation获取当前的地理位置,报错:getLocation:fail auth deny及方法封装
  • 容易忽视的TOS无线USB助手配网和接入USB使用: PC和TOS-WLink需要IP畅通,
  • 社群团购平台与定制开发开源AI智能名片S2B2C商城小程序的融合创新研究
  • 解构 Spring Boot “约定大于配置”:从设计哲学到落地实践
  • 在Excel和WPS表格中拼接同行列对称的不连续数据
  • XC95144XL-10TQG144I Xilinx XC9500XL 高性能 CPLD
  • 信贷模型域——清收阶段模型(贷后模型)
  • 关于内存泄漏的一场讨论
  • [Android] 人体细胞模拟器1.5
  • leetcode 238 除自身以外数组的乘积
  • 可信医疗大数据来源、院内数据、病种数据及编程使用方案分析
  • iOS18报错:View was already initialized
  • 生产ES环境如何申请指定索引模式下的数据查看权限账号
  • 【C语言】一些常见概念
  • git开发基础流程