免费域名网站的wordpress 网页抓取
五、SSL移动接入方案概述
1、SSL VPN概述
SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN, 并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
(1)SSL协议介绍
SSL协议主要通过三个协议实现:
• SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户 机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建 立SSL连接时,服务器与客户机交换一系列消息。
SSL连接主要依靠SSL握手协议,简短的一句话就可以概括SSL握手协 议的基本设计思路:采用公钥加密算法进行密文传输。也就是说,服务端将其 公钥告诉客户端,然后客户端采用服务器的公钥加密信息,服务端收到密文后, 用自己的私钥解密。
• SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每 隔一段时间改变加密规范。
• SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在 信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。
• SSL记录协议:
(2)SSL协议结构
(3)SSL VPN技术优势
2、SSL VPN授权
SSL VPN用户数:SSL VPN并发接入用户数授权
IPSec移动用户数:SANGFOR VPN移动端PDLAN并发用户数授权
线路数:外网WAN口线路数授权
分支机构数:与第三方设备对接标准IPSEC VPN隧道数
远程应用用户数:使用远程应用发布资源的用户并发数
(1)创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式 组合认证)
(2)发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、 L3VPN类型、远程应用四种类型)
(3)创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访问哪些资源的权限)
3、SSL VPN组网方案
(1)网关模式组网
1、网关模式配置:配置设备的内外网口地址信息,外网口如果是拨号场景需 要先配置拨号
2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是 的话需要添加相应的回包路由回指给设备下接的核心交换机。
(2)单臂模式组网
1、单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IP、DNS;
2、前置网关做TCP 443和80端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)
2/2、移动资源发布
1、移动接入资源发布需求
需求:
1. 出差或在家能接入企业/单位内网 的应用系统
2. 需要支持电脑接入访问B/S、C/S类 所有应用
3. 支持在移动终端(手机、平板)使 用windows上的应用
解决方案:
1. 允许电脑接入后访问授权的业务系统(地址、协议、端口)
2. 远程应用发布实现windows应用在移动终端上使用
2、移动接入资源发布技术
资源是指远程接入SSL VPN后授权终端允许访问的网络服务
根据实现机制和应用服务的不同将资源分为4类:
1. WEB应用 2. TCP应用 3. L3VPN 4. 远程应用
(1)WEB应用
Web资源需求背景:
1. 用户在外手机办公,已经和总部建立了SSL VPN。现在用户需要通过手机访问总部 的web资源。
2. 用户不希望在手机上安装额外的控件。
WEB应用技术原理
➢ WEB应用
WEB应用通过SSL设备将内网服务转换成HTTPS协议。
支持应用类型:HTTP,HTTPS,MAIL,FTP和FileShare。
优点:客户端免控件,所有浏览器均支持。
Web应用技术原理
SSLVP
(2)TCP应用
TCP资源需求背景
用户在外电脑办公,需要通过电脑远程登录总部的web服务器进行资源更新。
TCP应用技术原理
(3)L3VPN
L3VPN资源需求背景
用户在外电脑办公,需要通过电脑访问总部的SNMP服务器进行管理。
L3VPN应用技术原理
(4)远程应用
采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护 以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务 器进行操作,输入输出的内容通过网络传输到客户端。
远程应用技术原理
需要安装EasyConnect客户端;终端服 务器需要安装RemoteServerAgent组件。某些B/S架构的应用需要在客户端浏览器安装插件才能访问。
3、用户、角色、资源、策略组
SANGFOR SSL角色是用户和资源之间的纽带,它用于给不同的用户关联 不同的内网资源,以实现更细致化的远程接入控制。
策略组用来设置用户的接入VPN的安全策略。包括以下内容:客户端相关选项,帐号属 性和安全桌面相关信息。策略组设置完成后,需被用户或者用户组关联才生效。根据需求的不同,可设置不同的策略组分别与用户,用户组关联。
客户端选项用来设置客户端的隐私保护,带宽会话,是否允许PPTP方式
接入,SSL专线,硬件特征码个数限制。
账号控制用来设置账号相关的权限。