1 介绍
1.1 特性简介
SSL通信的工作原理:SSL(Security Socket Layer,安全套接层)协议的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过握手协议、记录协议、警告协议来完成。
VPN(虚拟专用网)比租用专线更加便宜、灵活,越来越多的公司开始通过互联网等公共网络,采用VPN将公司总部和在家工作、出差在外、分公司员工以及合作伙伴连接到一起。
SSL VPN是一种新兴的VPN技术。SSL VPN指的是以SSL协议建立加密连接的VPN网络。SSL VPN考虑的是应用软件的安全性,其协议工作在传输层之上,保护的是应用程序与应用程序之间的安全连接,更多应用在Web的远程安全接入方面。
SSL VPN系统用于实现对网络资源的细粒度的访问控制。在SSL VPN系统中,用户有三种方式可以访问资源:Web接入方式、TCP接入方式和IP接入方式。同时SSL VPN系统采用基于角的权限管理方法,可以根据用户登录的身份,限制用户可以访问的资源。另外,SSL V
PN系统通过安全策略的检查,来检测接入PC的安全性,进而实现动态分配用户可访问权限。SSL VPN网关支持Web管理,管理员可以使用Web浏览器来配置和管理SSL VPN系统。
H3C SecPath SSL VPN系统是一款采用SSL连接建立的安全VPN系统,该系统为企业移动办公人员提供了便捷的远程接入服务。H3C SecPath SSL VPN设备是面向企业用户开发的新一代专业SSL VPN设备,可以作为中小企业的入口网关,也可以作为中型企业的内部服务器组的代理网关。
1.2 特性关键技术点
SSL VPN与传统VPN系统相比,有更好的易用性,无需用户配置、客户端免安装免维护、部署简单、安全性高、安全控制粒度大,极大地方便了企业的移动办公用户和网络管理。
2 特性使用指南
2.1 使用场合
随着INTERNET的普及,在家办公和移动办公也开始兴起,大量的应用程序也迅速从C/S结构向基于Web的B/S结构迁移;公司员工、客户以及合作伙伴在外出实时安全地访问公司的内部信息和应用程序。SSL VPN实现了在任何地方灵活远程访问内部网络和应用序。
2.2 组网需求
采用双臂模式:SSL VPN网关跨接在内网和外网之间,对内网的保护最完全。但是,此时也处在内外通讯的关键路径上,其性能和稳定性对内外网之间的数据传输有很大的影响。双臂模式的组网如下图所示:
图1 双臂方式SSL VPN组网图
采用单臂模式:SSL VPN网关只相当于一台代理服务器,代理远程的请求,与内部服务器进行通讯。此时SSL VPN网关不处在网络通讯的关键路径上,不会造成单点故障。单臂模式的组网如下图所示:
图2 单臂方式SSL VPN组网图
2.3 配置步骤
2.3.1 SSL VPN命令行基本配置
设备上需要做如下配置:
(1) 启动Web服务器。
(2) 启动SSL VPN服务。
2.3.2 超级管理员界面相关功能配置
超级管理员:系统域的管理员。创建新的域,并初始化域的管理员密码,给域授予资源组,并授权域管理员是否能够创建新的资源。
2.3.3 域管理员界面相关功能配置
域管理员:SSL VPN域管理员。域管理员可创建和删除域的本地用户、用户组、资源、资源组和安全策略等。主要是对一个域的所有用户进行权限访问限制。
2.3.4 普通用户界面配置
SSL VPN用户:使用SSL VPN访问网络资源的用户。SSL VPN用户以域管理员指定的用户名登录,通过SSL VPN网关对其进行认证。用户认证通过后,SSL VPN用户可以访问SSL VPN网关根据用户的安全状况、用户所属的用户组授权给用户的内网资源。
说明:
后面三步配置皆为WEB配置,此处就不列出配置步骤,直接举实例。
在配置之前需要先理清上面各角之间,以及本地用户、用户组、资源、资源组之间的关系,关系图如下:
图3 角关系图
● 设备默认存在一个ROOT域,超级管理员可以创建域和资源。对于资源,一方面:超级管理员创建资源,指定资源属于哪个资源组,并把自己创建的ROOT域资源组授予某个域;另一方面:超级管理员授予域管理员是否能够创建新的资源的权限。
● 对于能够创建新的资源的域管理员,可以创建并维护自己的资源、资源组、本地用户及用户组。资源和资源组之间以及用户和用户组之间为多对多关系,即一个资源可以属于多个组,一个组可以拥有多个资源。通过配置关联资源组和用户组,制定哪些用户组可以访问哪些资源组, 两组之间同样是多对多关系。
说明:
除默认存在的根域外,当前产品仅支持创建一个域。
3 配置举例
3.1 物理连接图
图4 测试组网图
3.2 SSL VPN命令行基本配置(以SecpathV100-E为例)
3.2.1 基本配置
[H3C] interface Ethernet0/0
[H3C-Ethernet0/0] ip address 192.168.96.22 255.255.255.0
[H3C-Ethernet0/0] quit
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] ip address 155.1.1.1 255.0.0.0
[H3C-Ethernet0/1] quit
[H3C] ip route-static 0.0.0.0 0.0.0.0 155.1.1.1 preference 60
3.2.2 SSL VPN业务相关配置(以单向证书认证为例)
[H3C] svpn service enable //*启动SSL VPN服务*//
[H3C] web server enable // *启动Web服务器*//
说明:
这些命令行的具体配置说明可以参考《SSL VPN典型配置指导》。
3.3 SSL VPN功能配置
3.3.1 访问SSL VPN服务器
1.超级管理员创建域,并设置域管理员初始密码
(1) 在地址栏中输入SSL VPN网关连接外网的端口地址155.1.1.1即“155.1.1.1”,回车后可进入SSL VPN登录页面(注意会弹出证书认证界面)。
图5 安全告警(点击“是”)
使用默认超级管理员帐户“administrator”以本地认证方式登录SSL VPN系统,在用户名栏输入“administrator”,密码栏输入“administrator”,身份下拉框选择“超级管理员”,单击<登录>按钮即可登录。如下图所示:
图6 SSL VPN登录页面
(2) 超级管理员创建域h3c,设置域管理员初始密码。
在导航栏中选择“域管理”,进入域策略配置页面,单击<创建>按钮可以新建域,单击<配置>按钮可以对已有的域进行配置。
图7 创建域
创建域“h3c”,创建域时产生一个默认域管理员“administrator”,此时只要设置密码(如:123
456)即可。注意上面提到超级管理员可以创建资源并授予所创建的域,也可以授权给域自己创建资源。此处超级管理员可以把已经创建的资源组授予了域,同时允许域h3c的管理员创建资源。
图8 域列表
(3) 超级管理员配置完成后,必须将“配置文件”保存,否则设备重启后,配置易丢失。
图9 配置管理
说明:
域管理员配置完成后,同样必须将“配置文件”保存,否则设备重启将使配置丢失。
2.登录h3c域
此典型指导的资源都将以域中创建资源为例,所有工作都在独立域h3c中完成。同超级管理员登录页面,输入缺省域管理员帐户以本地认证方式登录SSL VPN域h3c,在用户名栏输入“administrator”,密码“123456”(创建域时设置),身份选择“管理员”,单击<登录>按钮即可登录。
图10 域管理员登录
属于管理员用户组的用户为该域的管理员,所以管理员同时也是普通用户。如果管理员选择
以“普通用户”身份登录,可以进入到该管理员的普通用户界面。在普通用户界面下,其可访问的资源,受域管理员组所拥有资源的限制。
3.3.2 WEB业务典型配置
1.WEB代理业务
Web网页是远程Web服务器提供的一种服务。SSL VPN的Web代理服务器为用户访问Web服务器提供了一种安全的链接方式,并且可以阻止非法用户访问受保护的Web服务器。
(1) 在导航栏中选择“资源管理->Web网站”,进入Web代理管理页面。
图11 web代理映射表
(2) 配置WEB代理服务器资源。
“站点名称”可以配置为ip地址,也可以配置为域名,配置为域名时必须正确配置DNS服务器。
图12 web代理服务配置
说明:
DNS服务器需要通过命令行进行配置。
3.3.3 TCP业务典型配置
1.远程访问服务
远程访问服务是一类服务的总称。SSL VPN使用telnet远程登录配置SSL加密技术,远程用户通过登录SSL VPN,即可自动下载并启动ActiveX SSL VPN客户端程序,然后便可以将这些在Internet上以明文方式传输的服务通过SSL来进行加密,保证了数据传输的安全性。
在导航栏中选择“资源管理->TCP应用”,进入远程访问服务配置页面,单击<创建>按钮可以新建远程访问服务资源。
图13 远程访问服务资源
说明:
“命令行”配置telnet“本机主机”,此处“本机主机”是指用来连接远端主机的本地监听地址,可
以配置为本地环回地址(127.0.0.2-127.0.0.254;当本地主机可以修改host文件时,也可以配置为字符串)。
2.Windows桌面共享
在导航栏中选择“资源管理->TCP应用”,进入桌面共享配置页面,单击<创建>按钮可以新建windows桌面共享资源。
图14 桌面共享资源
说明:
TCP的其他应用如:Outlook邮件服务、Notes邮件服务、通用应用程序服务等的典型配置,请参考《SSL VPN典型配置指导》。
3.3.4 IP业务典型配置
SSL VPN网络服务访问提供了IP层以上的所有应用支持。用户不需要关心应用的种类和配置,仅通过登录SSL VPN,即可自动下载并启动ActiveX SSL VPN客户端程序,然后便可以安全访问特定主机的所有服务。SSL VPN可以保证用户与服务器间的通讯安全。
1.全局配置
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论