五、SSL移動接入方案概述
1、SSL VPN概述
? ? ? ? SSL VPN是一種遠程安全接入技術,因為采用SSL協議而得名。因為Web瀏覽器都內嵌支持SSL協議,使得SSL VPN可以做到“無客戶端”部署。SSL VPN一般采用插件系統來支持各種TCP和UDP的非Web應用,使得SSL VPN真正稱得上是一種VPN, 并相對IPSec VPN更符合應用安全的需求,成為遠程安全接入主要手段和選擇。
? ? ? (1)SSL協議介紹
? ? ? ? ?SSL協議主要通過三個協議實現:
? ? ? ? ? ? ? ? ? SSL握手協議:SSL握手協議被封裝在記錄協議中,該協議允許服務器與客戶 機在應用程序傳輸和接收數據之前互相認證、協商加密算法和密鑰。在初次建 立SSL連接時,服務器與客戶機交換一系列消息。
? ? ? ? ? ? ? ?SSL連接主要依靠SSL握手協議,簡短的一句話就可以概括SSL握手協 議的基本設計思路:采用公鑰加密算法進行密文傳輸。也就是說,服務端將其 公鑰告訴客戶端,然后客戶端采用服務器的公鑰加密信息,服務端收到密文后, 用自己的私鑰解密。
? ? ? ? ? ? ? ?? SSL修改密文協議:保障SSL傳輸過程的安全性,客戶端和服務器雙方應該每 隔一段時間改變加密規范。
? ? ? ? ? ? ? ?? SSL報警協議:SSL報警協議是用來為對等實體傳遞SSL的相關警告。如果在 信過程中某一方發現任何異常,就需要給對方發送一條警示消息通告。
? ? ? ? ? ? ? ? SSL記錄協議:
? ? ? ? (2)SSL協議結構
? ? ? ? ? ? ? ?
? ? ? ? ?
? ? ? ? ?(3)SSL VPN技術優勢
2、SSL VPN授權
? ? ? ? SSL VPN用戶數:SSL VPN并發接入用戶數授權
? ? ? ? IPSec移動用戶數:SANGFOR VPN移動端PDLAN并發用戶數授權
? ? ? ? 線路數:外網WAN口線路數授權
? ? ? ?分支機構數:與第三方設備對接標準IPSEC VPN隧道數
? ? ? ?遠程應用用戶數:使用遠程應用發布資源的用戶并發數
(1)創建用戶(根據實際應用場景,選擇用戶的認證方式,也可多重認證方式 組合認證)
(2)發布資源(根據需求發布成所需類型,資源類型有WEB類型、TCP類型、 L3VPN類型、遠程應用四種類型)
(3)創建角色(角色的作用是將用戶跟資源關聯起來,其效果是讓用戶具有訪問哪些資源的權限)
3、SSL VPN組網方案
(1)網關模式組網
1、網關模式配置:配置設備的內外網口地址信息,外網口如果是撥號場景需 要先配置撥號
2、上網配置:代理上網(NAT),確定內網是否多網段網絡環境,如果是 的話需要添加相應的回包路由回指給設備下接的核心交換機。
(2)單臂模式組網
1、單臂模式配置:給設備LAN口分配一個IP地址,填寫正確的網關IP、DNS;
2、前置網關做TCP 443和80端口映射(如果用到IPSEC VPN 還需要映射TCP / UDP 4009端口)
2/2、移動資源發布
1、移動接入資源發布需求
需求:
1. 出差或在家能接入企業/單位內網 的應用系統
2. 需要支持電腦接入訪問B/S、C/S類 所有應用
3. 支持在移動終端(手機、平板)使 用windows上的應用
解決方案:
1. 允許電腦接入后訪問授權的業務系統(地址、協議、端口)
2. 遠程應用發布實現windows應用在移動終端上使用
2、移動接入資源發布技術
資源是指遠程接入SSL VPN后授權終端允許訪問的網絡服務
根據實現機制和應用服務的不同將資源分為4類:
1. WEB應用? 2. TCP應用? 3. L3VPN? 4. 遠程應用
(1)WEB應用
Web資源需求背景:
1. 用戶在外手機辦公,已經和總部建立了SSL VPN。現在用戶需要通過手機訪問總部 的web資源。
2. 用戶不希望在手機上安裝額外的控件。
WEB應用技術原理
? WEB應用
WEB應用通過SSL設備將內網服務轉換成HTTPS協議。
支持應用類型:HTTP,HTTPS,MAIL,FTP和FileShare。
優點:客戶端免控件,所有瀏覽器均支持。
Web應用技術原理
SSLVP
(2)TCP應用
? ?TCP資源需求背景
? ? ? ? ??用戶在外電腦辦公,需要通過電腦遠程登錄總部的web服務器進行資源更新。
? ?TCP應用技術原理
(3)L3VPN
? L3VPN資源需求背景
? ? ? ? ? 用戶在外電腦辦公,需要通過電腦訪問總部的SNMP服務器進行管理。
? ?L3VPN應用技術原理
(4)遠程應用
采用基于服務器計算的應用模式,應用程序的安裝、配置、管理、維護 以及應用的執行均集中在服務器上進行,用戶通過遠程客戶端登錄服務 器進行操作,輸入輸出的內容通過網絡傳輸到客戶端。
遠程應用技術原理
需要安裝EasyConnect客戶端;終端服 務器需要安裝RemoteServerAgent組件。某些B/S架構的應用需要在客戶端瀏覽器安裝插件才能訪問。
3、用戶、角色、資源、策略組
? ? ? ? SANGFOR SSL角色是用戶和資源之間的紐帶,它用于給不同的用戶關聯 不同的內網資源,以實現更細致化的遠程接入控制。
? ? ? ? ?策略組用來設置用戶的接入VPN的安全策略。包括以下內容:客戶端相關選項,帳號屬 性和安全桌面相關信息。策略組設置完成后,需被用戶或者用戶組關聯才生效。根據需求的不同,可設置不同的策略組分別與用戶,用戶組關聯。
? ? ? ? 客戶端選項用來設置客戶端的隱私保護,帶寬會話,是否允許PPTP方式
接入,SSL專線,硬件特征碼個數限制。
? ? ? ? ?賬號控制用來設置賬號相關的權限。
)
Ubuntu-22.04搭建 k8s-1.30.1集群,開啟Dashboard-2.7.0、部署ingress-nginx-1.10.1)
)
)
)
![BigFoot (Method Raid Tools)[MRT] (Event Alert Mod)[EAM]](http://pic.xiahunao.cn/BigFoot (Method Raid Tools)[MRT] (Event Alert Mod)[EAM])
)