基于企业网的SSLVPN配置案例分析
2015-10-21黄祎
黄祎
摘 要:SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。本文简要论述了SSL VPN的特点,针对SSL VPN的案例,给出了配置的基本方法和步骤。
关键词:SSL VPN;TCP;IP;Router
一、概述
SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。
二、需求分析
某公司希望通过Router与Internet相连,希望处于外网的合作伙伴在终端配置最少的情况下随时随地安全访问该公司内网基于TCP的资源。具体如图1所示。
基于TCP的资源如下:
(1)与企业内网主机PC1实现桌面共享(TCP端口号:3389)。
(2)通过Telnet方式远程访问企业内网的应用服务器(TCP端口号:23)。
(3)在Router上配置SSLVPN的端口转发业务,合作伙伴使用终端的普通浏览器。
(4)可以安全访问以上企业内网的TCP资源。
Router所需证书通过离线方式获取,并且证书已保存在Router的存储介质上:
数字证书名为rt_ca.pem,私钥文件名为rt_pri.pem。
图1.配置端口转发业务组网图
三、配置思路
(1)配置Router与外网远程终端路由可达。
(2)配置HTTPS服务器功能,使远程用户可以安全地访问SSLVPN网关。
(3)为避免与其他业务冲突,修改SSLVPN的侦听端口号。
(4)创建远程用户的用户信息,指定合作伙伴接入SSLVPN网关。
(5)创建虚拟网关并配置虚拟网关基本参数。
(6)在虚拟网关配置端口转发业务,实现合作伙伴访问企业内网基于TCP的资源。
四、操作步骤
(1)配置接口的IP地址和到目的端的静态路由,假设缺省路由的下一跳地址为202.1.1.10,到达PC1和应用服务器的下一跳地址为192.168.1.10。
(2)配置HTTPS服务器功能。
(3)修改SSLVPN的侦听端口号为1025。
(4)创建远程用户的用户信息。
(5)创建虚拟网关gateway1并配置虚拟网关基本参数。
(6)在虚拟网关gateway1上配置端口转发业务,实现合作伙伴访问企业内网基于TCP的资源。
(7)检查配置结果。
合作伙伴在浏览器输入虚拟网关地址“https://202.1.1.9:1025/gateway1”,进入SSLVPN网关登录页面。输入用户名和密码,认证成功后,在“端口转发”页签查看可以访问的TCP资源列表,单击“启动”后,通过桌面共享应用程序可访问PC1,通过Telnet应用程序可访问应用服务器。
五、公司出差人员与临时客户组网
某企业通过Router与Internet相连,企业希望处于企业外网的客户在终端配置最少的情况下随时随地安全访问企业内网的Web资源。
在Router上配置SSLVPN的Web代理业务,客户使用终端的普通浏览器可以安全访问企业内网Web资源。
操作步骤:
(1)配置接口的IP地址和到目的端的静态路由,假设缺省路由的下一跳地址为202.1.1.10,到达Web服务器的下一跳地址为192.168.1.10。
(2)通过DNS域名形式访问Web资源时,还需要配置动态域名解析功能(Router到DNS服务器的路由略)。
(3)配置HTTPS服务器功能。
(4)修改SSLVPN的侦听端口号为1025。
(5)创建远程用户的用户信息。
(6)创建虚拟网关gateway1并配置虚拟网关基本参数。
(7)在虚拟网关上配置Web代理业务,实现客户访问企业内网的Web资源。
六、结论
结果表明,配置是正确和成功的,能够满足公司网络需求。
參考文献:
[1]郑化浦、刘帅.SSLVPN网络安全关键技术研究[J].河南城建学院学报,2013,(04):56-61
[2]芮坤坤.基于SSLVPN的网络安全研究与实现[J].微计算机信息,2011,(11):78-83
[3]Timothy Srtayer. Privaey IssuesinVirtual Private Networks[J].Computer communications,2010,(02):25-33