点击这里给我发消息

网络工程

 首页 > 解决方案 > 网络工程

SSL_VPN技术解决方案

发布时间:2014-04-04   发布人:互联网

SSL VPN是指采用了SSLSecurity socket layer)协议基于应用层传输的VPN,通过HTTPS来访问受保护的应用服务。使用SSL VPN可以解决远程用户访问公司敏感数据最简单最安全的解决技术。而且与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。SSLVPN具备很强的灵活性,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件,SSL VPN内嵌在浏览器中,如今几乎所有浏览器都内建有SSL功能。
     
通常SSLVPN分为以下几类:
      1
Clientless SSL VPN
     Clientless SSL VPN
可以进行网关地址或者协议的转换以及内容的解析和重写。支持基于浏览器的应用服务,允许用户访问Web应用程序,Outlook Web Access等。例如公司内部启用了httphttps的资源,远程用户通过VPN接入到内部网络后,就可以直接通过浏览器对指定的httphttps资源进行访问。ClientlessSSL VPN还支持Common Internet File System (CIFS),允许用户浏览共享文件夹。
      2
Thin-Client SSL VPN (port-forwarding Java applet)
     
使用Thin-Client SSL VPN时,远程用户必须下载一个基于JAVA的小应用程序。通过JAVA的小应用程序可以建立端口映射表,使用户可以访问使用静态端口的TCP应用服务,例如:POP3SMTP IMAP SSHTelnet等。Thin-Client SSL VPN不支持基于UDP协议的应用服务。使用Thin-Client SSL VPN连接服务器时,用户需要本地计算机的管理员特权,因为对文件的修改是在本地机器中进行。Thin-Client SSL VPN不能为使用动态端口的应用服务提供支持,如FTP服务。
      3
SSL VPN Client (SVC-Tunnel Mode)
     
在这种技术中,用户的计算机需要下载Java或者ActiveX 程序,一个小的客户端软件(大概有 500 kB)SSL VPNClient支持所有基于IP流量的应用程序,允许对公司内部指定的资源进行安全访问。客户端软件可以永久地被下载到远程工作站,也可以在安全会话结束后就被删除。远程用户使用的SSL隧道在networkIPlayer移动数据。因此,隧道模式支持大多数基于IP的应用,支持多种流行的企业应用。
     
Cisco IOS 路由器的IOS 12.46T以及更高版本中,提供了对SSLVPN的支持,使用Cisco IOS 路由器可以轻松的完成SSLVPN的配置。同时CISCO还提供了名为CISCO安全桌面的SSL VPN特性。使用思科安全桌面时,所有信息从进程开始就进行加密,而不是在进程结束之后才加密。不仅如此,思科安全桌面能够在客户端系统上创建加密硬盘分区,然后创建一个与普通桌面独立的虚拟桌面。所有进程操作都在安全的虚拟桌面环境中进行,所有数据都将写入加密的硬盘分区中。在进程结束时,历史文件、临时文件、高速缓存、cookie、电子邮件附件及其它下载数据都将被彻底删除,从而加强了终端的安全保护。


 


      R1
基本配置:


      HTTPRouter(config)#interface f0/0
      HTTPRouter(config-if)#ip address 10.0.0.1255.255.255.0
      HTTPRouter(config-if)#no shutdown
      HTTPRouter(config-if)#exit


      HTTPRouter(config)#username cisco privilege 15 password cisco
      HTTPRouter(config-line)#line vty 0 15
      HTTPRouter(config-line)#login local
      HTTPRouter(config-line)#exit
      HTTPRouter(config)#ip http server
      HTTPRouter(config)#ip http secure-server
      HTTPRouter(config)#ip http authentication local
      HTTPRouter(config)#ip route 0.0.0.00.0.0.0 10.0.0.2


      Webvpn
服务器的配置:


      Webvpn(config)#webvpn gateway ccxx
      Webvpn(config-webvpn-gateway)#ip address 20.0.0.2                      
      Webvpn(config-webvpn-gateway)#hostnameCisco_Webvpn                    
      Webvpn(config-webvpn-gateway)#ssl encryption3des-sha1 aes-sha1 rc4-md5
      Webvpn(config-webvpn-gateway)#inservice
      Webvpn(config-webvpn-gateway)#exit


     
启用AAA,并完成线下保护


      Webvpn(config)#aaa new-model
      Webvpn(config)#aaa authentication login noaaanone
      Webvpn(config)#enable password cisco
      Webvpn(config)#line console 0
      Webvpn(config-line)#logi authentication noaaa
      Webvpn(config-line)#exit


      Webvpn(config)#aaa authentication login Webvpn local
      Webvpn(config)#username cisco privilege 15password cisco

      配置SSL VPN Context


      Webvpn(config)#webvpn context Webvpn_context
      Webvpn(config-webvpn-context)#aaa authenticationlist Webvpn
      Webvpn(config-webvpn-context)#gateway ccxx
      Webvpn(config-webvpn-context)#url-list Webvpn
      Webvpn(config-webvpn-url)#heading URL_List
      Webvpn(config-webvpn-url)# url-text"R1_HTTP" url-value http://10.0.0.1
      Webvpn(config-webvpn-url)#url-text"R1_HTTPS" url-value http://www.gbd3.com/ahk3
      Webvpn(config-webvpn-context)#policy group Webvpn
      Webvpn(config-webvpn-group)#url-list Webvpn
      Webvpn(config-webvpn-group)#exit
      Webvpn(config-webvpn-context)#default-group-policy Webvpn
      Webvpn(config-webvpn-context)#inservice
      Webvpn(config-webvpn-context)#exit