博文目录
一, SSL 虚拟专用网的工作原理
1,SSL 虚拟专用网客户端模式
2,SSL 虚拟专用网的验证, 加密和内容控制
3,SSL 虚拟专用网适合使用在什么环境呢?
二, SSL 虚拟专用网与 IPSec 虚拟专用网的区别
1,SSL 虚拟专用网的优, 缺点
2,SSL 虚拟专用网与 IPSec 虚拟专用网比较
三, 配置无客户端 SSL 虚拟专用网
虚拟专用网:(Virtual Private Network), 请看英文的首字母, 就知道是什么了, 由于它是敏 / 感词汇, 所以文中全部使用虚拟专用网来代替.
一, SSL 虚拟专用网的工作原理
SSL 虚拟专用网是一种新兴技术, 此技术通过网页浏览器的本地 SSL 加密, 提供灵活, 低成本的基于 Internet 的远程访问解决方案. SSL 虚拟专用网不需要在计算机中预先安装专用的客户端软件, 任何可以访问 Internet 的计算机都能够建立 SSL 虚拟专用网会话, 从而实现随时随地的访问网络.
1,SSL 虚拟专用网客户端模式
如下图所示, 以 ASA 安全设备作为虚拟专用网网关为例, 实现 SSL 虚拟专用网的两个组件包括 SSL 虚拟专用网服务器和 SSL 虚拟专用网客户端.
SSL 虚拟专用网可以按照以下三种访问方法进行部署:
1)无客户端模式:
无客户端模式其实并不是完全没有客户端, 而是使用用户计算机上的 web 浏览器进行远程访问, 而不需要其他软件. 无客户端模式提供对网页资源的安全访问, 以及基于网页内容的访问. 还可以通过通用 Internet 文件系统 (Common Internet File System CIFS) 提供远程文件共享. CIFS 在门户网站网页中列出一个文件服务器连接列表, 从而使远程用户能够浏览列出的域, 服务器, 目录文件夹, 文件等. 无客户端模式的缺点是其只能保护 Web 流量.
2)瘦客户端模式(也称为端口转发模式):
瘦客户端模式提供对基于 TCP 服务的远程访问, 如 POP,POP3,SMTP,SSH 等. 瘦客户端模式在建立 SSL 虚拟专用网会话后由 SSL 虚拟专用网应用程序动态地下载 Java 或 activeX 程序到用户桌面, 其允许一些非 Web 的程序通过 SSL 虚拟专用网进行传输. 瘦客户端模式扩展了网页浏览器的加密功能.
3)胖客户端模式(也称为隧道模式或全隧道客户端模式):
胖客户端模式提供对大量应用程序支持的远程访问, 可以通过下载 SSL 虚拟专用网客户端 (SSL 虚拟专用网 Client,SVC) 软件, 提供对所有应用程序的全网络层 (第 3 层) 访问. 使用胖客户端模式时, 其客户端软件一般在客户到中心站点建立 SSL 虚拟专用网后, 动态下载安装到用户计算机上. 由于需要在用户计算机上安装客户端, 所有用户必须拥有其计算机的管理员权限. 若没有管理员权限则无法安装客户端, 只能使用无客户端或瘦客户端模式.
2,SSL 虚拟专用网的验证, 加密和内容控制
SSL 虚拟专用网通常支持两种方式的验证: 数字证书与用户名和密码. 用户使用 HTTPS 协议进行访问, 在获得证书后在 Web 练篮球中输入用户名, 密码进入, 开始访问内容资源.
SSL 虚拟专用网使用 SSL 对数据流量进行加密: SSL 由 Netscape 公司开发的. SSL 的最新版本为 SSLv3, 其支持 Rc4,DES 和 3DES. 经过发展, IETF 基于 SSL 建立了一个传输层加密 (TLS) 的草案标准, RFC2246 定义了 TLS 1.0.
对于无客户端模式或瘦客户端模式的 SSL 虚拟专用网来说, 可以根据不同的用户来开放不同的应用程序从而对用户的访问进行控制. 使用 SSL 虚拟专用网的用户初始连接到一个 Web 页面, 使用用户名, 密码登录页面, 在页面中列出相应连接的列表, 用户使用列表访问相应服务器.
3,SSL 虚拟专用网适合使用在什么环境呢?
用户是否使用 Web 浏览器访问应用程序;
用户可能使用非私有计算机访问, 即使用无管理员权限的计算机访问;
管理员对用户计算机的管理权较小, 不能控制用户安装软件;
除此之外, 还要考虑非 Web 的应用程序是否支持, 这时就需要查看厂商所支持的非 Web 程序列表. 这主要是非私有计算机上可能没有管理员权限而导致无法安装客户端所致.
二, SSL 虚拟专用网与 IPSec 虚拟专用网的区别
1,SSL 虚拟专用网的优, 缺点
SSL 虚拟专用网对于使用 Web 浏览器与公司服务器进行相互访问的用户来说无疑是非常理想的. SSL 虚拟专用网的优点主要体现在以下几方面:
SSL 虚拟专用网的无客户端, 瘦客户端方式可以做到用户端无须安装任何软件(除 Web 浏览器等系统自带软件外);
可以从任何地方安全地访问公司内部服务器;
支持多种类型的浏览器;
用户不需要进行特殊的培训;
SSL 虚拟专用网可以和地址转换设备一起使用;
可以对各种应用程序进行更加细致的控制;
由于 SSL 虚拟专用网是建立在 TCP 协议的基础之上, 所以其加密内容为应用层内容, 并且比较容易受到 Dos 等拒绝服务第三者访问. 并且, SSL 虚拟专用网对数据的验证功能仅使用 TCP 序列号进行数据验证, 而 IPSec 虚拟专用网使用 HMAC 进行验证, 比 SSL 虚拟专用网效果更好.
2,SSL 虚拟专用网与 IPSec 虚拟专用网比较
SSL 虚拟专用网与 IPSec 虚拟专用网都有各自的优点和缺点, 下面简单地对这两种技术进行对比:
三, 配置无客户端 SSL 虚拟专用网
网络环境如下:
环境分析:
R1 路由器的 loop back 0 接口模拟内网有一台服务器;
ISP 路由器 loop back 0 接口模拟 Internet 网服务器;
R2 配置 dhcp, 出差员工 (VM2) 自动获取 IP 地址, 网关及 DNS;
开始配置:
R1 配置如下:
- R1(config)#int f0/0 #进入接口
- R1(config-if)#ip add 192.168.10.1 255.255.255.0 #接口配置 IP 地址
- R1(config-if)#no shutdown #启用接口
- R1(config-if)#exit
- R1(config)#int loo0 #进入 loop back 0 接口
- R1(config-if)#ip add 1.1.1.1 255.255.255.255 #配置 IP 地址
- R1(config-if)#no shutdown #启用接口
- R1(config-if)#exit
- R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.254 #配置默认路由, 去往模拟公网的那台路由器
ASA 配置如下:
- ASA(config)# int eth 0/0 #进入接口
- ASA(config-if)# nameif inside #接口配置为 inside
- ASA(config-if)# ip add 192.168.10.254 255.255.255.0 #配置 IP 地址
- ASA(config-if)# no shu
- ASA(config-if)# exit
- ASA(config)# int eth0/1 #进入接口
- ASA(config-if)# nameif outside #接口配置为 outside
- ASA(config-if)# ip add 192.168.20.254 255.255.255.0 #配置 IP 地址
- ASA(config-if)# no shu
- ASA(config-if)# exit
- ASA(config)# route outside 0 0 192.168.20.1 #配置去往模拟公网的那台路由器的默认路由
- ASA(config)# route inside 1.1.1.1 255.255.255.255 192.168.10.1 #配置去往内网的静态
- ASA(config)# access-list out_to_in permit ip any any #允许外网访问内网
- ASA(config)# access-group out_to_in in interface outside #ACL 应用在 outside
- ASA(config)# fixup protocol icmp #允许 icmp 协议
ISP 配置如下:
- ISP(config)#int f0/0 #进入接口
- ISP(config-if)#ip add 192.168.30.1 255.255.255.0 #接口配置 IP 地址
- ISP(config-if)#no shutdown #启用接口
- ISP(config-if)#exit
- ISP(config)#int f1/0 #进入接口
- ISP(config-if)#ip add 192.168.20.1 255.255.255.0 #接口配置 IP 地址
- ISP(config-if)#no shutdown #启用接口
- ISP(config-if)#exit
- ISP(config)#int loo0 #进入 loop back 0 接口
- ISP(config-if)#ip add 2.2.2.2 255.255.255.255 #接口配置 IP 地址
- ISP(config-if)#no shutdown #启用接口
- ISP(config-if)#exit
R2 配置如下:
- R2(config)#int f0/0 #进入接口
- R2(config-if)#ip add 192.168.30.254 255.255.255.0 #接口配置 IP 地址
- R2(config-if)#no shutdown #启用接口
- R2(config-if)#exit
- R2(config)#int f1/0 #进入接口
- R2(config-if)#ip add 192.168.40.254 255.255.255.0 #接口配置 IP 地址
- R2(config-if)#no shutdown #启用接口
- R2(config-if)#exit
- R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 #配置去往模拟公网路由器的默认
- R2(config)#ip dhcp pool lan #开启 dhcp 服务, 名字为 lan
- R2(dhcp-config)#network 192.168.40.0 255.255.255.0 #下发网段
- R2(dhcp-config)#default-router 192.168.40.254 #下发网关
- R2(dhcp-config)#dns-server 8.8.8.8 114.114.114.114 #下发首选 dns 和备用 dns
- R2(dhcp-config)#exit
- R2(config)#access-list 10 permit any #acl 抓取所有流量
- R2(config)#ip nat inside source list 10 interface fastEthernet 0/0 overload #应用在 0/0 接口
- R2(config)#exit
- R2(config)#int f0/0 #进入接口
- R2(config-if)#ip nat outside #启用 nat,outside 方向
- R2(config-if)#int f1/0 #进入接口
- R2(config-if)#ip nat inside #启用 nat,inside 方向
- R2(config-if)#exit
至此桥接的 PC 机就可以获取 IP 地址了, 需要运行一下 CMD 窗口, 输入 ipconfig /release 释放一下 IP 地址, 然后再输入 ipconfig /renew 重新获取一下, 再查看网卡详细信息就会发现自动获取 IP 地址, 网关和 DNS 了. 如下图:
来源: http://www.bubuko.com/infodetail-3201569.html