SSL VPN笔记

SSL Secure Sockets Layer安全套接层:是一种安全协议,基于TCP应用层提供安全连接,可以为http提供安全连接,为网络上的数据传输提供安全性保证

安全机制:
1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密
2、身份验证机制:基于证书利用数字签名方式对服务器和客户端进行身份验证,客户端的身份验证是可选的
3、消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性

注:

没有第三方解密密钥,无法将密文恢复为明文的,从而保证数据传输的机密性
对称密钥算法和MAC算法要求通信双方具有相同的密钥,否则解密或MAC值验证失败

SSL格式

http协议采用明文的形式传输数据、无法防止传输数据被篡改等,无法提供安全性保证
SSL优点:安全、支持各应用层协议、部署简单

https:将http和SSL结合,通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,完整性校验,实现了对设备的安全管理
https的优点
1、客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器
2、服务器通过数字证书对客户端进行身份验证,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备
3、客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理
4、制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了客户端对设备进行攻击

IPsec VPN缺点:
1、部署复杂,移动性差,需要支持NAT透传,安装复杂的客户端软件
2、无法检测用户主机的安全性,比如感染病毒主机
3、访问控制不够细致,基于IP报文实现的,对报文的内容无法识别,不能控制高层应用的访问请求

SSL VPN工作在传输层和应用层之间

SSL VPN缺点:
1、网关成为整个内网出口的性能瓶颈
2、网关的可靠性也关系到整个内网访问外网通讯的稳定性

三个步骤:
1、超级管理员在SSL VPN 网关上创建域
2、域管理员在SSL VPN 网关上创建用户和企业网内服务器对应资源
3、用户通过SSL VPN 网关访问企业网内部服务器

超级管理员:整个SSL VPN网关的管理者,可以创建域,设置域管理员的密码
域管理员:负责管理所在域,可以创建本地用户和资源,设置用户访问权限等。域管理员可能是某个企业的网管人员
普通用户:简称用户,为服务器资源访问者,权限由域管理员指定

第一步、建立PKI域
配置PKI域sslvpn。
<Sysname> system-view
[Sysname] pki domain sslvpn        定义pki域名称sslvpn
[Sysname-pki-domain-sslvpn] public-key rsa general name sslvpn 公钥名称sslvpn
[Sysname-pki-domain-sslvpn] undo crl check enable   crl不检查
[Sysname-pki-domain-sslvpn] quit

第二步、PKI域导入证书步骤
导入CA证书ca.cer和服务器证书server.pfx,输入服务器证书密码
[Sysname] pki import domain sslvpn pem ca filename XXX.cer注意后缀(网络中没有ca服务器、附件中有证书)

[Sysname]pki import domain sslvpn pem ca filename 2003_local.pfx

The
PKI domain already has a CA certificate. If it is overwritten, local
certificates, peer certificates and CRL of this domain will also be
deleted.
Overwrite it? [Y/N]:y
Failed to parse the certificates.
Failed to import certificates.

[Sysname] pki import domain sslvpn p12 local filename server.pfx  pki import domain sslvpn p12 local filename XXXX.pfx

[Sysname]pki import domain sslvpn p12 local filename 2003_local.pfx

Please input the password:
The
device already has a key pair. If you choose to continue, the existing
key pair will be overwritten if it is used for the same purpose. The
local certificates, if any, will also be overwritten.
Continue? [Y/N]:y

第三步、定义SSL提供证书的身份验证
配置SSL服务端策略ssl
[Sysname] ssl server-policy ssl  定义SSL服务策略名称为ssl

[Sysname-ssl-server-policy-ssl] pki-domain sslvpn PKI域应用sslvpn认证方式
[Sysname-ssl-server-policy-ssl] quit

第四步、定义SSL VPN外部访问地址和端口
[Sysname] sslvpn gateway gw 配置SSL VPN网关
[Sysname-sslvpn-gateway-gw] ip address 123.126.202.2 port 2000  外网口IP地址做为sslvpn网关
[Sysname-sslvpn-gateway-gw] ssl server-policy ssl  引用ssl服务端策略
[Sysname-sslvpn-gateway-gw] service enable  开启SSL VPN网关gw

[Sysname-sslvpn-gateway-gw] quit
第五步、在SSL VPN网关上创建与服务器对应的资源
配置SSL VPN访问实例ctx1引用SSL VPN网关gw,指定域名为domain1
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] gateway gw domain domain1
[Sysname-sslvpn-context-ctx1] port-forward plist  定义端口转发方式
创建端口转发,将192.168.100.20提供的远程服务3389映射到本地地址127.0.0.1、本地端口33891。
[Sysname-sslvpn-context-ctx-port-forward-plist]
local-port 33891 local-name 127.0.0.1 remote-server 192.168.100.20
remote-port 3389
创建端口转发,将remote.dnstest.com提供的远程服务3389映射到本地地址remotedns、本地端口33892
[Sysname-sslvpn-context-ctx-port-forward-plist] 
local-port 33892 local-name remotedns remote-server remote.dnstest.com
remote-port 3389
[Sysname-sslvpn-context-ctx-port-forward-plist] quit

第六步、定义访问控制
[Sysname]acl basic 2000    
[Sysname-acl-2000] rule 10 permit  放通所有IP资源

第七步、创建策略并调用访问资源

创建SSL VPN策略组pgroup,并引用端口转发列表plist
[Sysname-sslvpn-context-ctx] policy-group test   策略组名称 (定义某些组访问的资源)
[Sysname-sslvpn-context-ctx-policy-group-test] resources port-forward plist 调用plist列表中资源
[Sysname-sslvpn-context-ctx-policy-group-test]filter tcp-access 2000   过滤默认是拒绝所有
[Sysname-sslvpn-context-ctx-policy-group-test] quit

第八步、定义用户组并对其授权
定义用户组名称testgroup,授权用户策略组为test
[Sysname]user-group testgroup
[Sysname-ugroup-testgroup]authorization-attribute sslvpn-policy-group test

第九步、建立本地用户加入用户组
创建本地用户h3c,密码为123456,用户角色为network-operator,设置用户属组为testgroup
[Sysname] local-user h3c class network
[Sysname-luser-network-h3c] password simple 123456
[Sysname-luser-network-h3c] service-type sslvpn
[Sysname-luser-network-h3c] authorization-attribute user-role network-operator
[Sysname-luser-network-h3c] group testgroup
[Sysname-luser-network-h3c] quit

SSL VPN支持三种接入方式:
1、Web接入方式
2、TCP接入方式
3、IP接入方式

SSL VPN共分为三种模式:
clientless   只提供访问Web资源,登录界面提供URL信息或Web server的链接来访问资源
thin-client  它扩展到可以使用TCP连接,但需要安装JAVA插件
full-tunnel client 不受任何访问限制,需要安装ActiveX插件

(以上为TCP接入方式,以下为Web接入方式)

[Sysname-sslvpn-context-ctx1] url-list urllist   创建URL列表urllist
[Sysname-sslvpn-context-ctx1-url-list-urllist] heading webresource 配置URL列表标题为webresource

添加一个URL表项,链接名为webserver1_IP,对应的URL为192.168.9.2。
[Sysname-sslvpn-context-ctx1-url-list-urllist]  url webserver1_IP url-value 192.168.9.2  
添加一个URL表项,链接名为webserver2_IP_port,对应的URL192.168.100.53:8080/imc。
[Sysname-sslvpn-context-ctx1-url-list-urllist] url webserver2_IP_port url-value 192.168.100.53:8080/imc  
添加一个URL表项,链接名为webserver3_dns,对URL为resource.dnstest.com。
[Sysname-sslvpn-context-ctx1-url-list-urllist] 
url webserver3_dns url-value resource.dnstest.com
[Sysname-sslvpn-context-ctx1-url-list-urllist] quit
[Sysname-sslvpn-context-ctx1] policy-group test1 
[Sysname-sslvpn-context-ctx1-policy-group-test1] resource url-list urllist 调用urllist列表中资源
[Sysname-sslvpn-context-ctx1-policy-group-test1]filter tcp-access 2000   过滤默认是拒绝所有
[Sysname-sslvpn-context-ctx1-policy-group-test1] quit
[Sysname-sslvpn-context-ctx1] default-policy-group test  组多的时候可以不定义
[Sysname-sslvpn-context-ctx1] service enable   开启SSL VPN访问实例ctx1
[Sysname-sslvpn-context-ctx1] quit
[Sysname]user-group testgroup
[Sysname-ugroup-testgroup]authorization-attribute sslvpn-policy-group test1

为避免私密信息遗留在远程主机上,SSL VPN提供了缓存清除功能。在退出SSL VPN系统,客户端程序自动清除下列对象:
1、缓存的网页
2、Cookie
3、VPN客户端程序
4、VPN客户端配置

时间: 2024-10-25 18:15:47

SSL VPN笔记的相关文章

Cisco SSL VPN Over ASA Anyconnect4.2 ASA 9.24

实验anyconnect 4.2:ASA55059.2(4) ASA版本如下: System image file is "disk0:/asa924-k8.bin" 实验需求: 1.远程PC使用SSLVPN拨入访问内网server 2.使用用户A和用户B拨入后的IP不在同一网段. 配置步骤如下: 第一步:配置身份证书 在这里我们生成一个名为sslvpnkeypair的自签名证书,并将这个自答名证书应用在"outside"接口上面.默认情况下,我们的安全设备每次重新

SSL VPN的无客户端配置实验

实验目的:主要是通过在ASA防火墙做SSL VPN的无客户端模式,来使得公网上的一台客户机能够通过加密隧道来访问局域网内部的资源.拓扑比较简单,主要是原理,配置过程如下: ISP运营商的配置,只需要配置IP地址即可. ISP(config)#int fa0/0 ISP(config-if)#ip add 10.0.0.2 255.255.255.0 ISP(config-if)#no shut ISP(config)#int fa0/1 ISP(config-if)#ip add 20.0.0.

SSL VPN(WebVPN)

(1)将SSL VPN client模块传至路由器: R1#dir R1# 说明:本实验已经将SSL VPN client模块(sslclient-win-1.1.0.154.pkg)上传至路由器,如果需要,可以通过以下地址进行下载: http://www.china-ccie.com/download/sslclient/sslclient.rar (2)安装SSL VPN client模块: R1(config)#webvpn install svc disk0:sslclient-win-

SSL VPN基于IOS路由器的配置

实验演示使用网络拓扑图如下. 图5.17 SSL VPN基于IOS路由器实验拓扑图 1.基本配置 ? 路由器R1的配置如下. R1(config)# int F0/0 R1(config-if)# no shut R1(config-if)# ip add 10.10.1.254 255.255.255.0 R1(config-if)# int S1/0 R1(config-if)# no shut R1(config-if)# ip add 200.1.1.1 255.255.255.252

干货分享:配置SSL VPN步骤

SSL VPN为一款安全远程接入VPN的解决方案.它在允许远程访问的同时,实现了如下所述的种种安全功能: 对用户身份进行认证: 根据管理员定义的安全策略和客户端的安全状况,对用户进行授权: 检测远端用户接入设备的安全状态: 保证远端用户同内部网络的通信安全: 实时监控远程接入的连接. 与此同时,考虑到SSL VPN作为一个网络安全设备在网络中部署的便利性,对各种不同的网络环境的适应性以及用户使用的安全便利性,建议SSL-VPN提供了双机备份.多ISP接入.客户端智能选路等网络适应能力.同时,为了

SSL VPN 安全解决方案

随着VPN的不断普及,传统基于IPSEC的VPN在点接入端的环境下遇到越来越多的问题:1. 远端必须安装客户端软件,客户端和机器的操作系统紧密相关,在大型网络里面配置很困难.2. 客户端软件的配置方法复杂,使用麻烦,一般用户难以掌握,培训成本也很高.3. IPSEC对NAT和FIREWALL的穿透能力很弱,目前能穿透的NAT的IPSEC VPN都是对标准的IPSEC协议做了一定修改,使其安全性降低,兼容性更差.4. IPSEC VPN由于需要在网关和服务器端同时部署和维护,成本非常高.5. IP

麒麟开源堡垒机内置SSL VPN使用指南

麒麟开源堡垒机 内置SSL VPN使用指南 一.安装 (一)确定服务器的操作系统位数 Windows XP.2000.2003系统,在我的电脑属性里,可以很明显地看到标识.如果没有注明是64位的,那么默认就是32位的. Windows 7 系统在控制面板,点击系统,在系统类型里,标注有操作系统位数. (二)安装VPN客户端 VPN客户端分为32位系统和64位系统二种,安装时,必须按上一步中检测到的系统进行安装,系统为32位则必须安装32位系统,系统为64位必须安装64位系统,安装过程如下: 注意

SSL VPN 配置

一.配置环境 前言:SSL VPN一般配置在ASA防火墙上,而且一般用图形界面配置,命令行方式配置太多.这里因为做实验我们使用路由器来配置,路由器ios只能使用7200系列的,下面的实验设备都是用路由器来模拟的 如下图,在路由器上配置SSL VPN,使得客户端client能够通过SSL VPN访问服务器 基础配置:配置IP.路由,server打开http 二.SSL VPN 配置 1.  同步时间 为什么要同步时间:因为证书是有有效期的,如果时间不同步就没用了 方法1:直接设置时间,设置完成后通

C# Socket SSL通讯笔记

C# Socket SSL通讯笔记 一.x.509证书 1.制作证书 先进入到vs2005的命令行状态,即:开始-->程序-->Microsoft Visual Studio 2005-->Visual Studio Tools-->Visual Studio 2005 命令提示 键入: makecert -r -pe -n "CN=MyServer" -ss My -sky exchange 解释一下:makecert.exe是一个专门用来制作证书的小工具,上