安全合规：AC（上网行为安全）--下

五、SSL移动接入方案概述

1、SSL VPN概述

SSL VPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合应用安全的需求，成为远程安全接入主要手段和选择。

（1）SSL协议介绍

SSL协议主要通过三个协议实现：

• SSL握手协议：SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，服务器与客户机交换一系列消息。

SSL连接主要依靠SSL握手协议，简短的一句话就可以概括SSL握手协 议的基本设计思路：采用公钥加密算法进行密文传输。也就是说，服务端将其公钥告诉客户端，然后客户端采用服务器的公钥加密信息，服务端收到密文后，用自己的私钥解密。

• SSL修改密文协议：保障SSL传输过程的安全性，客户端和服务器双方应该每隔一段时间改变加密规范。

• SSL报警协议：SSL报警协议是用来为对等实体传递SSL的相关警告。如果在信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。

• SSL记录协议：

（2）SSL协议结构

（3）SSL VPN技术优势

2、SSL VPN授权

SSL VPN用户数：SSL VPN并发接入用户数授权

IPSec移动用户数：SANGFOR VPN移动端PDLAN并发用户数授权

线路数：外网WAN口线路数授权

分支机构数：与第三方设备对接标准IPSEC VPN隧道数

远程应用用户数：使用远程应用发布资源的用户并发数

（1）创建用户（根据实际应用场景，选择用户的认证方式，也可多重认证方式组合认证）

（2）发布资源（根据需求发布成所需类型，资源类型有WEB类型、TCP类型、 L3VPN类型、远程应用四种类型）

（3）创建角色（角色的作用是将用户跟资源关联起来，其效果是让用户具有访问哪些资源的权限）

3、SSL VPN组网方案

（1）网关模式组网

1、网关模式配置：配置设备的内外网口地址信息，外网口如果是拨号场景需要先配置拨号

2、上网配置：代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。

（2）单臂模式组网

1、单臂模式配置：给设备LAN口分配一个IP地址，填写正确的网关IP、DNS；

2、前置网关做TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口）

2/2、移动资源发布

1、移动接入资源发布需求

需求：

1. 出差或在家能接入企业/单位内网的应用系统

2. 需要支持电脑接入访问B/S、C/S类所有应用

3. 支持在移动终端（手机、平板）使用windows上的应用

解决方案：

1. 允许电脑接入后访问授权的业务系统（地址、协议、端口）

2. 远程应用发布实现windows应用在移动终端上使用

2、移动接入资源发布技术

资源是指远程接入SSL VPN后授权终端允许访问的网络服务

根据实现机制和应用服务的不同将资源分为4类：

1. WEB应用 2. TCP应用 3. L3VPN 4. 远程应用

（1）WEB应用

Web资源需求背景：

1. 用户在外手机办公，已经和总部建立了SSL VPN。现在用户需要通过手机访问总部的web资源。

2. 用户不希望在手机上安装额外的控件。

WEB应用技术原理

➢ WEB应用

WEB应用通过SSL设备将内网服务转换成HTTPS协议。

支持应用类型：HTTP，HTTPS，MAIL，FTP和FileShare。

优点：客户端免控件，所有浏览器均支持。

Web应用技术原理

SSLVP

（2）TCP应用

TCP资源需求背景

用户在外电脑办公，需要通过电脑远程登录总部的web服务器进行资源更新。

TCP应用技术原理

（3）L3VPN

L3VPN资源需求背景

用户在外电脑办公，需要通过电脑访问总部的SNMP服务器进行管理。

L3VPN应用技术原理

（4）远程应用

采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登录服务器进行操作，输入输出的内容通过网络传输到客户端。

远程应用技术原理

需要安装EasyConnect客户端；终端服务器需要安装RemoteServerAgent组件。某些B/S架构的应用需要在客户端浏览器安装插件才能访问。

3、用户、角色、资源、策略组

SANGFOR SSL角色是用户和资源之间的纽带，它用于给不同的用户关联不同的内网资源，以实现更细致化的远程接入控制。

策略组用来设置用户的接入VPN的安全策略。包括以下内容：客户端相关选项，帐号属 性和安全桌面相关信息。策略组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的策略组分别与用户，用户组关联。

客户端选项用来设置客户端的隐私保护，带宽会话，是否允许PPTP方式

接入，SSL专线，硬件特征码个数限制。

账号控制用来设置账号相关的权限。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若转载，请注明出处：http://www.pswp.cn/news/920166.shtml
繁体地址，请注明出处：http://hk.pswp.cn/news/920166.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！