1、背景信息
根据上图的网络架构,在FW1上开启ssl vpn搭建一套远程办公人员访问内网的需求。规划远程接入的人员网段、权限、且需要将远程接入的上网流量指定走到CT猫3。
2、SSL VPN的介绍
SSL VPN(Secure Sockets Layer Virtual Private Network)是一种通过使用SSL/TLS协议来确保数据在公网上安全传输的虚拟专用网络技术。其实现原理可以分为以下几个关键部分:
- SSL/TLS协议概述
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是用于在网络中提供安全通信的协议。它们通过以下方式确保数据传输的安全性:
- **加密**:使用对称加密算法(如AES)加密传输数据,确保数据在传输过程中不被窃听。
- **完整性**:使用消息认证码(MAC)确保数据在传输过程中不被篡改。
- **身份验证**:使用数字证书和非对称加密(如RSA)验证通信双方的身份。
- SSL VPN的工作原理
SSL VPN利用SSL/TLS协议来创建一个安全的隧道,具体过程如下:
- 客户端和服务器握手
- **客户端发起握手**:客户端发送一个“ClientHello”消息给服务器,其中包含SSL/TLS协议版本、支持的加密算法和其他信息。
- **服务器响应**:服务器发送“ServerHello”消息,选择协议版本和加密算法,并发送服务器证书以供客户端验证。
- **密钥交换**:双方使用非对称加密算法(如RSA或DH)进行密钥交换,生成会话密钥。
- **握手完成**:双方使用生成的会话密钥进行加密通信,完成握手过程。
- 创建安全隧道
- **数据加密传输**:通过握手过程生成的会话密钥,加密客户端和服务器之间传输的数据,确保数据在传输过程中不被窃听或篡改。
- **认证和授权**:服务器通过用户认证机制(如用户名和密码、双因素认证等)验证客户端用户的身份,并根据用户的权限进行访问控制。
- 数据传输
- **数据封装**:客户端将数据包通过SSL/TLS隧道发送到服务器,服务器解密并处理数据。
- **应用层代理**:服务器可以充当代理,将客户端的请求转发到内部网络中的应用服务器,从而使客户端可以安全地访问内部资源。
- SSL VPN的优势
- **易于部署和使用**:只需要一个支持SSL/TLS的Web浏览器或轻量级客户端软件,无需复杂的配置。
- **安全性高**:通过SSL/TLS提供强大的加密、完整性和身份验证机制。
- **穿越防火墙**:SSL VPN通常使用443端口(HTTPS端口),可以轻松穿越大多数防火墙和网络设备。
- SSL VPN的应用场景
- **远程访问**:允许远程用户通过互联网安全地访问公司内部网络资源。
- **安全外部连接**:为外部合作伙伴或分支机构提供安全的网络连接。
- **保护敏感数据**:在公共网络中传输敏感数据时,确保数据的机密性和完整性。
3、解决方式
- 通过ssl vpn的介绍了解到在防护墙上开启ssl vpn服务后,保证客户端拨入服务器端口,终端正常获取到地址。同时让流量走CT猫3(使用策略路由的方式)。
- 1、创建ssl vpn拨号接入服务器
2、创建ssl配置,加密、公钥算法
3、业务功能选择-网络扩展
4、设置终端的网段,下发路由
5、角色授权-指定的用户组 - 在核心交换机上写策略匹配源地址