SSLvpin

已于 2022-09-17 10:08:20 修改
阅读量526 收藏
点赞数 1
分类专栏: 网络安全 文章标签: ssl 服务器 网络协议
于 2022-07-06 23:09:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/purvispanwu/article/details/125581323
版权

使用场景

远程用户通过SSLV批N接入内网

在这里插入图片描述

拓扑搭建

在这里插入图片描述

SSL VPiN配置

1. 创建SSL VPiN网关

  • SSL VPiN 网关(接口地址) – 客户端在向公司进行SSL链接的一个公有地址
  • SSL VPiN网关链接端口 - 客户端在向公司进行SSL链接使用的访问端口, 在防火墙的设置中和客户端在进行SSL拨号的配置中需要一致。
[FW1]v-gateway sslvpn interface  GigabitEthernet 1/0/1 port  11443 private  www.abc.com

注:在真机中,可以使用WEB界面/CLI命令行创建,在模拟器中,必须使用CLI命令行创建

2. 创建登录用户
在这里插入图片描述

在这里插入图片描述

3. 调整 SSL VPiN网关关联 – 用户-认证 / 并发数量等
在这里插入图片描述

4. 调整 SSL VPiN网关关联 – 开启服务-网络扩展

网络扩展功能通过在客户端安装虚拟网卡,从SSL VPiN网关获取虚拟IP地址,实现了对所有基于IP的内网业务的全面访问,用户远程访问内网资源就像访问本地局域网一样方便。 (SSL VPiN网段 不可以和内网的网段冲突,使用私有地址。)
在这里插入图片描述

5. 调整防火墙的安全策略
防火墙默认情况下local接口入方向流量策略受到接口 service-manage管控,不受到防火墙安全策略管控。

[FW1-GigabitEthernet1/0/1]service-manage  enable (默认配置)

service-manage 能够放行的入方向流量只有如下几种
http HTTP service
https HTTPS service
ping Ping service
snmp SNMP service
ssh SSH service
telnet Telnet service

如果需要放行SSL流量,必须通过防火墙安全策略来进行管理,必须关闭service-manage enable。

[FW1-GigabitEthernet1/0/1]undo service-manage  enable



security-policy
 rule name ssl
  source-zone untrust
  destination-zone local
  destination-address 1.1.1.1 mask 255.255.255.255
  action permit
  1. 放行VPiN客户端访问服务器的流量
rule name u2t
  source-zone untrust
  destination-zone trust
  source-address 172.16.0.0 mask 255.255.0.0
  destination-address 10.1.1.0 mask 255.255.255.0
  action permit

SSL客户端拨号:
播号前:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

windows系统 同样存在路由信息 – route print
在这里插入图片描述

播号后:
本地连接2 – SSL-VPN拨号之后自动产生的虚拟网卡 – 隧道接口
在这里插入图片描述

本地连接2 – 隧道接口

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

多产生了一个内网的路由信息
10.1.1.0/24 – 下一跳 172.16.1.1 (隧道接口的地址)
如果主机向10.1.1.0/24子网发送数据,相当于把数据送入到主机的隧道中
step01 先进入到VPN网卡
[src-ip 172.16.1.1 | des-ip 10.1.1.1][ping]
单层地址
step02 再进入到物理网卡(公有地址)
[src-ip 100.1.1.1(本机公有) | des-ip 1.1.1.1(SSL-VPN-GW)]【SSL-VPN [src-ip 172.16.1.1 | des-ip 10.1.1.1][HTTP]】
[src-ip 100.1.1.1(本机公有) | des-ip 1.1.1.1(SSL-VPN-GW)]【SSL-VPN [src-ip 172.16.1.1 | des-ip 10.1.1.1][ping]】
外层IP地址

Purvis_U
关注
专栏目录
ac.qq.com200.html,Document
weixin_42719781的博客
06-20 4万+
0001158172-20-000034.txt : 202005070001158172-20-000034.hdr.sgml : 2020050720200507162230ACCESSION NUMBER:0001158172-20-000034CONFORMED SUBMISSION TYPE:8-KPUBLIC DOCUMENT COUNT:16CONFORMED PERIOD OF R...
flowrisk:订单流风险度量的 Python 实现,例如 VPIN
05-31
订单流风险措施 已更新以支持 Python 3.8。 目前,这些软件包只有 VPIN。 安装 默认方式是打开控制台并执行 pip install flowrisk 也可以从这里下载并手动安装 git clone https://github.com/hanxixuana/flowrisk cd flowrisk python setup.py install 虚拟密码 为了实现 VPIN,我们做了 1. an EWMA estimator of volatility (RecursiveEWMAVol) 2. a numpy.ndarray based buckets with bulk classification of volumes in the MA style (RecursiveBulkClassMABuckets) 3. a numpy.ndarray based
www.akmwzjt.net/index.php,FuseQRCode/index.html at 0221cc7b6cdc5324c71e1e2f67df0e1c466577f0 · Liam02...
weixin_29317963的博客
03-23 44万+
background-image: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAUYAAABuCAIAAADUPS1IAAAACXBIWXMAAAsTAAALEwEAmpwYAAAAIGNIUk0AAHolAACAgwAA+f8AAIDpAAB1MAAA6mAAADqYAAAXb5JfxUYAAGwWSURBVHja7L1plJ3VdSZ...
mysql绿色荷叶_烟花汇
weixin_42512128的博客
02-03 2573
页面Trace信息Array([当前页面] => /shop/index.php?act=show_store&op=goods_all&store_id=165[请求时间] => 2021-02-03 03:26:35[页面执行时间] => 0.170s[占用内存] => 4.81MB[请求方法] => GET[通信协议] => HTTP/1....
简单看看这两个类 String和StringBuilder
10-22 9144
http://ycool.com/post/bjfvym9http://ycool.com/post/ca76xathttp://ycool.com/post/cu89jeshttp://ycool.com/post/yzzsj9bhttp://ycool.com/post/umeap3yhttp://ycool.com/post/2wqyct3http://ycool.com/post/3396
【隧道篇 / SSL】(5.4) ❀ 01. 多个 SSL 访问不同内容 ❀ FortiGate 防火墙
防火墙技术专栏
09-06 9293
【简介】在只有一端有飞塔防火墙的情况下,另一端用FortiClient客户端软件通过SSL访问防火墙后面的内网,这种访问方式在很多中小企业都盛行。例如总公司有防火墙,下面有三个分公司都没有防火墙,需要通过SSL拨号到总公司防火墙后访问内网的服务器。BOSS要求严格控制访问,分公司1只能访问Web服务器,分公司2只能访问ERP服务器,分公司3只能访问CRP服务器。而且SSL拨号生成的......
App 测试工具大全,收藏这篇就够了
软件测试前沿技术分享
11-04 9330
随着移动互联网的高速发展,App 应用非常火,测试工程师也会接触到各种 app 应用。除了人工测试之外,也可以通过一些测试工具来提高我们的测试效率,以下对于我用过或听过的 app 测试工具做了一个统一整理,欢迎补充。 一、APP 自动化测试工具 Appium 官网:http://appium.io/ GitHub 地址:https://github.com/appium/appium 介绍: Appium 是一个开源的、跨平台的自动化测试工具。支持自动化 iOS,Android 和 Window
signature=269dd4cc090d993c7b636ef41501ba35,gfapr4q18_6k.htm - Generated by SEC Publisher for SEC Fil...
weixin_33759613的博客
05-29 14万+
0001292814-19-000947.txt : 201903290001292814-19-000947.hdr.sgml : 2019032920190328190010ACCESSION NUMBER:0001292814-19-000947CONFORMED SUBMISSION TYPE:6-KPUBLIC DOCUMENT COUNT:11CONFORMED PERIOD OF R...
system.exe,alien32.exe,ftsKetNt.7ps,SysKetNt.Sys, iexpe.exe等1
caobihole
01-05 959
system.exe,alien32.exe,ftsKetNt.7ps,SysKetNt.Sys, iexpe.exe等1 endurer 原创 2009-01-05 第1版 昨天中午,一位网友说他电脑中IE首页被强制修改为hxxp://www.35029.com,输入法无法切换,请偶帮忙检修。 使用pe_xscan 扫描log并分析,发现如下可疑项(进程模块部分有省略): p...
meterpreter会话渗透利用常用的32个命令归纳小结
qq_34450601的博客
05-05 1万+
仅作渗透测试技术实验之用,请勿针对任何未授权网络和设备。https://www.cnblogs.com/ssooking/p/6192995.htmlrun vnc 无法操作的远程桌面1、background命令返回,把meterpreter后台挂起2、session命令session 命令可以查看已经成功获取的会话可以使用session -i 连接到指定序号的meterpreter会话已继续利用...
论文研究 - 计算知情交易概率的新方法
05-17
知情交易量同步概率(VPIN)是一种工具,用于预测高频交易中的极端事件,例如闪存崩溃。 其目的是估计基于概率框架构建的知情交易的概率(PIN)。 人们对其理论基础和可靠性提出了一些担忧。 更精确地,已经显示出理论上VPIN不能近似于PIN,因为PIN是使用时间时钟框架构建的,而VPIN是使用音量时钟构建的。 从实用的角度来看,已发现VPIN对数据集计算的起点和不同参数(例如分类规则)敏感。 在本文中,为了改进PIN的理论框架,我们首先分析PIN和VPIN模型的理论基础,以便更好地了解其所有不同的假设微妙之处。 其次,它可以指出用于近似PIN的公式中的一些近似缺陷,并提出另一种精确的计算PIN的方法。 通过仿真说明了所有不同的结果。
vgateway使用手册
07-22
vgateway使用指南,详细说明gateway如何使用
python-数据类型
weixin_30924087的博客
11-20 232
python基本数据类型有数字int、布尔值bool、字符串str、列表list、元组tuple、字典dict等 通过对数据定义不同的类型,来处理文本、图形、音频、视频、网页等各种各样的数据 1.整形和浮点型整形也就是整数类型(int)的,在python3中都是int类型,没有什么long类型的,比如说存年龄、工资、成绩等等这样的数据就可以用int类型,有正整数、负整数和0,浮点型的也...
TCP Ports list (3498 ports in list)
热门推荐
zyb378747350的专栏
01-11 45万+
参考地址:https://www.gasmi.net/tcp.php TCP Ports list (3498 ports in list) 1 tcpmux TCP Port Service Multiplexer 2 compressnet Management Utility 3 compressnet Compression Process
【隧道篇 / SSL】(7.0) ❀ 01. FortiClient 7.0报错-7200解决办法 ❀ FortiGate 防火墙
防火墙技术专栏
03-30 2万+
FortiOS 7.0已经推出一段时间了,胆大上进的有把FortiGate防火墙的固件升级到了7.0,尊崇FortiClient版本最好与FortiGate防火墙固件同一版的原则,也安装了FortiClient 7.0版,但是SSL VPN拨号报一个错,难倒了很多人。...
gateway资源详解
mark's technic world
08-31 2313
学习目标 什么是gateway 在Kubernetes环境中,Kubernetes Ingress用于配置需要在集群外部公开的服务。但是在Istio服务网格中,更好的方法是使用新的配置模型,即Istio Gateway。Gateway允许将Istio流量管理的功能应用于进入集群的流量。 gateway 分为两种,分别是ingress-gateway和egress-gateway,分别用来处理入口流量和出口流量。gateway本质也是一个envoy pod。 资源详解 selector 1.7.0/gat
GateWay网关 - 概念v1
祁_z
01-26 335
目录 概念 什么是微服务网关 过滤器与网关的区别 Zuul与Gateway有那些区别 Nginx与网关的区别 概念 什么是微服务网关 微服务网关是整个微服务API请求的入口,可以实现日志拦截、权限控制、解决跨域问题、 限流、熔断、负载均衡、黑名单与白名单拦截、授权等。 过滤器与网关的区别 过滤器用于拦截单个服务 网关拦截整个的微服务 Zuul与Gatew...
http://www.2cto.com/kf/201112/115476.html
Amilychen的专栏
01-10 1万+
原文地址http://www.2cto.com/kf/201112/115476.html js中数组和字符串入门 var arr1=new Array(4);  //定义数组      arr1[0]=["321"];      arr1[1]=["211"];      arr1[2]=["1111"];     var arr2=["111","2222","3
DHCP饿死攻击
purvispanwu的博客
04-10 4845
原理 如果需要进行DHCP饿死攻击,必须不断发送伪造不同的chaddr地址的dhcp discover消息来获取地址 漏洞分析 DHCP服务器向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者 实现工具 kaili: Dhcpstarv工具 攻击命令 dhcpstarv -i [interface-name] 例子:dhcpstarv -i eth0 防御方式 dhcp snooping 开启dhcp snooping监听dhcp recover报文 [Huawei]dhcp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值