SSL VPN 之 Web资源访问实验

于 2024-08-12 10:57:39 发布
阅读量393 收藏 5
点赞数 11
分类专栏: 网络安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65150735/article/details/141122326
版权

实验背景

某单位在内网新部署一台SSLVPN 网关且采用单臂模式,实现外网便捷安全接入访问内部 Web 服务或应用,满足在电脑、智能手机等移动终端上访问具体 B/S 模式的办公应用。另外用户身份识别是安全接入的必要条件,在SSLVPN 网关上创建、维护用户接入的账户密码,实现用户账户管理。

实验拓扑

实验目的

实现企业内网 VPC 可以访问上公网

新增 SSL VPN 网关,掌握 ssl vpn 的配置方法

结合理论进一步理解外网用户通过sslvpn访问 web 资源的通信过程

实验步骤

VPC

指定 VPC 主机 ip 为 192.168.10.1,网关为 192.168.10.254

VPC>ip 192.168.10.1 255.255.255.0 192.168.10.254

VPC>ip dns 114.114.114.114 指定 dns 服务器

L2-Switch

Switch(config)#vlan 10
Switch(config-vlan)#exit

Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

L3-Switch

Switch(config)#vlan 10
Switch(config-vlan)#exit

Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit

启动路由功能
Switch(config)#ip routing

Switch(config)#interface van10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit

Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#interface g0/2
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.2.2.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#interface g0/3
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#exit

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2        配置上网的缺省路由,下一跳为边界路由器接口 g0/1

服务器区

用路由器模拟一台开放 TCP 80 端口的 OA 服务器

Router(config)#interface g0/0
Router(config-if)#ip add 192.168.2.88 255.255.255.0
Router(config-if)#no shutdown

Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机

Router(config)#ip default-gateway 192.168.2.1给主机配置默认网关指向核心交换机 g0/3
Router(config)#ip name-server 114.114.114.114 给主机配置 dns 服务器
Router(config)#ip http server 开启80端囗

Router(config)#username cisco privilege 15 password cisco 创建员工登陆 OA 服务器账号本地认证 OA

Router(config)#ip http authentication Local

公网边界

Router(config)#int g0/0
Router(config-if)#ip address dhcp

记住DHCP分配的地址 

Router(config-if)#ip nat outside
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface g0/1
Router(config-if)#ip address 10.1.1.2 255.255.255.252
Router(config-if)#ip nat inside
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#ip nat inside source static tcp 10.2.2.2 443 192.168.32.155 443  
边界接口地址临时映射,为了可以在物理主机上,通过 HTTPS 管理 SSL 网关。

Router(config)#ip route 10.2.2.0 255.255.255.0 10.1.1.1 回程
Router(config)#ip route 192.168.2.0255.255.255.0 10.1.1.1 回程
Router(config)#ip route 192.168.10.0 255.255.255.0 10.1.1.1 回程

配置SSL网关,实现公网用户可以通过 SSL VPN 访问内网 OA 办公系统应用

1.完成基本配置,实现通过 https 管理 ssl 网关

[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0]un shut
[H3C -Gigabitethernet1/0]ip address 10.2.2.2 255.255.255.252
[H3C -Gigabitethernet1/0] quit

[H3C]security-zone name Trust 创建安全区域
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0 绑定接
[H3C-security-zone-Trust]quit

[H3Clacl advanced 3000
[H3C-acl-ipv4-adv-3000]rule permit ip source any destination any
[H3C-acl-ipv4-adv-3000]quit

允许从trust区域到LOCAL区域流量
[H3C]zone-pair security source trust destination loca!
[H3C-zone-pair-security-Trust-Local]packet-filter 3000
[H3C-zone-pair-security-Trust-Local]quit

web管理的用户名为admin
[H3Cl local-user admin
[H3C-luser-manage-admin]service-type https
[H3C -luser-manage-admin] authorization-attribute user-role network-admin
[H3C -luser-manage-admin] password simple admin  认证密码为admin
[H3C-luser-manage-admin] quit

开启HTTPS 管理服务
[H3C] ip https enable
[H3C]ip route-static 0.0.0.00.0.0.0 10.2.2.1 配置默认路由,指向核心交换机,保证 ssl 网关与 OA服务器及公网互通

2.物理主机上,访问映射后的公网IP(HTTPS://192.168.142.138),管理 SSL网关

经过以上配置,且由于边界路由器已经给SSL网关做了静态映射,故可以在物理主机上,访问映射后的公网IP(HTTPS://192.168.32.155),管理 SSL网关,如下:

为使用SSLVPN 的移动用户创建用户名和密码

创建一个 sslvpn 网关并激活相应的配置

创建一个 sslvpn 访问实例、授权访问的web资源、资源组等

创建访问实例 

业务选择 Web

新建URL表项 

 新建URL列表

新建资源组

开启缺省 

启用访问实例 

因为使用防火墙作为 SSL VPN 网关,所以需要配置安全策略,允许相应的访问

注意,需要在边界路由器上,把 SSL 网关提供的 SSLVPN 服务静态映射出去

Router(config)#ip nat inside source static tcp 10.2.2.2 4430 192.168.32.155 4430

实验结果

在物理主机上,模拟公网用户登陆 SSL VPN

https://192.168.142.138:4430且访问 OA服务器

登录

无泡汽水
关注
  • 11
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙SSL VPN隧道连接实验配置
加油!
05-20 5975
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
SSL 部署实验
runtime888的博客
11-20 2174
实验拓扑 图 1-1 实验需求 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,部署 SSL VPN 服务 深圳总部拥有 2 条公网线路,要求自动选择更快的线路接入,提升用户体验 实验解法 在深圳总部的公网出口设备上配置端口映射,使 SSL VPN 设备公网可见   分析:由于 VPN 设备旁挂在内网中,所以需要在各自的公网出口设备上配置端口映射。SSL VPN 需要映射 TCP443 端口   要求 2 条公网线路自动选择更快的路线,所以这里对电信和联通的端口都需要映射  .
华为防火墙配置 SSL VPN
走马
06-09 2582
哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。
实验篇(7.2) 05. 通过浏览器访问远端内网服务器 (SSL) ❀ 远程访问
防火墙技术专栏
06-01 3238
直接将内网服务器映射成公网IP,可以方便的从任何地方访问服务器的指定端口,但是这种方式下,服务器是公开且暴露的。那有没有即方便、又比较安全的远程访问服务器的方法呢?我们来看看SSL VPNWeb模式。
思科SSL VPN三大场景配置(大学生易读版)
qq_74338624的博客
12-30 1997
拓扑如上,其中为了方便查看效果,与防火墙建立ssl vpn的右端采用win10的虚拟机,左边r1作为内部资源,也是win10的访问对象。在配置之前,先满足防火墙在路由协议的支持下win能和防火墙建立连接,并且防火墙初始化后且能通过asdm登录,除此外r1上开启http服务并且确保win上网络适配器联通。
SSL访问控制
衡水铁头哥的博客
07-16 2091
1、引入 字面上看,SSL VPN由两部分组成,分别是SSLVPNSSL为Secure Sockets Layer,安全套接字层,是一个安全协议,为基于TCP的应用层协议提供安全连接(如HTTP和HTTPS的关系)。VPN即Virtual Private Network,虚拟专用网络,一般用于在公共网络上建立专用网络,进行加密通讯。VPN一般通过对数据包的加密和数据包目的地址的转换实现远程访问SSL VPN是以SSL为基础的VPN技术,通过建立SSL连接来实现访问转发。它充分利用了SSL协议提供
SSL 资源发布实验
runtime888的博客
11-20 430
实验拓扑 图 1-1 实验需求 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,在总部部署 SSL VPN 服务器 发布总部的 Web 服务资源,要求不需要客户端安装任何插件即可访问该网站 发布总部 172.172.3.200 上的远程桌面(3389),使远程用户可以通过远程桌面管理该服务器 要求远程用户接入 SSL VPN 后,可以 Ping 通 172.172.3.200 发布远程应用服务器 172.172.3.150 上的 IE 应用,使远程的非 Windows 终端也
神州数码防火墙(DCN)NAT SSL-VPN配置
qq_50966485的博客
01-09 1696
SSL-VPN是基于应用层的VPN,采用SSL协议来实现远程接入的一种新型VPN技术,比L2TP更加灵活的VPN方案。是天然的安全远程接入方案。用户可以通过浏览器的HTTPSs登录VPN的网址。SSL-VPN的认证方式包括LDAP,radius,CA,USB Key等方式。 SSL VPN的主要应用场景是保证远程用户能够在企业外部安全\高效的访问企业内部的网络资源
SSL——ASA防火墙——Cisco实验(详解)
杰森斯坦陈的博客
04-07 3254
a's'dasd
实验:基于CA的安全Web访问优质资料.doc
12-01
实验:基于CA的安全Web访问网络安全课程中的一个重要实践环节,旨在让学生掌握如何建立和使用证书服务,以确保Web通信的安全性。在这个实验中,主要涉及以下几个核心知识点: 1. **证书服务安装**:证书服务...
web资源web资源
10-09
Web资源是指在万维网(World Wide Web)上可以访问的各种信息和数据,包括但不限于网页、图像、视频、音频、文档等。这些资源通过HTTP(超文本传输协议)或HTTPS(安全超文本传输协议)进行交换,使得全球用户能够...
演示:使用PKI架构保护Web访问的安全实现SSL
03-02
使用PKI架构保护Web访问的安全SSL如下图3.57所示。微软windows2003服务器集成的IIS组件、证书组件。在该环境中,首先要部署192.168.201.100为网络中的DNS和Web服务器,关于它的部署不是本书所描述的范围,所以请教师...
Nginx集群之SSL证书的WebApi微服务
11-29
Nginx使用SSL模块可以支持WebApi的https访问,增加了访问的安全性。SSL模块,具体可以参考Nginx中文文档的SSL*模块。WebApi基于SSL协议数据传输的加密, 保证了通信的安全性。SSL的功能包含了建立服务器与客户之间...
web安全和ssl优化
03-20
Web 安全是指保护 Web 应用程序和用户数据免受未经授权的访问、使用、披露、修改或破坏的安全措施。Web 安全涉及到多个方面,包括网络协议、身份验证、授权、加密、输入验证、错误处理等。 SSL(Secure Sockets ...
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 880
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 352
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
OSPF小实验
sgdhshshhs的博客
08-07 394
【代码】OSPF小实验
mpls vpn基础实验
最新发布
wudongfang666的专栏
08-10 375
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值