Cisco SSL 虚拟私有网络

最新推荐文章于 2023-12-30 12:02:48 发布
最新推荐文章于 2023-12-30 12:02:48 发布
阅读量1.8k 收藏
点赞数
分类专栏: 安全设备 文章标签: ssl 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/121328108
版权

SSL 虚拟私有网络 (Secure Sockets Layer 虚拟私有网络 )是以HTTPS为基础的安全接入的虚拟私有网络 技术,它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制,为用户远程访问公司内部网络提供安全保障。
SSL 虚拟私有网络 网关部署在企业网等内部网络的边缘,与安装在远程终端上的浏览器以及可以从浏览器自动下载的客户端软件配合,通过SSL协议保护在Internet上传输的业务数据,并代理用户对内网服务器的访问。

SSL 建立的两个阶段

第一阶段:协商加密算法、认证服务器、建立用于加密和MAC(Message Authentication Code)用的密钥 (IPSEC ISAKMP)
第二阶段 Secure data transfer phase (安全的数据传输阶段)在已经建立的SSL连接里安全的传输数据(类似IPSEC ESP)

SSL 三大协议: Record protocol Handshake protocol Application Data protocol

Handshake protocols四大任务

Handshake protocols(握手协议)用、建立SSL馨户和服务器之间的连接,这个过程由如下这几个主要任务组成:

  1. Negotiate security capabilities(协商安全能力):处理协议版本和加密算法
  2. Authentication(认证》:客户认证服务器,当然服务器也可以认证客户。
  3. Key exchange(蜜钥交换):双方交换用于产生master keys(主密钥)的密钥或信息。
  4. Key derivation(密钥引出)双方引出master secret (主秘密)这个主秘密用于产生用于数据加密和MAC的密钥

DTLS介绍

受限于SSLLS的原因是TLS就像TCP一样需要亠个可靠的数据信道,TLS提供了可靠的,顺序的传输还有流控技术·它不适合对数据报提供安全防护。SSL虚拟私有网络 可以封装IJDP运用,并且在建立于TCP之上的TLS连接里传输。但是这样做的效率非常差,特别是SSL虚拟私有网络 处理实时运用的时候。我们可以考虑这样的情况,当我们在互联上传输volP流量,这些流量可能会出现失序,去包和拥塞。但是如果V。IP使用SSL传输,因为TCP的原因它回去尝试重传丢失的数据报或者在丢包严重的时候运用流控技术。这些行为都会为VP流量极大的增加延时和抖动,让用户体验变得很差。EricRescorla和NagendraM0dadugu设计了datagramTL$SDTLS)来解决上述问题这个技术使用UDP来传GTLS.

SSL虚拟私有网络 特点

  1. 不需要预先安装客户端软件
  2. 使用标准的网页游览器建立远程虚拟私有网络 连接。
  3. 使用游览器拥有的SSL安全技术提供数据私密性,完整性校验和源认证。
  4. 提供细致的访问控制。
  5. 客户端运用程序可以通过多种方式动态的下载,例如:接时在线下通过java,activex或者exe文件分发。
  6. 为连接互联网的系统灵活的建立VP连接,不管这个系统是否被公司管理
  7. 在任何地点都能轻松的穿越防水墙和网络
  8. 支持透明的无线漫游
  9. 可以使用集成的IOS防火墙提供增强的安全性

实验

  • ip local pool sslpool 123.1.1.100-123.1.1.200
  • access-list split standard permit 10.1.1.0 255.255.255.0
  • webvpn
  • enable outside
  • anyconnect image disk0:/anyconnect-win-4.4.02034-webdeploy-k9.pkg 1
  • anyconnect enable
  • port-forward insideroutertelnet 6666 10.1.1.1 telnet
  • tunnel-group-list enable
  • webvpn
  • url-list value insidehttp
  • port-forward auto-start insideroutertelnet
  • group-policy ClientlessGroupPolicy internal
  • group-policy ClientlessGroupPolicy attributes
  • banner value welcome to lxf
  • vpn-tunnel-protocol ssl-client ssl-clientless
  • split-tunnel-policy tunnelspecified
  • split-tunnel-network-list value split
  • address-pools value sslpool
  • username ssluser password gk9oE/PyBlKdYjIV encrypted
  • username ssluser attributes
  • vpn-group-policy ClientlessGroupPolicy
  • vpn-framed-ip-address 123.1.1.66 255.255.255.255

截图

期待未来的男孩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel
Jian Sun_的博客
02-28 431
如果显示“Premium AnyConnect license is not enabled on the ASA.”(ASA 上未启用高级 AnyConnect 许可证)消息,则表明 AnyConnect 高级版许可证未安装在 ASA 上或未使用。12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel。从上图,电脑的路由表中可以看出,所有的流量默认从vpn走。(11)启用基于SSL协议的VPN连接。
ASA Remote Access ***隧道分离+ACL过滤配置
weixin_33829657的博客
02-20 1328
Cisco ASA IPSec ×××隧道分离配置对通过××× Client访问的终端用户进行组策略隧道分离配置,并限定终端访问主机。本例中,filtertest组只能访问主机 192.168.2.10,ipsectest组可访问网络192.168.2.0/24。防火墙: ASA5505 V8.2(5)×××终端: Windows 7 64bit系统、***client...
转载——Cisco ASA5510防火墙IP secure 配置
lina_999的博客
12-29 3558
小鸟前几天遇到要修改防火墙超时时间和生命时间,特意找文档看了下,现在分享给碰壁的童靴 原地址 :http://wenku.baidu.com/view/e8bda8c56137ee06eff918b0.html             1、IPSECIPSEC  VPN  VPN 基本配置基本配置  access-list nono--nat extended permit ...
Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)
cheng198956的专栏
08-20 661
前言:上一篇博文写了Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题),是基于公司网关设备是路由器的情况下,那么,如果是ASA防火墙的话,又该怎么配置呢?关于理论部分,在前面提到的博文链接中已经写的挺详细了,可以参考那篇博文的理论部分,这里就直接上配置了。 该博文关于虚拟专用网的理论知识点比较少,因为我之前写过好几篇虚拟专用网的博文了,所以关于原理方面不会重复写,若想了解原理,...
思科SSL VPN三大场景配置(大学生易读版)
最新发布
qq_74338624的博客
12-30 1886
拓扑如上,其中为了方便查看效果,与防火墙建立ssl vpn的右端采用win10的虚拟机,左边r1作为内部资源,也是win10的访问对象。在配置之前,先满足防火墙在路由协议的支持下win能和防火墙建立连接,并且防火墙初始化后且能通过asdm登录,除此外r1上开启http服务并且确保win上网络适配器联通。
防火墙的×××配置
weixin_33763244的博客
01-08 174
前段时间完成了防火墙的×××配置,辛苦了好长一段时间,总算是功德圆满。下面的完成的笔记,以记录。ip local pool testpool 172.19.100.1-172.19.100.254 mask 255.255.255.0 (第一步)// 建立一个地址池名为testpool access-list inside_nat0_outb...
虚拟网络环境应用配置实例
04-15
GNS3是一个基于 Dynamips、QEMU、IOU (Cisco IOS on Unix) 和其他虚拟化技术的图形化网络模拟器。它支持多种网络设备模型,包括Cisco IOS、Juniper JunOS等,可以创建逼真的网络实验环境。 在“虚拟网络环境应用...
GNS.rar网络虚拟软件
01-23
GNS3是一款具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS等)的网络虚拟软件。Cisco网络设备管理员或是想要通过CCNA,CCNP,CCIE等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。...
GNS3思科网络虚拟软件
10-15
亲测试,绝对能用,带中文切换的好东东,网络仿真必备,思科仿真软件。
华为,思科 IPsec 虚拟专用网络 学习手册
11-06
路由交换技术,IPSec 虚拟专用网络 最全的学习手册,内容详细介绍了IPSEC 的原理,并有实验详细操作,让你一学就会!
思科Cisco网络技术视频教程
07-23
教程名称:思科(Cisco)网络技术视频教程     课程目录: 【】中科院思科(Cisco)网络技术视频教程第01讲1 【】中科院思科(Cisco)网络技术视频教程第01讲2 【】中科院思科(Cisco)网络技术...
(ASA) Cisco SSL 虚拟专用网配置详解
运维密码
06-01 1645
环境 ASA5550防火墙一台 交换机两台 SDWAN设备一台 网段划分 公网 10.10.10.180 掩码24 网关10.10.10.1 内网 192.168.101.0/29 管理 10.201.100.1 掩码 24 SDWAN互联地址192.168.101.0/29 拓扑图 1、ASA基本配置。 conf t hostname FW-5550 clock t...
(ASA) Cisco SSL ××× 配置详解 [三部曲之二]
weixin_34071713的博客
03-25 181
(ASA) Cisco SSL ××× 配置详解 [三部曲之二] 本文对SSL ×××配置进行介绍,请先阅读本版中的“Cisco Web ×××配置详解”。 sslweb.jpg (42.91 KB) 06-11-23 19:351、ASA基本配置。ciscoasa(config)# int e0/0ciscoasa(confi...
Cisco SSL *** 配置实例
weixin_34418883的博客
12-15 327
Cisco SSL *** 配置实例   具体配置见附件:
AWS上配置Cisco ASAv AnyConnect
liuqianglong_liu的博客
02-13 2206
这里演示了如何在AWS上搭建思科SSLVPN,用来解决员工远程办公的需求。文章需要你有一定的AWS和SSLVPN基础。 个人博客地址:https://liuqianglong.com文章视频地址:https://space.bilibili.com/408773931 1、实验简介 最近一直在研究思科防火墙的SSLVPN,用来解决员工远程办公的问题。传统上一般使用ASA55XX系列的硬件防火墙做SSLVPN,使用ASAv与使用硬件防火墙功能特性几乎没有区别。ASAv在vSphere和AW..
Cisco SSL ××× 配置实例
weixin_34418883的博客
10-19 186
注意:这里的配置是SSL ×××的隧道模式 一、网络拓扑图 二、SSL ××× Server 配置 软件版本:> Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(9)T1, RELEASE SOFTWARE (fc2) ××× 客户...
SoftEther 介绍
潇峰的博客
05-27 8122
特点 免费和开源软件。 轻松建立远程访问和站点到站点 VPN。 SSL-VPN 在 HTTPS 上通过隧道通过 NAT 和防火墙。 革命性的VPN over ICMP和VPN over DNS功能。 抵御高度受限的防火墙。 通过 VPN 的以太网桥接 (L2) 和 IP 路由 (L3)。 嵌入式动态 DNS 和 NAT 遍历,因此不需要静态或固定 IP 地址。 AES 256 位和 R...
天融信-SDP
潇峰的博客
04-24 5445
零信任的核心思想是“从不信任,持续验证”,通过软件来定义企业的安全边界,“数据在哪里,安全就在哪里”。天融信SDP方案 基于软件定义边界的理念, 方案可 覆盖终端安全、用户身份管理、网络安全、应用安全以及数据安全,帮助客户 解决 传统网络安全架构上的多个核心“痛点”。 1、以身份治理,建立新“边界” 企业远程办公、应用上云、协作办公的全新业务模式,导致网络安全边界逐渐模糊,基于物理边界的安全建设逐渐失效,导致企业内部攻击、外部威胁等安全问题不断增加。 天融信SDP方案基于以身份为信任机制的安全方案,通过身份
WSA 高级应用
潇峰的博客
01-20 4468
1.Block源自于10.1.1.2使用IE浏览器访问淘宝的HTTP/HTTPS流量,其他浏览器访问淘宝的HTTP/HTTPS流量需要使用AD账户进行认证: 测试 AD用户 非AD 用户 2.因公司需求,请针对AD用户组WSAGROUP2的用户进行如下限制: 1) 阻止FTP和FTP over HTTP,阻止IE; 2) 不允许用户在周一至周五早9:00-17:30上班时间访问京东,对访问百度进行Warn行为警告,对访问Cisco官网的流量重定向到w.
第1章.交换网络简介.pptx
03-25
"本资源是关于交换网络简介的PPT,主要内容涵盖了LAN设计、交换网络环境、网络融合以及思科无边界网络的概念。文件详细介绍了交换网络在中小型企业中的应用,包括数据、语音和视频网络的融合,以及无边界网络的层次...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值