博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!
前言:上一次我发表了easy ***的原理和配置,easy***的缺点就是需要在用户计算机安装特殊的软件,有时甚至还需要培训如何使用。并且,如果外出办公人员计算机上的终端软件出现问题,而其又不能自行解决时将无法访问公司内部的服务器,最终影响工作。那么,有没有一种更加方便的远程接入方式呢?
使用ssl***可以实现更加方便地远程安全接入。Ssl***不需要再用户计算机安装特殊软件,可以使用当前用户计算机上的浏览器安全地访问公司内部服务器。Ssl***除了浏览器访问外,还有通过浏览器自动安装客户端软件到用户计算机上。
一、SSL ***的原理
SSL ***是一种新兴技术,此技术通过网页浏览器的本地SSL加密,提供灵活、低成本的基于internet的远程访问解决方案。SSL***不需要在计算机中预先安装专用的客户端软件,任何可以访问internet的计算机都能建立SSL***会话,从而实现随时随地的网络访问。
SSL ***主要提供基于Web应用 程序的安全访问
SSL ***操作在OSI的会话层
Cisco将SSL ***称为Web ***
1、SSL***的客户端模式
如下图所示,以ASA安全设备作为***网关为例,实现SSL ***的两个组件包括SSL ***服务器和SSL ***客户端。
SSL ***可以按照以下三种访问方法进行部署。
1)无客户端模式
无客户端模式其实并不是完全没有客户端,而是使用计算机web浏览器进行远程访问,而不需要其他软件。
无客户端模式提供对网页资源的安全访问,以及基于网页内容的访问。无客户端模式还可以通过通用internet文件系统(cifs)提供远程文件共享,cifs在门户网页中列出一个文件服务器连接列表,从而使远程用户能够浏览列出的域、服务器、目录文件夹、文件等。无客户端模式的缺点是其只能保护web流量。
2)瘦客户端模式(也称作端口转发模式)
瘦客户端模式提供对基于tcp服务器的远程访问,如邮局协议pop3,简单邮件传输协议smtp,远程登录ssh等。瘦客户端模式在建立SSL ***会话后由SSL ***应用程序动态地下载java或activex程序到用户桌面,其允许一些非web的程序通过ssl ***进行传输。瘦客户端模式扩展了网页浏览器的加密功能。
3)胖客户端模式(也称作隧道模式或全隧道客户端模式)
胖客户端模式提供对大量应用程序支持的远程访问,可以通过下载SSL ***客户端(SSL *** client,SVC)软件,提供对所有应用程序的全网络层(第三层)的访问。使用胖客户端模时,其客户端软件一般在客户到中心站点建立SSL ***后,动态下载安装到用户计算机上。
由于需要在用户计算机上安装客户端,所有用户必须拥有其计算机管理员权限。若没有管理员权限则无法安装客户端,只能使用无客户端或瘦客户端模式。
2、ssl***的验证、加密和内容控制
Ssl***通常支持两种方式的验证,数字证书与用户名和密码。用户使用https协议进行访问,在获得证书后在web浏览器中输入用户名、密码进入,开始访问内容资源。
Ssl***使用ssl对数据流量进行加密,ssl是由netscape公司开发的。Ssl的最新版本为sslv3,其支持RC4,DES和3DES。经过发展,IETF基于SSL建立了一个传输层加密(TLS)的草案标准,RFC2246定义了TLS1.0。
对于无客户端或瘦客户端的ssl***来说,可以根据不同的用户来开放不同的应用程序从而对用户的访问进行控制。使用ssl ***的用户初始连接到一个web页面。使用用户名、密码登录页面,在页面中列出相应链接的列表,用户使用列表访问相应服务器。
3、ssl***的使用环境
用户是否使用Web浏览器访问应用程序
用户可能使用非私有计算机访问(网吧、图书馆等)
管理员对用户电脑的管理权较小,不能控制用户安装软件
除此之外,还要考虑非web的应用程序是否支持,这时就需要查看厂商所支持的非web程序额列表。这主要是由于非私有计算机上可能没有管理员权限而导致无法安装客户端所致。
胖客户端配置案例:
1、拓扑图
2、实验步骤:
1)替换ASA1的flash后启动拓扑。
使用下面的这个FLASH替换目标位置
(C:\Users\81959\AppData\Local\Temp\ASA1)的FLASH
注意:81959是我系统的名字,你以你的系统名字为准。
(注意:替换顺序是先开机,然后把防火墙关机,找到你电脑的FLASH路径替换,然后再把防火墙开机,然后再把防火墙关机,再开机,双击防火墙,输入“no”回车即可)
2)配置所有设备的IP地址和ASA1的路由(ISP不用配置)。
配置SW1的ip地址:
配置ASA1的地址和路由:
配置ISP的地址:
配置三台虚拟机的地址:
3)在PC1上安装web和ftp,并开启远程桌面。
配置www.lol.com网站:
4)在ASA1上配置ssl***。
5)在PC2上访问http://202.1.1.1,并且下载安装客户端,测试访问远程桌面、ftp、web。
在桌面右下角弹出了连接成功的提示:
双击右下角的图表,弹出下面的信息:
到此为止客户端安装成功了。
6)在客户端上测试访问内部网站、ftp、远程桌面。
点“开机”→“所有程序”→“附件”→“远程桌面连接”
但是此时无法访问internet网站202.3.3.100(因为没有做隧道分离与dns分离)。
断开连接后再次连接***,如下图:
再次浏览202.3.3.100:
同时也能访问内部的网站:
查看获取到的dns是192.168.1.100(这样就实现了dns分离,使用域名访问内网和外网的网站都可以)
再配置一个隧道组***_group1,然后设置用户zhengpengfei属于***_group,再创建一个新用户dabiaoge,让其属于***_group1,并测试隧道归属。
8)控制用户使用web界面的访问权限
首先编写一个XML文件,名称为url_list1.xml,文件内容如下:
然后把文件放到内网的192.168.1.100的ftp服务器的根目录下,用户名为zhengpengfei,密码为123-abc。在ASA防火墙上使用FTP服务将文件url_list1.xml导入到asa防火墙的url列表中。
查看现有url列表:
删除url列表:
revert web*** url-list url-list-name
//url-list-name是指url-list的名字
应用URL列表:
关闭地址输入栏的命令:
验证访问权限:
点一下webserver: