基于企業(yè)網(wǎng)的SSLVPN配置案例分析

黃祎

摘 要：SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。本文簡要論述了SSL VPN的特點(diǎn)，針對SSL VPN的案例，給出了配置的基本方法和步驟。

關(guān)鍵詞：SSL VPN；TCP；IP；Router

一、概述

SSLVPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。

二、需求分析

某公司希望通過Router與Internet相連，希望處于外網(wǎng)的合作伙伴在終端配置最少的情況下隨時(shí)隨地安全訪問該公司內(nèi)網(wǎng)基于TCP的資源。具體如圖1所示。

基于TCP的資源如下：

（1）與企業(yè)內(nèi)網(wǎng)主機(jī)PC1實(shí)現(xiàn)桌面共享（TCP端口號：3389）。

（2）通過Telnet方式遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)器（TCP端口號：23）。

（3）在Router上配置SSLVPN的端口轉(zhuǎn)發(fā)業(yè)務(wù)，合作伙伴使用終端的普通瀏覽器。

（4）可以安全訪問以上企業(yè)內(nèi)網(wǎng)的TCP資源。

Router所需證書通過離線方式獲取，并且證書已保存在Router的存儲介質(zhì)上：

數(shù)字證書名為rt_ca.pem，私鑰文件名為rt_pri.pem。

圖1.配置端口轉(zhuǎn)發(fā)業(yè)務(wù)組網(wǎng)圖

三、配置思路

（1）配置Router與外網(wǎng)遠(yuǎn)程終端路由可達(dá)。

（2）配置HTTPS服務(wù)器功能，使遠(yuǎn)程用戶可以安全地訪問SSLVPN網(wǎng)關(guān)。

（3）為避免與其他業(yè)務(wù)沖突，修改SSLVPN的偵聽端口號。

（4）創(chuàng)建遠(yuǎn)程用戶的用戶信息，指定合作伙伴接入SSLVPN網(wǎng)關(guān)。

（5）創(chuàng)建虛擬網(wǎng)關(guān)并配置虛擬網(wǎng)關(guān)基本參數(shù)。

（6）在虛擬網(wǎng)關(guān)配置端口轉(zhuǎn)發(fā)業(yè)務(wù)，實(shí)現(xiàn)合作伙伴訪問企業(yè)內(nèi)網(wǎng)基于TCP的資源。

四、操作步驟

（1）配置接口的IP地址和到目的端的靜態(tài)路由，假設(shè)缺省路由的下一跳地址為202.1.1.10，到達(dá)PC1和應(yīng)用服務(wù)器的下一跳地址為192.168.1.10。

（2）配置HTTPS服務(wù)器功能。

（3）修改SSLVPN的偵聽端口號為1025。

（4）創(chuàng)建遠(yuǎn)程用戶的用戶信息。

（5）創(chuàng)建虛擬網(wǎng)關(guān)gateway1并配置虛擬網(wǎng)關(guān)基本參數(shù)。

（6）在虛擬網(wǎng)關(guān)gateway1上配置端口轉(zhuǎn)發(fā)業(yè)務(wù)，實(shí)現(xiàn)合作伙伴訪問企業(yè)內(nèi)網(wǎng)基于TCP的資源。

（7）檢查配置結(jié)果。

合作伙伴在瀏覽器輸入虛擬網(wǎng)關(guān)地址“https：//202.1.1.9：1025/gateway1”，進(jìn)入SSLVPN網(wǎng)關(guān)登錄頁面。輸入用戶名和密碼，認(rèn)證成功后，在“端口轉(zhuǎn)發(fā)”頁簽查看可以訪問的TCP資源列表，單擊“啟動”后，通過桌面共享應(yīng)用程序可訪問PC1，通過Telnet應(yīng)用程序可訪問應(yīng)用服務(wù)器。

五、公司出差人員與臨時(shí)客戶組網(wǎng)

某企業(yè)通過Router與Internet相連，企業(yè)希望處于企業(yè)外網(wǎng)的客戶在終端配置最少的情況下隨時(shí)隨地安全訪問企業(yè)內(nèi)網(wǎng)的Web資源。

在Router上配置SSLVPN的Web代理業(yè)務(wù)，客戶使用終端的普通瀏覽器可以安全訪問企業(yè)內(nèi)網(wǎng)Web資源。

操作步驟：

（1）配置接口的IP地址和到目的端的靜態(tài)路由，假設(shè)缺省路由的下一跳地址為202.1.1.10，到達(dá)Web服務(wù)器的下一跳地址為192.168.1.10。

（2）通過DNS域名形式訪問Web資源時(shí)，還需要配置動態(tài)域名解析功能（Router到DNS服務(wù)器的路由略）。

（3）配置HTTPS服務(wù)器功能。

（4）修改SSLVPN的偵聽端口號為1025。

（5）創(chuàng)建遠(yuǎn)程用戶的用戶信息。

（6）創(chuàng)建虛擬網(wǎng)關(guān)gateway1并配置虛擬網(wǎng)關(guān)基本參數(shù)。

（7）在虛擬網(wǎng)關(guān)上配置Web代理業(yè)務(wù)，實(shí)現(xiàn)客戶訪問企業(yè)內(nèi)網(wǎng)的Web資源。

六、結(jié)論

結(jié)果表明，配置是正確和成功的，能夠滿足公司網(wǎng)絡(luò)需求。

參考文獻(xiàn)：

[1]鄭化浦、劉帥.SSLVPN網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].河南城建學(xué)院學(xué)報(bào)，2013，（04）：56-61

[2]芮坤坤.基于SSLVPN的網(wǎng)絡(luò)安全研究與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息，2011，（11）：78-83

[3]Timothy Srtayer. Privaey IssuesinVirtual Private Networks[J].Computer communications，2010，（02）：25-33