51【网络安全】【构建SSL VPN】

构建SSLVPN【实验名称】构建SSLVPN【实验目的】学习配置SSLVPN隧道，加深对SSLVPN的理解。【背景描述】某地公司为了员工出差时能随时随地和公司总部联络，包括业务处理、资源访问、资源共享等等，希望员工能够接入到公司网络中。同时出差员工可能会使用不同的电脑，所以公司不希望员工通过使用额外软件实现接入，这就要求提供一种安全、灵活、快速、方便地远程接入方式。【需求分析】需求：解决决出差员工和公司之间通过Internet进行数据传输的安全问题，以及使用快速、便捷、灵活的方式进行接入。分析：通过使用SSLVPN技术，远程用户可以接入到公司内部网络，并且与公司内部的通信数据在Internet上传输时都是经过加密的。此外，SSLVPN的最大优势时部署灵活、方便，无需预先为远程接入PC安装远程接入软件（例如IPsec客户端等），真正地实现了零配置接入。【实验拓扑】【实验设备】RG-WALLV1000VPN网关1台路由器1台PC4台【预备知识】69网络基础知识网络安全基础知识VPN基础知识SSLVPN的基本工作原理理解HTTP、HTTPS协议的基本知识【实验原理】锐捷SSLVPN采用IPTunnel技术，除了能支持B/S应用，也能够支持各种C/S应用，对所有的基于IP层以上的静态或动态接口以及端口应用完全支持，包括：网上邻居、文件共享、FTP、OUTLOOK、SQL、LotusNOTES、SYBASE、ORACLE等各种应用。锐捷SSLVPN还支持终端用户对内网单台机器或保护子网的访问。这样公司员工无论在哪里，只要能够通过互连网登录网通总部SSLVPN，即可访问网通内网服务资源，从而达到正常处理公司业务的目的。终端用户在使用SSLVPN的时候，不需要安装客户端，只需要通过标准浏览器打开SSLVPN的登录界面之后，安装一个ActiveX控件，在客户端的机器上会自动生成一块专门用于SSLVPN通信的虚拟网卡，从而保证SSLVPN的用户能够使用所有基于IP网络层的应用。【实验步骤】第一步：准备好PC机和服务器在服务器PC上安装VPN管理软件。具体的安装过程不在这里进行详述。第二步：搭建拓扑，配置IP地址按照拓扑图搭建实验拓扑，并根据如下编址方案配置各设备的IP地址:VPN设备的eth1口地址：192.168.1.1VPN设备A的eth0口地址：10.1.1.1PC的IP地址：192.168.2.1PC的网关地址：192.168.2.2FTP服务器的IP地址：10.1.1.2FTP服务器的网关地址：10.1.1.1Web服务器的IP地址：10.1.1.3Web服务器的网关地址：10.1.1.1远程桌面管理服务器的IP地址：10.1.1.4远程桌面管理服务器的网关地址：10.1.1.1Router的F0/0地址:192.168.1.2Router的F0/1地址:192.168.2.2这里PC及Router地址的配置方式不再进行详述。通过服务器的超级终端，在命令行下配置VPN网关的接口地址，操作如下：70注意：VPN网关出厂时eth1口默认地址为192.168.1.1/24。并且在该实验中，我们需要在VPN网关的eth1接口配置默认网关，网关地址为Router的F0/0接口地址。第三步：配置SSLVPN参数通过服务器上的VPN管理软件登录VPN网关。1、资源的添加在VPN网关管理界面的目录树中点击“虚拟专用网”—“SSLVPN”，如图所示：选择SSLVPN菜单中的“资源管理”，进行SSLVPN资源添加，内网服务资源包括：FTP服务资源、Web服务资源、远程桌面管理资源。71点击资源管理的工具栏中“添加资源”按扭，可以添加资源。如下配置为添加内网FTP服务资源：如下配置为添加内网Web服务资源：72如下配置为添加内网远程桌面管理服务资源：73添加成功后资源列表显示如下：2、远程用户管理在目录树上点击“远程用户管理”，弹出用户管理窗口，如下图所示。本地认证数据库用户就是网关本地用户，这些用户会自动出现在用户管理的本地认证数据库用户栏中。在本地用户数据库中添加本地用户“1a”，该用户为SSLVPN登录用户，添加“1a”用户，并设置相应的口令，如图所示：74添加成功后，如图所示：在远程用户管理工具栏中，选择“用户管理”，把“1a”用户从本地数据库加入SSLVPN用户，如图所示：753、分配用户和资源在VPN网关管理界面中选择【SSLVPN】—【用户组管理】，打开用户组管理界面，如图所示，用户组管理分为三大部分，添加用户组，为用户组分配用户和为用户组分配资源添加一名字为“1”的用户组，如图所示：添加成功后，如图所示：76选中要进行分配用户的用户组，再点击工具栏中的【分配用户】按钮，就可以对选中的组进行用户分配，选中“1a”用户，如下图所示：选中要进行分配用户的用户组，再点击工具栏中的【分配资源】按钮，可以为用户组分配已存在的资源，选中刚才添加的3个内网服务资源，如下图：77分配用户和资源成功后，如图所示：4、SSLVPN用户特征码设置在远程用户管理的工具栏中，选择“SSL用户特征码表”，把用户接入策略由“禁止接入”改为“允许接入”，如图所示：785、参数设置在点击参数设置的工作界面中，如下图所示，可以进行如下操作：SSL隧道设置：可设置SSL隧道通信协议的类型(目前主要支持协议为UDP和TCP方式)、SSL隧道监听的端口、是否采用加密及验证算法；虚IP地址池：这些地址将用于对登录SSLVPN的用户分配虚拟IP地址连接超时：这个超时时间是用于限制用户连续两次点击页面之间的间隔时间，如果用户在这个间隔时间内没有进行操作，网关会将其视为超时。定制界面:可以设置LOGO图片及客户端浏览器的标题栏信息，如图所示：79注：上述参数可以根据用户实际需求改变，一般情况下不需要更改，保持默认设置即可。第四步：SSLVPN用户登录1、插件与SSLVPN客户端程序的安装在浏览器地址栏中输入，访问SSLVPN的登录页面。登录是有三种登录方式，此实验只选择用户名口令方式登录。点击该方式，将出现如下图所示的登录提示框：80如果首次使用SSLVPN，输入用户“1a”正确的用户名口令及验证码，点击登录，系统会自动安装插件和SSLVPN客户端，如图所示：安装插件和SSLVPN客户端，如图所示：81弹出如下窗口时，点击仍然继续，如图所示：完成SSLVPN客户端的安装。2、内部资源的访问安装完插件和SSLVPN客户端后，客户端登录成功，在浏览器的服务资源列表中可以看到能够访问的服务器资源，如图所示：82内网FTP服务资源的访问：直接点击浏览器的服务资源列表中的“FTP服务资源”，即可对内网FTP服务器进行下载、上传、删除等操作，如图所示：内网Web服务资源的访问：直接点击浏览器的服务资源列表中的“Web服务资源”，即可访问内网Web服务资源10.1.1.3，如图所示：83内网远程桌面管理服务资源的访问：在windows系统pc上的远程桌面连接程序，在计算机栏中输入10.1.1.4，点击“连接”，即可成功连接到需要访问和操作的内网服务器，如图所示：【注意事项】z在IE浏览器的URL地址栏中，必须输入，而非。84z网关上“SSLVPN用户特征码设置”选项默认配置为“禁止接入”，必须改为“允许接入”，否则客户端无法登录成功。z客户端软件安装过程中，弹出如下硬件安装提示窗口，必须点击“仍然继续”，否则客户端登录不成功。z如出现客户端或插件无法自动安装，请检查客户端PC是否因为防火墙阻止了其安装。z如发现客户端登录后访问资源不成功，且客户机任务管理器中无sslvpn.exe进程，请卸载SSLVPN客户端后重新安装。z在网关本地数据库中添加用户后，必须点击“用户生效”，否则用户无法登录SSLVPN。85