資源描述:
《【網(wǎng)絡(luò)安全】【構(gòu)建SSL VPN】.pdf》由會(huì)員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、構(gòu)建SSLVPN【實(shí)驗(yàn)名稱】構(gòu)建SSLVPN【實(shí)驗(yàn)?zāi)康摹繉W(xué)習(xí)配置SSLVPN隧道�����,加深對SSLVPN的理解����。【背景描述】某地公司為了員工出差時(shí)能隨時(shí)隨地和公司總部聯(lián)絡(luò)����,包括業(yè)務(wù)處理、資源訪問�����、資源共享等等���,希望員工能夠接入到公司網(wǎng)絡(luò)中�����。同時(shí)出差員工可能會(huì)使用不同的電腦�,所以公司不希望員工通過使用額外軟件實(shí)現(xiàn)接入���,這就要求提供一種安全����、靈活�����、快速�、方便地遠(yuǎn)程接入方式�。【需求分析】需求:解決決出差員工和公司之間通過Internet進(jìn)行數(shù)據(jù)傳輸?shù)陌踩珕栴},以及使用快速、便捷���、靈活的方式進(jìn)行接入�����。分析:通過使用SSLVPN技術(shù)���,遠(yuǎn)程用戶可以接入到公司內(nèi)部網(wǎng)絡(luò)���,并且與公
2、司內(nèi)部的通信數(shù)據(jù)在Internet上傳輸時(shí)都是經(jīng)過加密的。此外����,SSLVPN的最大優(yōu)勢時(shí)部署靈活�、方便��,無需預(yù)先為遠(yuǎn)程接入PC安裝遠(yuǎn)程接入軟件(例如IPsec客戶端等),真正地實(shí)現(xiàn)了零配置接入�?���!緦?shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)設(shè)備】RG-WALLV1000VPN網(wǎng)關(guān)1臺路由器1臺PC4臺【預(yù)備知識】69網(wǎng)絡(luò)基礎(chǔ)知識網(wǎng)絡(luò)安全基礎(chǔ)知識VPN基礎(chǔ)知識SSLVPN的基本工作原理理解HTTP、HTTPS協(xié)議的基本知識【實(shí)驗(yàn)原理】銳捷SSLVPN采用IPTunnel技術(shù)��,除了能支持B/S應(yīng)用���,也能夠支持各種C/S應(yīng)用,對所有的基于IP層以上的靜態(tài)或動(dòng)態(tài)接口以及端口應(yīng)用完全支持�,包括:網(wǎng)
3���、上鄰居、文件共享��、FTP、OUTLOOK�����、SQL���、LotusNOTES��、SYBASE、ORACLE等各種應(yīng)用��。銳捷SSLVPN還支持終端用戶對內(nèi)網(wǎng)單臺機(jī)器或保護(hù)子網(wǎng)的訪問�。這樣公司員工無論在哪里,只要能夠通過互連網(wǎng)登錄網(wǎng)通總部SSLVPN��,即可訪問網(wǎng)通內(nèi)網(wǎng)服務(wù)資源����,從而達(dá)到正常處理公司業(yè)務(wù)的目的����。終端用戶在使用SSLVPN的時(shí)候���,不需要安裝客戶端���,只需要通過標(biāo)準(zhǔn)瀏覽器打開SSLVPN的登錄界面之后�,安裝一個(gè)ActiveX控件����,在客戶端的機(jī)器上會(huì)自動(dòng)生成一塊專門用于SSLVPN通信的虛擬網(wǎng)卡��,從而保證SSLVPN的用戶能夠使用所有基于IP網(wǎng)絡(luò)層的應(yīng)用��?���!緦?shí)驗(yàn)步驟
4�、】第一步:準(zhǔn)備好PC機(jī)和服務(wù)器在服務(wù)器PC上安裝VPN管理軟件��。具體的安裝過程不在這里進(jìn)行詳述���。第二步:搭建拓?fù)?����,配置IP地址按照拓?fù)鋱D搭建實(shí)驗(yàn)拓?fù)洌⒏鶕?jù)如下編址方案配置各設(shè)備的IP地址:VPN設(shè)備的eth1口地址:192.168.1.1VPN設(shè)備A的eth0口地址:10.1.1.1PC的IP地址:192.168.2.1PC的網(wǎng)關(guān)地址:192.168.2.2FTP服務(wù)器的IP地址:10.1.1.2FTP服務(wù)器的網(wǎng)關(guān)地址:10.1.1.1Web服務(wù)器的IP地址:10.1.1.3Web服務(wù)器的網(wǎng)關(guān)地址:10.1.1.1遠(yuǎn)程桌面管理服務(wù)器的IP地址:10.1.1.
5�、4遠(yuǎn)程桌面管理服務(wù)器的網(wǎng)關(guān)地址:10.1.1.1Router的F0/0地址:192.168.1.2Router的F0/1地址:192.168.2.2這里PC及Router地址的配置方式不再進(jìn)行詳述�。通過服務(wù)器的超級終端,在命令行下配置VPN網(wǎng)關(guān)的接口地址��,操作如下:70注意:VPN網(wǎng)關(guān)出廠時(shí)eth1口默認(rèn)地址為192.168.1.1/24�����。并且在該實(shí)驗(yàn)中,我們需要在VPN網(wǎng)關(guān)的eth1接口配置默認(rèn)網(wǎng)關(guān)�����,網(wǎng)關(guān)地址為Router的F0/0接口地址����。第三步:配置SSLVPN參數(shù)通過服務(wù)器上的VPN管理軟件登錄VPN網(wǎng)關(guān)����。1、資源的添加在VPN網(wǎng)關(guān)管理界面的目錄樹中點(diǎn)
6、擊“虛擬專用網(wǎng)”—>“SSLVPN”��,如圖所示:選擇SSLVPN菜單中的“資源管理”�,進(jìn)行SSLVPN資源添加�����,內(nèi)網(wǎng)服務(wù)資源包括:FTP服務(wù)資源、Web服務(wù)資源���、遠(yuǎn)程桌面管理資源�。71點(diǎn)擊資源管理的工具欄中“添加資源”按扭���,可以添加資源���。如下配置為添加內(nèi)網(wǎng)FTP服務(wù)資源:如下配置為添加內(nèi)網(wǎng)Web服務(wù)資源:72如下配置為添加內(nèi)網(wǎng)遠(yuǎn)程桌面管理服務(wù)資源:73添加成功后資源列表顯示如下:2��、遠(yuǎn)程用戶管理在目錄樹上點(diǎn)擊“遠(yuǎn)程用戶管理”,彈出用戶管理窗口�,如下圖所示。本地認(rèn)證數(shù)據(jù)庫用戶就是網(wǎng)關(guān)本地用戶��,這些用戶會(huì)自動(dòng)出現(xiàn)在用戶管理的本地認(rèn)證數(shù)據(jù)庫用戶欄中。在本地用戶數(shù)據(jù)庫
7�����、中添加本地用戶“1a”����,該用戶為SSLVPN登錄用戶,添加“1a”用戶,并設(shè)置相應(yīng)的口令�����,如圖所示:74添加成功后,如圖所示:在遠(yuǎn)程用戶管理工具欄中,選擇“用戶管理”�,把“1a”用戶從本地?cái)?shù)據(jù)庫加入SSLVPN用戶����,如圖所示:753�����、分配用戶和資源在VPN網(wǎng)關(guān)管理界面中選擇【SSLVPN】—>【用戶組管理】�����,打開用戶組管理界面�,如圖所示���,用戶組管理分為三大部分�����,添加用戶組���,為用戶組分配用戶和為用戶組分配資源添加一名字為“1”的用戶組,如圖所示:添加成功后,如圖所示:76選中要進(jìn)行分配用戶的用戶組�����,再點(diǎn)擊工具欄中的【分配用戶】按鈕����,就可以對選中的組進(jìn)行用戶分配,
8�、選中“1a”用戶���,如下圖所示:選中要進(jìn)
