如何配置SSL VPN

如何配置SSL VPN,第1张

1、WebVPN准备工作。

c7206(config)# int fa0/0

c7206(config-if)# ip add 198.1.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# int fa2/0

c7206(config-if)# ip add 10.10.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# aaa new-model

c7206(config)# aaa authentication login default local

!为防止控制台超时而造成无法进入Exec,因此设置一个默认的认证方法,此配置与WebVPN无关。

!

c7206(config)# aaa authentication login aaa-webvpn local

c7206(config)# username steve6307 password cisco

!定义WebVPN认证方法

!

c7206(config)# webvpn gateway mygateway

c7206(config-webvpn-gateway)# ip address 198.1.1.1 port 443

c7206(config-webvpn-gateway)# inservice

!定义WebVPN在哪个接口上进行监听,此时IOS会自动产生自签名证书。

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# gateway mygateway domain group1

c7206(config-webvpn-context)# aaa authentication list aaa-webvpn

c7206(config-webvpn-context)# inservice

!在IOS中,WebVPN的context相当于ASA的tunnel-group

!在IOS中,domain相当于ASA的group-alias

------------------------------------------------------

2、配置SSLVPN。

将7206的disk0:格式化。

c7206# format disk0:

------------------------------------------------------

将SVC拷贝到7200的disk0:(flash)中。

注意:使用dynamips模拟器的话,最好通过ftp来拷贝文件!

c7206(config)# ip ftp username cisco

c7206(config)# ip ftp password cisco

!

c7206# copy ftp disk0:

Address or name of remote host []? 202.195.30.66

Source filename []? sslclient-win-1.1.2.169.pkg

Destination filename [sslclient-win-1.1.2.169.pkg]?

Accessing ftp://202.195.30.66/sslclient-win-1.1.2.169.pkg...

Loading sslclient-win-1.1.2.169.pkg !!

[OK - 415090/4096 bytes]

415090 bytes copied in 22.900 secs (18126 bytes/sec)

------------------------------------------------------

安装SVC。

c7206(config)# webvpn install svc disk0:/sslclient-win-1.1.2.169.pkg

SSLVPN Package SSL-VPN-Client : installed successfully

------------------------------------------------------

c7206(config)# int loopback0

c7206(config-if)# ip address 192.168.10.254 255.255.255.0

c7206(config-if)# exit

!IOS中,如果地址池不和内网在一个段,则需创建一个loopback接口。

!

c7206(config)# ip local pool ssl-user 192.168.10.1 192.168.10.99

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# functions svc-enabled

c7206(config-webvpn-group)# svc address-pool ssl-user

c7206(config-webvpn-group)# exit

!允许用户进行SSL VPN。

!

c7206(config-webvpn-context)# default-group-policy context1-policy

------------------------------------------------------

3、配置SSL VPN隧道分离(可选)。

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# svc split include 10.10.1.0 255.255.255.0

怎么搭建VPN服务器呢?下面我来教大家。

首先,我们点击电脑桌面左下角的微软按钮,弹出的界面,我们点击设置;

弹出的界面,我们点击网络和Internet;

弹出的界面,我们点击VPN;

弹出的界面,我们点击添加VPN连接;

弹出的界面,我们输入相关信息,最后,我们点击保存就可以了,这样我们就搭建VPN服务器了。

头条:

简单易懂网络安全技术SSL VPN全面解析 面试必备

SEO:

思科CCIE 网络安全技术SSL VPN 全面详解

       SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。

       SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSecVPN相比,SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。

       SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图 1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。

       SSL VPN的工作机制为:

       (1)        管理员以HTTPS方式登录SSL VPN网关的Web管理界面,在SSL VPN网关上创建与服务器对应的资源。

       (2)        远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。

       (3)        HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。

       (4)        用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。

       (5)        SSL VPN网关解析请求,与服务器交互后将应答发送给用户。

       SSL VPN是一种既简单又安全的远程隧道访问技术,使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性,它采用浏览器和服务器直接沟通的方式,既方便了用户的使用,又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层:第一层是SSL记录协议,这种协议可以为数据的传输提供基本的数据压缩、加密等功能;第二层是SSL握手协议,主要用于检测用户的账号密码是否正确,进行身份验证登录。与IPSec VPN相比,SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点,所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的,通过浏览器来使用,由于近年来电脑病毒的多样性,要想保障SSL VPN的安全运营,就需要在SSL VPN的安全技术上有所更新。

认证方式:

1) LDAP认证:

       系统组织已经采用LDAP进行用户管理。它只需要在SSL VPN设备中根据LDAP中的OU组结构建立用户组结构,并为用户组绑定相应的OU结构,不需要再在设备中建立具体用户。当用户向SSL VPN提交用户名密码认证身份时,SSL VPN可自动将此认证信息提交给LDAP认证,并根据反馈的信息判断该用户是否为合法用户。

1) Radius认证

       在 SSL VPN设备中建立相应的用户组结构,并选用Radius认证并绑定相应的Class属性值。当用户向SSL VPN提交用户名密码认证信息时,SSL VPN就会将此信息以标准的Radius协议格式向Radius服务器发出认证请求,之后Radius将返回认证结果。

1) CA认证

       内置CA的SSL VPN安全网关,可以支持PKI体系的认证。

1) USB KEY认证

       将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。利用“硬件存储数字证书+PIN码”的方式为用户提供高安全的认证方式。

1) 硬件绑定

       仅使用用户名/密码认证的用户,为了保证用户登录 SSL VPN限定在某一台或是某几台客户端上,有效解决用户账号意外泄露、账号盗用导致数据泄露的问题,可绑定登录客户端。通常情况下,客户端绑定都是采用IP/MAC、MAC、IP绑定方式实现的。

1) 动态令牌认证

       动态令牌认证是技术领先的一种双因素身份认证体系,内嵌特殊运算芯片,与事件同步的技术手段。它是通过符合国际安全认可的OATH动态口令演算标准,使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。

        SSL VPN认证方式多种多样,指定的用户登录SSL VPN后,通过指定的账号访问指定的应用,可以达到增强重要系统认证安全性的目的。

了解最新开班,最新课程优惠,获取免费视频!一定要+WXdcm220681哦!


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/322071.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-05-01
下一篇2023-05-01

发表评论

登录后才能评论

评论列表(0条)

    保存