ボーエンディレクトリは
動作しますが、SSL仮想プライベートネットワーク
1、SSL仮想プライベートネットワーククライアントモード
2、認証、暗号化、およびSSL仮想プライベートネットワークコンテンツ制御
3、どのような環境で使用するSSL仮想プライベートネットワーク?
二、SSL仮想プライベートネットワークと違いIPSecの仮想プライベートネットワーク
。1、好ましくSSL仮想プライベートネットワークは、欠点
2は、IPSecとSSL VPN仮想プライベートネットワークを比較する
SSL VPNクライアントなしで構成された3つの
仮想プライベートネットワーク(仮想プライベートネットワーク)は、英語の最初の文字を見て、それは語彙の/感覚が敏感であるため、彼らは、それが何であるかを知っているので、すべてのテキストではなく、仮想プライベートネットワークを使用しました。
、SSL仮想プライベートネットワークの作品
SSL VPNは、ローカルのWebブラウザを介してSSL暗号化は、柔軟な、低コストのインターネットベースのリモートアクセスソリューションを提供する新技術です。SSL VPNは、専用のコンピュータプリインストールされたクライアントソフトウェアを必要としない、任意のコンピュータがインターネットにアクセスすることができ、いつでもどこでもネットワークへのアクセスを可能にする、SSL VPNセッションを確立することができます。
1、SSL仮想プライベートネットワーククライアントモード
一例としてASA VPNゲートウェイに、以下のセキュリティデバイスを示すように、仮想プライベートネットワークを実現するための2つの成分は、SSL VPNサーバを含み、SSL SSL VPNクライアント。
SSL VPNは、次の3つのアクセス方法で展開することができます。
1)非クライアントモード:
クライアントレスモードでは、クライアントがないわけではない、完全に実際にあるが、追加のソフトウェアを必要とせずに、リモートアクセスのため、ユーザーのコンピュータ上のWebブラウザを使用して。クライアントレスモードは、Webリソース、およびアクセスのWebベースのコンテンツへの安全なアクセスを提供します。これは、Common Internet File System(共通インターネットファイルシステムCIFS)を介してリモートファイル共有を提供することができます。接続のリストに記載されているCIFSファイルサーバ、リモートユーザーは、ポータル・ページに記載されているドメイン、サーバ、ディレクトリ、フォルダ、ファイルなどを閲覧することができますように。いいえクライアントモードの欠点は、それが唯一のWebトラフィックを保護することができないことです。2)また、ポート転送モードとして知られているシンクライアントモード()
シンクライアントモードかかるようにPOP、POP3、SMTP、SSHとして、TCPベースのサービスへのリモートアクセスを提供します。シンクライアントモデルの後、動的にSSL仮想プライベートネットワークを経由して送信されるいくつかの非Webプログラムを許可するユーザーのデスクトップにSSL仮想JavaまたはActiveXのプログラムからダウンロードしたSSL仮想プライベートネットワークセッションのプライベートネットワークアプリケーションを確立します。シンクライアントモードは、Webブラウザの暗号化を拡張します。3)ファットクライアントモード(とも呼ばれるトンネルモードやフルトンネルクライアントモード):
ファットクライアントモードは、仮想プライベートネットワーククライアント(SSL VPNクライアントのダウンロードSSLかもしれサポートするアプリケーションの数が多いへのリモートアクセスを提供し、 SVC)ソフトウェア、すべてのネットワーク層(レイヤ3)アプリケーションへのフルアクセスを提供します。使用脂肪クライアントモードの後、クライアントソフトウェアは、SSL VPN、動的なダウンロードを確立し、ユーザーのコンピュータにインストールするには、一般的に、中央サイトへの顧客です。クライアントは、ユーザーのコンピュータにインストールする必要があるため、すべてのユーザーが自分のコンピュータ上で管理者権限を持っている必要があります。あなたは、クライアントをインストールすることはできません管理者権限がなければ、非クライアントまたはシンクライアントモードのみを使用します。
2、SSL仮想プライベートネットワーク認証、暗号化、およびコンテンツ制御
ユーザー名とパスワードを使用してデジタル証明書:SSL仮想プライベートネットワークは、通常、二つの方法で認証をサポートしています。アクセスにHTTPSプロトコルを使用してユーザー、WEBのユーザー名でバスケットボールを練習するための証明書を取得した後に入力し、パスワード、入力し、コンテンツのリソースへのアクセスを開始。
SSL VPNは、データトラフィックを暗号化するためにSSLを使用:SSLは、Netscapeによって開発されました。SSLv3のためのドラフト標準のSSL、そのサポートRC4、DESおよび3DESの最新バージョンが。現像後、SSLに基づくIETFでTransport Layer Security(TLS)が確立し、RFC2246は、TLS 1.0を定義します。
非クライアントモード、またはシンクライアントモードSSL VPNの場合、それはユーザーようにユーザーのアクセス制御に応じて、異なるアプリケーションに開放することができます。使用SSL VPNユーザが最初にリストページで適切な接続を示していますユーザー名とパスワードのログインページを使用して、Webページに接続し、ユーザのリストが適切なサーバーにアクセスします。
3、どのような環境で使用するSSL仮想プライベートネットワーク?
- アプリケーションにアクセスするには、Webブラウザを使用して、ユーザーかどうか。
- ユーザーがアクセスするコンピュータの管理者権限を使用せずに、つまり、非独占のコンピュータへのアクセスを使用することができます。
- ユーザーのコンピュータ上の管理者に管理者権限が小さい場合、ユーザーはソフトウェアのインストールを制御することはできません。
- また、また、非Webベースのアプリケーションのサポートを検討、あなたはベンダーによってサポートされる非Webプログラムのリストを表示する必要があります。あなたは、主に非独占クライアントが原因インストールすることはできません引き起こしたこのコンピュータに管理者権限を持っていないかもしれません。
二つは、SSLおよびIPSec仮想プライベートネットワーク仮想プライベートネットワークを区別します
1、SSL仮想プライベートネットワーク、好ましく欠点
お互いの会社にアクセスするには、Webブラウザとサーバーを使用してユーザーのためのSSL仮想プライベートネットワークは間違いなく非常に良いです。SSL仮想プライベートネットワークの利点は、主に次の側面に反映されます。
SSL VPNクライアントレス、シンクライアントモードは、任意のクライアントソフトウェアをインストールすることなく行うことができます(Webブラウザや他のシステム以外のソフトウェアの外側が付属しています)。
あなたはどこからでも安全に社内のサーバーを訪問することができます。
ブラウザの複数のタイプをサポートしています。
ユーザーが特別なトレーニングは必要ありません。
SSL VPNは、アドレス変換装置で使用することができます。
- あなたは、より細かく、様々なアプリケーションを制御することができます。
SSL VPNは、TCPプロトコルに基づいているため、その内容は、アプリケーション層のコンテンツを暗号化され、サービスおよびその他のドスの第三者へのアクセスの拒否を受けやすく。そして、データ検証のための唯一のTCPシーケンス番号を使用して、データ検証のためのSSL仮想プライベートネットワーク、およびIPSec VPN認証にHMACを使用して、仮想プライベートネットワークSSLよりも良いです。
2、SSL VPNとIPSecの仮想プライベートネットワークの比較
SSLおよびIPSec VPN仮想プライベートネットワークは、独自の長所と短所、これら2つの技術を、以下の単純な比較があります。
第三に、クライアントレスSSL VPNを設定します
ネットワーク環境を次のように
環境分析:
ネットワークサーバをシミュレートするバックR1ルータインターフェイスのループ0;
ISPルータのループバック0インターフェイスアナログインターネット・ネットワーク・サーバと、
R2の構成DHCP、自動的にIPアドレス、ゲートウェイ、およびDNSを取得するために、従業員(VM2)を走行。
コンフィギュレーションを開始します。
次のようにR1が設定さ:
R1(config)#int f0/0 #进入接口
R1(config-if)#ip add 192.168.10.1 255.255.255.0 #接口配置IP地址
R1(config-if)#no shutdown #启用接口
R1(config-if)#exit
R1(config)#int loo0 #进入loop back 0接口
R1(config-if)#ip add 1.1.1.1 255.255.255.255 #配置IP地址
R1(config-if)#no shutdown #启用接口
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.254 #配置默认路由,去往模拟公网的那台路由器次のようにASAの設定は次のとおりです。
ASA(config)# int eth 0/0 #进入接口
ASA(config-if)# nameif inside #接口配置为inside
ASA(config-if)# ip add 192.168.10.254 255.255.255.0 #配置IP地址
ASA(config-if)# no shu
ASA(config-if)# exit
ASA(config)# int eth0/1 #进入接口
ASA(config-if)# nameif outside #接口配置为outside
ASA(config-if)# ip add 192.168.20.254 255.255.255.0 #配置IP地址
ASA(config-if)# no shu
ASA(config-if)# exit
ASA(config)# route outside 0 0 192.168.20.1 #配置去往模拟公网的那台路由器的默认路由
ASA(config)# route inside 1.1.1.1 255.255.255.255 192.168.10.1 #配置去往内网的静态
ASA(config)# access-list out_to_in permit ip any any #允许外网访问内网
ASA(config)# access-group out_to_in in interface outside #ACL应用在outside
ASA(config)# fixup protocol icmp #允许icmp协议次のようにISPの設定は次のとおりです。
ISP(config)#int f0/0 #进入接口
ISP(config-if)#ip add 192.168.30.1 255.255.255.0 #接口配置IP地址
ISP(config-if)#no shutdown #启用接口
ISP(config-if)#exit
ISP(config)#int f1/0 #进入接口
ISP(config-if)#ip add 192.168.20.1 255.255.255.0 #接口配置IP地址
ISP(config-if)#no shutdown #启用接口
ISP(config-if)#exit
ISP(config)#int loo0 #进入loop back 0接口
ISP(config-if)#ip add 2.2.2.2 255.255.255.255 #接口配置IP地址
ISP(config-if)#no shutdown #启用接口
ISP(config-if)#exit次のようにR2が設定さ:
R2(config)#int f0/0 #进入接口
R2(config-if)#ip add 192.168.30.254 255.255.255.0 #接口配置IP地址
R2(config-if)#no shutdown #启用接口
R2(config-if)#exit
R2(config)#int f1/0 #进入接口
R2(config-if)#ip add 192.168.40.254 255.255.255.0 #接口配置IP地址
R2(config-if)#no shutdown #启用接口
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 #配置去往模拟公网路由器的默认
R2(config)#ip dhcp pool lan #开启dhcp服务,名字为lan
R2(dhcp-config)#network 192.168.40.0 255.255.255.0 #下发网段
R2(dhcp-config)#default-router 192.168.40.254 #下发网关
R2(dhcp-config)#dns-server 8.8.8.8 114.114.114.114 #下发首选dns和备用dns
R2(dhcp-config)#exit
R2(config)#access-list 10 permit any #acl抓取所有流量
R2(config)#ip nat inside source list 10 interface fastEthernet 0/0 overload #应用在0/0接口
R2(config)#exit
R2(config)#int f0/0 #进入接口
R2(config-if)#ip nat outside #启用nat,outside方向
R2(config-if)#int f1/0 #进入接口
R2(config-if)#ip nat inside #启用nat,inside方向
R2(config-if)#exitこのようにIPアドレスを取得することができますPCの橋渡し、それを取得し、更新した後、あなたは、詳細情報が自動的にIPアドレスを取得見つけるカードを表示/ IPCONFIGを入力したIPアドレスについて解放するCMDウィンドウ、入力ipconfig /リリースを実行し、必要性、ゲートウェイとDNS。図は次のとおりです。
クライアントレスSSL VPNを構成し、今日に焦点を当てるようになりました。
ASA(config)# username benet password pwd@123 #创建SSL 虚拟专用网的验证账户和密码
ASA(config)# web #SSL虚拟专用网应用在外网接口
ASA(config-web虚拟专用网)# enable outside
INFO: Web虚拟专用网 and DTLS are enabled on 'outside'.
ASA(config-web虚拟专用网)# svc image disk0:/sslclient-win-1.1.3.173.pkg #配置SSL虚拟专用网客户端位置
ASA(config-web虚拟专用网)# svc enable
ASA(config-web虚拟专用网)# exit
ASA(config)# ip local pool dzc 192.168.100.10-192.168.100.100 #配置SSL虚拟专用网地址池,地址池名字为dzc
ASA(config)# access-list 100 permit ip 1.1.1.1 255.255.255.255 any #抓取隧道分离的流量
ASA(config)# access-list 100 permit ip 192.168.10.0 255.255.255.0 any#抓取隧道分离的流量
ASA(config)# group-policy local-policy internal #创建本地组策略,名字为local-policy
ASA(config)# group-policy local-policy attributes #配置本地组策略的属性
ASA(config-group-policy)# 虚拟专用网-tunnel-protocol web svc #允许客户端使用SSL 虚拟专用网客户端
ASA(config-group-policy)# split-tunnel-policy tunnelspecified #配置隧道分离的方式,满足访问控制列表后隧道分离
ASA(config-group-policy)# split-tunnel-network-list value 100 #调用隧道分离ACL
ASA(config-group-policy)# web #配置提醒用户安装SSL虚拟专用网客户端
ASA(config-group-web虚拟专用网)# svc ask enable
ASA(config-group-web虚拟专用网)# exit
ASA(config-group-policy)# exit
ASA(config)# tunnel-group ssl type web #配置隧道组,名字为ssl,组的类型为ssl 虚拟专用网
ASA(config)# tunnel-group ssl general-attributes #配置隧道组的属性
ASA(config-tunnel-general)# address-pool dzc #隧道组调用地址池
ASA(config-tunnel-general)# default-group-policy local-policy #隧道组调用组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ssl web***-attributes #配置下拉列表,再隧道组属性中配置
ASA(config-tunnel-web虚拟专用网)# group-alias benet.com enable #下载菜单的名字为benet.com
ASA(config-tunnel-web虚拟专用网)# group-alias accp.com enable #下载菜单的名字为accp.com
ASA(config-tunnel-web虚拟专用网)# exit
ASA(config)# web虚拟专用网 #启用下拉菜单
ASA(config-web虚拟专用网)# tunnel-group-list enable
ASA(config-web虚拟专用网)# exitクライアントレスSSL VPNの設定は、検証を開始し、完了します
:作成し、ログインしたアカウントのパスワードを確認するために、ここで入力して
ログイン画面を:
--------この記事の最後に、これまで、読んでくれてありがとう--------