学习你就要有收获-安全高级篇-SANGFOR-SSL
  

齐朋 44941人觉得有帮助

{{ttag.title}}
本帖最后由 齐朋 于 2018-8-2 17:57 编辑




某公司-安全高级篇-SSL VPN

某公司-SSLVPN-7.6.1




:多线路部署

1.      网关多线路


                 基本概述:
                 多条外网线路,设备以网关模式部署。

                 适用场景:
                 客户多条外网线路,无网关设备,设备同时起到路由作用。


2.      单臂多线路

                 基本概述:
                 多条外网线路,设备以单臂模式部署。

                 适用场景:
                 客户网络中已有网关设备,可以把设备以单臂模式部署。

                 注意事项:
                 前置网关需要映射443和80端口,如果需要用到IPSEC VPN还需要映射TCP/UDP4009端口;
                 如果需要实现多线路选路的功能,必须映射80端口。



二: 用户认证进阶

1.      SSL结合第三方服务器认证

                 (1)        LDAP认证:
                    用户接入到SSL VPN,需要到LDAP服务器上认证,认证成功后服务器会将校验信息返回给SSL设备,同时用户登录SSL VPN成功。
                                  LDAP认证的常用端口TCP389

                  (2)        RADIUS认证:
                 与LDAP认证相同,用户输入用户名及密码,radius客户端(NAS),也就是咱们的SSL设备获取到了用户名及密码,再去向radius服务器发送认证请求(access-request),radius服务器会将用户信息与user数据库对比,返回成功(access-accept)/失败(access-reject)信息给radius客户端(SSL)。


                 需要注意:
                 RADIUS认证常用的端口为UDP1812(认证)、UDP1813(计费)。
                 本地主要认证:用户名/密码不能与外部认证同时使用,因为两个都是用户名密码认证方式。
                 认证过程:用户输入用户名密码->VPNSSL->RADIUS/LDAP校验->VPN SSL


2.      组映射和角色映射功能

                 (1)        LDAP导入本地:
                 LDAP用户全部导入到SSL VPN中变为本地用户。

                 (2)        LDAP组映射:
                 LDAP组与SSL VPN本地组映射,只映射组不映射用户。

                 (3)        LDAP角色映射:
                 将LDAP上的安全组映射到SSLVPN中的某一个角色。(安全组是域中的一个无组织结构,一个用户可以存在于多个安全组,在映射时我们会将一个组织映射到一个角色上,这个组织以绑定的角色上线的。)。


                 需要注意:
                 在LDAP中禁用的用户,导入本地也会被禁用;
                 本地用户优先级别高,同时在LDAP和本地存在,本地优先。


3.      RADIUS认证服务器

                 集群时使用RADIUS,需要把3个CIP在RADIUS服务器上放通,属性值为Class。



三: 群集部署模式

1.      集群(负载均衡模式):
                 设备主备模式部署,支持网关/单臂,单线路/多线路。

2.      CIP:
                 集群的虚拟IP,所有SSLVPN对外呈现的一个共同的IP地址,WAN口CIP为外网地址,也就是运营商下发给你的地址,LAN口的CIP需要与真实接口同网段。

3.      分发器:
                 下发配置的主设备,在一个群集环境中,只有一台设备能成为分法器,调度其它真实服务器,分法器也是提供业务的服务器。

4.      真实服务器:配置数据从分法器同步,不能修改配置数据。

                                                   服务器说的就是SSL VPN!!!


                群集:

                 (1)        网关单线路:
file:///C:/Users/%E7%86%9F%E7%9F%A5%E7%A5%81%E4%B8%80/AppData/Local/Temp/msohtmlclip1/01/clip_image003.png                 WAN口地址不能与运营商给你下发的地址和本地内网地址冲突,配置一个不同网段的私网地址就可以了。
                 LAN口地址也不能与运营商和本地内网地址冲突,同时不能与WAN口CIP冲突。

                 WAN口的CIP地址为运营商下发给你的地址。
                 LAN口的CIP地址需要与内网地址为同一网段。

                                                   集群不支持拨号!!!
                                                   两台以下的群集可以免费开启授权。

                 需要放通的端口为:
                                                   HTTPS 443、控制台的4430、HTTP 80


                 (2)        网关多线路
                 与单线路的配置相差不大,只不过WAN口需要配置两个CIP,因为有两条外网线,同时也有两个运营商给的外网IP地址。

                 多线路模式可以做多线路选路,按照图片的下载时间选择最快的路线。
                 优先级分为高中低。高->中为3s,中->低为2s,高->低为5s。

                 只对HTTP有效,HTTPS无法跳转。
                 不映射HTTP80端口无法实现多线路选路。



                                                                   不敢皮了不敢皮了!!!!!
                                                          点进去啥都有,想看完整PPT去这里找吧。
                                                          以上图片摘自PPT高级SSL VPN,理论为个人理解,可能有不到位的地方。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

小明偷学 发表于 2024-7-19 10:23
  
打卡学习,感谢大佬分享!
江南岸别离 发表于 2024-5-17 07:37
  
每天坚持打卡学习签到!!
Nevermore 发表于 2018-8-9 11:14
  
感谢楼主无私的分享
sangfor_闪电回_小六 发表于 2018-8-3 14:21
  
很好的学习总结,楼主不错~
你个妖孽 发表于 2018-8-3 09:24
  
学习学习
cow977 发表于 2018-8-3 08:13
  
咨询个问题,Sangfor是否有支持园区网同一运营商的多线路出口设备。

应用环境:
一主管单位,建立了云环境,供下属单位使用,有一主出口线路;
下属单位应用中,有一Web应用,需要办理网站备案,现在备案要求IP地址必须是
1、ISP提供,即主管单位申请ISP资质;
2、网站所属用户自己申请的;
按照2的规定,设备必须有第2.3.4.5...条出口线路,有设备支持这样的应用场景吗?
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人