H石油工程设计公司SSL VPN部署
一.项目需求背景
H石油工程设计公司是国内石化行业知名的工程设计公司,主要从事炼油化工、煤化工、油气储运、油田地面、长输管道、建筑工程等的规划设计、EPC总承包等。公司先后建成了先进的信息化软硬件平台,大大提高了办公和工程设计的效率。
但之前的信息化建设多考虑的是公司内网间的沟通和共享,与外界的联络仅仅是通过邮件或即时通讯系统等。这实际上是形成了一个大的“信息孤岛”。伴随着公司规模的不断扩大,其业务也遍布全国甚至世界各地。市场人员、设计人员和施工人员出差在外已成常态,尤其是设计人员,迫切需要一种可以实现异地协同设计的机制来满足实际工作的需要。虽然在世界各地的各常驻项目现场和分支机构,我们都有专线相连,但这仍然满足不了其他分布更广的更多异地办公人员的需求。于是我们自然的想到了SSL VPN。
二.设备和部署方式选择
我们之前也对比参考过多家VPN厂商的产品,其中不乏知名的国外品牌。但是最终我们还是选择了某公司。这不仅仅是因为之前已经部署有多款某公司设备以增加其兼容性,我们更注重的是某公司在VPN领域的领导者地位、技术优势以及良好的用户使用体验……
H公司在未部署VPN之前的拓扑结构经过简化基本是这个样子的:
为了尽量不改动原有的网络结构,也不影响原有的业务和生产,我们选择了“单臂模式”部署。部署后的VPN示意图如下:
三.基础配置点 配置设备管理端口:就是管理员访问的设备端口,可以修改成自己喜欢的。 配置LAN口IP:就是设备的管理地址,也是用户的内部登录地址。
SSL VPN系统选项的几个点比较重要: 这是VPN用户登录成功后会自动获得的虚拟IP地址段设置
内网域名解析服务器地址要填对: 这里也很关键,牵扯到接入用户以谁的身份访问内部资源的问题。如果选择了虚拟IP,还需要在相应的交换机等设备上加针对虚拟ip段的路由。
登录策略里主要是用户登录成功后,弹出的快捷界面的样式图标等,这些都无关紧要。我上传了一大堆图标待用,是不是很壮观啊?呵呵
四.主要配置点 首先要建立资源。就是让VPN用户访问的信息资源。 其次是创建用户。就是用来登录VPN的账户。 最后是创建角色,并把角色关联用户并授予资源。
用户管理。对于用户分组,我分类标准是以用户认证的不同来分类。比如分成如下四类:
选择每一个类别,点击编辑可以设置它的认证选项。认证选项可组合,主认证是必选项,辅助认证是可选项。
创建资源有TCP、WEB、L3VPN等不同类型,根据需要选择相应类型或端口等,L3VPN是个好东西,有时候创建的资源不通时,可以加L3VPN试试。
创建角色,把角色关联给用户,并授予相应的资源:
五.辅助配置点 认证设置: 我们用的主要是LDAP认证,这个可以跟微软的AD域集成,并可以把域账号导入到VPN设备,并保持定时同步: 值得一提的还有USBkey认证里有个下载链接,这个控件是管理员在制作Ukey时需要用到的,别不知道下载的地方,这可是深藏不露的好地方啊。我就曾经被坑过一次: 我用到的还有短信认证。这个我之前有一个分享帖,这里就不赘述了,可以参考一下: 再有就是策略组管理。这里大都是安全类锦上添花的东东,例如设置硬件特征码的绑定个数、账号超时时限等等,大家可以仔细研究。 最后别忘了在防火墙上做VPN设备的地址映射,注意是443端口:
我相信,经过以上的简单配置,SSLVPN的基本功能就可以使用了。
六.顺便问一下 前面网络示意图可以看出,H公司的网络是把防火墙、上网行为管理等像串糖葫芦一样串起来。如果今后再加上双链路负载均衡设备等,糖葫芦会越来越长。我总觉得这样不好。虽然可以通过部署双机等加以解决,但是毕竟那样投资等较大,是否有更好的部署模式?抑或本来就应该这样部署只不过是我心理问题?请赐教。谢谢! | 
发表于 2017-5-26 01:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
