本帖最后由 齐朋 于 2018-8-2 17:57 编辑
某公司-安全高级篇-SSL VPN
某公司-SSLVPN-7.6.1
一 :多线路部署
1. 网关多线路
基本概述: 多条外网线路,设备以网关模式部署。
适用场景: 客户多条外网线路,无网关设备,设备同时起到路由作用。
2. 单臂多线路
基本概述: 多条外网线路,设备以单臂模式部署。
适用场景: 客户网络中已有网关设备,可以把设备以单臂模式部署。
注意事项: 前置网关需要映射443和80端口,如果需要用到IPSEC VPN还需要映射TCP/UDP4009端口; 如果需要实现多线路选路的功能,必须映射80端口。
二: 用户认证进阶
1. SSL结合第三方服务器认证
(1) LDAP认证: 用户接入到SSL VPN,需要到LDAP服务器上认证,认证成功后服务器会将校验信息返回给SSL设备,同时用户登录SSL VPN成功。 LDAP认证的常用端口TCP389
(2) RADIUS认证: 与LDAP认证相同,用户输入用户名及密码,radius客户端(NAS),也就是咱们的SSL设备获取到了用户名及密码,再去向radius服务器发送认证请求(access-request),radius服务器会将用户信息与user数据库对比,返回成功(access-accept)/失败(access-reject)信息给radius客户端(SSL)。
需要注意: RADIUS认证常用的端口为UDP1812(认证)、UDP1813(计费)。 本地主要认证:用户名/密码不能与外部认证同时使用,因为两个都是用户名密码认证方式。 认证过程:用户输入用户名密码->VPNSSL->RADIUS/LDAP校验->VPN SSL
2. 组映射和角色映射功能
(1) LDAP导入本地: LDAP用户全部导入到SSL VPN中变为本地用户。
(2) LDAP组映射: LDAP组与SSL VPN本地组映射,只映射组不映射用户。
(3) LDAP角色映射: 将LDAP上的安全组映射到SSLVPN中的某一个角色。(安全组是域中的一个无组织结构,一个用户可以存在于多个安全组,在映射时我们会将一个组织映射到一个角色上,这个组织以绑定的角色上线的。)。
需要注意: 在LDAP中禁用的用户,导入本地也会被禁用; 本地用户优先级别高,同时在LDAP和本地存在,本地优先。
3. RADIUS认证服务器
集群时使用RADIUS,需要把3个CIP在RADIUS服务器上放通,属性值为Class。
三: 群集部署模式
1. 集群(负载均衡模式): 设备主备模式部署,支持网关/单臂,单线路/多线路。
2. CIP: 集群的虚拟IP,所有SSLVPN对外呈现的一个共同的IP地址,WAN口CIP为外网地址,也就是运营商下发给你的地址,LAN口的CIP需要与真实接口同网段。
3. 分发器: 下发配置的主设备,在一个群集环境中,只有一台设备能成为分法器,调度其它真实服务器,分法器也是提供业务的服务器。
4. 真实服务器:配置数据从分法器同步,不能修改配置数据。
服务器说的就是SSL VPN!!!
群集:
(1) 网关单线路: file:///C:/Users/%E7%86%9F%E7%9F%A5%E7%A5%81%E4%B8%80/AppData/Local/Temp/msohtmlclip1/01/clip_image003.png WAN口地址不能与运营商给你下发的地址和本地内网地址冲突,配置一个不同网段的私网地址就可以了。 LAN口地址也不能与运营商和本地内网地址冲突,同时不能与WAN口CIP冲突。
WAN口的CIP地址为运营商下发给你的地址。 LAN口的CIP地址需要与内网地址为同一网段。
集群不支持拨号!!! 两台以下的群集可以免费开启授权。
需要放通的端口为: HTTPS 443、控制台的4430、HTTP 80
(2) 网关多线路 与单线路的配置相差不大,只不过WAN口需要配置两个CIP,因为有两条外网线,同时也有两个运营商给的外网IP地址。
多线路模式可以做多线路选路,按照图片的下载时间选择最快的路线。 优先级分为高中低。高->中为3s,中->低为2s,高->低为5s。
只对HTTP有效,HTTPS无法跳转。 不映射HTTP80端口无法实现多线路选路。
不敢皮了不敢皮了!!!!! 点进去啥都有,想看完整PPT去这里找吧。 以上图片摘自PPT高级SSL VPN,理论为个人理解,可能有不到位的地方。
| 
发表于 2018-8-2 17:50
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
