当前位置: 首页 > news >正文

安全合规:AC(上网行为安全)--下

news 2025/8/26 17:58:52

五、SSL移动接入方案概述

1、SSL VPN概述
        SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署。SSL VPN一般采用插件系统来支持各种TCPUDP的非Web应用,使得SSL VPN真正称得上是一种VPN, 并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
      (1)SSL协议介绍
         SSL协议主要通过三个协议实现:
                • SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户 机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建 立SSL连接时,服务器与客户机交换一系列消息。
               SSL连接主要依靠SSL握手协议,简短的一句话就可以概括SSL握手协 议的基本设计思路:采用公钥加密算法进行密文传输。也就是说,服务端将其 公钥告诉客户端,然后客户端采用服务器的公钥加密信息,服务端收到密文后, 用自己的私钥解密。
               • SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每 隔一段时间改变加密规范。
               • SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在 信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。
              • SSL记录协议:
        (2)SSL协议结构
               
         
         (3)SSL VPN技术优势
2、SSL VPN授权
        SSL VPN用户数SSL VPN并发接入用户数授权
        IPSec移动用户数SANGFOR VPN移动端PDLAN并发用户数授权
        线路数:外网WAN口线路数授权
       分支机构数:与第三方设备对接标准IPSEC VPN隧道数
       远程应用用户数:使用远程应用发布资源的用户并发数
(1)创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式 组合认证)
(2)发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、 L3VPN类型、远程应用四种类型)
(3)创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访问哪些资源的权限)
3、SSL VPN组网方案
(1)网关模式组网
1、网关模式配置:配置设备的内外网口地址信息,外网口如果是拨号场景需 要先配置拨号
2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是 的话需要添加相应的回包路由回指给设备下接的核心交换机。
(2)单臂模式组网
1、单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IPDNS
2、前置网关做TCP 44380端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)

2/2、移动资源发布

1、移动接入资源发布需求

需求:
1. 出差或在家能接入企业/单位内网 的应用系统
2. 需要支持电脑接入访问B/SC/S类 所有应用
3. 支持在移动终端(手机、平板)使 用windows上的应用
解决方案:
1. 允许电脑接入后访问授权的业务系统(地址、协议、端口)
2. 远程应用发布实现windows应用在移动终端上使用
2、移动接入资源发布技术
资源是指远程接入SSL VPN后授权终端允许访问的网络服务
根据实现机制和应用服务的不同将资源分为4类:
1. WEB应用  2. TCP应用  3. L3VPN  4. 远程应用
(1)WEB应用
Web资源需求背景
1. 用户在外手机办公,已经和总部建立了SSL VPN。现在用户需要通过手机访问总部 的web资源。
2. 用户不希望在手机上安装额外的控件。
WEB应用技术原理
WEB应用
WEB应用通过SSL设备将内网服务转换成HTTPS协议。
支持应用类型:HTTPHTTPSMAILFTPFileShare
优点:客户端免控件,所有浏览器均支持。
Web应用技术原理
SSLVP
(2)TCP应用
   TCP资源需求背景
          用户在外电脑办公,需要通过电脑远程登录总部的web服务器进行资源更新。
   TCP应用技术原理
(3)L3VPN
  L3VPN资源需求背景
          用户在外电脑办公,需要通过电脑访问总部的SNMP服务器进行管理。
   L3VPN应用技术原理
(4)远程应用
采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护 以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务 器进行操作,输入输出的内容通过网络传输到客户端。
远程应用技术原理
需要安装EasyConnect客户端终端服 务器需要安装RemoteServerAgent组件。某些B/S架构的应用需要在客户端浏览器安装插件才能访问。
3、用户、角色、资源、策略组
        SANGFOR SSL角色是用户和资源之间的纽带,它用于给不同的用户关联 不同的内网资源,以实现更细致化的远程接入控制。
         策略组用来设置用户的接入VPN的安全策略。包括以下内容:客户端相关选项,帐号属 性和安全桌面相关信息。策略组设置完成后,需被用户或者用户组关联才生效。根据需求的不同,可设置不同的策略组分别与用户,用户组关联。
        客户端选项用来设置客户端的隐私保护,带宽会话,是否允许PPTP方式
接入,SSL专线,硬件特征码个数限制。
         账号控制用来设置账号相关的权限。
http://www.xdnf.cn/news/1366489.html

相关文章:

  • vue 一键打包上传
  • Genymotion 虚拟机如何安装 APK?(ARM 插件安装教程)
  • ICCV 2025|TRACE:无需标注,用3D高斯直接学习物理参数,从视频“预知”未来!
  • 二、添加3D形状
  • More Effective C++ 条款07:不要重载、和,操作符
  • 【系统架构设计师】数据库设计(一):数据库技术的发展、数据模型、数据库管理系统、数据库三级模式
  • 审核问题——首次进入APP展示隐私政策弹窗
  • 大模型(一)什么是 MCP?如何使用 Charry Studio 集成 MCP?
  • 深分页实战
  • 计算机网络:HTTP、抓包、TCP和UDP报文及重要概念
  • GPT5的Test-time compute(测试时计算)是什么?
  • Legion Y7000P IRX9 DriveList
  • HTTP 与 HTTPS 深度解析:从原理到实际应用
  • 链表OJ习题(1)
  • 1. 并发产生背景 并发解决原理
  • pytest 并发执行用例(基于受限的测试资源)
  • 现代C++工具链实战:CMake + Conan + vcpkg依赖管理
  • week4-[一维数组]数码个数
  • k8s笔记02概述
  • C++|UDP通讯使用总结
  • HTML应用指南:利用GET请求获取MSN 天气数据并可视化
  • [系统架构设计师]应用数学(二十一)
  • list容器的使用
  • GNN:用MPNN(消息传递神经网络)落地最短路径问题模型训练全流程
  • 用 GSAP + ScrollTrigger 打造沉浸式视频滚动动画
  • 【Day 33】Linux-Mysql日志
  • DDR3入门系列(二)------DDR3硬件电路及Xilinx MIG IP核介绍
  • linux 正则表达式学习
  • 使用 gemini 来分析 github 项目
  • 安卓11 12系统修改定制化_____修改固件 默认给指定内置应用系统级权限