【数通】SSL VPN

桃花源小王子2025-01-11 21:45

SSL VPN 是什么?

  • 是采用SSL/TLS协议来实现远程接入的一种轻量级 VPN 技术。
  • 利用 SSL 协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。因为 SSL 协议内置于浏览器中,使用 SSL VPN 可以免于安装客户端。
  • 使用终端(笔记本等)与企业内部的 SSL VPN 服务器建立 SSL VPN 隧道后,即可通过该隧道远程访问企业内网的 Web 等服务器。

SSL VPN 的工作方式

  1. 终端用户访问企业内网服务器时,首先与 SSL VPN 服务器 建立隧道,采用标准的 SSL 协议对传输的数据包进行加密。
  2. 在用户登录 SSL VPN 服务器时,SSL VPN 服务器对用户身份进行认证。
  3. SSL VPN 服务器将报文发送至特定服务器进行验证,用户通过验证后即可访问(企业内网管理员分配指定的) 服务器资源。

SSL VPN 特点

安全性:利用 SSL/TLS 协议为应用层之间的通信建立安全连接。访问控制细分程度可达 URL 或文件级别,大大提高企业远程加入的安全级别。

便携性(成本):SSL VPN 基于 B/S 架构,因此无需安装客户端,使用普通浏览器即可访问。

跨平台兼容:只要支持 SSL 协议,无论是Windows、Mac、Linux,还是Android、IOS,都能使用 SSL VPN。

SSL VPN 玩法

部署方式:出口防火墙

出口防火墙配置

bash 复制代码 
# 配置接口 IP 地址
 
# 开启防火墙 Web 页面
[USG6000V1-GigabitEthernet0/0/0]service-manage enable
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

# 创建区域(trust、untrust)
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1]firewall zone untrust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

# 配置安全策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust-untrust
[USG6000V1-policy-security-rule-trust-untrust]source-zone trust
[USG6000V1-policy-security-rule-trust-untrust]destination-zone untrust
[USG6000V1-policy-security-rule-trust-untrust]action permit

[USG6000V1-policy-security]rule name untrust-local
[USG6000V1-policy-security-rule-untrust-local]source-zone untrust
[USG6000V1-policy-security-rule-untrust-local]destination-zone local 
[USG6000V1-policy-security-rule-untrust-local]action permit

[USG6000V1-policy-security]rule name untrust-trust
[USG6000V1-policy-security-rule-untrust-trust]source-zone untrust
[USG6000V1-policy-security-rule-untrust-trust]destination-zone trust
[USG6000V1-policy-security-rule-untrust-trust]action permit

# 配置 nat 策略
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name trust-untrust
[USG6000V1-policy-nat-rule-trust-untrust]source-zone trust
[USG6000V1-policy-nat-rule-trust-untrust]destination-zone untrust 
[USG6000V1-policy-nat-rule-trust-untrust]act source-nat easy-ip

# 配置缺省路由
[USG6000V1]ip route-static 0.0.0.0 0 100.100.100.1

# 创建 sslvpn 策略
# 注:ensp的防火墙在web页面配置会闪退,因此采用命令行模式。实际两种都可行。
[USG6000V1]v-gateway sslvpn interface GigabitEthernet 1/0/0 private

USG6000V1\]v-gateway sslvpn interface GigabitEthernet 1/0/0 private 输入以上命令,在 Web 页面会出现以下信息,也就是添加成功。 ![](https://i-blog.csdnimg.cn/direct/60a9318316434a339d8b08c69bdfb2cd.png) 接下来启用网络扩展服务 配置可分配方位 选择**手动路由模式** 配置可访问网络列表 ![](https://i-blog.csdnimg.cn/direct/3ff51891478846d9bb1880743b680a5e.png) 创建 SSL VPN 用户组与 test01 用户(注:名字随便) ![](https://i-blog.csdnimg.cn/direct/6722672ffe5d431e8874be13b19732b6.png)

截止至以上配置,已经可以实现 SSL VPN 的基本使用。

首先,PC 设备打开浏览器,直接访问防火墙网关,https:// 网关 IP 地址

使用刚刚创建的 test01 用户登录,开启网络扩展。

访问内网服务

相关推荐
small_white_robot8 小时前
(Win)文件上传数据流绕过-面试常考
网络·安全·web安全·网络安全
cui_ruicheng9 小时前
Linux网络编程(五):基于UDP实现DictServer
linux·服务器·网络·udp
辣椒思密达9 小时前
住宅IP纯净度评估方法:黑名单、风险评分与历史行为检测
运维·服务器·网络
Terasic友晶科技9 小时前
答疑解惑|为DE25-Nano开发板配置Linux kernel时.config文件没有起作用是什么原因?
linux·服务器·fpga开发·linux kernel·de25-nano
XiYang-DING9 小时前
【Java EE】TCP—延时应答
网络·tcp/ip·java-ee
程序员榴莲9 小时前
网络编程入门 Python Socket 实现一个简单的用户认证系统
服务器·网络·python
ZStack开发者社区10 小时前
全球化2.0 | ZStack亮相印尼云计算与数据中心大会 以新一代云底座助力数字印尼建设
服务器·云计算·gpu算力
甲方大人请饶命10 小时前
Java-网络编程和反射
网络
DFT计算杂谈10 小时前
VASP新手入门: IVDW 色散修正参数
linux·运维·服务器·python·算法
Oll Correct10 小时前
实验二十五:从IPv4向IPv6过渡所使用的隧道技术
网络·笔记
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法05几个好用的ip纯净度检测网站06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?08用了半年 OpenRouter,我换到了 Ofox.ai — 两个 AI API 聚合平台的真实对比09【AI】2026 年具身智能模型和世界模型总结10codex app每次打开重连5次Reconnecting问题解决