安全合规:AC(上网行为安全)--下

2301_769812882025-08-26 9:02

五、SSL移动接入方案概述
1、SSL VPN****概述
SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到"无客户端"部署。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN, 并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
(1)SSL****协议介绍
SSL协议主要通过三个协议实现:
• SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户 机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建 立SSL连接时,服务器与客户机交换一系列消息。
SSL连接主要依靠SSL握手协议,简短的一句话就可以概括SSL握手协****议的基本设计思路:采用公钥加密算法进行密文传输。也就是说,服务端将其 公钥告诉客户端,然后客户端采用服务器的公钥加密信息,服务端收到密文后, 用自己的私钥解密。
• SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每 隔一段时间改变加密规范。
• SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在 信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。
• SSL记录协议:
(2)SSL****协议结构

(3)SSL VPN****技术优势

2、SSL VPN****授权
SSL VPN****用户数:SSL VPN并发接入用户数授权
IPSec****移动用户数:SANGFOR VPN移动端PDLAN并发用户数授权
线路数:外网WAN口线路数授权
分支机构数:与第三方设备对接标准IPSEC VPN隧道数
远程应用用户数:使用远程应用发布资源的用户并发数
(1)创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式 组合认证)
(2)发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、 L3VPN类型、远程应用四种类型)
(3)创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访问哪些资源的权限)
3、SSL VPN组网方案
(1)网关模式组网
1、网关模式配置:配置设备的内外网口地址信息,外网口如果是拨号场景需 要先配置拨号
2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是 的话需要添加相应的回包路由回指给设备下接的核心交换机。
(2)单臂模式组网
1、单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IP、DNS;
2、前置网关做TCP 443和80端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)

2/2、移动资源发布

1、移动接入资源发布需求
需求:

  1. 出差或在家能接入企业/单位内网 的应用系统
  2. 需要支持电脑接入访问B/S、C/S类 所有应用
  3. 支持在移动终端(手机、平板)使 用windows上的应用
    解决方案:
  4. 允许电脑接入后访问授权的业务系统(地址、协议、端口)
  5. 远程应用发布实现windows应用在移动终端上使用
    2、移动接入资源发布技术
    资源是指远程接入SSL VPN后授权终端允许访问的网络服务
    根据实现机制和应用服务的不同将资源分为4类:
  6. WEB应用 2. TCP应用 3. L3VPN 4. 远程应用
    (1)WEB****应用
    Web****资源需求背景
  7. 用户在外手机办公,已经和总部建立了SSL VPN。现在用户需要通过手机访问总部 的web资源。
  8. 用户不希望在手机上安装额外的控件。
    WEB****应用技术原理
    ➢ WEB应用
    WEB应用通过SSL设备将内网服务转换成HTTPS协议。
    支持应用类型:HTTP,HTTPS,MAIL,FTP和FileShare。
    优点:客户端免控件,所有浏览器均支持。
    Web****应用技术原理

    SSLVP
    (2)TCP****应用
    TCP****资源需求背景
    用户在外电脑办公,需要通过电脑远程登录总部的web服务器进行资源更新。
    TCP****应用技术原理

    (3)L3VPN
    L3VPN****资源需求背景
    用户在外电脑办公,需要通过电脑访问总部的SNMP服务器进行管理。
    L3VPN****应用技术原理

    (4)远程应用
    采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护 以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务 器进行操作,输入输出的内容通过网络传输到客户端。
    远程应用技术原理
    需要安装EasyConnect客户端;终端服 务器需要安装RemoteServerAgent组件。某些B/S架构的应用需要在客户端浏览器安装插件才能访问。
    3、用户、角色、资源、策略组
    SANGFOR SSL角色是用户和资源之间的纽带,它用于给不同的用户关联 不同的内网资源,以实现更细致化的远程接入控制。
    **策略组用来设置用户的接入VPN的安全策略。包括以下内容:客户端相关选项,帐号属****性和安全桌面相关信息。****策略组设置完成后,需被用户或者用户组关联才生效。**根据需求的不同,可设置不同的策略组分别与用户,用户组关联。
    客户端选项用来设置客户端的隐私保护,带宽会话,是否允许PPTP方式
    接入,SSL专线,硬件特征码个数限制。
    账号控制用来设置账号相关的权限。
热门推荐
01UV安装并设置国内源02如何在Windows/Linux系统上安装adb03【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)04Cursor 快速入门指南:从安装到核心功能05不再让Windows更新!&Edge游戏助手卸载及关闭自动更新06Claude Code VSCode集成开发指南:AI编程助手完整配置07【踩坑笔记】50系显卡适配的 PyTorch 安装082025最新国内服务器可用docker源仓库地址大全(2025年8月更新)09Redis 下载与安装 教程 windows版10UnityHub Validation Failed下载编辑器错误,添加模块报错的解决方案