网络扩展实现过程
文章插图
报文封装过程
可靠传输模式
文章插图
快速传输模式
文章插图
终端安全
主机检查
终端安全是在请求接入内网的主机上部署一个软件,通过该软件检查终端主机的安全状况 。主要包括:主机检查、缓存清理 。
主机检查:检查用户用来访问内网资源的主机是否符合安全要求 。
主机检查策略包括如下检查项:
- 杀毒软件检查
- 防火墙检查
- 注册表检查
- 文件检查
- 端口检查
- 进程检查
- 操作系统检查
USG可以在用户访问虚拟网关结束时,采用必要的手段清除终端.上的访问痕迹(例如生成的临时文件、Cookie等),以防止泄密,杜绝安全隐患 。
清理范围:
- Internet临时文件
- 浏览器自动保存的密码
- Cookie记录
- 浏览器的访问历史记录
- 回收站和最近打开的文档列表
- 指定文件或文件夹
- 日志查询
- 日志导出
- 虚拟网关管理员日志
- 用户日志
- 系统日志
文章插图
证书匿名认证
NGFW只通过验证用户的客户端证书来验证用户的身份 。
文章插图
1.用户在SSLVPN网关登录界面选择证书后,客户端会将客户端证书发送给网关 。
2.网关会将客户端证书以及自己引用的CA证书的名称发送给证书模块 。
3.证书模块会根据网关引用的CA证书检查客户端证书是否可信,并将结果返回给网关:
- 如果网关引用的CA证书与客户端证书是同一个CA机构颁发的,且客户端证书在有效期内,则证书模块认为客户端证书可信,用户认证通过,继续执行4 。
- 如果证书模块认为客户端证书不可信,用户认证不通过,则执行5 。
- 网关会从自己的角色授权列表中查找用户所属角色从而确认此用户的业务权限 。
认证结果为通过的用户能够登录SSLVPN网关界面,以相应的业务权限来使用SSL VPN业务 。
认证结果为不通过的用户会在客户端上看到“您的证书验证非法,请提供合法的证书” 。
证书挑战认证
文章插图
证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来 。
证书+本地用户名密码证书+服务器认证SSL VPN应用场景
文章插图
SSL VPN单臂组网模式应用场景分析
文章插图
在网络规划时,SVN的接口IP为内网IP地址,此地址需要能与所有被访问需求的服务器路由可达 。
防火墙上需配置nat server,将SVN的地址映射到防火墙的某一公网IP. 上 。也可以只映射部分端口,如443 。如果外网用户有管理SVN的需求,还需要映射SSH、Telnet等端口 。
SSLVPN双臂组网模式应用场景分析
文章插图
- 在此类组网环境中,SVN使用两个不同的网口连接外网与内网,这种组网方式下,具有清晰的内网、外网概念;无需做额外的配置,外网口对应虚拟网关IP,内网口配置内网管理IP 。
- 虛拟网关IP不一定需要经过NAT转换,只要外网用户能够访问此虚拟网关IP地址即可 。内外网接口没有特定的物理接口,任何一个物理接口都可以作为内网或外网接口 。
- 图中路由器和交换机之间处于连接状态 。这是因为客户网络中可能有部分应用不需要经过SSL加密,而是直接通过防火墙访问外网 。这时就需要在交换机和路由器.上配置策略路由,需要建立SSLVPN的流量就转发到SVN上,而普通的应用就直接通过防火墙访问外网 。
推荐阅读
- 玫瑰花茶用什么温度的水泡,喝玫瑰花茶有什么好处
- 雪菊跟什么起泡最佳,饮用芙蓉花茶的5条禁忌
- Apache Ignite 内存速度级的分布式数据库
- 洋甘菊花草茶的功效与作用,洋甘菊的功效和作用
- 喝茉莉花茶的危害,茉莉花茶如何喝
- 怎样自制桃罐头
- 葛花茶的禁忌有哪些,玫瑰花茶的功效与禁忌有哪些
- 青蛙烧丝瓜的做法大全
- 茄子丝瓜的做法大全
- 花茶是好东西,花茶的讲究
