博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什麼疑問的朋友可以聯繫博主,博主會幫你們解答,謝謝支持!
前言:上一次我發表了easy ***的原理和配置,easy***的缺點就是需要在用戶計算機安裝特殊的軟件,有時甚至還需要培訓如何使用。並且,如果外出辦公人員計算機上的終端軟件出現問題,而其又不能自行解決時將無法訪問公司內部的服務器,最終影響工作。那麼,有沒有一種更加方便的遠程接入方式呢?
使用ssl***可以實現更加方便地遠程安全接入。Ssl***不需要再用戶計算機安裝特殊軟件,可以使用當前用戶計算機上的瀏覽器安全地訪問公司內部服務器。Ssl***除了瀏覽器訪問外,還有通過瀏覽器自動安裝客戶端軟件到用戶計算機上。
一、SSL ***的原理
SSL ***是一種新興技術,此技術通過網頁瀏覽器的本地SSL加密,提供靈活、低成本的基於internet的遠程訪問解決方案。SSL***不需要在計算機中預先安裝專用的客戶端軟件,任何可以訪問internet的計算機都能建立SSL***會話,從而實現隨時隨地的網絡訪問。
SSL ***主要提供基於Web應用 程序的安全訪問
SSL ***操作在OSI的會話層
Cisco將SSL ***稱爲Web ***
1、SSL***的客戶端模式
如下圖所示,以ASA安全設備作爲***網關爲例,實現SSL ***的兩個組件包括SSL ***服務器和SSL ***客戶端。
SSL ***可以按照以下三種訪問方法進行部署。
1)無客戶端模式
無客戶端模式其實並不是完全沒有客戶端,而是使用計算機web瀏覽器進行遠程訪問,而不需要其他軟件。
無客戶端模式提供對網頁資源的安全訪問,以及基於網頁內容的訪問。無客戶端模式還可以通過通用internet文件系統(cifs)提供遠程文件共享,cifs在門戶網頁中列出一個文件服務器連接列表,從而使遠程用戶能夠瀏覽列出的域、服務器、目錄文件夾、文件等。無客戶端模式的缺點是其只能保護web流量。
2)瘦客戶端模式(也稱作端口轉發模式)
瘦客戶端模式提供對基於tcp服務器的遠程訪問,如郵局協議pop3,簡單郵件傳輸協議smtp,遠程登錄ssh等。瘦客戶端模式在建立SSL ***會話後由SSL ***應用程序動態地下載java或activex程序到用戶桌面,其允許一些非web的程序通過ssl ***進行傳輸。瘦客戶端模式擴展了網頁瀏覽器的加密功能。
3)胖客戶端模式(也稱作隧道模式或全隧道客戶端模式)
胖客戶端模式提供對大量應用程序支持的遠程訪問,可以通過下載SSL ***客戶端(SSL *** client,SVC)軟件,提供對所有應用程序的全網絡層(第三層)的訪問。使用胖客戶端模時,其客戶端軟件一般在客戶到中心站點建立SSL ***後,動態下載安裝到用戶計算機上。
由於需要在用戶計算機上安裝客戶端,所有用戶必須擁有其計算機管理員權限。若沒有管理員權限則無法安裝客戶端,只能使用無客戶端或瘦客戶端模式。
2、ssl***的驗證、加密和內容控制
Ssl***通常支持兩種方式的驗證,數字證書與用戶名和密碼。用戶使用https協議進行訪問,在獲得證書後在web瀏覽器中輸入用戶名、密碼進入,開始訪問內容資源。
Ssl***使用ssl對數據流量進行加密,ssl是由netscape公司開發的。Ssl的最新版本爲sslv3,其支持RC4,DES和3DES。經過發展,IETF基於SSL建立了一個傳輸層加密(TLS)的草案標準,RFC2246定義了TLS1.0。
對於無客戶端或瘦客戶端的ssl***來說,可以根據不同的用戶來開放不同的應用程序從而對用戶的訪問進行控制。使用ssl ***的用戶初始連接到一個web頁面。使用用戶名、密碼登錄頁面,在頁面中列出相應鏈接的列表,用戶使用列表訪問相應服務器。
3、ssl***的使用環境
用戶是否使用Web瀏覽器訪問應用程序
用戶可能使用非私有計算機訪問(網吧、圖書館等)
管理員對用戶電腦的管理權較小,不能控制用戶安裝軟件
除此之外,還要考慮非web的應用程序是否支持,這時就需要查看廠商所支持的非web程序額列表。這主要是由於非私有計算機上可能沒有管理員權限而導致無法安裝客戶端所致。
胖客戶端配置案例:
1、拓撲圖
2、實驗步驟:
1)替換ASA1的flash後啓動拓撲。
使用下面的這個FLASH替換目標位置
(C:\Users\81959\AppData\Local\Temp\ASA1)的FLASH
注意:81959是我係統的名字,你以你的系統名字爲準。
(注意:替換順序是先開機,然後把防火牆關機,找到你電腦的FLASH路徑替換,然後再把防火牆開機,然後再把防火牆關機,再開機,雙擊防火牆,輸入“no”回車即可)
2)配置所有設備的IP地址和ASA1的路由(ISP不用配置)。
配置SW1的ip地址:
配置ASA1的地址和路由:
配置ISP的地址:
配置三臺虛擬機的地址:
3)在PC1上安裝web和ftp,並開啓遠程桌面。
配置www.lol.com網站:
4)在ASA1上配置ssl***。
5)在PC2上訪問http://202.1.1.1,並且下載安裝客戶端,測試訪問遠程桌面、ftp、web。
在桌面右下角彈出了連接成功的提示:
雙擊右下角的圖表,彈出下面的信息:
到此爲止客戶端安裝成功了。
6)在客戶端上測試訪問內部網站、ftp、遠程桌面。
點“開機”→“所有程序”→“附件”→“遠程桌面連接”
但是此時無法訪問internet網站202.3.3.100(因爲沒有做隧道分離與dns分離)。
斷開連接後再次連接***,如下圖:
再次瀏覽202.3.3.100:
同時也能訪問內部的網站:
查看獲取到的dns是192.168.1.100(這樣就實現了dns分離,使用域名訪問內網和外網的網站都可以)
再配置一個隧道組***_group1,然後設置用戶zhengpengfei屬於***_group,再創建一個新用戶dabiaoge,讓其屬於***_group1,並測試隧道歸屬。
8)控制用戶使用web界面的訪問權限
首先編寫一個XML文件,名稱爲url_list1.xml,文件內容如下:
然後把文件放到內網的192.168.1.100的ftp服務器的根目錄下,用戶名爲zhengpengfei,密碼爲123-abc。在ASA防火牆上使用FTP服務將文件url_list1.xml導入到asa防火牆的url列表中。
查看現有url列表:
刪除url列表:
revert web*** url-list url-list-name
//url-list-name是指url-list的名字
應用URL列表:
關閉地址輸入欄的命令:
驗證訪問權限:
點一下webserver: