《项目SSL_VPN实施方案模板.doc》由会员分享,可在线阅读,更多相关《项目SSL_VPN实施方案模板.doc(12页珍藏版)》请在三一文库上搜索。
1、XXX项目SSL VPN设备 实施方案模板X年X月X日一、 网络环境网络拓扑图如下:客户网络结构拓扑图:PIX防火墙是内外总出口,内网IP为192.168.113.1,外网有公司的一个公网Web服务器,IP地址为202.96.133.133。客户网络结构文字叙述二、 需求分析随着移动办公的需求明显化,需要在外网能够收发公司内部的邮件,能够使用公司内部的OA系统进行办公,并运行ERP软件和内部的Oracle数据服务器传送数据。公司的外网服务器对公司的PIX防火墙外网IP做了权限设置,从公司访问时可以访问特殊的服务,在外办公人员也需要访问特殊的服务。对于接入总部的用户要求接入端不用安装客户端,可以
2、通过自己公司的数字证书、LDAP服务器用户信息或者是动态密码来验证接入的用户的身份的合法性。不要改变目前公司的现有网络结构。三、 部署方案根据客户的需求,需要使用的是SSL VPN来实现,由于客户要求不改变网络结构,使用路由模式只能放在网关处,并代理上网,而使用单臂模式,完全不用修改客户网络结构,并且实施起来更灵活、方便。部署图如下:SSL VPN部署图将M5X00-S部署在服务器区,和PIX同一网段,能和内网所有网段通讯。四、 实施步骤1. 将M5X00-S部署在上图所示位置,只接LAN口,设置192.168.113.10的LAN口IP,并在系统路由中添加缺省路由,网关为192.168.11
3、3.2。在PIX防火墙上做端口映射,将80和443端口映射到192.168.113.10上。配置后M5X00-S可以和整个内网通讯,并可以连接外网,在外网可以直接通过PIX防火墙的公网IP访问SSL。注意M5X00-S接在三层交换机上的口和PIX所接的口是同一VLAN的。2. 设置CA中心客户是否存在SSL VPN与CA中心结合的需求?第三方或者自建。可以自建CA中心也可以导入第三方证书。由于有公司自己的第三方数字证书,需要在CA中心中将根证书和SSL证书导入。注意自建的CA中心在建立当天证书是不会生效的,如果做测试,就需要先将设备的系统时间先改到当天之前的日期,建好证书后再把设备系统时间修改
4、回来。3. 配置资源在app资源中添加资源l 将外部的Web服务器添加到资源中,类型为HTTP,主机地址为202.96.133.133,虚IP127.0.0.2,端口是80。此资源可以使用户接入SSL VPN以后访问外部的web服务器时,通过总部的外网去访问,由于web服务器对总部的外网IP发放了特殊的服务,因此当移动办公的用户接入是就可以使用特殊的服务了。注意如果资源无法访问时,确保设备本身能否访问到外部的服务器,以及相关的资源是否和使用的用户已关联到角色中。l 将mail服务器添加到资源中,需要添加两个,一个类型为smtp,一个为pop3,主机地址均为192.168.115.2,需IP均为
5、127.0.0.2,端口为25和110。此资源可以使用户接入SSL VPN后能够使用内网的邮件服务器。l 将OA服务器添加到资源中,类型为HTTP,主机地址为192.168.121.10,虚IP127.0.0.3,端口是80。此资源可以使用户接入SSL VPN以后访问OA服务器。注意由于OA服务器在内网的多子网中,需要确认M5400-S的系统路由中是否有相对应的路由是设备能够访问到子网网段,这里网关直接指向了三层,三层中有对应的路由,所以不用另外添加。这里的服务又是HTTP,并且再次使用了80端口,这时就需要更换虚IP地址,可以将地址改为127.x.x.x,后三位任意,只要所设置的虚IP的80
6、端口没有被设置即可。l 将Oracle服务器添加到资源中,类型为ORACLE,主机地址为192.168.115.3,虚IP127.0.0.4,端口是1-65535。此资源可以使用户接入SSL VPN以后可以运行ERP软件和内部的Oracle数据服务器传送数据。4. 配置用户添加用户,可分别设置使用不同认证方式的用户l 使用第三方认证,LDAP服务器上的用户导入首先在用户管理的外部认证中新建,选择LDAP服务器,并填入服务器的相关信息。然后在用户里导入LDAP服务器中的用户。l 使用公司自己的数字证书的用户在用户里新建一个用户,在认证方式中选择数字证书然后生成,由于公司有自己的CA,生成时选择导
7、入第三方证书。l 使用用户名和密码,并使用短信认证的用户在用户里新建一个用户,在认证方式中选择用户名/密码然后输入用户名和密码,如果需要启用短信认证就把手机号填好,根据情况选择私有帐户还是公共帐户(私有帐户只能一个人使用,公共帐户可以多人同时使用)。使用短信认证的时候还需要在短信认证配置中确认序列号是否正确,以及短信中心号码是否为手机卡所在地的号码。l 用户组为了方便的把用户统一管理,可以设置一个组,比如同一个部门的,而且需要的是相同的权限的时候就可以放在同一个组里面,这样方便和资源关联起来。需要注意的是,认证方式如果同时勾了多种方式,代表此帐户能够使用所选的所有方式的其中一种来登录SSL,并
8、不是要同时满足所有才能登录。5. 配置角色在角色管理中新建一个角色,把用户和资源关联起来这里有一个技巧,把资源和组关联,以后如果有需要相同权限的新用户时,可以直接将该用户添加到组里面,这样就不需要再关联角色了。6. 注意事项在安装中难免会出现一些问题,以下是些常见问题和处理方法:l 不能登录SSL先检查内网能否登录,最好是交叉线直接把电脑和硬件连接来检查。确认正常后,再检查端口映射是否有问题,可以用我们的测试端口页面 或 来检测端口是否通。l 连接80可以显示SSL页面,但443却不行,而且端口是通的检查SSL的配置信息,是否选择了全部启用数字证书,全部启用数字证书时,连接SSL时如果没有数
9、字证书,SSL页面是不会显示的。l 每次登录SSL时提示选择证书的窗口需要在SSL的配置信息中的高级配置中,把“没有证书或只有一个证书的时候不弹证书选择框”选上。l 登录SSL后发现资源和设置的不一样检查该用户及所属组是否在角色管理中分别设置了不同的角色。l 登录SSL后发现有些资源无法使用确认资源是否添加正确,如果是添加的域名需要在外网接口中把对应的DNS设置好,或者在系统HOSTS中添加对应的域名。如果添加的是IP,确认端口有没有错误。如果发现设置都没有问题,就用update带命令行的,sock一下对应的IP和端口,看SSL设备是否能够正常连接。牢记SSL的原理,只要设备能访问到,基本上就是设置的问题。l SSL的使用原则,SSL网关设备能够访问的资源,SSL 客户端都可以正常访问, 所以在设置资源的时候,一定要确保SSL网关可以正常访问资源。