公司SSLVPN(AnyConnect)远程访问设置优化

学习目标

·了解SSL VPN的概念

·掌握防火墙SSL VPN的配置方法

任务引言

SSL VPN是解决远程办公用户访问公司内部资源服务器的最简单、最安全的技术，它是对现有SSL应用的补充，增加了公司执行访问控制和安全的级别与能力。

知识引入

与复杂的IPSec VPN相比，SSL VPN通过简单易用的方法实现信息远程连通。

SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证及可选的客户机认证。SSL协议包括握手协议、记录协议及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数；记录协议用于交换应用数据；警告协议用于在发生错误时终止两个主机之间的会话。

VPN(虚拟专用网)则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。VPN可以扩展企业的内部网络，允许企业的员工、客户利用Internet访问企业网。

工作任务——公司SSL VPN配置

【工作任务背景】

企业A广州总公司收到一份员工报告，在外出差的员工无法连接公司局域网，有些工作完成不了。公司决定使用SSL VPN技术来解决出差员工使用局域网的问题。拓扑如图5－6－1所示。

【工作任务分析】

PC1模拟总公司内部客户端，PC2模拟在外出差员工客户端，Server1模拟总公司内部服务器。当配置成功后，PC2访问通过SSL VPN(AnyConnect)访问公司内部的客户端和DMZ区域的服务器。详细参数见表5－6－1和表5－6－2。

图5－6－1　SSL VPN配置

表5－6－1　网络设备信息

表5－6－2　PC信息

【任务实现】

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在防火墙设备上设置必要的路由，实现网络拓扑通信。

3.在防火墙设备上创建拨号用户。

4.在防火墙设备上创建VPN客户端地址池。

5.在防火墙设备上启用Web VPN，关联镜像文件“anyconnect.pkg”，该文件需要提前上传到防火墙disk0上。

6.在防火墙设备上创建拨号策略。

7.在防火墙设备上创建tunnel－group。

(www.xing528.com)

8.在PC2客户端上进行连接测试。

(1)使用浏览器访问https://100.1.1.2，由于网站还没有部署SSL证书，所以此处会提示证书警告，单击“转到此网页”，跳转到SSL VPN页面，如图5－6－2所示。

图5－6－2　SSL VPN连接测试

(2)在SSL VPN登录页面输入用户名“vpnuser1”和密码“P＠ssw0rd”，单击“Login”按钮进行登录，登录后会跳转到AnyConnect下载页面，如图5－6－3所示。首次打开时，会提示安全控件信任问题，单击“允许”按钮，开始下载，如图5－6－4所示。

图5－6－3　SSL VPN连接测试(用户登录)

图5－6－4　允许安装拨号客户端

(3)下载成功后，会自动连接VPN。由于没有配置证书信任，会提示非安全连接，此时单击“Connect Anyway”按钮进行连接VPN，如图5－6－5所示。

图5－6－5　SSL VPN连接测试

(4)连接成功，单击AnyConnect页面左下角的齿轮按钮，可以查看当前VPN的连接状态，如图5－6－6和图5－6－7所示。

图5－6－6　SSL VPN连接成功

图5－6－7　检查当前SSL VPN加密情况

问题探究

1.简述SSL VPN的优势。

2.简述SSL VPN与IPSec VPN的区别。

知识拓展

AES(Advanced Encryption Standard):高级加密标准。

DES(Data Encryption Standard):数据加密标准。

MD5(Message－Digest Algorithm 5):消息摘要算法第五版。

SHA(Secure Hash Algorithm):安全哈希算法。

项目拓展

利用所学知识实现下列拓扑图的SSL VPN，使PC3能正常访问PC1的Web服务。拓扑如图5－6－8所示，详细参数见表5－6－3和表5－6－4。

图5－6－8　SSL VPN

表5－6－3　总公司部门网络信息

表5－6－4　网络参数设置