返回
SSL VPN实施方案模板

SSL VPN实施方案模板

ID:37720166

大小:380.50 KB

页数:12页

时间:2019-05-29

SSL VPN实施方案模板_第1页
SSL VPN实施方案模板_第2页
SSL VPN实施方案模板_第3页
SSL VPN实施方案模板_第4页
SSL VPN实施方案模板_第5页
资源描述:

《SSL VPN实施方案模板》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、XXX项目SSLVPN设备实施方案模板X年X月X日一、网络环境网络拓扑图如下:客户网络结构拓扑图:PIX防火墙是内外总出口,内网IP为192.168.113.1,外网有公司的一个公网Web服务器,IP地址为202.96.133.133。客户网络结构文字叙述二、需求分析随着移动办公的需求明显化,需要在外网能够收发公司内部的邮件,能够使用公司内部的OA系统进行办公,并运行ERP软件和内部的Oracle数据服务器传送数据。公司的外网服务器对公司的PIX防火墙外网IP做了权限设置,从公司访问时可以访问特殊的服务,在外办公人员也需要访问特殊的服务。对于接入总部的用户要求接入端不用安装客户端,

2、可以通过自己公司的数字证书、LDAP服务器用户信息或者是动态密码来验证接入的用户的身份的合法性。不要改变目前公司的现有网络结构。三、部署方案根据客户的需求,需要使用的是SSLVPN来实现,由于客户要求不改变网络结构,使用路由模式只能放在网关处,并代理上网,而使用单臂模式,完全不用修改客户网络结构,并且实施起来更灵活、方便。部署图如下:SSLVPN部署图将M5X00-S部署在服务器区,和PIX同一网段,能和内网所有网段通讯。四、实施步骤1.将M5X00-S部署在上图所示位置,只接LAN口,设置192.168.113.10的LAN口IP,并在系统路由中添加缺省路由,网关为192.168

3、.113.2。在PIX防火墙上做端口映射,将80和443端口映射到192.168.113.10上。配置后M5X00-S可以和整个内网通讯,并可以连接外网,在外网可以直接通过PIX防火墙的公网IP访问SSL。注意M5X00-S接在三层交换机上的口和PIX所接的口是同一VLAN的。2.设置CA中心客户是否存在SSLVPN与CA中心结合的需求?第三方或者自建。可以自建CA中心也可以导入第三方证书。由于有公司自己的第三方数字证书,需要在CA中心中将根证书和SSL证书导入。注意自建的CA中心在建立当天证书是不会生效的,如果做测试,就需要先将设备的系统时间先改到当天之前的日期,建好证书后再把设

4、备系统时间修改回来。1.配置资源在app资源中添加资源l将外部的Web服务器添加到资源中,类型为HTTP,主机地址为202.96.133.133,虚IP127.0.0.2,端口是80。此资源可以使用户接入SSLVPN以后访问外部的web服务器时,通过总部的外网去访问,由于web服务器对总部的外网IP发放了特殊的服务,因此当移动办公的用户接入是就可以使用特殊的服务了。注意如果资源无法访问时,确保设备本身能否访问到外部的服务器,以及相关的资源是否和使用的用户已关联到角色中。l将mail服务器添加到资源中,需要添加两个,一个类型为smtp,一个为pop3,主机地址均为192.168.11

5、5.2,需IP均为127.0.0.2,端口为25和110。此资源可以使用户接入SSLVPN后能够使用内网的邮件服务器。l将OA服务器添加到资源中,类型为HTTP,主机地址为192.168.121.10,虚IP127.0.0.3,端口是80。此资源可以使用户接入SSLVPN以后访问OA服务器。注意由于OA服务器在内网的多子网中,需要确认M5400-S的系统路由中是否有相对应的路由是设备能够访问到子网网段,这里网关直接指向了三层,三层中有对应的路由,所以不用另外添加。这里的服务又是HTTP,并且再次使用了80端口,这时就需要更换虚IP地址,可以将地址改为127.x.x.x,后三位任意,

6、只要所设置的虚IP的80端口没有被设置即可。l将Oracle服务器添加到资源中,类型为ORACLE,主机地址为192.168.115.3,虚IP127.0.0.4,端口是1-65535。此资源可以使用户接入SSLVPN以后可以运行ERP软件和内部的Oracle数据服务器传送数据。1.配置用户添加用户,可分别设置使用不同认证方式的用户l使用第三方认证,LDAP服务器上的用户导入首先在用户管理的外部认证中新建,选择LDAP服务器,并填入服务器的相关信息。然后在用户里导入LDAP服务器中的用户。l使用公司自己的数字证书的用户在用户里新建一个用户,在认证方式中选择数字证书然后生成,由于公司

7、有自己的CA,生成时选择导入第三方证书。l使用用户名和密码,并使用短信认证的用户在用户里新建一个用户,在认证方式中选择用户名/密码然后输入用户名和密码,如果需要启用短信认证就把手机号填好,根据情况选择私有帐户还是公共帐户(私有帐户只能一个人使用,公共帐户可以多人同时使用)。使用短信认证的时候还需要在短信认证配置中确认序列号是否正确,以及短信中心号码是否为手机卡所在地的号码。l用户组为了方便的把用户统一管理,可以设置一个组,比如同一个部门的,而且需要的是相同的权限的时候

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。