收藏
下载资源

SuccendoSSLVPN培训教材

上传人:宝路 文档编号:48453057 上传时间:2018-07-15 格式:PPT 页数:92 大小:3.98MB
返回 下载 相关 举报
SuccendoSSLVPN培训教材_第1页
第1页 / 共92页
SuccendoSSLVPN培训教材_第2页
第2页 / 共92页
SuccendoSSLVPN培训教材_第3页
第3页 / 共92页
SuccendoSSLVPN培训教材_第4页
第4页 / 共92页
SuccendoSSLVPN培训教材_第5页
第5页 / 共92页
点击查看更多>>
资源描述

《SuccendoSSLVPN培训教材》由会员分享,可在线阅读,更多相关《SuccendoSSLVPN培训教材(92页珍藏版)》请在金锄头文库上搜索。

1、Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanyO2Security Succendo SSL VPN 产品培训教材 3.5版本Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company议程SSL VPN简介 O2Security Succendo SSL VPN网关框架

2、Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company议程SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能版本号3.5Copyright 2008 O2Security Ltd. All rights re

3、served. O2Security Ltd. is an O2Micro International Ltd. Company企业网络的基本概况版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company应用需求每天见客户谈生 意,还要回去收 邮件、下订单, 真累啊!要是 要出差给客户调 机器了,这次可 得准备充分点。 上次忘带一个升 级文件,硬是麻 烦同事用QQ给我 传了1小时。要是 我们访问总部内的 OA、ERP等系统通

4、过远程网络访问安 全吗?要是企业内网网络办公网络订单OA系统的访问文件传输每天有很多文件要批, 还有不少应酬,要是版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company传统IPSEC VPN的缺陷问题2 用户端需要安装客户端软件问题3 受网络环境以及用户端配置影响问题4 - 需要改变防火墙配置问题5 整个网络可能暴漏在外问题1 NAT会阻断IPsec连线版本号3.5Copyright 2008 O2Security Ltd

5、. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanySSL VPN的优势多种加密算法保证传输安全防火墙仅需打开一个端口:443数据信息及网络更安全用户端无需安装客户端软件 不受限于客户端平台环境 NAT不会阻断SSL VPN连线无须修改当前网络拓扑版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company议程SSL VPN

6、简介 O2Security Succendo SSL VPN网关框架 核心实体介绍 基本配置和功能实现演示 用户登录过程演示 网关常见部署模式 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company核心实体介绍角色用户服务SSL VPN需要解决的问题:谁在什么情况下能够访问什么资源谁: 用户资源:服务用户和服务之间的授权关系: 角色

7、SUCCENDO SSL VPN的三要素:版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company核心实体介绍角色用户服务角色的衍生物:条件和属性条件属性重认证阻止上网有效时间主机绑定缓存清理主机保护等凭证类型访问控制主机检测决定该角色有效的条件决定该角色能够做些额外事, 或者有些什么特性分类分类版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Secur

8、ity Ltd. is an O2Micro International Ltd. Company核心实体介绍-条件主机检查主机检查凭证类型凭证类型访问控制访问控制是否已经安装杀毒软件预置:Trend Office Scan 7.3.0McAfee 8.0.0Norton Anti Virus金山毒霸2006瑞星杀毒软件2006Kaspersky Anti-Virus 6.0McAfee 7.0.0是否开启了Windows Firewall是否开启了Windows 自动更新管理员可自主定义检查规则用户名密码|2. 配置NC 设置,添加NC路由 为86.18.0.0/16;备注:NC设置里面的所

9、有配置都是配置给NC客 户端所使用的。SSL VPN设备自身不会用到 这些信息。或者版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanyNC配置实例实验一原理说明:因为同一网段中的寻址方式是,由请求方发ARP请求的广播报文,请求目的IP地 址的MAC地址。收到该报文并具有该IP的机器回应自己的MAC地址给请求方,并记录请求方 的MAC地址在自己的ARP缓存内。请求方收到ARP回应后,修改自己的ARP缓存,以后数据 直接发

10、向目的MAC地址。而NC分配给客户端的虚拟IP看上去虽然和真实的应用服务器处于同一网段,但实际上隔离了 一个SSL VPN物理设备,ARP广播没办法发送,因此ARP 代理功能必须被勾选来帮助回应 ARP请求。配置步骤: 3. 配置一个NC的服务,这里以 全网打开的服务为例:将服 务地址设置为any,将协议 设置为any; 4. 将NC-配置里的ARP代理勾 选上。版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanyNC配

11、置实例实验一配置步骤:5.登录客户端,等分配好虚拟IP以后,访问 86.18.0.0/16网段的服务。比如去ping一下后端 的应用服务器,发现可以ping通。6.使用route print查看PC机的主机路由,发现 86.18.0.0/16已经添加到用户的PC机。版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanyNC配置实例实验二实验二描述:配置IP POOL,使IP POOL和86.18.0.0/16不在同一网段。

12、配置步骤:1. 配置IP POOL, 添加一个IP Pool,使其地址为192.168.1.1 -192.168.1.10;2. 配置NC 设置,添加NC路由 为86.18.0.0/16;3. 添加NC的any服务,如实验 一所示版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanyNC配置实例实验二实验二描述:配置IP POOL,使IP POOL和86.18.0.0/16不在同一网段。 配置步骤:4. 在客户端登录用户,

13、等分配好虚拟IP后,检查用户PC的 路由,发现86.18.0.0/16的路由已经添加到用户PC5. 去访问NC服务,比如ping一个目标网段的地址,却发现 不能ping通。原因:客户PC分配的IP地址池和应用服务器所在网段不一样。PC有了去应用服务器所 在网段的路由,但是应用服务器并没有到虚拟IP池的路由。6. 在需要访问的应用服务器上添加到192.168.0.0/16的路由 ,目的网关指向86.18.33.5(SSL VPN的内网接口地址 )(在路由器或3层交互机上添加也行)版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O

14、2Security Ltd. is an O2Micro International Ltd. CompanyNC配置实例实验二实验二描述:配置IP POOL,使IP POOL和86.18.0.0/16不在同一网段。配置步骤:7. 重新访问NC的服务,可以访问。版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. CompanyNC配置实例总结总结:1. IP POOL和内网服务所处同一网段时,不需要改变 客户应用环境,但是必须勾选“A

15、RP Proxy”功能;2. IP POOL和内网服务不在同一网段时,不需启用 “ARP Proxy”功能,但是必须保证所需访问的服务 器有指向IP POOL所在网段的路由。版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company议程SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能 NC的配置 SI

16、TE2SITE的配置 AP和AA的配置 多ISP的配置版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company端到端的连接版本号3.5Copyright 2008 O2Security Ltd. All rights reserved. O2Security Ltd. is an O2Micro International Ltd. Company端到端的连接的介绍功能介绍: SITE2SITE功能实现两个或者多个网段通过 专有通道实现安全连通。典型应用场景1:各地分公司之间通过S2S的通道实现内部资源的安全互访。典型应用场景2:子公司或者分公司通过S2S通道连接到总公司,并安全访问总公司内部资资源。版本号3.5Copyright 2008 O2Security

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号