SSl协议支队通信双方传输的应用数据进行加密,而不是对从一个主机到另一个主机的所有数据进行加密。
由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用。
虚拟网关
每个虚拟网关都是独立可管理的,可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等。
当企业有多个部门时,可以为每个部门或者用户群体分配不同的虚拟网关,从而形成完全隔离的访问体系。
WEB代理
它将远端浏览器的页面请求(采用https协议)转发给web服务器,然后将服务器的响应回传给终端用户,提供细致到URL的权限控制,即可控制到用户对某一张具体页面的访问。
web代理实现对内网Web资源的安全访问:
Web代理有两种实现方式:
Web-Link和Web改写(默认)。
从业务交互流程可以看出,Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段。首先是远程用户与NGFW虛拟网关之间建立HTTPS会话,然后NGFW虚拟网关再与Web Server建立HTTP会话。虚拟网关在远程用户访问企业内网Web Server中起到了改写、转发Web请求的作用。
文件共享
文件共享实现过程
端口转发
提供丰富的内网TCP应用服务。
广泛支持静态端口的TCP应用:
支持动态端口的TCP应用:
提供端口级的访问控制。
端口转发实现原理
端口转发特点
网络扩展
网络扩展实现过程
报文封装过程
可靠传输模式
快速传输模式
终端安全
主机检查
终端安全是在请求接入内网的主机上部署一个软件,通过该软件检查终端主机的安全状况。主要包括:主机检查、缓存清理。
主机检查:检查用户用来访问内网资源的主机是否符合安全要求。
主机检查策略包括如下检查项:- 杀毒软件检查
缓存清理
USG可以在用户访问虚拟网关结束时,采用必要的手段清除终端.上的访问痕迹(例如生成的临时文件、Cookie等),以防止泄密,杜绝安全隐患。
清理范围:
完善的日志功能
认证授权
证书匿名认证
NGFW只通过验证用户的客户端证书来验证用户的身份。
1.用户在SSLVPN网关登录界面选择证书后,客户端会将客户端证书发送给网关。
2.网关会将客户端证书以及自己引用的CA证书的名称发送给证书模块。
3.证书模块会根据网关引用的CA证书检查客户端证书是否可信,并将结果返回给网关:
4.网关根据用户过滤字段从客户端证书中提取用户名。
5.网关将认证结果返回给客户端。
认证结果为通过的用户能够登录SSLVPN网关界面,以相应的业务权限来使用SSL VPN业务。
认证结果为不通过的用户会在客户端上看到“您的证书验证非法,请提供合法的证书”。
证书挑战认证
证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来。
证书+本地用户名密码
证书+服务器认证
SSL VPN单臂组网模式应用场景分析
在网络规划时,SVN的接口IP为内网IP地址,此地址需要能与所有被访问需求的服务器路由可达。
防火墙上需配置nat server,将SVN的地址映射到防火墙的某一公网IP. 上。也可以只映射部分端口,如443。如果外网用户有管理SVN的需求,还需要映射SSH、Telnet等端口。
1.配置接口
2.配置安全策略
3.配置VPNDB
4.虚拟网关配置
5.业务选择
ensp将防火墙该功能阉割
-End-
Copyright© 2013-2020
All Rights Reserved 京ICP备2023019179号-8