De acuerdo

Uso integrado de las cuatro funciones principales de VPN SSL para Firewalls de Huawei.

Última respuesta oct. 21, 2021 12:01:44 427 1 0 0 0

 

Después de terminar su revisión de la extensión de la red, la mayoría de los lectores estarán un poco confundidos, y preguntarse por qué, si la extensión de red es tan poderosa, no podemos simplemente usar el servicio de extensión de red para un usuario. ¿Porqué todavía utilizamos el proxy Web, el intercambio de archivos, etc.


¿Qué? Esta es una pregunta clave. La prestación de servicios de SSL VPNs en tantas capas diferentes y diferentes granularidades es para controlar los permisos de acceso de los usuarios remotos a los sistemas internos de red; al final esto se hace para un objetivo: La seguridad. Cuando se utiliza elservicio de extensión de red, esto significa que un usuario remoto puedeacceder a todo tipo de recursos en la red interna de la empresa


Aunque esto es muy conveniente para el usuario, esto aumenta sin duda el riesgo de gestión y control para los recursos de red internos. Tanto para satisfacer las necesidades de los usuarios como para controlar correctamente los permisos, es necesario configurar diferentes servicios para el usuario de acuerdo con las necesidades del usuario, evitando así el problema mencionado.

 

La Figura 1-1 muestra un escenario de red hipotético en el que una determinada empresa ha desplegado equipos de firewall y ha proporcionado el servicio SSL VPN para empleados de viajes de empresas.

 

Figura 1-1 SSL VPN escenario integrado


 

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/1103/10/5638195c89cf1.png

 


En la Tabla 1-1 se muestran las necesidades de los usuarios remotos de la empresa para acceder a la red interna y el plan en el firewallpara la apertura de los servicios SSL VPN para los empleados itinerantes.

 

Tabla 1-1 SSL VPN plan de servicio


Identidad      del empleado itinerante

Necesidad de      acceso

Tipo de      servicio

Autorización de roles

Empleados        ordinarios

Acceder al        sistema OA

Proxy web

Cree un recurso        www.oa.com en el servicio de proxy Web y asocie este recurso a un empleado        ordinario o al grupo al que pertenece el empleado ordinario.

Utilice el sistema de        correo electrónico de la empresa para enviar y recibir correos electrónicos

Reenvío de puertos

Cree un recurso de        servidor de correo electrónico en el servicio de reenvío de puertos y asocie        este recurso a un empleado ordinario o al grupo al que pertenece el empleado        ordinario.

Gerentes

Acceso al sistema OA y        al sistema financiero

Proxy web

Crear dos recursos:        "www.oa.com" (ya creado) y www. finance.com ― en el servicio        proxy Web, y vincular estos recursos a un gestor o al grupo al que pertenece        el gestor.

Acceder al servidor de        intercambio de archivos

Compartir archivos

Cree un recurso de        servidor de archivos en el servicio de intercambio de archivos y asocie este        recurso a un gestor o al grupo al que pertenece el gestor.

Utilice el sistema de        correo electrónico de la empresa para enviar y recibir correos electrónicos

Reenvío de puertos

Cree un recurso de        servidor de archivos en el servicio de reenvío de puertos y bind el recurso        del servidor de correo electrónico con un gestor o el grupo al que pertenece        un gestor.

Convocar        teleconferencias

Extensión de red

Habilitar la función de        extensión de red y configurar la dirección del servidor de voz en "el        segmento de red interna accesible", y luego vincular el servicio de        extensión de red con un gestor o el grupo del gestor.

 

Una vez que la configuración del servicio de red está completa,  cuando los usuarios con diferentes identidades se conectan al gateway virtual,  los recursos de servicio que pueden ver también son diferentes.

 

Empleados ordinarios

Después  de que los empleados de viajes ordinarios accedan al gateway virtual, pueden  ver los enlaces de recursos a los que pueden acceder, como se muestra en la  Figura 1-2, y luego acceder a ellos mediante un solo clic en el enlace.

 

Figura  1-2 Interfaz de inicio de sesión del empleado ordinario


https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/1103/10/5638197fd6cc8.png

 

Gerentes

La  Figura 1-3 muestra los controladores de viaje de la interfaz ver después de  iniciar sesión en el gateway virtual.

 

Figura  1-3 Interfaz de inicio de sesión del Administrador


https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/1103/10/563819937b2d7.png

 

De ellos, el proxy Web y los recursos de intercambio de archivos  están todos provistos para la selección por el usuario usando enlaces. El  reenvío de puertos y la extensión de red sólo pueden utilizarse después de  hacer clic en Enable. Pero, ¿cómo puede un usuario remoto saber cuál de los  recursos de red interna de la empresa podrán acceder después de hacer clic en  habilitar? Esto requiere que el administrador de la red utilice otros canales,  por ejemplo un boletín, para informar al usuario remoto del nombre de dominio y  la dirección del servidor de recursos de red interna de la empresa. En este  sentido, el proxy Web y el intercambio de archivos son ambos ventajosos, porque  cuando el usuario remoto utiliza estos dos servicios, puede ver qué recursos  puede acceder desde la lista de recursos después de iniciar sesión en el  gateway virtual.

 

La relación entre la necesidad de un usuario remoto de acceder a  la red interna de la empresa y qué tipo de servicio SSL VPN debe habilitarse en  el firewall se puede dividir en dos puntos.

 

El tipo de recurso (recurso Web, recurso de  archivos, TCP, IP) que el usuario remoto accede a la red interna de la empresa  determina qué tipo de servicio SSL VPN debe seleccionar el administrador de  red.


  • Por  ejemplo, para un empleado viajero que sólo necesita acceder a recursos Web y  recursos de correo electrónico, sólo se pueden habilitar dos servicios, proxy  Web y reenvío de puertos. Sin embargo, si un gestor necesita acceder a cuatro  tipos de recursos, entonces esto requiere que se inicien cuatro tipos de  servicios para este usuario.


    Es  necesario indicar que como la extensión de red está equipada con la  funcionalidad de los tres anteriores        servicios, para hacer la configuración más  conveniente, también podemos habilitar sólo el servicio de                    extensión de red  para el gestor, permitiendo al gestor acceder a todos los recursos IP de la red  interna.

 

  • Si el usuario remoto posee permisos de acceso a un  determinado recurso se determina mediante la configuración de autorización de  roles.

        Con  el fin de evitar tener que configurar la autorización de servicios para todos y  cada uno de los empleados,         podemos establecer dos grupos (empleados y gerentes  ordinarios), añadir estos dos tipos de empleados en el         grupo apropiado, y luego  simplemente llevar a cabo la autorización de servicio para estos dos grupos de  rol.

 

Por  ejemplo, si un empleado viajero y un gestor permiten el servicio de proxy Web,  el empleado viajero sólo podrá acceder al sistema OA (www.oa.com) mientras que  el gestor puede disfrutar de permisos de acceso tanto al sistema OA como al  sistema financiero (www.finance.com) en the mismo tiempo.

 

Preguntas del doctor WoW:

1.  Durante el protocolo SSL handshake, con el fin de resolver los problemas del  algoritmo de cifrado de clave pública es demasiado complicado y la carga de  cálculo de cifrado/descifrado es demasiado grande, ¿qué tipos de métodos pueden  ser adoptados para aumentar la eficiencia?


2.  ¿La función de intercambio de archivos soporta la creación de nuevos archivos?


3.  Después de que un empleado viajero ingresa a un SSL VPN descubre que la lista  de recursos está vacía, pero de repente recuerda que su administrador le dio  una solución secreta. ¿Alguien puede adivinar cuál es el contenido de esta  solución secreta?


4.  Cuál es la relación entre Web-Link y el puerto de direccionamiento.


5.  En las VPN SSL, si el cliente y el servidor utilizan un certificado (s) para  verificar la identidad de cada uno, ¿qué certificados (s) hacen el cliente y el  servidor para adquirir respectivamente?

 

  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-10-21 12:01:44

 

También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                   

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.