【防火墙技术连载36】强叔侃墙 VPN篇 Web代理、文件共享、端口转发三分天下,网络扩展惊鸿出世一统乾坤(下)

digest [复制链接]
发表于 : 2014-11-4 12:16:20 最新回复:2016-05-08 19:34:01
10805 15
强叔侃墙
强叔侃墙 官方号

两种IP各司其职配置简单,IP地址如何选取大有讲究

在网络扩展的上篇中,强叔讲了那么多概念、原理的内容,一方面是为了让各位小伙伴加深对网络扩展功能的理解;另一方面,是为下面配置网络扩展做铺垫。

网络扩展业务的配置可以分为如下几个步骤:

1. 创建一个虚拟网关。

2. 在虚拟网关下创建出差用户、配置出差用户的认证方式以及角色授权。

   由于上面这两个配置步骤在之前的贴子中已有介绍,强叔在此就不罗嗦了。

3.  配置网络扩展业务。

    

网络扩展业务只需要配置两个IP地址段就可以了,要配的东西少,所以很简单。但是,怎样选取两个IP地址段却是大有讲究。

参数1:可分配IP地址池范围

在原理部分强叔讲过,出差用户启动网络扩展功能以后,虚拟网关会给出差用户的虚拟网卡分配IP地址,那这个地址从哪里来?聪明的小伙伴应该已经猜到了,就是从这里配置的地址池中随机取的。这个地址池是由网络管理员自行指定的,在指定地址池的时候需要注意该地址池网段与内网网段之间的关系。如果这个地址段与内网网段10.1.1.2设置在了同一个子网中,则出差用户在获得虚拟网关分配的这个地址以后,就相当于出差用户和内网服务器在一个二层交换机下连着一样,出差用户就可以直接访问服务器,不存在路由问题。假如此处的地址池和内网服务器不在同一个网段(举例中就没在同一网段),这里就需要在防火墙上配置一条目的地址是地址池网段(192.168.1.0),出接口是与Internet相连的公网接口。这条路由仅用于确定安全域间关系,并不指导报文转发。详细原理强叔已经在上篇中有过介绍了,此处不再赘述。

另外,如果企业内部有专门为用户分配IP地址的服务器,如DHCP服务器、第三方认证服务器等,网络扩展中的地址池只要不与服务器分配的地址段冲突即可,各自分配各自的IP地址,互不影响。

参数2:可访问内网网段列表

前面强叔说到,开启网络扩展出差用户就可以访问企业内网的所有IP资源,那为什么这里还有“可访问内网网段”呢?说到底还是为了控制,如果我们不配置这个参数,默认出差用户是可以访问内网的所有资源;但为了能灵活控制出差用户的访问范围,我们就增加了这个功能。

强叔在网络扩展上篇的业务交互流程中提到过:“虚拟网关会根据网络扩展业务中的配置向出差用户下发不同的路由信息,该路由会影响到出差用户的网络状态”,这句话就是针对网络扩展中可访问内网网段”这个参数讲的,因为配或者不配这个参数,不但影响用户访问企业内网的范围,同时它也影响出差用户的其它网络状态。

l如果网络扩展中配置“可访问内网网段”为 10.1.1.0,则虚拟网关就会向出差用户的PC上推送一条明细路由,目的地址是内网网段10.1.1.0,下一跳是出差用户获取到的企业内网的私网地192.168.1.1  

l如果在网络扩展中不配置“可访问内网网段”这个参数,出差用户的路由又会是什么样的呢?在下图中我们可以看到,虚拟网关向出差用户推送了一条缺省路由,下一跳是出差用户获取到的企业内网的私网地址192.168.1.1  

    可别小看了上述两种路由之间的差异,配置了“可访问内网网段”时,虚拟网关只是下发一些到企业内网网段的路由到出差用户,而这个路由不会影响到其他路由,也就是说出差用户想访问企业内网就访问企业内网,想访问Internet就访问Internet,这个访问丝毫不受影响,是该干嘛干嘛。

    如果选择了不配置这个参数,那问题就来了。通常出差用户访问Internet这条路由是一条缺省路由,现在虚拟网关又推送过来一条缺省路由,而且虚拟网关推送过来的这条缺省路由优先级最高(跃点数是1),这样一来就会使得出差用户原有的缺省路由失效,即出差用户就没法访Internet了。假如出差用户某一时刻必须要访问Internet,那就只能暂时断开一下网络扩展连接,想访问内网的时候再重新启用网络扩展就行了。所以到底选择哪一种网络扩展的配置方式,这就取决于企业用户的需要了。

有了上面的几个配置,网络扩展业务就算配置完了。我们下面再来看看出差用户该如何通过网络扩展功能访问内网资源。

IE浏览器登录简单方便,独立客户端接入亦有亮点  

SSL VPN的网络扩展功能向出差用户提供了两种访问内网的途径,一种是使用IE浏览器,另一种是采用独立的网络扩展客户端。

lIE浏览器

   1.   出差用户在IE浏览器地址栏中输入虚拟网关的访问地址。

   2.   出现虚拟网关登录界面后,输入用户名和密码。

  3.   登录成功的出差用户可以在虚拟网关的资源页面看到“网络扩展”页签,单击网络扩展下的

    “启动”,出差用户就会获取到虚拟网关为其分配的企业内网IP地址,这样就可以直接访问企业内网资源了。

   

    在介绍报文封装原理部分强叔提到过, 建立SSL VPN隧道分为了可靠性传输模式和快速传输模式,而采用IE浏览器与虚拟网关之间建立 SSL VPN隧道默认使用的是快速传输模式。

l独立客户端

  1. 出差用户下载、安装网络扩展独立客户端。
    出差用户成功登录到虚拟网关以后,然后单击界面右上角的“用户选项”,就可以看到网络扩展客
户端的下载链接。安装也很简单,按照引导单击“下一步”就行了。

      提示:使用独立客户端好处在于,网络扩展客户端可以在开机的时候自动启用,而且在连接断开

    时有自动重连功能。而使用IE浏览器方式时则需  要每次都登录一下虚拟网关,所以比较麻烦。

  2.登录虚拟网关。

    地址:虚拟网关地址

    用户名、密码:管理员为出差用户分配的登录虚拟网关的用户名密码。

    单击“登录”,出差用户就可以和内网用户一样访问内网资源了。

   

    采用独立客户端建立SSL VPN隧道时,SSL VPN的隧道建立模式可以进行配置。在登录界面中单

    击“选项”,然后在“隧道模式”中就可以选择  是使用可靠性传输模式还是快速传输模式。隧道

    模式中还有个“自适应模式”,表示客户端会根据网络环境自动选择采用可靠性传输模式或是快

    速传输模式建立SSL VPN隧道。

虚拟网卡得IP,接入成功便无疑  

如果用户已经启用了网络扩展功能,那出差用户怎么判断自己的网络扩展功能是不是生效了呢?这可以看两个指标,首先需要用ipconfig命令看一下出差用户的PC有没有获取到虚拟网关分配的私网地址。按照上面的例子,如果启用网络扩展以后,出差用户的PC出现一个192.168.1.0网段内的IP地址。那么,恭喜您!您已经成功接入到企业的内网中了。

第二个指标就是出差用户试一试,看能不能访问企业内网的资源。

我们经常会碰到这样一些情况,就是出差用户已经获取到虚拟网关分配的IP地址了了,但就是无法访问内网资源,这又是怎么回事呢?总体来说碰到这样的情况有两个原因:

l一是出差用户没有访问这个内网资源的业务权限(比如研发人员没有访问财务系统的权限);

l二是我们在配置网络扩展业务时,“可访问内网网段”中没有包含出差用户要访问的内网资源所在的网段。

这两个问题也好解决,要么出差用户向网络管理者申请业务权限;要么网络管理者在防火墙上检查一下,看是不是把内网资源都加进来了。

说到这里SSL VPN网络扩展自身的内容介绍就已经结束了,但考虑到SSL VPN这四种业务既有差异又有关联,因此有必要整体角度再对比一下四种业务的关系。

 

四大业务悉数登场,作用不同各有千秋

假设某企业部署了防火墙设备,为企业出差员工提供SSL VPN业务,其网络如下图所示。


企业出差用户访问内网的需求以及在防火墙上为出差员工开通SSL VPN业务的规划如下:

出差员工身份

访问需求

业务类型

角色授权

普通员工

访问OA系统

Web代理

Web代理业务中创建www.oa.com这条资源,将此资源与普通员工或普通员工所属的组进行绑定。

使用企业的邮件系统收发邮件。

端口转发

在端口转发业务中创建一条邮件服务器的资源,将此资源与普通员工或普通员工所属的组进行绑定。

管理者

访问OA系统和财务系统

Web代理

Web代理业务中创建www.oa.com(已创建)、www.finance.com这两条资源,将此资源与管理者或管理者所属的组进行绑定。

访问文件服务器

文件共享

在文件共享中业务中创建一条文件服务器资源,将此资源与管理者或管理者所属的组进行绑定。

使用企业的邮件系统收发邮件。

端口转发

在端口转发业务中创建一条文件服务器资源,并将邮件服务器资源与管理者或管理者所属的组进行绑定。

召开电话会议

网络扩展

启用网络扩展功能,并将语音服务器所在的地址配置到“可访问内网网段”中,然后将网络扩展业务与管理者或管理者所在的组进行绑定。

网络业务配置完成后,不同身份的用户在登录虚拟网关后所能看到的资源也不相同,其所见资源如下。

l普通员工

普通出差员工在登录虚拟网关后,可以看到自己所能访问的资源连接,单击链接就可以访问该资源。

l管理者

 出差的管理者在登录虚拟网关后可以看到如下界面。

 

其中Web代理、文件共享资源都是以链接形式供用户选择。端口转发和网络扩展需要单击“启动”以后才能使用。但是出差用户如何知道自己点了启动以后都能访问企业的哪些内网资源呢?这个就需要网络管理员通过其他途径,例如网络公告之类的将企业内网的资源服务器域名、地址告知出差用户。在这一点上,Web代理、文件共享相对有优越性,因为出差用户在使用这两种业务的时候,自己能够访问哪些资源,这在登录到虚拟网关以后是可以从资源列表中看到的。

出差用户访问企业内网的需求与防火墙上开启何种SSL VPN业务之间的对应关系可以归纳成两点。

l出差用户访问企业内网的资源类型(Web资源、文件资源、TCPIP)决定了网络管理员应该选择SSL VPN的何种业务。

例如,出差员工只需要访问Web资源和邮件资源,就为该用户启用Web代理和端口转发两种业务;而管理者需要访问四种类型的资源,那就需要为其开启四种业务。

需要说明的是,网络扩展由于兼备了前三种业务的功能,如果说为了配置方便,也可以只为管理者开启网络扩展业务,让管理者可以访问内网所有的IP资源。

l出差用户是否拥有对某一资源的访问权限,这是通过角色授权配置来决定的。

例如,出差员工和管理者同样都开启了Web代理业务,出差员工只能访问OA系统(www.oa.com),而管理者却同时拥有访问OA系统和财务系统(www.finance.com)的权限,这就是在角色授权中配置的。

 

附:规格列表
SSL VPN业务对出差用户所使用的操作系统及浏览器有要求,在实际使用中,经常有小伙伴们会问到这个支持情况,此处强叔就把这个支持情况整理了一下,以便大家查阅。

网络扩展所支持的操作系统规格

SSL VPN业务

 

支持的操作系统

 

Web代理

Web改写

 

-

 

Web Link

 

Windows 2000 Professional SP3及其以上(32位)

Windows Server 2000 SP3及其以上(32位)

Windows Server 200332位)

Windows XP SP1及其以上(32位)

Windows Vista32/64位)

Windows 732/64位)

Windows Server 200832/64位)

说明:64位操作系统下,浏览器要以32位模式运行。

 

文件共享

 Windows 2000 Professional SP3及其以上(32位)

Windows Server 2000 SP3及其以上(32位)

Windows Server 200332位)

Windows XP SP1及其以上(32位)

Windows Vista32/64位)

Windows 732/64位)

Windows Server 200832/64位)

说明:64位操作系统下,浏览器要以32位模式运行。

 

端口转发

Windows 2000 Professional SP3及其以上

Windows XP SP1及其以上

Windows Vista

Windows Server 2000 SP3及其以上

Windows Server 2003

Windows 7

Windows Server 2008 X86

支持的系统均为32位操作系统。

网络扩展

浏览器

 

Windows 2000 Professional SP3及其以上(32位)

Windows Server 2000 SP3及其以上(32位)

Windows Server 200332位)

Windows XP SP1及其以上(32位)

Windows Vista32/64位)

Windows 732/64位)

Windows Server 200832/64位)

说明:64位操作系统下,浏览器要以32位模式运行。

Huawei AnyOffice VPN客户端

 

Windows 2000 Professional SP3及其以上(32位)

Windows Server 2000 SP3及其以上(32位)

Windows Server 200332位)

Windows XP SP1及其以上(32位)

Windows Vista32/64位)

Windows 732/64位)

Windows Server 200832/64位)

Mac OS X 10.x.x

说明:64位操作系统下,浏览器要以32位模式运行。

网络扩展所支持的浏览器规格

SSL VPN业务

 

支持的浏览器及版本

 

Web代理

Web改写

 

Internet Explorer 6/7/8/9

Mozilla Firefox 4.012.0

Google Chrome 10.020.0

Opera 9.012.0

Safari 3.05.1.x

360安全浏览器 3.x5.0

Symbian Series 60 Web Browser 7.0-7.4

BlackBerry Browser 4.6.0

天天浏览器 V2.3及以上版本

UC Browser 7.x及以上版本

Web Link

 

Internet Explorer 6/7/8/9

 

文件共享

Internet Explorer 6/7/8/9

端口转发

Internet Explorer 6/7/8/9

网络扩展

浏览器

 

Internet Explorer 6/7/8/9

 

Huawei AnyOffice VPN客户端

 

-

  说明:“-”表示对应业务对操作系统或浏览器不做要求。

本篇是VPN技术的最后一篇,下一篇强叔将带领小伙伴们进入光怪陆离的双机世界,敬请期待!!!

思考:如果出差用户要访问企业内网的Web资源,那在防火墙上为用户开通网络扩展功能以后,用户能不能正常访问内网的Web资源,这样的业务控制是否合理,为什么?

 

上一篇 VPN篇 Web代理、文件共享、端口转发三分天下,网络扩展惊鸿出世一统乾坤(上)

下一篇 双机热备篇 双机热备来了

汇总贴】 

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2014-11-4 14:20:02 已赞(0) 赞(0)

好资料顶起来~~
  • x
  • 常规:

点评 回复

sflovestar007
sflovestar007   发表于 2014-11-4 19:20:13 已赞(0) 赞(0)

讲解详细全面啊,谢谢分享,赞一个
  • x
  • 常规:

点评 回复

DoubleDong
DoubleDong   发表于 2014-11-10 17:44:04 已赞(0) 赞(0)

SSL VPN的理论知识还是有一定难度的,支持强叔!
  • x
  • 常规:

点评 回复

user_1913555
user_1913555   发表于 2014-11-11 15:38:06 已赞(0) 赞(0)

强叔威武,有时间也可以制作点学习视频啥的,多谢啦

  • x
  • 常规:

点评 回复

user_1913555
user_1913555   发表于 2014-11-11 15:41:27 已赞(0) 赞(0)

ssl vpn 果然杠杠的,多谢
  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-2-7 10:58:36 已赞(0) 赞(0)

1. 现测试中客户端PC获取了IP地址,也可以和内网的服务器ping通,但是为什么不通ping通防火墙内部接口的IP地址呢?

要ping通某个接口,就需要开启接口的Ping服务,你检查一下你的那个接口服务开了没有。

命令:service-manage ping permit

2. 如果是内网的用户主动发起向PC客户端地址的访问,数据包到达防火墙后是什么个处理顺序呢?

   按照正常的流程查路由-->安全策略检查--->进隧道--->到达PC客户端。

   手工添加的指向Internet的到达地址池的路由是否会影响报文的转呢?此时应该是直接走SSLVPN了吧?否则的话就会路由到其他的地方去了。

   访问企业内网的流量通过防火墙下发的路由进入虚拟网卡进行SSL封装。如果你手工配置到internet的路由,那对应的路由出接口应该是你实际的物理接口,而不是虚拟网卡。所以两者路由的出接口(下一跳)不一样,流量转发互不影响。

 

  • x
  • 常规:

点评 回复

banyan716
banyan716   发表于 2015-1-14 21:59:39 已赞(0) 赞(0)

 墙叔请教两个问题:

1. 现测试中客户端PC获取了IP地址,也可以和内网的服务器ping通,但是为什么不通ping通防火墙内部接口的IP地址呢?

2. 如果是内网的用户主动发起向PC客户端地址的访问,数据包到达防火墙后是什么个处理顺序呢?手工添加的指向Internet的到达地址池的路由是否会影响报文的转呢?此时应该是直接走SSLVPN了吧?否则的话就会路由到其他的地方去了。

  • x
  • 常规:

点评 回复

江东阿郎
江东阿郎  精英 发表于 2014-12-2 15:57:17 已赞(0) 赞(0)

假如可以访问内网资源段地址池我配置的是:172.22.254.0 /24   分配给虚拟网卡的是:192.168.88.2

则,按照您的说法是,下发一条路由到PC上:

假如,我内网有一个:172.22.10.0 /24的网段,我在usg上面没有配置在可以访问内网资源段地址池中,但是我在pc上手动添加这条路由,是否能够达到效果呢?

route add 172.22.10.0 mask 255.255.255.0 192.168.88.2

结果是不行的,只能通几个包,然后就不通了:

我想问一下这是为什么呢?

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-12-2 17:43:06 已赞(0) 赞(0)

回复 9 楼

防火墙阻止这个通信是合理的。

试想一下,如果用户可以通过自行添加路由的方式来访问内网资源,不就等同于绕过防火墙的这个“可访问内网网段”的限制了吗?

  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录