SSL VPN实施方案模板

实施方案模板

X年X月X日

一、网络环境

网络拓扑图如下：

拓扑图

：

PIX防火墙是内外总出口，内网IP为192.168.113.1，有公司的一个公网Web服务器，IP地址为202.96.133.133。

二、需求分析

随着移动办公的需求明显化，需要在能够收发公司内部的邮件，能够使用公司内部的OA系统进行办公，并运行ERP软件和内部的Oracle数据服务器传送数据。公司的服务器对公司的PIX防火墙IP做了权限设置，从公司访问时可以访问特殊的服务，在外办公人员也需要访问特殊的服务。对于接入总部的用户要求接入端不用安装客户端，可以通过自己公司的数字证书、LDAP服务器用户信息或者是动态密码来验证接入的用户的身份的合法性。不要改变目前公司的现有网络结构。

三、部署方案

根据客户的需求，需要使用的是SSL VPN来实现，由于客户要求不改变网络结构，使用路由模式只能放在网关处，并代理上网，而使用单臂模式，完全不用修改客户网络结构，并且实施起来更灵活、方便。部署图如下：

将M5X00-S部署在服务器区，和PIX同一网段，能和内网所有网段通讯。

四、实施步骤

1.将M5X00-S部署在上图所示位置，只接LAN口，设置192.168.113.10的LAN口IP，并在系统路由中添加缺省路由，网关为192.168.113.2。在PIX防火墙上做端口映射，将80和443端口映射到192.168.113.10上。配置后M5X00-S可以和整个内网通讯，并可以连接，在可以直接通过PIX防火墙的公网IP访问SSL。注意M5X00-S接在三层交换机上的口和PIX所接的口是同一VLAN的。

2.设置CA中心

可以自建CA中心

也可以导入第三方证书。由于有公司自己的第三方数字证书，需要在CA中心中将根证书和SSL证书导入。注意自建的CA中心在建立当天证书是不会生效的，如果做测试，就需要先将设备的系统时间先改到当天之前的日期，建好证书后再把设备系统时间修改回来。

3.配置资源

在app资源中添加资源

●将外部的Web服务器添加到资源中，类型为HTTP，主机地址为202.96.133.133，虚IP127.0.0.2，端口是80。

此资源可以使用户接入SSL VPN以后访问外部的web服务器时，通过总部的去访问，由于web服务器对总部的IP发放了特殊的服务，因此当移动办公的用户接入是就可以使用特殊的服务了。注意如果资源无法访问时，确保设备本身能否访问到外部的服务器，以及相关的资源是否和使用的用户已关联到角色中。

●将mail服务器添加到资源中，需要添加两个，一个类型为smtp，一个为pop3，主机地址均为192.168.115.2，需IP均为127.0.0.2，端口为25和110。

此资源可以使用户接入SSL VPN后能够使用内网的邮件服务器。

●将OA服务器添加到资源中，类型为HTTP，主机地址为192.168.121.10，虚IP127.0.0.3，端口是80。

此资源可以使用户接入SSL VPN以后访问OA服务器。注意由于OA服务器在内网的多子网中，需要确认M5400-S的系统路由中是否有相对应的路由是设备能够访问到子网网段，这里网关直接指向了三层，三层中有对应的路由，所以不用另外添加。这里的服务又是HTTP，并且再次使用了80端口，这时就需要更换虚IP地址，可以将地址改为127.x.x.x，后三位任意，只要所设置的虚IP的80端口没有被设置即可。

●将Oracle服务器添加到资源中，类型为ORACLE，主机地址为192.168.115.3，虚IP127.0.0.4，端口是1-65535。

此资源可以使用户接入SSL VPN以后可以运行ERP软件和内部的Oracle数据服务器传送数据。

4.配置用户

添加用户，可分别设置使用不同认证方式的用户

●使用第三方认证，LDAP服务器上的用户导入

首先在用户管理的外部认证中新建，选择LDAP服务器，并填入服务器的相关信息。然后在用户里导入LDAP服务器中的用户。

●使用公司自己的数字证书的用户

在用户里新建一个用户，在认证方式中选择数字证书

然后生成，由于公司有自己的CA，生成时选择导入第三方证书。

●使用用户名和密码，并使用短信认证的用户

在用户里新建一个用户，在认证方式中选择用户名/密码

然后输入用户名和密码，如果需要启用短信认证就把手机号填好，根据情况选择私有帐户还是公共帐户（私有帐户只能一个人使用，公共帐户可以多人同时使用）。使用短信认证的时候还需要在短信认证配置中确认序列号是否正确，以及短信中心号码是否为手机卡所在地的号码。

●用户组

为了方便的把用户统一管理，可以设置一个组，比如同一个部门的，而且需要的是相同的权限的时候就可以放在同一个组里面，这样方便和资源关联起来。

需要注意的是，认证方式如果同时勾了多种方式，代表此帐户能够使用所选的所有方式的其中一种来登录SSL，并不是要同时满足所有才能登录。

5.配置角色

在角色管理中新建一个角色，把用户和资源关联起来

这里有一个技巧，把资源和组关联，以后如果有需要相同权限的新用户时，可以直接将该用户添加到组里面，这样就不需要再关联角色了。

6.注意事项

在安装中难免会出现一些问题，以下是些常见问题和处理方法：

●不能登录SSL

先检查内网能否登录，最好是交叉线直接把电脑和硬件连接来检查。确认正常后，再检查端口映射是否有问题，可以用我们的测试端口页面www..com.cn/ip 或 www.sinfors.com/ip 来检测端口是否通。

●连接80可以显示SSL页面，但443却不行，而且端口是通的

检查SSL的配置信息，是否选择了全部启用数字证书，全部启用数字证书时，连接SSL时如果没有数字证书，SSL页面是不会显示的。

●每次登录SSL时提示选择证书的窗口

需要在SSL的配置信息中的高级配置中，把“没有证书或只有一个证书的时候不弹证书选择框”选上。

●登录SSL后发现资源和设置的不一样

检查该用户及所属组是否在角色管理中分别设置了不同的角色。

●登录SSL后发现有些资源无法使用

确认资源是否添加正确，如果是添加的域名需要在接口中把对应的DNS设置好，或者在系统HOSTS中添加对应的域名。如果添加的是IP，确认端口有没有错误。如果发现设置都没有问题，就用update带命令行的，sock一下对应的IP和端口，看SSL设备是否能够正常连接。牢记SSL的原理，只要设备能访问到，基本上就是设置的问题。

●SSL的使用原则，SSL网关设备能够访问的资源，SSL 客户端都可以正常访问，         所以在设置资源的时候，一定要确保SSL网关可以正常访问资源。