项目SSL_VPN施方案模板.docVIP

XXX项目SSL VPN设备 实施方案模板 X年X月X日 网络环境 网络拓扑图如下： 拓扑图： PIX防火墙是内外总出口，内网IP为，外网有公司的一个公网Web服务器，IP地址为33。 需求分析 随着移动办公的需求明显化，需要在外网能够收发公司内部的邮件，能够使用公司内部的OA系统进行办公，并运行ERP软件和内部的Oracle数据服务器传送数据。公司的外网服务器对公司的PIX防火墙外网IP做了权限设置，从公司访问时可以访问特殊的服务，在外办公人员也需要访问特殊的服务。对于接入总部的用户要求接入端不用安装客户端，可以通过自己公司的数字证书、LDAP服务器用户信息或者是动态密码来验证接入的用户的身份的合法性。不要改变目前公司的现有网络结构。 部署方案 根据客户的需求，需要使用的是SSL VPN来实现，由于客户要求不改变网络结构，使用路由模式只能放在网关处，并代理上网，而使用单臂模式，完全不用修改客户网络结构，并且实施起来更灵活、方便。部署图如下： 将M5X00-S部署在服务器区，和PIX同一网段，能和内网所有网段通讯。 实施步骤 将M5X00-S部署在上图所示位置，只接LAN口，设置0的LAN口IP，并在系统路由中添加缺省路由，网关为。在PIX防火墙上做端口映射，将80和443端口映射到0上。配置后M5X00-S可以和整个内网通讯，并可以连接外网，在外网可以直接通过PIX防火墙的公网IP访问SSL。注意M5X00-S接在三层交换机上的口和PIX所接的口是同一VLAN的。 设置CA中心 可以自建CA中心 也可以导入第三方证书。由于有公司自己的第三方数字证书，需要在CA中心中将根证书和SSL证书导入。注意自建的CA中心在建立当天证书是不会生效的，如果做测试，就需要先将设备的系统时间先改到当天之前的日期，建好证书后再把设备系统时间修改回来。 配置资源 在app资源中添加资源 将外部的Web服务器添加到资源中，类型为HTTP，主机地址为33，虚IP，端口是80。 此资源可以使用户接入SSL VPN以后访问外部的web服务器时，通过总部的外网去访问，由于web服务器对总部的外网IP发放了特殊的服务，因此当移动办公的用户接入是就可以使用特殊的服务了。注意如果资源无法访问时，确保设备本身能否访问到外部的服务器，以及相关的资源是否和使用的用户已关联到角色中。 将mail服务器添加到资源中，需要添加两个，一个类型为smtp，一个为pop3，主机地址均为，需IP均为，端口为25和110。 此资源可以使用户接入SSL VPN后能够使用内网的邮件服务器。 将OA服务器添加到资源中，类型为HTTP，主机地址为0，虚IP，端口是80。 此资源可以使用户接入SSL VPN以后访问OA服务器。注意由于OA服务器在内网的多子网中，需要确认M5400-S的系统路由中是否有相对应的路由是设备能够访问到子网网段，这里网关直接指向了三层，三层中有对应的路由，所以不用另外添加。这里的服务又是HTTP，并且再次使用了80端口，这时就需要更换虚IP地址，可以将地址改为127.x.x.x，后三位任意，只要所设置的虚IP的80端口没有被设置即可。 将Oracle服务器添加到资源中，类型为ORACLE，主机地址为，虚IP，端口是1-65535。 此资源可以使用户接入SSL VPN以后可以运行ERP软件和内部的Oracle数据服务器传送数据。 配置用户 添加用户，可分别设置使用不同认证方式的用户 使用第三方认证，LDAP服务器上的用户导入 首先在用户管理的外部认证中新建，选择LDAP服务器，并填入服务器的相关信息。然后在用户里导入LDAP服务器中的用户。 使用公司自己的数字证书的用户 在用户里新建一个用户，在认证方式中选择数字证书 然后生成，由于公司有自己的CA，生成时选择导入第三方证书。 使用用户名和密码，并使用短信认证的用户 在用户里新建一个用户，在认证方式中选择用户名/密码 然后输入用户名和密码，如果需要启用短信认证就把手机号填好，根据情况选择私有帐户还是公共帐户（私有帐户只能一个人使用，公共帐户可以多人同时使用）。使用短信认证的时候还需要在短信认证配置中确认序列号是否正确，以及短信中心号码是否为手机卡所在地的号码。 用户组 为了方便的把用户统一管理，可以设置一个组，比如同一个部门的，而且需要的是相同的权限的时候就可以放在同一个组里面，这样方便和资源关联起来。 需要注意的是，认证方式如果同时勾了多种方式，代表此帐户能够使用所选的所有方式的其中一种来登录SSL，并不是要同时满足所有才能登录。 配置角色 在角色管理中新建一个角色，把用户和资源关联起来 这里有一个技巧，把资源和组关联，以后如果有需要相同权限的新用户时，可以直接将该用户添加到组里面，这样就不需要再关联角色了。 注意事