总部SSLVPN通过IPsec隧道获取分支资源的配置思路

原创 已于 2024-12-15 13:55:52 修改 · 538 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2024-12-15 13:42:55 首次发布

项目拓扑如下:
在这里插入图片描述
**项目需求:**总部SSLVPN用户接入后,需要通过IPsecVPN隧道获取分支文件服务器资源
**项目配置要点:**首先分支通过固定IP或者拨号方式和总部建立1-2条IPsecVPN隧道(2条隧道可以通过浮动静态路由,走主备;或者通过策略路由走负载)
配置注意事项:
1、首先需要明确SSLVPN访问内网资源是通过代理,NAT还是路由模式
2、总部和分支防火墙上面针对总部用户SSLVPN访问分支文件服务器的数据流做NAT豁免
3、总部和分支由于都做了策略路由,需要调整策略路由的顺序,将总部SSLVPN访问分支文件服务器的流量放到合适的顺序(即指向合适的公网出口)
4、总部和分支防火墙访问控制策略需要放行对应流量
5、如果总部SSLVPN是通过IP路由的访问访问资源,则需要改造2边的IPsecVPN 感兴趣流,加入总部SSLVPN访问分支资源的ACL
6、vAC上网行为管理设备,需要在总部和分支机构上分别针对对端业务ip网段(包括SSLVPN网段)做白名单
以下是针对H3C防火墙的部分配置:
1、必须针对VPN(IPsecVPN SSLVPN 总部和分支机构互访流量)做NAT排除,除非总部和分支IP地址有冲突-总部和分支机构都必须配置。在这里插入图片描述2、改造总部和分支机构的感兴趣流,增加总部SSLVPN IP地址段访问分支的ACL ,总部如果是8个0 的情况则不需要增加;分支机构必须增加!
在这里插入图片描述3、通过策略路由引流方式,将总部SSLVPN访问分支的流量指向指定公网出口,这里推荐用策略路由是因为策略路由能够更好的控制流量,配合Track和静态路由,可以做到负载+路由备份。
在这里插入图片描述4、调整总部SSLVPN,增加分支机构IP子网资源
在这里插入图片描述5、调整总部SSLVPN,将分支机构IP子网资源添加到资源组
在这里插入图片描述6、将资源组授权给总部SSLVPN用户(域用户集成)
在这里插入图片描述7、检查IPsec SA 检查来回加解密数据包,比如来回都有加解密数据包,如果只有一边有(收方向,或者发方向),需要检查分支和总部防火墙NAT 、路由 、策略路由、安全策略等配置情况
在这里插入图片描述8、在分支机构的vAC上面将总部SSLVPN 源ip地址段加入到全局排除地址
在这里插入图片描述
至此实现甲方需求。
该方式优点是
1、能够实现集中审计,管理
2、用户只要一次SSLVPN拨号即可同时获取总部和分支资源,方便办公
3、相比端口映射的方式更加安全
缺点是占用总部出口带宽(SSLVPN和IPsec流量都占用)

normanhere
关注
【网工第6版】第6章 网络安全③
静谧、淡雅
04-30 1611
网络安全③
05- 防火墙用户管理
qianlai22的博客
03-10 7028
1.用户认证和AAA技术原理 AAA技术 不认证: 对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 本地认证: 将用户信息(包括本地用户的用户名、密码和各种属性)配置网络接入服务器上。本地认证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制。 服务器认证: 将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。AAA支持通过RADIUS(RemoteAuthentication Dial In User Service)协议或H
IPsec VPN与SSL VPN实验思路(eNSP)
WuYiCheng666的博客
05-12 961
本实验演示了VPN网络的搭建过程,涵盖IPsecSSL VPN的配置、安全策略设计及故障排查方法。VPN技术在网络安全中的核心作用。防火墙多区域安全策略的精细化控制。NAT与VPN共存的解决方案。
SSL 资源发布实验
runtime888的博客
11-20 491
实验拓扑 图 1-1 实验需求 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,在总部部署 SSL VPN 服务器 发布总部的 Web 服务资源,要求不需要客户端安装任何插件即可访问该网站 发布总部 172.172.3.200 上的远程桌面(3389),使远程用户可以通过远程桌面管理该服务器 要求远程用户接入 SSL VPN 后,可以 Ping 通 172.172.3.200 发布远程应用服务器 172.172.3.150 上的 IE 应用,使远程的非 Windows 终端也
IPsec连接 和 SSL连接
weixin_61015632的博客
07-05 430
Psec和SSL连接是两种用于保障网络通信安全的技术。建立连接的初始阶段可能涉及复杂的协商过程。出差员工的便携设备需要访问公司内网时使用。网络层(OSI模型的第3层)的安全。对网络层安全有严格要求的场合。注重灵活的端到端的安全性。本地IDC与云端VPC。站点间的稳定通讯需求。
H3C-IPsec VPN分支间通过总部互访
Linux基础知识、计算机网络基础学习分享。
03-12 2963
最近公司准备上个项目,然后使用的是私有云部署模式,我们这边是有总部分支总部分支采用标准IPsec VPN,现在私有云也通过IPsec VPN接入总部相当于一个分支,但是由于我们分支比较多,因此这边各分支访问业务是通过总部进行中转的方式。简单说就是在总部和分部间防火墙公网间建立一个隧道,识别到总部到分部间的流量就走隧道,怎样识别呢?分支通过总部通信的原理就是感兴趣的匹配上,比如在分支总部的acl中定义到SAP的感兴趣流,然后在SAP到总部的acl添加到事业部的感兴趣流,nat的acl也需要拒绝掉。
实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问
防火墙技术专栏
06-26 1875
Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。
MPLS vpn和IPSEC vpn
weixin_69884785的博客
04-13 8187
vpn主要隧道技术协议有PPTP,L2TP,ipsecssl vpn,TLS vpnpptp和L2TP的区别和联系L2TP:第二层隧道协议,自身不提供认证加密和可靠性验证功能,可以与安全协议搭配使用,实现数据的加密传输。PPTP:PPTP是一种点对点的协议,将控制包和数据包分开,控制包采用tcp控制,数据包先封装在ppp协议中,然后封装到GRE V2中。
L2TP、PPTP、MPLS-VPN、IPSec-VPN、GRE、SSL-VPN要点与对比
courniche的博客
05-19 1482
L2TP、PPTP、MPLS-VPN、IPSec-VPN、GRE、SSL-VPN要点与对比
学会SANGFOR隧道,我不用。哎,就是玩儿~
热门推荐
LiBai'S BLOG
05-11 1万+
深信服设备自身能互联两种VPN类型,一是标准IPSec VPN,另一个就是自主开发的SANGFOR VPN。 配置案例:IPSec SANGFOR VPN的优势 与标准IPSec VPN相比,SANGFOR VPN的专利技术的优势: 1、支持两端都为非固定IP的公网环境—通过webagent实现 2、更细致的权限粒度 与标准IPSec VPN相比,SANGFOR VPN的特殊场景: 1、更细致的权限粒度 2、隧道间路由技术,分支用户通过总部上网,实现总部的统一管控 3、隧道内NAT技术,解决多个分
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1467
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
大型园区网络建设与管理4.6
qq_43416206的博客
01-24 1141
2. VPN 实现的主要安全协议VPN 区别于一般网络互联的关键是隧道的建立, 数据包经过加密后, 按隧道协议进行封装、 传送以保证安全性。一般, 在数据链路层实现数据封装的协议叫第二层隧道协议, 常用的有 PPTP、 L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议, 如 IPSec。另外,SOCKSv5 协议则在 TCP 层实现数据安全。1996 年 Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP, 它集成于 Windows NT。
软考中级网络工程师下午题近五年笔记
Electric Sheep
09-26 1659
自己记录中级网络工程大题做题笔记,方便云端查看。
秋招笔记-8.6
lastXuanGod的博客
08-06 1857
昨天开组会投文章以及玩苏丹的游戏去了,今天得知不久后有面试,所以我们需要快速地过一下基本的八股和项目。
下一代防火墙组网全解析
最新发布
2301_79966421的博客
08-11 440
网络安全防护中,下一代防火墙(NGAF)凭借灵活的组网能力和强大的安全特性,成为企业网络边界防护的核心设备。其多样化的部署模式、丰富的接口类型以及适配不同场景的组网方案,让它能满足从简单网络到复杂架构的各类防护需求。本文将系统梳理下一代防火墙的核心组网知识,助你全面掌握其部署与配置逻辑。
用 “故事 + 价值观” 快速建立 IP 信任感
ckjrxdn的博客
08-08 458
故事 + 价值观” 的组合,能快速缩短与用户的距离 —— 故事让 IP 从抽象符号变为可感知的存在,价值观则推动用户从被动关注转为主动认同,二者共同为变现筑牢信任基础。传递价值观需避免空洞口号,应融入具体行为:在知识输出中明确 “何为有价值的知识”,在用户互动中展现 “如何对待用户”,在商业行为中坚守 “变现与价值的平衡”。基于 “故事 + 价值观” 的信任,能降低变现阻力:情感认同转化为知识产品的尝试意愿,价值认同提升流量变现的接受度,深度信任则强化粉丝变现的复购与推荐动力。
WebSocket 在多线程环境下处理 Session并发
TOOZOOY的博客
08-07 1269
WebSocket 在多线程环境下处理 Session并发时,常见问题包括状态冲突(如 IllegalStateException)、消息乱序、连接超时等。以下是综合各技术方案的解决方案,分为单机多线程和分布式集群两类场景:
华为USG5500统一安全网关V200R001经典配置案例详解
首先,对于大型企业的校园网出口网关部署,它涉及到配置多层安全措施,包括SSLVPN、L2TP以及IPSec,以确保不同机构员工的安全接入和隔离。这种配置旨在强化内部网络的防护,防止外部未经授权的访问。 接着,文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值