一、移動接入概述
1.安全接入
身份安全 終端環境安全 傳輸安全 應用權限安全 審計回溯
2.遠程接入: VPN
虛擬專用網路,建立專用資料通信網路技術,加密通訊,
3.VPN匯總
IPsec VPN:IETF支持標準之一,IP層加密,有隧道模式,傳輸模式,站到站的組網,實作三級或多級組網,用戶透明訪問,無需登錄
L2TP VPN:工業標準隧道協議,對網路資料流加密,L2TP面向資料包點對點連接,多隧道,提供包頭壓縮,隧道驗證
SSL VPN:應用于web瀏覽程式和web服務器程式,用于應用層,基于證書的身份認證,端到站的組網方式
PPTP VPN:點到點隧道協議,ppp協議擴展,在ip網上建立多協議安全VPN通信方式
4.統一身份認證
6種主認證
本地用戶名/密碼 公有/私有
LDAP服務器 公有/私有
Radius服務器 公有/私有
CA認證 私有
AD域單點登錄
HTTPs第三方介面對接 私有
3種輔認證
硬體特征碼 公有/私有
動態令牌 私有
短信認證 私有
- 主認證至少需要一種,輔認證不能單獨使用,主認證可單獨使用
二、移動接入方案
1.SSL VPN
一般采用插件系統來支持各種tcp和udp的非Web應用,
2.SSL協議 通過三個協議實作
SSL握手協議 :采用公鑰加密演算法進行密文傳輸
該協議允許服務器與客戶機在應用程式傳輸和接受資料之前互相認證,服務器與客戶機交換一系列訊息
SSL修改密文協:
保障SSL傳輸程序的安全性,客戶端和服務器雙方應該每隔一段時間改變加密規范,
SSL報警協議
用來為對等物體傳遞SSL的相關警告,
3.SSLvpn 技術優勢
身份安全 終端安全
傳輸安全 應用權限安全 審計安全
前置網關做TCP 443 80 埠映射 IPSEC VPN 映射TCP/UDP 4009埠
三、移動接入身份認證
1.用戶和用戶組
私有用戶只能同時一人登錄 ,公有用戶允許多人同時登錄
每個用戶必須屬于唯一用戶組
2.本地賬戶認證
本地認證:認證的賬戶資訊保存在設備本地
外部認證:認證的賬戶資訊保存在外部系統
3.數字證書認證
數字證書:一個經證書授權中心數字簽名的包含公開密鑰擁有者資訊和公開密鑰的檔案
包含: 用戶身份資訊 用戶公鑰資訊 身份驗證機構數字簽名資料
保證證書 真實性 不可否認性 機密性 完整性
4.LDAP認證技術
LDAP是輕量級目錄訪問協議,它是存盤用戶賬戶資訊資料庫的一個賬戶系統,
LDAP是一種開放標準,LDAP協議是跨平臺的intnet協議
常見的LDAP系統:
MS-LDAP:AD域 活動目錄域
OPen LDAP
other LDAP
http/https 支持單次/多次認證最多五次
5.TOTP動態令牌認證
OTP : 一次性密碼
TPTP: 時間戳演算法的一次性密碼
四、移動接入資源發布
1.web應用
客戶端接入SSL VPN 訪問web應用,不能打開新視窗輸入地址訪問,只能點擊鏈接或者利用web全網服務地址欄訪問,
web資源無法支持telnet應用型別
2.L3VPN
基于UDP,ICMP的應用或server需主動訪問client端的應用使用L3VPN資源
3.角色
snagfor SSL 角色是用戶和資源之間的紐帶,用于給不同用戶關聯不同內網資源
五、移動接入資源發布
1.登錄策略
用戶保存180天
SSL接入默認埠 443埠
默認登錄策略 /*
2.策略組
隱私保護
帶寬會話限制
允許接入客戶端型別
3.外置資料中心搭建
cent os 7(x64)
180天
cpu ,記憶體:8核8G
/data 存放 SSL日志 /history 存放外置中心自身日志(2G)
重啟網路服務:systemctl restart network.service
資料中心占用TCP: 1087 1081 4430 4431 514 埠
新版外置資料中心 使用 TCP 514 埠 使用syslog 協議
集群部署
集群環境下,對接外置資料中心,外置資料中心的允許接受IP填寫每臺節點IP而非集群IP.
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/286902.html
標籤:其他
上一篇:Go-AES演算法詳解與代碼