实验篇(7.2) 05. 通过浏览器访问远端内网服务器 (SSL) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 05. 通过浏览器访问远端内网服务器 (SSL) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】直接将内网服务器映射成公网IP,可以方便的从任何地方访问服务器的指定端口,但是这种方式下,服务器是公开且暴露的。那有没有即方便、又比较安全的远程访问服务器的方法呢?我们来看看SSL VPN的Web模式。


  SSL VPN介绍

  从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。

  SSL VPN与传统的IPSec VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。

  在产品的表现形式上,两者有以下几大差异:

  1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。

  2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。

  3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。

  4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。

  5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。

  SSL VPN有两种模式:

  Web代理模式:FortiGate将来自远端浏览器的页面请求转发给Web服务器,然后将服务器的响应回传给终端用户。

  隧道模式:需要下载运行的客户端支持。客户端和FortiGate设备建立SSL隧道后,FortiGate为客户端分配IP,客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。

  通过对SSL VPN两种模式的比较,Web代理模式的优点是只需要Web浏览器就可以直接访问,缺点是因为浏览器的限制,可以访问的协议有限。隧道模式缺点是需要安装FortiClient客户端,操作略为复杂,但优点是可以运行所有协议。.

  即然我们是要即方便,又安全的远程访问,那么不安装客户端,直接用浏览器访问,是我们的首选。 

 实验要求与环境

  OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。为了方便管理员在任何位置都能访问,启用了远程桌面功能。管理员已经通过映射内网服务器到公网IP,实现了远程访问服务器的功能,但是感觉这种方式不安全,希望用一种即方便,又安全的方式进行远程访问。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  根据前面文章的介绍,我们已经在桌面上创建了模拟远程访问平台。这里不再叙述。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  管理员在家里将笔记本电脑配置为家中宽带上网。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  通过公网IP,远程登录深圳总部防火墙。 

  配置用户与用户组

  SSL VPN之所以更加安全,是因为可以对所有访问用户进行身份验证。所以,在配置SSL VPN之前,我们需要先建立验证用户。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ① 通常我们会创建用户组,将多个功能相同的用户加入到用户组中。选择菜单【用户与认证】-【用户组】,点击【新建】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ② 输入用户组名,建议用下划线隔开。默认类型为【防火墙】,点击【确认】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ③ 新用户组创建好了,下面就是创建用户了。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ④ 选择菜单【用户与认证】-【设置用户】,点击【新建】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑤ 默认选择【本地用户】,点击【下一步】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑥ 输入新的用户名和密码,点击【下一步】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑦ 双因子认证是输入两次密码认证,目前我们还不需要,默认是禁用的,点击【下一步】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑧ 用户帐户状态默认是【启用】,以后不用这个用户了,可以不删除,只需要用户帐户状态选择【禁用】就可以了。启用【用户组】,选择我们前面创建的SSL_VPN_User用户组。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑨ 一个用户组可以加入多个用户,同样,一个用户也可以加入多个用户组,点击【提交】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑩ 用户列表显示新建的用户信息,可以重复相同步骤,创建多个用户。

  配置地址与地址组

  除了创建验证用户与用户组之外,我们还要限制SSL VPN对内网的访问,通过地址与地址组来实现。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ① 通常我们会创建地址组,将多个地址对象加入到地址组中。这样的话,所有的操作只引用地址组,地址组内地址对象的增加和删除,不会对配置造成大的修改。选择菜单【策略&对象】-【地址】,点击【新建】-【地址】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ② 输入地址对象名称,不要用中文,因为在后期如果需要用命令操作时,会显示乱码。这里输入域服务器的IP地址,注意要加子网掩码。接口是用来过滤地址对象的,当地址对象非常多的时候,可以通过选择接口,快速过滤出只属于接口的地址对象。建议养成添加注释的习惯,方便理解。注释可用中文。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ③ 地址对象创建好后,点击【新建】-【地址组】。当然也可以先建地址组,再建地址对象。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ④ 由于我们创建地址对象时,将IP和接口捆绑了,所以创建地址组时,也根据接口创建,不要将其它接口的地址对象,加入不同的接口组。正确操作是将所有DMZ接口下的服务器IP地址对象,加入同一个地址组。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑤ 在地址组列表,可以看到刚才创建的地址组对象。接口为DMZ。

  配置SS-VPN门户与SSL-VPN设置

  用户组和地址组都创建完成,就可以配置SSL了,首先,我们要配置SSL门户。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ① 选择菜单【VPN】-【SSL-VPN门户】,可以看到默认有三个,一个是Web模式,一个是隧道模式,一个是两者兼有。隧道模式需要安装FortiClient客户端,比较麻烦,我们先测试Web模。选择【web-access】,点击【编辑】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ② 这个门户设置,关闭了隧道模式,启用了Web模式。这里我们保留默认设置。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ③ 当我们需要经常用Web浏览器通过SSL访问内网时,希望有一些快捷方式,不用每次进行输入,点开即可。这就是书签的作用。暂时不做修改,点击【取消】退出。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ④ 选择菜单【SSL-VPN设置】,首先需要选择宽带接口,即允许从哪个接口拨入到防火墙,可以选择多个宽带接口。SSL VPN监听端口默认为443,但是这和防火墙的管理端口相同,所以需要修改一下端口号,通常设置为8443或10443。

  大家猜一猜,如果,防火墙的管理端口443和SSL VPN默认端口443都不修改的话,启动了SSL VPN会怎么样?显示的将会是SSL VPN登录界面,你再也无法登录防火墙了。

  服务器证书选择FortiGate防火墙自带的。这里记得一定要选择,不能为空。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑤ 我们可以限制SSL VPN拨入的IP,这样只有管理员能从家里的宽带拨入。其它地方都不行。也可以配置空闲登出时间,防止长时间在线。

  另外,隧道模式根据默认的地址对象生成一个IP,以生成的IP来访问防火墙内部。这个在策略配置时会看到。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑥ 认证/门户映射这个是必需填的。点击【新建】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑦ 这里就用到了我们一开始创建的用户组了。用户是通过Web访问认证。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑧ 很多人配置到这里,就直接点了【应用】,但是没有通过。因为还少设置一样,全部其他用户/组,是必须设置的,点击【尚未设置】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑨ 选择最简单的【web-access】门户,点击【确认】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑩ 配置完认证/门户映射,点击【应用】。 SSL-VPN设置就配置完了。

  配置SS-VPN策略

  SSL-VPN设置配置完后,还需要配置SSL-VPN策略。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ① SSL-VPN设置配置完后,在界面的最上方,会提示还需创建SSL-VPN策略,点击链接。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ② SSL-VPN设置完成,防火墙会创建一个专用SSL-VPN虚拟接口,策略的流入接口就是这个虚拟接口ssl.root。流出接口选择服务器所在接口DMZ,SSL-VPN默认使用【SSLVPN_TUNNEL_ADDR1】地址对象生成拨号后的IP。所以源地址需要选择这个地址对象,后面配置我们还会经常碰到,现在没理解没关系。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ③ SSL VPN策略的源地址比较特殊,除了限制IP地址外,还要强制用户认证,需要再加入在SSL-VPN设置里的用到的用户组,达到这两个条件才能通过。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ④ 为了限制SSL VPN拨号进来访问的内容,目标地址就起到作用了。这里只允许访问指定服务器IP。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑤ 前面我们配置策略的时候,已经了解到服务即端口,在这里控制开放哪些端口,由于Web浏览器支持的端口数有限,这里我们选择【ALL】。建议在配置策略时,服务先选择【ALL】,当所有内容配置完成并通后,再进行修改,更细粒度的控制通过的流量。一开始就控制很严格,排错会非常麻烦。这里NAT不要启用。其它设置保持默认,点击【确认】,SSL VPN策略就建好了。

  验证效果

  SSL-VPN门户、设置和策略都配置完后,就可以用浏览器登录SSL VPN了。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ① SSL-VPN设置界面会显示Web模式访问的地址,点击链接,或打开浏览器输入此链接。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ② 显示和初次登录防火墙一样的提示,但地址后面有端口号10443,和登录防火墙是有区别的。点击【高级】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ③ 点击【继续前往218.253.83.14 (不安全)】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

   ④ 出现登录提示,为了区别与防火墙的登录,特意用了不同的颜色。而且下面还多了一个【启动FortiClient】。这里输入我们创建的用户名和密码。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

   ⑤ 出现这个窗口,表示SSL VPN Web登录成功。点击【快速连接】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑥ 快速连接显示了一些常用的功能,也就是SSL VPN Web模式所支持的协议。我们先来测试一下是否可以Ping通10.10.10.254这台服务器。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑦ 显示成功信息,说明服务器IP可以Ping通。为什么我们在家中的浏览器,也能ping通远程防火墙内部的服务器IP?那是因为浏览器通过SSL VPN验证,生成了防火墙内部IP,所以也就能访问内部的服务器了。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑧ 为数不多的协议里,竟然支持RDP远程桌面访问。配置好参数,点击【开始】。注意,安全设置那里要选择【Network Level Authentication.】。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑨ 远程桌面连接成功,我们可以在浏览器上控制远端的服务器了。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑩ 换一个操作系统,是不是也会成功呢?这里我们换一台苹果电脑试试。

ssl远程,NSE4 FortiOS 7.2 实验,FortiOS 7.2,实验,远程访问,SSL,Web模式

  ⑪ 用iMac电脑也成功的进入了远程桌面。文章来源地址https://www.toymoban.com/news/detail-618466.html


到了这里,关于实验篇(7.2) 05. 通过浏览器访问远端内网服务器 (SSL) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 如何通过内网穿透工具实现任意浏览器远程访问Linux本地zabbix web管理界面

    Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 本地zabbix web管理界面限制在只能局域网访问,对于远程访问

    2024年02月05日
    浏览(41)
  • 利用虚拟机做Web服务器,使用物理机通过在浏览器输入IP和域名来访问自己做的网站

    一、问题描述 学了将近半个月的网页开发了,一直是在本地预览,也想搞个服务器能在浏览器直接输入ip或者域名访问,刚才去作了一番功课,好像大佬们都倾向于视频讲解,动辄一个小时长的视频我都替你们看完了,有几个博主写的倒是文章,看了一半了提示要米,难受,

    2024年01月21日
    浏览(61)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(44)
  • 实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问

    【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。

    2024年02月16日
    浏览(35)
  • 实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

    【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。    实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(37)
  • 夸克浏览器禁止访问怎么回事?

    近日不少的小伙伴在访问夸克浏览器的时候经常显示根据监管部门规定禁止访问的情况,其实除了夸克,uc浏览器等也出现了这个问题,那么夸克禁止访问网页怎么解除?出现这样的网站怎么消除呢?下面一起来看看具体的解决方法。 夸克浏览器禁止访问怎么解决? 近日不少

    2024年02月11日
    浏览(55)
  • github访问不进去,浏览器证书不安全,访问失败,证书失效,证书颁发者为VMware,谷歌浏览器小bug

    你的电脑不信任此网站的安全证书、访问404。证书失效,颁发者是Vmware. edge://net-internals/#hsts 先查询是否有该网站 删除该网站 清楚浏览器缓存 再次查询,如果还有就是删除失败, 方法失效! 按下 win+r 调出运行窗口,输入 certmgr.msc ,点击确定,找不到这个证书。 导出这个证书

    2024年02月13日
    浏览(49)
  • python爬虫之selenium库,浏览器访问搜索页面并提取信息,及隐藏浏览器运行

    如果链接简单,爬虫可以通过链接用requests库提取页面信息,如爬取豆瓣top250影片信息,链接简单易懂。参考:爬取豆瓣top250影片信息 但如果遇到一些搜索之类的,基于js动态加载的网页,以上就不适合,如爬虫b站,搜索“爬虫”页面,第一页链接如下,第二页又是很长没规

    2024年01月23日
    浏览(101)
  • 浏览器访问url的查找过程

    首先查找浏览器自身的缓存,是否缓存了该网页,如果缓存了,就直接返回缓存的页面。当然,这个页面可能是过时的。 如果浏览器的缓存没有,则会查找系统的缓存,也就是hosts文件。如果hosts文件中找到了域名的ip,则会访问这个ip地址。 如果hosts文件里也没有,则会尝试

    2024年02月10日
    浏览(41)
  • 通过浏览器判断是否安装APP

    求在分享出来的h5页面中,有一个立即打开的按钮,如果本地安装了我们的app,那么点击就直接唤本地app,如果没有安装,则跳转到下载。 首先我们可以确认的是,在浏览器中无法明确的判断本地是否安装了app。因此我们必须采取一些取巧的思路来解决这个问题。 我们能够很

    2024年01月17日
    浏览(63)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包