SSL VPN实验_原创文档.pdfVIP

SSLVPN

SSLVPN：SecureSocketLayerVPN，安全套接层，是一种应用层VPN技术，适用于远程/移动

办公，类似EasyVPN，通常使用浏览器访问一个页面即可完成连接（可能需要安装插件，类

似的Flash播放插件）

根据如何封装流量的方法分三种模式：

1，Clientless：无客户端，只能通过Web的URL方式来访问资源，无法支持如TCP应用，

此时路由器扮演成一个代理服务器的作用，局限性很大，不推荐使用

2，Thin-Client：瘦客户端，在Clientless上增加TCP应用支持，不够完善，不推荐使用

3，Full-Tunneling：除了认证、加密方式跟EasyVPN不同外，其它几乎相同，提供了完全的

访问应用，可以传递任何流量

PS：2和3都需要安装插件ActiveX

支持的功能：

隧道分离SpiltTunnel、反向路由注入RRI

同时也需要为拨入进来的客户端分配IP地址，且这个IP网段必须和存在的接口所处的网段

相同

包结构：

TCPPort=443

HTTPS=HTTPoverSSL

历史：

1994网景开发了SSL1.0→1999年SSL3.0

IETF接手开发了TLS1.0（TransportLayerSecurity），即SSL3.1

SSLVPN的配置：

1，安装Sslclient到VPN路由器

a)先通过tftp把sslclient-win.pkg复制到路由器的内部（disk0:）

b)通过命令安装webvpninstallsvcdisk0://sslclient-win.pkg

PS：disk设备如果打开错误，先要格式化：formatdisk0:即可

c)或直接通过SDM/CCP浏览本地文件直接安装

2，配置给VPN客户端分配的地址池：

iplocalpoolmypool0000

3，创建相关的接口

4，配置AAA的客户端认证：

aaanew-model

aaaauthenticationloginmyaaalocal

usernamewakinprivilege15password0123

5，配置SSLVPN的Gateway策略集：

webvpngatewaymygateway

ipaddressport443

inservice

6，配置SSLVPN的参数：

webvpncontextmycontext

aaaauthenticationlistmyaaa

gatewaymygateway

inservice

default-group-policymygroup

policygroupmygroup

functionssvc-enabled

svcaddress-poolmypool

客户端的访问：

隧道分离配置：

在group模式下

svcsplitinclude

验证：

showiplocalpool

showwebvpnsessioncontextmycontext

showwebvpnstats

SSLVPN实验：

公司内网

外部办公网络

在公司出口路由器（R3）上配置SSLVPN，允许C2的远程拨入，并且不影响C2对公网的访

问

准备2台虚拟机

导入：通过tftp把sslclient-win.pkg复制到路由器的内部（disk0:）

company#dirdisk0:

%Erroropeningdisk0:/(InvalidDOSmediaornomediainslot)

company#

company#formatdisk0:

Formatoperationmaytakeawhile.Continue?[confirm]

Continue?[confirm]

PrimaryPartitioncreated...Size64MB

Drivecommunication1stSectorWriteOK...

WritingMonlibsectors

Monlibwritecomplete