实训七、Linux下利用sslexplorer实现SSL-VPN

实训七、Linux下利用sslexplorer实现SSLVPN一、实验目的1、学习sslexplorer实现SSLVPN的根本知识及原理2、掌握linux

利用sslexplorer实现SSLVPN的搭建二、实验时数：2小时三、实验环境1、实验平台环境如下列图所示，VPC1-SSLServer〔98〕网络接口eth0与VPC2-客户端〔99〕网络接口eth0互连互通。2、VPC1操作系统为CentosLinux〔root/toor，登录用户/密码为centos/centos〕；VPC2可以采用xp/Windows2003操作系统。四、实验内容1、安装JAVAJDK；2、安装ssl-explorer；3、测试ssl-explorer效劳。五、实验步骤〔一〕、安装JAVAJDK1、JDK包准备：到官网下载jdk(，注意版本不要太高)，2、安装JDK包：通过终端在/opt目录下新建java文件夹，输入：mkdir/opt/java然后将下载的JDK包拷贝到java文件夹中，输入：#cp/opt/java然后进入java目录，输入：cd/opt/java安装JDK包，输入：以上操作如下列图所示。3、设置jdk环境变量输入：vi/etc/profile翻开之后在末尾添加exportJRE_HOME=/opt/jexportPATH=$JAVA_HOME/bin:$JRE_HOME/bin:$ANT_HOME/bin:$PATH在上述添加过程中，等号两侧不要参加空格，然后保存输入：source/etc/profile使profile修改生效4、检验是否安装成功在终端输入：java-version如果正确显示java版本号，说明java及环境参数都设好了，如下列图：〔二〕安装ssl-explorer安装ssl-explorer的第一步是安装ant。Ant的安装是为了对sslexplorer进行编辑安装用的。1.安装ant〔针对上面对JDK【.bin后缀文件】的安装方式，可以省略这局部操作〕〔1〕下载apache-ant-1.7.0-bin.tar.gz，并复制到/opt/目录wget:///dist/ant/binaries/apache-ant-1.7.0-bin.tar.gz〔已下载〕〔2〕安装与解压解压：将解压后的apache-ant-1.7.0目录映射到一个ant目录：#ln-sapache-ant-1.7.0ant〔3〕设置环境修改/etc/profile文件，在末尾添加语句：exportANT_HOME=/opt/antexportPATH=/opt/ant/bin:$PATH#source/etc/profile//使修改生效〔4〕测试#ant-version环境配置成功〔1〕下载sslexplorer_linux_rpm_1_0_0_RC17.zip压缩包〔:///projects/sslexplorer/〕〔已下载〕〔2〕对该效劳器ip进行配置〔3〕复制到/opt/目录后，并使用unzip解包：#unzipsslexplore〔4〕使用rpm进行安装〔5〕安装sslexplorer，如下列图所示。〔6〕在/opt/sslexplorer目录下安装sslexplorer的Web配置界面，如下列图所示。(7)翻开一个IE，输入：://本机IP:28080，进入一个WEB配置向导,

并在这里指定一个superuser和密码、parchase，导入或生成证书等，配置完后保存并退出。本实验中ip地址是98。具体设置如下：设置的第一局部是创立一个使用SSL-Explorer自带组件的一个SSL证书。

选择CreateNewCertificate选项并单击Next按钮。

设置密码，密码必须至少6个字符，密码为：syq123456，单击Next按钮。

设置证书的参数，完成后单击Next按钮。

创立证书后，对用户数据库的类型进行设置。此步骤将会创立一个内置的数据库只有一个超级用户time-being。选择bulit-in的选项并单击Next按钮。

数据库类型已经选定，现在设置超级用户帐户的用户名和密码。还可以输入一个电子邮件地址然后单击Next按钮。本实验中将超级用户帐户的用户名设置为syuanquan，密码设置为syq123456，还考虑设置为：admin/123456。

接下来对SSL-Explorer的web效劳器进行配置。此选项卡使用默认的设置即可。单击Next按钮。

本实验无代理效劳器所以不需要对代理进行配置，单击Next按钮继续。单击Next按钮。

最后一步查看配置参数，单击Finish按钮。完成sslexplorer的安装退出安装。〔8〕更改/opt/sslexplorer/install/platforms/linux下文件的权限为777。〔9〕更改/opt/sslexplorer/install/platforms/linux/x86下wrapper文件的权限为777。〔10〕对sslexplorer安装目录的conf子目录下的两个文件进行修改(其作用是保证我们连接SSLVPN网页时，输入管理员帐号和密码时能正常登录进入系统，不会出现帐号无效的情况)。A、对wrapper.conf修改，利用viwrapper.conf进行编辑，在尾部添加：wrapper.java.additional.1=-Dfile.encoding=UTF-8，并保存。B、对perties修改，利用viperties进行编辑，在尾部添加：file.encoding=UTF-8，并保存。〔11〕退回上层目录，使用servicesslexplorerstart命令安装开启sslexplorer效劳并查看sslexplorer效劳的状态。〔三〕在效劳器端使用s://98测试sslexplorer效劳。输入用户名syuanquan，密码syq123456。〔四〕在客户端使用s://98测试sslexplorer效劳。(1)客户端ip配置(2)利用客户端对效劳器SSLexplorer登录访问时，先在效劳器端关闭防火墙设置，即iptables–F。(3)测试sslexplorer效劳输入用户名syuanquan密码syq123456。(五)抓包分析(通过Wireshark进行协议分析)六、实验报告内容要求1．简要的实验操作步骤；2．实验完成情况说明；3．实验过程中存在的问题与讨论。预备知识：一、SSL协议简介SSL协议是一种建立在应用层的VPN隧道协议，平安性很高。从密钥协商、加密算法、密钥长度来说与IPSec相同。已经在各大国际银行、证券、电子商务应用中采用。二、SSLVPN简介SSLVPN技术帮助用户通过标准的Web浏览器就可以访问企业内部应用。这使得企业员工只要能够访问到公众网络时，就能通过SSLVPN隧道平安地访问到企业资源，这为企业提高了效率也带来了方便。一般认为：SSLVPN无需安装客户端软件，通过远程建立的SSL隧道访问内部效劳器的代理技术，并对效劳器内容提供基于用户认证、远程站点检查的资源访问控制。由于SSLVPN工作在应用层，认证方式更加灵活，可以是口令、证书、硬件令牌、RADIUS、LDAP、ActiveDirectory等，并且可以做远程主机检查，以确保访问内部效劳器的远程主机是平安的。另外，成熟的SSLVPN产品一般提供三种级别远程访问：远程Web访问〔核心功能〕、C/S应用、网络层连接。在Web访问方面能够提供基于用户认证的细粒度内容访问控制，C/S应用访问控制功能相对减弱，网络层连接所提供的访问控制与IPSec一样弱。所以，SSLVPN现已成为远程访问VPN的新宠。除了具备与IPSecVPN相当的平安性外，还增加了访问控制机制，客户端只需要拥有支持SSL的浏览器即可，可以说是零配置，非常适合远程用户访问企业内部网。SSLVPN是一种低本钱、高平安性、简便易用的远程访问VPN解决方案，具备相当大的开展潜力。不仅如此，SSLVPN还可以用于保护内部网络应用，因为平安风险很大程度来自组织内部。随着越来越多的公司将自己的应用转向Web平台，SSLVPN会得到更为广泛的应用。SSLVPN的出现是为了解决IPSecVPN的固有缺点而出现的，SSLVPN继承了IPSecVPN的远程使用与内网使用体验一致、与应用无关的优点，防止了因有客户端而导致的使用维护不便、某些网络条件下无法接通、