《网络安全设备原理与应用》 课件 15-SANGFOR VPN解决方案（一）；16-SANGFOR VPN解决方案（二）

SANGFORVPN解决方案（一）SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN功能优势SANGFORVPN功能优势深信服设备自身能互联两种VPN类型，一是标准IPSecVPN，另一个就是自主开发的SANGFORVPN。与标准IPSecVPN相比，SANGFORVPN的专利技术的优势：1、支持两端都为非固定IP的公网环境---通过webagent实现2、更细致的权限粒度与标准IPSecVPN相比，SANGFORVPN的特殊场景：1、更细致的权限粒度2、隧道间路由技术，分支用户通过总部上网，实现总部的统一管控3、隧道内NAT技术，解决多个分支网段IP冲突的问题SANGFORVPN功能优势WebAgent工作原理WebAgent寻址过程：用于SANGFORVPN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。（寻址过程中，所有信息均使用DES加密。）SANGFORVPN功能优势更细致的权限粒度高级权限普通权限病毒财务服务器OA服务器SANGFORVPN功能优势线路探测技术移动用户移动用户CableModemADSL宽带独有的“线路探测”技术总部DLANSANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN术语解释术语解释总部提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。SANGFORVPN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。分支即接入总部端的设备。一般将客户端所在的网络做为分支。移动即SANGFORVPN的软件客户端，又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。一个VPN设备既可以当总部，也可以当分支，也可以同时充当总部和分支的角色。SANGFORVPN术语解释术语解释SANGFORVPN术语解释WebAgent格式WebAgent:用于SANGFORDLAN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。WEBAGENT有如下几种的填写方式：1.IP:端口，如23:4009适用于总部VPN设备有固定公网IP地址的环境2.IP1#IP2:端口，如23#21:4009适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境3.网址的形式，如/webagent/123.php适用于总部VPN设备没有固定公网IP的环境，如ADSL线路4.域名：端口形式，如:4009适用于总部已存在动态域名指向他们出口的公网IP的环境SANGFORVPN术语解释本地子网IPSecVPN一般通过ACL抓取感兴趣流，而SANGFORVPN是通过本地子网宣告自身内网网段给对端的形式，来让对端具备访问本端网段的路由，从而实现数据的互访。（设备默认只宣告设备直连网段）SANGFORVPN术语解释VPNTUN接口Vpntun接口：VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文。SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN建立过程建立条件1、至少有一端是总部，且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权，与第三方对接需要分支授权，移动客户端需要移动用户授权。2、至少有一端在公网上可访问，即“可寻址”或固定公网IP。3、建立VPN两端的内网地址不能冲突。4、建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版本互联，但VPN2.x版本只能跟VPN2.x版本互联）SANGFORVPN建立过程建立过程最基本的三步曲1、寻址：与谁建立连接(找到目标)——寻址（WebAgent原理、WebAgent设置）2、认证：身份验证（提交正确、充分的信息）—账号密码、Dkey、硬件鉴权、第三方认证。3、策略：（下发）选路策略、权限策略、VPN路由策略、安全策略（移动用户）、VPN专线（移动用户）、分配虚拟IP寻址认证策略SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景总结SANGFORVPN解决方案（二）SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN数据传输过程分析SANGFORVPN建立隧道SANGFORVPN数据传输过程分析数据传输问题1SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①SANGFORVPN数据传输过程分析数据传输问题1AC没有去往网段的路由！SANGFORVPN数据传输过程分析问题1解决方法在长沙AC上配置静态路由！SANGFORVPN数据传输过程分析数据传输问题2SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①②③SANGFORVPN数据传输过程分析数据传输问题2因为WOC没有去往网段的路由！SANGFORVPN数据传输过程分析问题2解决方法在总部的SSL设备上配置本地子网，将总部的资源网段宣告给长沙WOC设备SANGFORVPN数据传输过程分析问题2解决方法在分支WOC设备上可以查看到去往总部本地子网的路由条目SANGFORVPN数据传输过程分析数据发送成功①②③④⑤⑥⑦⑧⑨SANGFORVPN数据传输过程分析数据发送成功1SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①②SANGFORVPN数据传输过程分析数据发送成功2③SIPDIPSportDportProtocolDATA8400004009TCP加密的原始数据包SANGFORVPN数据传输过程分析数据发送成功3④SIPDIPSportDportProtocolDATA98400004009TCP加密的原始数据包SANGFORVPN数据传输过程分析数据发送成功4⑤⑥SIPDIPSportDportProtocolDATA900400004009TCP加密的原始数据包⑦SANGFORVPN数据传输过程分析数据发送成功5⑧⑨SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据SANGFORVPN数据传输过程分析数据回包问题①SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据②SANGFORVPN数据传输过程分析数据回包问题正常情况下AF不会把回包发送给SSL！SANGFORVPN数据传输过程分析解决方法SANGFORVPN数据传输过程分析数据回包成功⑤④⑥③⑦②①⑧SANGFORVPN数据传输过程分析数据回包成功1②①SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据SANGFORVPN数据传输过程分析数据回包成功2⑤④③SIPDIPSportDportProtocolDATA009400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功3⑥SIPDIPSportDportProtocolDATA89400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功4⑦SIPDIPSportDportProtocolDATA8400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功5SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据⑧SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN特殊场景权限控制场景需求：总部和分支部署了两台VPN设备，现总部的VPN设备做为VPN总部与分支建立了VPN连接，用户要求对分支访问总部的服务器进行权限控制，只允许分支网络的PC访问总部的WEB服务器（80端口），禁止访问其他的任何服务器（包括PC客户端）。如下图：基本思路：该客户需求一共有两种方法可以实现，通过VPN内网权限（两端都会受到限制）或者通过防火墙过滤规则（更细化的控制）。SANGFORVPN特殊场景分支通过总部互联场景需求：总部分别与两个分支建立VPN连接，分支1与分支2均能访问总部内网，现用户要求分支1与分支2之间能相互访问。问题分析：两个分支分别与总部建立VPN隧道，但分支1与分支2之间并没有任何线路相连，也没有VPN隧道。解决办法：通过分别在分支1和分支2的设备中配置隧道间路由实现。SANGFORVPN特殊场景分支通过总部上网场景需求：总部与分支建立VPN连接，总部希望审计分支的上网行为，因此总部要求分支通过总部实现上网。解决办法：通过在分支1中配置隧道间路由实现通过总部上网。SANGFORVPN