一:SSL VPN的安装位置
不同的SSL VPN设备,根据用户需求的不同,在企业网络结构中的安装位置不太一样。但很多时候,采用了旁路安装法。
我们以Array SSL VPN的一个安装案例来进行解释:
在福田公司的SSL VPN网络中,Array Networks将一台Array SPX5000(未来将扩充一台,提高可靠性)设备旁路部署在主干交换机上,与服务器一起置于外网防火墙的DMZ区,在不改变福田汽车的内部网络结构的前提下,增强了防火墙对SPX5000的安全保护。
我们再以网件为例,介绍一下SSL VPN在网内的旁路部署:
下图为新疆中泰化学股份有限公司SSL VPN接入示意图,
总部为了满足移动办公用户的远程接入的需要,配置了一台SSL312,用于访问总部的服务器,其中总部通过三层交换机划分了若干vlan,ssl 312和FVX538在同一个vlan1,服务器群在另外的Vlan中,分支机构通过FVS338建立VPN后访问服务器群的资源,而移动用户可通过SSL 312远程访问服务器的资源。从上面的网络示意图中我们可以看出,Netgear SSL 312的一个特色就是支持旁路设备接入特性,SSL 312设备不改动原有的企业网络的拓扑结构,只要企业现有的网络中有一个空余的百兆网络端口,就可以将SSL 312接入到网络中,向远程用户提供SSL VPN服务。此外,公司无需在任何远程用户处安装任何客户端软件,极大的减轻了公司IT服务部门人员的维护压力,经过长时间的使用,取得了满意的应用效果。
下面,我们再看看F5的SSL VPN的部署方法:
它是把SSL VPN设备部署在防火墙的前端,放在网络的最前端.
二:单设备接线方式
下图是一般 SSL VPN网关的后面板示意图,若是单设备工作(未使用双机备份),按照如图的方式进行SSL VPN 产品的接线。
在后面板插上电源,打开电源开关,前面板的Power灯(绿色,电源指示灯)和Alarm灯(红色,告警灯)会点亮。大约1-2分钟后Alarm灯熄灭,说明网关正常工作。
用标准RJ-45 以太网线将LAN口与内部局域网连接,将安装SSL VPN控制台软件的计算机也连接到局域网,对SSL VPN进行配置。
使用标准RJ-45 以太网线将WAN1口与Internet接入设备相连接,如路由器、光纤收发器或ADSL Modem等。
*注意:多线路的SSL VPN可以支持多条Internet线路,此时将WAN2口与第二个Internet接入设备相连,WAN3口与第三条Internet线路相连,依此类推。
使用标准RJ-45 以太网线将DMZ口与DMZ区的网络连接,一般而言,DMZ区放置对外提供服务的WEB 服务器、EMAIL 服务器等。SSL VPN可以为这些服务器提供安全保护,防止包括SYN FLOOD在内的多种DOS攻击和黑客入侵。
将SSL VPN 的LAN 接口用RJ45 网线连接到本地局域网中。
三:双机备份接线方式
若采用SSL VPN网关双机热备的工作方式,按以下接线图方式进行外网线路和内网线路的接线。
使用标准RJ-45 以太网线将两台SSL VPN网关的WAN1口(若使用多线路技术,接线方式类似,保证两台设备的外网接口接到同一个外网线路即可)接到同一交换机上,再使用标准的RJ-45以太网线与Internet接入设备相连接,如路由器、光纤收发器或ADSL Modem等。
将配件箱中的Console线取出,将两台SSL VPN设备的Console口用串口线连接起来。
使用标准RJ-45 以太网线将两台SSL VPN网关的LAN口接到同一交换机上,再使用标准的RJ-45以太网线与局域网交换机相连,连接到内部局域网。
接线完毕后,分别打开两台设备的电源,即可进行系统配置。双机系统配置时和单机系统配置一样,仅对一台主设备进行配置,另外一台从设备将自动进行同步,无需另行配置。