cheerx
2009-02-27, 06:59 AM
BILLION S100N SSL VPN無線網路安全特殊應用介紹
http://www.vigorclub.com/uploads/img49a71d9a48987.jpg
傳統上來說SSL VPN設備以往都是外商的天下,幾乎很少有人公司建置SSL VPN採用本土的方案.因為價格的關係,一般中小企業多半選擇pptp或是ipsec vpn,因為建置成本較低.
但是這個情況在去年的時候卻慢慢的發生了變化.先是一些國產防火牆設備採用微軟的方案,快速的建立了一個可以在IE BASE運行的SSL VPN平台,其中又以X SCALE架構的IXP處理器為主的一系列防火牆,因為處理器速度不慢,都逐漸都納入這種SSL VPN的功能.
但是這個方案的缺點是,在非WINDOWS搭IE的環境,SSL VPN幾乎都是不能使用的.
換句話說,不管你用蘋果電腦,還是瀏覽器用火狐,OPERA,甚至是您的IPHONE或是PDA可能都不能使用這樣的SSL VPN.
而且很多本土的防火牆廠商在使用這個微軟方案開發SSL VPN的時候並沒有考量到公司建置SSL VPN給員工使用,也必須考量到員工的電腦層度,有的公司較資深的主管或老闆可能年事已高,要讓它存取公司的內部網路.如果沒有個自動撥號軟體,老人家是很難透過這麼多步驟去存取公司內部網路的.
今天我們介紹的機種能夠解決上面所說的所有問題,不過今天這篇文章不是單純要介紹他的SSL VPN功能,而是要把它套入進階的無線網路安全應用.
首先 傳統上,我們在公司建設無線網路的時候,通常會採用較常見的加密方式,比方wep,wpa,wpa2...等,比較嚴謹的情況通常則是另外鎖上網卡卡號,這樣的動作有甚麼問題呢?
首先,除了WPA2的協定目前沒有破解的紀錄外,WEP和WPA在實務上都已經不難被破解了,WPA2還能撐多久也是一個問題,而鎖網卡更是只要驅動程式能改mac位置,您的卡號根本都是明碼在空中飛來飛去,隨意都可以攔截仿冒.更糟糕的飾公司可能有老舊的電腦連wpa2加密都無法支援.
而公司的無線網路要跟訪客切割也會是一個問題,今天我們要介紹的重點就是S100N這台SSL VPN設備可以解決這樣的問題.
首先,他支援4個ssid,小弟以自己公司為例,規劃了四個ssid,分別是CHEERX,PARTNER,GUEST,GUEST-NEED-SSL
http://www.vigorclub.com/uploads/img49a71162a0401.jpg
每個SSID可以自行決定是否使用同一個subnet,也可以決定採用何種加密方式,可以規定用戶必須同時使用加密.在規則上我們也可以決定哪些SSID可以存取區域網路的資源,或是可否上網.
我先設定要存取cheerx這個ssid的為我們辦公室的同仁,筆電都支援WPA2加密.
http://www.vigorclub.com/uploads/img49a7128cc5c03.jpg
接下來有些合作夥伴,到我公司上網可以存取特定資源,SSID取名為PARTNER,使用SSL認證,可使用區網,不可上網.
第三個SSID為客戶使用,因為不知客戶筆電支援哪一種加密方式,不開加密,須採用SSL VPN驗證,S100N這台機器可以產生特定時間的臨時帳戶,比方說有效時間半小時或是一小時的無線網路帳戶.
第四個為特定情況,比方客戶到我公司來開會,使用SSL VPN上網,但是可能臨時要從我區網抓取特定的大檔,就用這個SSID和臨時開啟的 SSL VPN的帳密登入,給予區網存取和上網同時存在的權限.
這個部分的設定其實也很容易,可參考下圖
http://www.vigorclub.com/uploads/img49a712b16ce24.jpg
我們開一個帳號來試試
到ssl vpn管理的使用者 選新增
http://www.vigorclub.com/uploads/img49a718cd1fd2f.jpg
光是新增使用者還不夠,我們裝點一下公司的門面,這台機器提供自行上傳公司LOGO和設計ssl vpn用戶進入文字的功能
logo比例小弟沒時間去調整,所以有點變形了,大家可上傳適合他比例的logo會比較好看.
http://www.vigorclub.com/uploads/img49a71926d79c2.jpg
搞定了,選save config
如果要重啟防火牆,大概需要42秒的時間
http://www.vigorclub.com/uploads/img49a7195e9adcb.jpg
接下來我們選擇GUEST-NEED-SSL登入看看
http://www.vigorclub.com/uploads/img49a718e45c26c.jpg
登入成功 看到SSL VPN的功能畫面
http://www.vigorclub.com/uploads/img49a7190e6d0ce.jpg
如果要存取網芳的話,可點選NETWORK PLACE
如果是經過授權的使用者這時候就可以看到網芳群組
http://www.vigorclub.com/uploads/img49a71990d714b.jpg
今天就先寫到這邊,一次寫太多的話,有機會再來繼續介紹這台機器,這篇繼續寫怕字太多,
大家沒耐心看下去了,謝謝收看.:)
http://www.vigorclub.com/uploads/img49a71d9a48987.jpg
傳統上來說SSL VPN設備以往都是外商的天下,幾乎很少有人公司建置SSL VPN採用本土的方案.因為價格的關係,一般中小企業多半選擇pptp或是ipsec vpn,因為建置成本較低.
但是這個情況在去年的時候卻慢慢的發生了變化.先是一些國產防火牆設備採用微軟的方案,快速的建立了一個可以在IE BASE運行的SSL VPN平台,其中又以X SCALE架構的IXP處理器為主的一系列防火牆,因為處理器速度不慢,都逐漸都納入這種SSL VPN的功能.
但是這個方案的缺點是,在非WINDOWS搭IE的環境,SSL VPN幾乎都是不能使用的.
換句話說,不管你用蘋果電腦,還是瀏覽器用火狐,OPERA,甚至是您的IPHONE或是PDA可能都不能使用這樣的SSL VPN.
而且很多本土的防火牆廠商在使用這個微軟方案開發SSL VPN的時候並沒有考量到公司建置SSL VPN給員工使用,也必須考量到員工的電腦層度,有的公司較資深的主管或老闆可能年事已高,要讓它存取公司的內部網路.如果沒有個自動撥號軟體,老人家是很難透過這麼多步驟去存取公司內部網路的.
今天我們介紹的機種能夠解決上面所說的所有問題,不過今天這篇文章不是單純要介紹他的SSL VPN功能,而是要把它套入進階的無線網路安全應用.
首先 傳統上,我們在公司建設無線網路的時候,通常會採用較常見的加密方式,比方wep,wpa,wpa2...等,比較嚴謹的情況通常則是另外鎖上網卡卡號,這樣的動作有甚麼問題呢?
首先,除了WPA2的協定目前沒有破解的紀錄外,WEP和WPA在實務上都已經不難被破解了,WPA2還能撐多久也是一個問題,而鎖網卡更是只要驅動程式能改mac位置,您的卡號根本都是明碼在空中飛來飛去,隨意都可以攔截仿冒.更糟糕的飾公司可能有老舊的電腦連wpa2加密都無法支援.
而公司的無線網路要跟訪客切割也會是一個問題,今天我們要介紹的重點就是S100N這台SSL VPN設備可以解決這樣的問題.
首先,他支援4個ssid,小弟以自己公司為例,規劃了四個ssid,分別是CHEERX,PARTNER,GUEST,GUEST-NEED-SSL
http://www.vigorclub.com/uploads/img49a71162a0401.jpg
每個SSID可以自行決定是否使用同一個subnet,也可以決定採用何種加密方式,可以規定用戶必須同時使用加密.在規則上我們也可以決定哪些SSID可以存取區域網路的資源,或是可否上網.
我先設定要存取cheerx這個ssid的為我們辦公室的同仁,筆電都支援WPA2加密.
http://www.vigorclub.com/uploads/img49a7128cc5c03.jpg
接下來有些合作夥伴,到我公司上網可以存取特定資源,SSID取名為PARTNER,使用SSL認證,可使用區網,不可上網.
第三個SSID為客戶使用,因為不知客戶筆電支援哪一種加密方式,不開加密,須採用SSL VPN驗證,S100N這台機器可以產生特定時間的臨時帳戶,比方說有效時間半小時或是一小時的無線網路帳戶.
第四個為特定情況,比方客戶到我公司來開會,使用SSL VPN上網,但是可能臨時要從我區網抓取特定的大檔,就用這個SSID和臨時開啟的 SSL VPN的帳密登入,給予區網存取和上網同時存在的權限.
這個部分的設定其實也很容易,可參考下圖
http://www.vigorclub.com/uploads/img49a712b16ce24.jpg
我們開一個帳號來試試
到ssl vpn管理的使用者 選新增
http://www.vigorclub.com/uploads/img49a718cd1fd2f.jpg
光是新增使用者還不夠,我們裝點一下公司的門面,這台機器提供自行上傳公司LOGO和設計ssl vpn用戶進入文字的功能
logo比例小弟沒時間去調整,所以有點變形了,大家可上傳適合他比例的logo會比較好看.
http://www.vigorclub.com/uploads/img49a71926d79c2.jpg
搞定了,選save config
如果要重啟防火牆,大概需要42秒的時間
http://www.vigorclub.com/uploads/img49a7195e9adcb.jpg
接下來我們選擇GUEST-NEED-SSL登入看看
http://www.vigorclub.com/uploads/img49a718e45c26c.jpg
登入成功 看到SSL VPN的功能畫面
http://www.vigorclub.com/uploads/img49a7190e6d0ce.jpg
如果要存取網芳的話,可點選NETWORK PLACE
如果是經過授權的使用者這時候就可以看到網芳群組
http://www.vigorclub.com/uploads/img49a71990d714b.jpg
今天就先寫到這邊,一次寫太多的話,有機會再來繼續介紹這台機器,這篇繼續寫怕字太多,
大家沒耐心看下去了,謝謝收看.:)