在如何利用Web VPN來(lái)保護(hù)內(nèi)網(wǎng)信息安全一文中,我們介紹了如何用WebVPN來(lái)訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器。WebVPN可以給內(nèi)網(wǎng)服務(wù)器添加一層認(rèn)證保護(hù),只有認(rèn)證過(guò)的用戶才可以訪問(wèn)內(nèi)網(wǎng)資源,從而有效的保護(hù)了內(nèi)網(wǎng)數(shù)據(jù)的安全性。對(duì)于Web服務(wù)器來(lái)說(shuō),WebVPN是通過(guò)子域名的方式,每個(gè)web服務(wù)都需要對(duì)應(yīng)一個(gè)不同的二級(jí)域名。在WFilter NGF的2.0版本中,我們給WebVPN添加了轉(zhuǎn)發(fā)到“TCP服務(wù)器”的功能,使WebVPN用戶可以在認(rèn)證后訪問(wèn)到指定的TCP服務(wù)器。以下是Web方式和TCP方式的差別和優(yōu)缺點(diǎn)分析:
Web方式
-
只能轉(zhuǎn)發(fā)到指定的Web服務(wù)器。
-
每個(gè)Web服務(wù)器都必須對(duì)應(yīng)一個(gè)二級(jí)子域名。
-
可以對(duì)Web站點(diǎn)的內(nèi)容進(jìn)行替換。
TCP方式
-
可以轉(zhuǎn)發(fā)到任意的TCP服務(wù)。比如內(nèi)網(wǎng)的ssh,rdp等,也包括web服務(wù)。
-
每個(gè)TCP服務(wù)必須對(duì)應(yīng)一個(gè)本地端口。
-
外網(wǎng)用戶必須經(jīng)過(guò)認(rèn)證才可以訪問(wèn)TCP端口。
-
不能對(duì)內(nèi)容進(jìn)行修改。
Web方式的配置如下圖:
TCP方式的配置如下圖:
本文中,我將介紹WebVPN的“TCP方式”訪問(wèn)的具體步驟:
1. 配置“TCP方式”的WebVPN服務(wù)
首先要添加TCP方式的內(nèi)網(wǎng)服務(wù),如下圖,目的地址指向一臺(tái)內(nèi)網(wǎng)主機(jī)的3389端口,監(jiān)聽端口可以用3389也可以用其他的外網(wǎng)端口。
2. 允許WebVPN的相關(guān)端口
3. 外網(wǎng)訪問(wèn)時(shí),需要先登錄WebVPN。
4. 登錄后即可訪問(wèn)對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)
