11
2020
03

Web VPN如何搭建?如何利用Web VPN来保护内网信息安全。

为满足出差在外人员和分支机构办公的需要,企事业单位一般采用如下的两种方式:

  1. 端口映射,把对应的服务端口映射到公网,供终端访问。

  2. VPN。客户端需要先拨入VPN,然后再访问内网服务。

这两个办法各有优缺点:端口映射的方式,配置简单但是不够安全。内网的服务系统直接暴露在公网上,容易被攻击导致严重的损失。VPN的方式,安全系数要高很多。但是VPN需要配置客户机,配置和维护比较复杂。

在本文中,我将介绍WFilter NGF(WSG网关)中新加的一个功能:Web VPN。采用Web VPN可以带来如下好处:

  1. 人员在访问内网Web服务前,需要先进行身份验证。从而给内网的Web服务提供了额外的一层保护。

  2. 可以提供https访问方式,对内网的web访问进行ssl加密。

  3. 使用非常简单,直接通过浏览器就可以访问,避免了复杂的客户端配置。

下面是具体步骤的演示。

1. 申请一个域名

首页要申请一个域名并和外网IP绑定,也可以是动态域名。

202003111583904329751156.png

2. 开启WebVPN服务

配置根域名,端口,验证方式。验证方式可以支持本地认证、域认证、邮箱认证、Raidus认证等方式。根域名就是用来访问本系统的域名。

202003111583903393955805.png

添加内部Web服务。需要给内部web服务配置一个二级域名,并且配置内部访问的ip和端口信息。

202003111583903490250112.png

二级域名也需要在域名提供商处添加dns解析,如图:

202103061615014284356203.png

编辑下用户登录后的首页

202003111583904208122176.png

3. 添加端口映射

默认配置下WebVPN的端口是不对外网开放的,你需要配置一条端口映射规则,让外网的访问映射到web vpn端口上。如下图:

202003111583904694897093.png

4. 测试WebVPN的登录和访问


经过上述配置后,在外网即可通过域名来进行访问(一定要用域名访问,通过IP访问无法实现webvpn的功能)。效果如下图:

首页要输入用户名密码进行用户认证。

202003111583904733572333.png

认证通过后可以访问到首页。

202003111583904750119331.png

点击下面的连接访问到内网办公系统。

202003111583904759263258.png

如上图,虽然内部web服务是http的,通过Web VPN后就可以变成https。WebVPN的方式,既实现了用户身份认证,又添加了ssl加密。而且操作方便。唯一的缺陷是只能访问Web服务,可以说是瑕不掩瑜吧。

« 上一篇 下一篇 »