为满足出差在外人员和分支机构办公的需要,企事业单位一般采用如下的两种方式:
端口映射,把对应的服务端口映射到公网,供终端访问。
VPN。客户端需要先拨入VPN,然后再访问内网服务。
这两个办法各有优缺点:端口映射的方式,配置简单但是不够安全。内网的服务系统直接暴露在公网上,容易被攻击导致严重的损失。VPN的方式,安全系数要高很多。但是VPN需要配置客户机,配置和维护比较复杂。
在本文中,我将介绍WFilter NGF(WSG网关)中新加的一个功能:Web VPN。采用Web VPN可以带来如下好处:
人员在访问内网Web服务前,需要先进行身份验证。从而给内网的Web服务提供了额外的一层保护。
可以提供https访问方式,对内网的web访问进行ssl加密。
使用非常简单,直接通过浏览器就可以访问,避免了复杂的客户端配置。
下面是具体步骤的演示。
1. 申请一个域名
首页要申请一个域名并和外网IP绑定,也可以是动态域名。
2. 开启WebVPN服务
配置根域名,端口,验证方式。验证方式可以支持本地认证、域认证、邮箱认证、Raidus认证等方式。根域名就是用来访问本系统的域名。
添加内部Web服务。需要给内部web服务配置一个二级域名,并且配置内部访问的ip和端口信息。
二级域名也需要在域名提供商处添加dns解析,如图:
编辑下用户登录后的首页
3. 添加端口映射
默认配置下WebVPN的端口是不对外网开放的,你需要配置一条端口映射规则,让外网的访问映射到web vpn端口上。如下图:
4. 测试WebVPN的登录和访问
经过上述配置后,在外网即可通过域名来进行访问(一定要用域名访问,通过IP访问无法实现webvpn的功能)。效果如下图:
首页要输入用户名密码进行用户认证。
认证通过后可以访问到首页。
点击下面的连接访问到内网办公系统。
如上图,虽然内部web服务是http的,通过Web VPN后就可以变成https。WebVPN的方式,既实现了用户身份认证,又添加了ssl加密。而且操作方便。唯一的缺陷是只能访问Web服务,可以说是瑕不掩瑜吧。