移动接入技术
Posted 锅锅——Kk
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了移动接入技术相关的知识,希望对你有一定的参考价值。
一、移动接入概述
1.安全接入
身份安全 终端环境安全 传输安全 应用权限安全 审计回溯
2.远程接入: VPN
虚拟专用网络,建立专用数据通信网络技术,加密通讯。
3.VPN汇总
IPsec VPN:IETF支持标准之一,IP层加密,有隧道模式,传输模式,站到站的组网,实现三级或多级组网,用户透明访问,无需登录
L2TP VPN:工业标准隧道协议,对网络数据流加密,L2TP面向数据包点对点连接,多隧道,提供包头压缩,隧道验证
SSL VPN:应用于web浏览程序和web服务器程序,用于应用层,基于证书的身份认证,端到站的组网方式
PPTP VPN:点到点隧道协议,ppp协议扩展,在ip网上建立多协议安全VPN通信方式
4.统一身份认证
6种主认证
本地用户名/密码 公有/私有
LDAP服务器 公有/私有
Radius服务器 公有/私有
CA认证 私有
AD域单点登录
HTTPs第三方接口对接 私有
3种辅认证
硬件特征码 公有/私有
动态令牌 私有
短信认证 私有
- 主认证至少需要一种,辅认证不能单独使用,主认证可单独使用
二、移动接入方案
1.SSL VPN
一般采用插件系统来支持各种tcp和udp的非Web应用。
2.SSL协议 通过三个协议实现
SSL握手协议 :采用公钥加密算法进行密文传输
该协议允许服务器与客户机在应用程序传输和接受数据之前互相认证,服务器与客户机交换一系列消息
SSL修改密文协:
保障SSL传输过程的安全性,客户端和服务器双方应该每隔一段时间改变加密规范。
SSL报警协议
用来为对等实体传递SSL的相关警告。
3.SSLvpn 技术优势
身份安全 终端安全
传输安全 应用权限安全 审计安全
前置网关做TCP 443 80 端口映射 IPSEC VPN 映射TCP/UDP 4009端口
三、移动接入身份认证
1.用户和用户组
私有用户只能同时一人登录 ,公有用户允许多人同时登录
每个用户必须属于唯一用户组
2.本地账户认证
本地认证:认证的账户信息保存在设备本地
外部认证:认证的账户信息保存在外部系统
3.数字证书认证
数字证书:一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件
包含: 用户身份信息 用户公钥信息 身份验证机构数字签名数据
保证证书 真实性 不可否认性 机密性 完整性
4.LDAP认证技术
LDAP是轻量级目录访问协议。它是存储用户账户信息数据库的一个账户系统。
LDAP是一种开放标准,LDAP协议是跨平台的intnet协议
常见的LDAP系统:
MS-LDAP:AD域 活动目录域
OPen LDAP
other LDAP
http/https 支持单次/多次认证最多五次
5.TOTP动态令牌认证
OTP : 一次性密码
TPTP: 时间戳算法的一次性密码
四、移动接入资源发布
1.web应用
客户端接入SSL VPN 访问web应用,不能打开新窗口输入地址访问,只能点击链接或者利用web全网服务地址栏访问。
web资源无法支持telnet应用类型
2.L3VPN
基于UDP,ICMP的应用或server需主动访问client端的应用使用L3VPN资源
3.角色
snagfor SSL 角色是用户和资源之间的纽带,用于给不同用户关联不同内网资源
五、移动接入资源发布
1.登录策略
用户保存180天
SSL接入默认端口 443端口
默认登录策略 /*
2.策略组
隐私保护
带宽会话限制
允许接入客户端类型
3.外置数据中心搭建
cent os 7(x64)
180天
cpu ,内存:8核8G
/data 存放 SSL日志 /history 存放外置中心自身日志(2G)
重启网络服务:systemctl restart network.service
数据中心占用TCP: 1087 1081 4430 4431 514 端口
新版外置数据中心 使用 TCP 514 端口 使用syslog 协议
集群部署
集群环境下,对接外置数据中心,外置数据中心的允许接受IP填写每台节点IP而非集群IP.
以上是关于移动接入技术的主要内容,如果未能解决你的问题,请参考以下文章