移动接入技术

Posted 2021-07-12 锅锅——Kk

一、移动接入概述
1.安全接入
身份安全 终端环境安全 传输安全 应用权限安全 审计回溯
2.远程接入： VPN
虚拟专用网络，建立专用数据通信网络技术，加密通讯。
3.VPN汇总
IPsec VPN:IETF支持标准之一，IP层加密，有隧道模式，传输模式，站到站的组网，实现三级或多级组网,用户透明访问，无需登录
L2TP VPN：工业标准隧道协议，对网络数据流加密，L2TP面向数据包点对点连接，多隧道，提供包头压缩，隧道验证
SSL VPN：应用于web浏览程序和web服务器程序，用于应用层，基于证书的身份认证，端到站的组网方式
PPTP VPN：点到点隧道协议，ppp协议扩展，在ip网上建立多协议安全VPN通信方式
4.统一身份认证
6种主认证
本地用户名/密码 公有/私有
LDAP服务器 公有/私有
Radius服务器 公有/私有
CA认证 私有
AD域单点登录
HTTPs第三方接口对接 私有
3种辅认证
硬件特征码 公有/私有
动态令牌 私有
短信认证 私有

• 主认证至少需要一种，辅认证不能单独使用，主认证可单独使用
  二、移动接入方案
  1.SSL VPN
  一般采用插件系统来支持各种tcp和udp的非Web应用。
  2.SSL协议 通过三个协议实现
  SSL握手协议 ：采用公钥加密算法进行密文传输
  该协议允许服务器与客户机在应用程序传输和接受数据之前互相认证，服务器与客户机交换一系列消息
  SSL修改密文协：
  保障SSL传输过程的安全性，客户端和服务器双方应该每隔一段时间改变加密规范。
  SSL报警协议
  用来为对等实体传递SSL的相关警告。
  3.SSLvpn 技术优势
  身份安全 终端安全
  传输安全 应用权限安全 审计安全
  前置网关做TCP 443 80 端口映射 IPSEC VPN 映射TCP/UDP 4009端口
  三、移动接入身份认证
  1.用户和用户组
  私有用户只能同时一人登录 ，公有用户允许多人同时登录
  每个用户必须属于唯一用户组
  2.本地账户认证
  本地认证：认证的账户信息保存在设备本地
  外部认证：认证的账户信息保存在外部系统
  3.数字证书认证
  数字证书：一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件
  包含： 用户身份信息 用户公钥信息 身份验证机构数字签名数据
  保证证书 真实性 不可否认性 机密性 完整性
  4.LDAP认证技术
  LDAP是轻量级目录访问协议。它是存储用户账户信息数据库的一个账户系统。
  LDAP是一种开放标准，LDAP协议是跨平台的intnet协议
  常见的LDAP系统：
  MS-LDAP：AD域 活动目录域
  OPen LDAP
  other LDAP
  http/https 支持单次/多次认证最多五次
  5.TOTP动态令牌认证
  OTP ： 一次性密码
  TPTP： 时间戳算法的一次性密码
  四、移动接入资源发布
  1.web应用
  客户端接入SSL VPN 访问web应用，不能打开新窗口输入地址访问，只能点击链接或者利用web全网服务地址栏访问。
  web资源无法支持telnet应用类型
  2.L3VPN
  基于UDP,ICMP的应用或server需主动访问client端的应用使用L3VPN资源
  3.角色
  snagfor SSL 角色是用户和资源之间的纽带，用于给不同用户关联不同内网资源
  五、移动接入资源发布
  1.登录策略
  用户保存180天
  SSL接入默认端口 443端口
  默认登录策略 /*
  2.策略组
  隐私保护
  带宽会话限制
  允许接入客户端类型
  3.外置数据中心搭建
  cent os 7（x64)
  180天
  cpu ，内存：8核8G
  /data 存放 SSL日志 /history 存放外置中心自身日志（2G)
  重启网络服务：systemctl restart network.service
  数据中心占用TCP: 1087 1081 4430 4431 514 端口
  新版外置数据中心 使用 TCP 514 端口 使用syslog 协议
  集群部署
  集群环境下，对接外置数据中心，外置数据中心的允许接受IP填写每台节点IP而非集群IP.