為滿足出差在外人員和分支機構辦公的需要,企事業單位一般采用如下的兩種方式:
端口映射,把對應的服務端口映射到公網,供終端訪問。
VPN。客戶端需要先撥入VPN,然后再訪問內網服務。
這兩個辦法各有優缺點:端口映射的方式,配置簡單但是不夠安全。內網的服務系統直接暴露在公網上,容易被攻擊導致嚴重的損失。VPN的方式,安全系數要高很多。但是VPN需要配置客戶機,配置和維護比較復雜。
在本文中,我將介紹WFilter NGF(WSG網關)中新加的一個功能:Web VPN。采用Web VPN可以帶來如下好處:
人員在訪問內網Web服務前,需要先進行身份驗證。從而給內網的Web服務提供了額外的一層保護。
可以提供https訪問方式,對內網的web訪問進行ssl加密。
使用非常簡單,直接通過瀏覽器就可以訪問,避免了復雜的客戶端配置。
下面是具體步驟的演示。
1. 申請一個域名
首頁要申請一個域名并和外網IP綁定,也可以是動態域名。
2. 開啟WebVPN服務
配置根域名,端口,驗證方式。驗證方式可以支持本地認證、域認證、郵箱認證、Raidus認證等方式。根域名就是用來訪問本系統的域名。
添加內部Web服務。需要給內部web服務配置一個二級域名,并且配置內部訪問的ip和端口信息。
二級域名也需要在域名提供商處添加dns解析,如圖:
編輯下用戶登錄后的首頁
3. 添加端口映射
默認配置下WebVPN的端口是不對外網開放的,你需要配置一條端口映射規則,讓外網的訪問映射到web vpn端口上。如下圖:
4. 測試WebVPN的登錄和訪問
經過上述配置后,在外網即可通過域名來進行訪問(一定要用域名訪問,通過IP訪問無法實現webvpn的功能)。效果如下圖:
首頁要輸入用戶名密碼進行用戶認證。
認證通過后可以訪問到首頁。
點擊下面的連接訪問到內網辦公系統。
如上圖,雖然內部web服務是http的,通過Web VPN后就可以變成https。WebVPN的方式,既實現了用戶身份認證,又添加了ssl加密。而且操作方便。唯一的缺陷是只能訪問Web服務,可以說是瑕不掩瑜吧。
