一、背景
1、由于公司测试环境只能由内网访问,给开发和测试人员在家处理问题时造成不便,影响了处理bug的及时性。
2、包头客户需要使用自定义服务器功能,让App访问其内网服务,但是工作人员离开厂区内网覆盖范围后就无法使用。
基于以上两个痛点,移动端组决定调研指沃App集成VPN功能的可行性。
二、SSL****VPN简介
SSL VPN是以SSL(Secure Sockets Layer)/TLS(Transport Layer Security)协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。
SSL是一种安全协议,可以分为SSL记录协议(SSL record protocol)、SSL握手协议(SSL handshake protocol)、SSL密码变化协议(SSL change cipher spec protocol)和SSL警告协议(SSL alert protocol)。
SSL VPN通过SSL协议和代理功能,实现远程用户安全地访问内网资源。
SSL VPN业务主要有以下四种业务:
1、Web代理
使用Web代理,用户只需标准的浏览器,终端不需安装任何客户端软件,就能够实现Web资源的安全访问,比如:内网网页浏览、Outlook Web Access和iNotes访问。
2、网络扩展
网络扩展功能是基于SSL协议进行的功能扩展,实现了对所有IP应用的支持,用户远程访问内网资源就像访问局域网一样方便。在用户端安装网络扩展客户端后,客户端生成的虚拟网卡将截获的原始IP报文经过SSL协议封装后转发至虚拟网关,从而使用户的机器如同工作在企业内网一样,用户能够快速、安全地访问企业内网的所有资源(在没有进行ACL(Access Control List)访问控制限制的情况下)。
3****、****文件共享
文件共享主要是通过协议转换技术,将网络文件系统NFS(Network File System)转换成HTTPS(Hypertext Transfer Protocol Secure)协议,用户直接通过浏览器就能够创建和浏览目录,进行新建、下载、上传、修改、删除文件操作。
4****、****端口转发
SSL协议只应用于浏览器,端口转发是SSL协议的应用扩展。端口转发在应用层控制用户可以访问的应用服务(比如Telnet、远程桌面、FTP(File Transfer Protocol)和Email)。端口转发需要在客户端上运行一个ActiveX控件作为端口转发器,侦听某个端口上的连接。当数据包进入这个端口时,它们通过虚拟网关被传送到USG,USG解开封装的数据包,将它们转发给目的应用服务器。管理员通过配置来限制用户所能访问的内网资源。与网络扩展相比,具有更高的安全性。从理论上来讲,访问速度也更快。
三、SSL VPN是如何工作的
移动办公用户访问企业内网的服务器时,首先与SSL VPN服务器之间建立起安全连接(SSL VPN隧道),采用标准的SSL协议对传输的数据包进行加密。登录SSL VPN服务器时,用户访问SSL VPN服务器登录界面,SSL VPN服务器会对用户身份进行认证。SSL VPN服务器往往支持多种用户认证方式,来保证访问的安全性、合法性。
然后SSL VPN服务器将报文转发给特定的内部服务器,从而使得移动办公用户在通过验证后,可访问企业内网中管理员分配指定的服务器资源。SSL VPN可以借助Web浏览器覆盖所有的远程访问需求。
四、使用场景
移动端目前支持网络扩展,此功能需要在客户端生成一个虚拟网卡,通过虚拟网卡与企业 内网进行通信。网络扩展功能将终端用户连接到企业网上,对终端用户而言,就像接入到企业内网的局域网一样,可以访问内网的任何资源。网络扩展功能支持所有基于IP层之上的应用。因此被称为基于IP层的隧道技术,称作 L3VPN 功能。相对于其他业务功能而言,用户启用网络扩展功能后,如同接入到企业内网一样,网络扩展功能主要是为了提供用户远程接入能力,提供 IP 层的接入功能,实现对内网的全网访问。使用网络扩展功能之后,用户的 PC 就可以如同企业内网一样,可以快速、安全的访问企业内网的所有资源。
集成Uniconnect SDK,完成demo
七、demo演示
1、填写连接名称、网关地址、端口号、连接类型。
2、允许添加VPN配置。
4、登录自己的VPN用户名和密码。
5、连接成功。手机状态栏显示VPN字样。
连接成功后在4g状态可以,指沃App可以访问测试环境
网友评论