笨驢信息(IMFirewall)博客

WSG上網(wǎng)行為管理的webvpn功能，可以支持釘釘掃碼登錄。要實(shí)現(xiàn)該功能，你需要有公網(wǎng)域名、固定公網(wǎng)IP地址。本文將介紹具體的配置步驟。配置主要分為兩個(gè)部分：釘釘應(yīng)用開(kāi)發(fā)平臺(tái)的配置、WSG上網(wǎng)行為管理的webvpn配置。

1. 創(chuàng)建釘釘應(yīng)用

WSG自帶的openvpn服務(wù)端集成了openvpn服務(wù)，可以讓外網(wǎng)終端撥入到公司內(nèi)部局域網(wǎng)。WSG的openvpn服務(wù)端采用了ca證書(shū)和用戶名密碼認(rèn)證雙重認(rèn)證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開(kāi)啟openvpn服務(wù)

在“VPN-openvpn服務(wù)端”中開(kāi)啟openvpn服務(wù)，選擇用戶名認(rèn)證。推送路由里面配置的是允許外網(wǎng)訪問(wèn)的本地局域網(wǎng)網(wǎng)段，如果允許外網(wǎng)終端通過(guò)公司線路訪問(wèn)外網(wǎng)也可以在這里配置允許訪問(wèn)的外網(wǎng)網(wǎng)段。

有時(shí)候不同運(yùn)營(yíng)商之間的GRE協(xié)議是不通的，會(huì)導(dǎo)致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強(qiáng)，而PPTP需要開(kāi)通TCP 1723和GRE協(xié)議才可以。

本例中，我將介紹WSG上網(wǎng)行為管理的L2TP的用法。如下圖：

1. 開(kāi)啟PPTP/L2TP服務(wù)端

VPN類型選擇L2TP

甲方有些業(yè)務(wù)系統(tǒng)出于安全需要，會(huì)綁定登錄的IP地址只允許總公司的IP訪問(wèn)。這種情況下，分公司如果想要訪問(wèn)該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。在如何實(shí)現(xiàn)分公司訪問(wèn)指定地址的時(shí)候走總部流量一文中，我們介紹了通過(guò)PPTP來(lái)實(shí)現(xiàn)分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實(shí)現(xiàn)方案，openvpn不需要GRE協(xié)議，穿透性和安全性都比PPTP要強(qiáng)大。以下是具體的配置步驟：

1. 服務(wù)端的配置

在總部的WSG上面，需要開(kāi)啟OpenVPN服務(wù)端，選擇用戶名認(rèn)證，推送路由里面既要推送總部的內(nèi)網(wǎng)網(wǎng)段，也要推送甲方系統(tǒng)的IP地址。如下圖：

笨驢SD-WAN盒子可以非常方便的實(shí)現(xiàn)多地組網(wǎng)，無(wú)需修改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，無(wú)需替換現(xiàn)有的網(wǎng)絡(luò)設(shè)備，只要在兩地通過(guò)旁路方式分別接一臺(tái)SDWAN盒子即可組建虛擬局域網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

本文將介紹笨驢SD-WAN盒子的首次安裝步驟。

1. 接線方式

如圖所示，SD-WAN盒子這款硬件有如下配置：

• 一個(gè)以太網(wǎng)網(wǎng)口，默認(rèn)自動(dòng)獲取IP。

• 自帶wifi（SID: wfilter-sdwan，無(wú)線網(wǎng)段是192.168.120.0/24）

隨著疫情反反復(fù)復(fù)，主動(dòng)或被動(dòng)采取遠(yuǎn)程辦公的公司越來(lái)越多。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng)，還需要可以滿足員工在外、在家時(shí)可以隨時(shí)隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法一般需要企業(yè)申請(qǐng)帶固定IP的企業(yè)專線，通過(guò)該固定IP提供遠(yuǎn)程撥入服務(wù)。而由于專線方案價(jià)格高，很多企業(yè)承受不了。在本文中，我將介紹沒(méi)有公網(wǎng)IP時(shí)如何通過(guò)SD-WAN的方案來(lái)實(shí)現(xiàn)遠(yuǎn)程辦公撥入。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

傳統(tǒng)的異地組網(wǎng)方式要求企業(yè)有帶固定公網(wǎng)IP的專線才可以實(shí)現(xiàn)；由于IPv4資源的短缺，運(yùn)營(yíng)商專線價(jià)格高企，大部分企業(yè)無(wú)法承擔(dān)高額的專線費(fèi)用。為解決此問(wèn)題，各大網(wǎng)絡(luò)廠商各顯神通，研發(fā)出了一系列的解決方案。本文中，我將介紹如何利用“SD-WAN技術(shù)”來(lái)實(shí)現(xiàn)沒(méi)有公網(wǎng)IP時(shí)的異地組網(wǎng)互聯(lián)。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢(shì)：

• 自動(dòng)尋址，無(wú)需公網(wǎng)IP。

• 點(diǎn)對(duì)點(diǎn)加密傳輸，無(wú)需通過(guò)服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺(tái)支持。有windows，安卓客戶端。

• 既能實(shí)現(xiàn)多地組網(wǎng)，又可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

隨著互聯(lián)網(wǎng)、數(shù)字化的迅速發(fā)展，遠(yuǎn)程辦公、移動(dòng)辦公、居家辦公已經(jīng)是企業(yè)必備的網(wǎng)絡(luò)服務(wù)。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng)，還需要可以滿足員工在外、在家時(shí)可以隨時(shí)隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法，一般有如下兩種：

1). 企業(yè)申請(qǐng)帶固定IP的企業(yè)專線，通過(guò)該固定IP提供遠(yuǎn)程撥入服務(wù)。

2). 在路由器上綁定動(dòng)態(tài)域名，通過(guò)動(dòng)態(tài)域名來(lái)訪問(wèn)。

近年以來(lái)，由于IPv4資源的短缺，運(yùn)營(yíng)商改為只分配內(nèi)網(wǎng)的IPv4地址，導(dǎo)致動(dòng)態(tài)域名這個(gè)方案已經(jīng)不可行了。而專線方案價(jià)格高企，很多企業(yè)承受不了。

在如何利用Web VPN來(lái)保護(hù)內(nèi)網(wǎng)信息安全一文中，我們介紹了如何用WebVPN來(lái)訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器。WebVPN可以給內(nèi)網(wǎng)服務(wù)器添加一層認(rèn)證保護(hù)，只有認(rèn)證過(guò)的用戶才可以訪問(wèn)內(nèi)網(wǎng)資源，從而有效的保護(hù)了內(nèi)網(wǎng)數(shù)據(jù)的安全性。對(duì)于Web服務(wù)器來(lái)說(shuō)，WebVPN是通過(guò)子域名的方式，每個(gè)web服務(wù)都需要對(duì)應(yīng)一個(gè)不同的二級(jí)域名。在WFilter NGF的2.0版本中，我們給WebVPN添加了轉(zhuǎn)發(fā)到“TCP服務(wù)器”的功能，使WebVPN用戶可以在認(rèn)證后訪問(wèn)到指定的TCP服務(wù)器。以下是Web方式和TCP方式的差別和優(yōu)缺點(diǎn)分析：

Web方式

1. 只能轉(zhuǎn)發(fā)到指定的Web服務(wù)器。

2. 每個(gè)Web服務(wù)器都必須對(duì)應(yīng)一個(gè)二級(jí)子域名。

3. 可以對(duì)Web站點(diǎn)的內(nèi)容進(jìn)行替換。

TCP方式

1. 可以轉(zhuǎn)發(fā)到任意的TCP服務(wù)。比如內(nèi)網(wǎng)的ssh，rdp等，也包括web服務(wù)。

2. 每個(gè)TCP服務(wù)必須對(duì)應(yīng)一個(gè)本地端口。

3. 外網(wǎng)用戶必須經(jīng)過(guò)認(rèn)證才可以訪問(wèn)TCP端口。

4. 不能對(duì)內(nèi)容進(jìn)行修改。

網(wǎng)管在做遠(yuǎn)程技術(shù)支持的時(shí)候，需要連接到客戶的內(nèi)網(wǎng)或者路由器。對(duì)于有公網(wǎng)IP的網(wǎng)絡(luò)，可以直接通過(guò)公網(wǎng)IP或者動(dòng)態(tài)域名去訪問(wèn)。由于現(xiàn)在運(yùn)營(yíng)商很多都只給內(nèi)網(wǎng)IP，使得遠(yuǎn)程技術(shù)支持必須要做內(nèi)網(wǎng)穿透才可以。所以很多網(wǎng)管在做網(wǎng)絡(luò)維護(hù)的時(shí)候，還需要給用戶安裝FRP或者NPS的內(nèi)網(wǎng)穿透服務(wù)，增加了維護(hù)的成本和復(fù)雜性。

在本文中，我將介紹如何通過(guò)SD-WAN的方式來(lái)給客戶提供遠(yuǎn)程網(wǎng)管服務(wù)。SD-WAN和其他方式相比，可以自動(dòng)尋址穿透，無(wú)需公網(wǎng)IP，也無(wú)需云主機(jī)轉(zhuǎn)發(fā)。具體步驟如下：

相對(duì)于傳統(tǒng)方案而言，SD-WAN有著無(wú)可比擬的優(yōu)勢(shì)，很多局域網(wǎng)都采用了SD-WAN的智能組網(wǎng)和遠(yuǎn)程辦公方案。SD-WAN的網(wǎng)絡(luò)規(guī)劃主要考慮如下三個(gè)方面：

• 多地虛擬組網(wǎng)

• 遠(yuǎn)程辦公撥入

• 網(wǎng)管技術(shù)支持

所以，我們?cè)谂渲肧D-WAN網(wǎng)絡(luò)時(shí)候，主要考慮這三個(gè)需求就可以。

如圖：

在“如何用SD-WAN實(shí)現(xiàn)多地組網(wǎng)？”一文中，我們介紹了如何用SD-WAN來(lái)實(shí)現(xiàn)多地組網(wǎng)。實(shí)際上SD-WAN不僅可以用于多地組網(wǎng)，而且可以用于遠(yuǎn)程辦公撥入。

和傳統(tǒng)的遠(yuǎn)程辦公方案相比，SD-WAN有如下優(yōu)勢(shì)：

• 自動(dòng)尋址，無(wú)需公網(wǎng)IP。

• 點(diǎn)對(duì)點(diǎn)加密傳輸，無(wú)需通過(guò)服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺(tái)支持。有windows，安卓客戶端。

本文中，我將介紹如何用SD-WAN實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

1. 網(wǎng)絡(luò)拓?fù)鋱D

SD-WAN不需要固定公網(wǎng)IP也可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。如下圖，該局域網(wǎng)通過(guò)一臺(tái)WSG網(wǎng)關(guān)連接外網(wǎng)，內(nèi)網(wǎng)網(wǎng)段是192.168.10.0/24。

SD-WAN即軟件定義廣域網(wǎng)，可以實(shí)現(xiàn)異地智能組網(wǎng)，遠(yuǎn)程辦公撥入。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢(shì)：

• 自動(dòng)尋址，無(wú)需公網(wǎng)IP。

• 點(diǎn)對(duì)點(diǎn)加密傳輸，無(wú)需通過(guò)服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺(tái)支持。有windows，安卓客戶端。

• 既能實(shí)現(xiàn)多地異地組網(wǎng)，又可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來(lái)實(shí)現(xiàn)多地異地虛擬組網(wǎng)。

有些業(yè)務(wù)系統(tǒng)出于安全需要，會(huì)限制登錄的IP地址，比如只允許總公司的IP訪問(wèn)。這種情況下，分公司如果想要訪問(wèn)該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。要實(shí)現(xiàn)這個(gè)需求，一般有以下解決方案：

1). 方案一：分公司的電腦先撥入總公司的VPN，走總公司線路訪問(wèn)外網(wǎng)。

2). 方案二：分公司和總公司之間組建site-to-site虛擬局域網(wǎng)，分公司電腦通過(guò)總部的代理服務(wù)器訪問(wèn)業(yè)務(wù)系統(tǒng)。

3). 方案三：分公司和總公司之間組建site-to-site虛擬局域網(wǎng)，通過(guò)在分公司的網(wǎng)關(guān)上指定分流訪問(wèn)。

方案一需要在每臺(tái)電腦上都撥入VPN，配置和維護(hù)都比較麻煩；方案二需要在總部搭建代理服務(wù)器；所以相對(duì)來(lái)說(shuō)方案三最為方便快捷。本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何通過(guò)多線均衡和VPN客戶端來(lái)實(shí)現(xiàn)分公司走總部線路訪問(wèn)業(yè)務(wù)系統(tǒng)（方案三）。

很多公司出于工作需要，都會(huì)提供遠(yuǎn)程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來(lái)一些安全方面的隱患；所以很多情況下，我們需要對(duì)外網(wǎng)撥入后的訪問(wèn)權(quán)限進(jìn)行控制。

在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來(lái)介紹如何限制外網(wǎng)撥入后的訪問(wèn)權(quán)限。

在如何用OpenVPN實(shí)現(xiàn)遠(yuǎn)程辦公？一文中，我們介紹了如何用openvpn 2.4.7版本撥入WSG。在本文中，我將介紹如何用openvpn connnect3.2.3來(lái)?yè)苋隬SG的openvpn。最新版本的openvpn connect更加好用，而且支持開(kāi)機(jī)自動(dòng)啟動(dòng)。

Openvpn服務(wù)端的配置過(guò)程不再贅述，請(qǐng)參考前文：如何用OpenVPN實(shí)現(xiàn)遠(yuǎn)程辦公？下面只介紹openvpn connect的安裝部分：

1. 安裝openvpn connect

WSG的Openvpn服務(wù)端模塊，主要用于遠(yuǎn)程辦公撥入和多地組網(wǎng)。Openvpn撥入后，在默認(rèn)配置情況下，只有“推送路由”的訪問(wèn)才會(huì)走vpn隧道。客戶端的外網(wǎng)數(shù)據(jù)仍然走的是自己的外網(wǎng)線路。在有些情況下，你可能需要讓openvpn客戶端的所有外網(wǎng)數(shù)據(jù)都經(jīng)過(guò)vpn連接。要實(shí)現(xiàn)此功能，需要一系列的步驟，具體步驟如下：

WFilter NGF（WSG上網(wǎng)行為管理）的WebVPN功能，既可以支持用戶名密碼認(rèn)證登錄，還可以支持釘釘掃碼和企業(yè)微信掃碼登錄。WebVPN的用戶驗(yàn)證方式如下圖：

在本文中，我將介紹如何給WebVPN添加釘釘掃碼認(rèn)證和企業(yè)微信掃碼認(rèn)證功能。

ZeroTier可以在無(wú)公網(wǎng)IP的情況下提供便捷的虛擬局域網(wǎng)組網(wǎng)和內(nèi)網(wǎng)穿透方案。簡(jiǎn)單來(lái)說(shuō), ZeroTier就是一個(gè)VLAN組建工具，主要有如下的優(yōu)勢(shì)和缺點(diǎn)：

• 配置非常簡(jiǎn)單，只需要在官網(wǎng)創(chuàng)建Network。客戶端直接加入Network即可。

• 跨平臺(tái): ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺(tái)的客戶端, 你可以把任意平臺(tái)的設(shè)備接入VLAN。

• 免費(fèi)可以支持100個(gè)設(shè)備組網(wǎng)。
  

• 缺點(diǎn)：官網(wǎng)只提供英文，沒(méi)有中文版。

本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何用ZeroTier來(lái)實(shí)現(xiàn)遠(yuǎn)程辦公撥入和內(nèi)網(wǎng)穿透。

為滿足出差在外人員和分支機(jī)構(gòu)辦公的需要，企事業(yè)單位一般采用如下的兩種方式：

1. 端口映射，把對(duì)應(yīng)的服務(wù)端口映射到公網(wǎng)，供終端訪問(wèn)。
   

2. VPN。客戶端需要先撥入VPN，然后再訪問(wèn)內(nèi)網(wǎng)服務(wù)。

這兩個(gè)辦法各有優(yōu)缺點(diǎn)：端口映射的方式，配置簡(jiǎn)單但是不夠安全。內(nèi)網(wǎng)的服務(wù)系統(tǒng)直接暴露在公網(wǎng)上，容易被攻擊導(dǎo)致嚴(yán)重的損失。VPN的方式，安全系數(shù)要高很多。但是VPN需要配置客戶機(jī)，配置和維護(hù)比較復(fù)雜。

在本文中，我將介紹WFilter NGF（WSG網(wǎng)關(guān)）中新加的一個(gè)功能：Web VPN。采用Web VPN可以帶來(lái)如下好處：

企業(yè)開(kāi)展在家辦公，需要滿足員工從外網(wǎng)接入到企業(yè)內(nèi)網(wǎng)的工作需要，那么在選擇網(wǎng)絡(luò)設(shè)備的時(shí)候，主要關(guān)注以下幾點(diǎn)：

1. 提供安全可靠的VPN遠(yuǎn)程撥入服務(wù)

VPN的訪問(wèn)安全不能只依賴用戶名和密碼，至少要可以提供雙重認(rèn)證。比如SSL VPN的ca證書(shū)加用戶名密碼的方式。用戶既需要有正確的ca證書(shū)，還需要正確的用戶名密碼才可以接入。這是內(nèi)網(wǎng)數(shù)據(jù)安全的第一道防線。

疫情期間，很多企事業(yè)單位都選擇在家辦公。員工在家通過(guò)虛擬局域網(wǎng)連接到企業(yè)內(nèi)部的ERP、OA、財(cái)務(wù)等系統(tǒng)，既可以滿足疫情防控的需要，又不影響工作。那么企業(yè)要進(jìn)行遠(yuǎn)程辦公應(yīng)該如何搭建網(wǎng)絡(luò)環(huán)境呢？本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來(lái)描述企業(yè)如何準(zhǔn)備在家遠(yuǎn)程辦公的網(wǎng)絡(luò)環(huán)境。

1. 先上網(wǎng)絡(luò)拓?fù)鋱D

PPTP雖然飽受安全性詬病，但是由于PPTP速度快、支持的系統(tǒng)多（windows、andriod默認(rèn)都可以支持），仍然有很多人選擇PPTP作為遠(yuǎn)程辦公的撥入?yún)f(xié)議。有一點(diǎn)我們要注意的是，PPTP的安全性依賴用戶名密碼，而且通訊加密強(qiáng)度不夠。如果對(duì)安全性要求高，建議采用SSL VPN（openvpn）等更安全的VPN通訊協(xié)議。

在本文中，我講介紹PPTP遠(yuǎn)程辦公撥入的具體步驟。

1. 開(kāi)啟PPTP服務(wù)端

首先要在遠(yuǎn)程網(wǎng)絡(luò)上開(kāi)啟PPTP服務(wù)，以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，具體配置如下圖：

WSG上網(wǎng)行為管理（WFilter NGF）既可以做網(wǎng)關(guān)部署，也可以做網(wǎng)橋部署。在網(wǎng)橋部署模式下，WSG的IPSec VPN和OpenVPN一樣是可用的，可以實(shí)現(xiàn)單臂模式的VPN組網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

本文將結(jié)合WSG介紹如何實(shí)現(xiàn)IPSec VPN的單臂部署。