SSL VPN网关路由器，哪个产品型号性价比高，适合中小企业，有简体中文Web配置界面？

tangyong_delphi 2022-07-16 12:13:17

SSL VPN网关路由器，哪个产品型号性价比高，适合中小企业，有简体中文Web配置界面？

...全文

7174 1 打赏收藏转发到动态举报

写回复

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

tangyong_delphi 2022-07-16

打赏
举报

回复

网关路由器是1U大小，能够安装到机柜。

MikroTik RouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件RouterOS 软路由图的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。桥接功能　　RouterOS能将多张网卡组建为一个桥模式，使路由器变成一个透明的桥设备，同样也实行三层交换的作用，MAC层的以太网桥、EoIP 、Prism、Atheros和RadioLAN 等都是支持的。所有802.11b和802.11a 客户端的无线网卡（如station模式的无线）受802.11 的限制无法支持桥模式，但可以通过EoIP协议的桥接方式实现。　　为防止环路出现在网络中，可以使用生成树协议(STP) ，这个协议同样使冗余线路成为可能。　　包括特征如下：　　l 生成树协议(STP) 　　l 多桥接接口功能　　l 该协议能选择转发或者丢弃　　l 能实时监控MAC地址　　l 桥防火墙　　l 多线路支持　　RouterOS基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。　　在负载均衡下也可以根据带宽的比例调整两条线路的流量。RouterOS提供了多种方式的路由功能，使其路由功能更强大，更灵活。RouterOS的路由功能主要为：　　l 基于源地址的路由　　l 基于目标地址的路由　　l 基于端口的路由　　l 基于定义用户类的路由　　l 基于负载均衡的路由　　l 基于端口的负载均衡　　l 隧道协议　　RouterOS支持多种隧道协议如PPP、PPPoE、PPTP、EoIP、IPIP以及IPsec，这些隧道协议可以为远程资源访问和企业间的连接提供很好的解决方案，如：　　l 通过PPTP或IPIP实现通网络资源互用　　l EoIP或PPTP的远程局域网解决方案　　l 支持PPPoE服务器　　l Hotspot热点认证服务　　热点服务认证系统是一种web的认证方式，在此种认证方式中，用户可以通过自设IP地址或DHCP获得一个地址，打开浏览器，无论输入一个什么地址，都会被强制到一个认证界面，要求用户进行认证，认证通过后，就可以访问其他站点了。主要特征：　　l 用户通过时间与流量认证计费　　l Cookie (存储用户的账号和密码) 带宽控制功能　　l 定额控制（连接超时时间, 下载/上传传输限制）　　l 实时用户状态信息显示　　l 自定义认证HTML页(可以由你自己设计认证页) 　　l DHCP服务器分配IP地址　　l 简单的RAIUS客户端配置　　l RouterOS 能与PPTP隧道、IPsec以及其它的一些功能配合使用。　　l 可以通过Access Point与以太网接入用户。　　l 定时广播指定的URL链接　　l 脚本控制　　RouterOS提供了可以编写的脚本功能，脚本的加入使RouterOS在处理很多网络方案、自动检查故障和动态生成策略等，都可以通过脚本很好的解决。使得在处理很多网络问题上更加的灵活和智能化。　　具体功能：　　TCP/IP协议组：　　l Firewall和NAT–包状态过滤；P2P协议过滤；源和目标NAT；对源MAC、IP地址、端口、IP协议、协议（ICMP、TCP、MSS等）、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制... 　　l 路由 – 静态路由；多线路平衡路由；基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4 　　l 数据流控制 – 能对每个IP、协议、子网、端口、防火墙标记做流量控制；支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制　　l HotSpot – HotSpot认证网关支持RADIUS验证和记录；用户可用即插即用访问网络；流量控制功能；具备防火墙功能；实时信息状态显示；自定义HTML登录页；支持iPass；支持SSL安全验证；支持广告功能。　　l 点对点隧道协议 – 支持PPTP, PPPoE和L2TP访问控制和客户端；支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；支持RADIUS验证和记录；MPPE加密；PPPoE压缩；数据流控制；具备防火墙功能；支持PPPoE按需拨号。　　l 简单隧道 – IPIP隧道、EoIP隧道 (Ethernet over IP) 　　l IPsec – 支持IP安全加密AH和ESP协议；　

147 第四章网络安全协议 1 第四章网络安全协议 SSL协议 SET协议 IPSec协议 2 因特网与TCP/IP安全-1TCP/IP协议栈 TCP/IP是一组通信协议的缩写 ISO/OSI模型及其与TCP/IP的关系 3 因特网与TCP/IP安全-IP协议 IP数据包中含有源地址和目的地址不可靠协议，没有做任何事情来确认数据包是否按顺序或是未被破坏而高层在接受服务时通常假设源地址是有效的 IP地址成为认证的基础 IP协议存在的安全问题不少 4 IP欺骗攻击者通过伪造一个可信任地址的数据包以使一台机器认证另一台机器的复杂技术攻击是利用应用程序之间基于IP地址的认证机制，攻击者通过IP地址欺骗获得远程系统的非法授权访问。 5 IP欺骗过程描述： 1、X->B: SYN（序列号为M）,IP=A 2、B->A: SYN（序列号为N）,ACK(应答序号＝M+1) 此时A没有同B发起连接，当A收到B的包后，会发送RST置位的包给B，从而断开连接此时攻击者事先让A无法对来自B的任何数据包进行应答。 3、X->B: ACK(应答序号＝N+1) IP=A 攻击者猜测B发送给A的序列号。若猜测成功则，X将获得主机B赋予A的权利。 6 IP欺骗辅助技术1：如何阻止A响应B的包－ SYN 淹没 7 IP欺骗辅助技术2：序列号预测攻击者事先要进行连接试验： (1)同目标主机进行连接 (2)目标主机应答 (3)记录应答包所含的序列号，继续步骤1测试分析序列号产生的模式 8 攻击检测上述攻击过程中，攻击者必须依照一定的顺序来完成网络入侵，这往往是攻击的一种先兆。可安装一个网络嗅探器。 (1)最初，会检测到大量的TCP SYN从某个主机发往A的登录端口。 (2)大量的TCP SYN包将从主机X经过网络发往主机B，相应的有SYN+ACK包从主机B发往X，然后主机X用RST作应答 9 其他措施配置路由器和网关，使他们拒绝网络外部与本网内具有相同IP地址的连接请求当包的源IP地址不在本地子网内时，路由器和网关不应该把本网主机的包发出去，以阻止内部用户去破坏他人网络 10 因特网与TCP/IP安全-TCP协议 TCP安全缺陷－TCP连接的可靠性初始化连接：三次握手，确保双方做好传输准备，统一序列号。 SYN, SEQ = x 主机 B SYN, ACK, SEQ = y, ACK= x 1 ACK, SEQ = x + 1, ACK = y 1 确认确认主机 A 连接请求 11 TCP安全缺陷－没有任何认证机制 TCP会话劫持所谓会话，就是两台主机之间的一次通讯。例如Telnet到某台主机，这就是一次Telnet会话；浏览某个网站，这就是一次HTTP会话。 12 会话劫持（Session Hijack）,就是在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。原因： TCP假定只要接受到的数据包含有正确的序列号就认为数据是可以接受的。一旦连接建立，服务器无法确定进入的数据包是否来自真实的机器。 13 会话劫持防范防范会话劫持是一个比较大的工程。最根本的解决办法是采用加密通讯，使用SSH代替Telnet、使用SSL加强HTTP，或者干脆使用IPSec/VPN。其次，监视网络流量，如发现网络中出现大量的ACK包，则有可能已被进行了会话劫持攻击。完善认证措施，不仅仅在建立会话时进行认证 14 SSL协议—1 概况 SSL协议(Security Socket Layer)是Netscape公司于1994年提出的基于web应用的安全协议。主要介绍SSLv3. SSL主要采用公开密钥体制和x.509数字证书技术。 15 16 SSL协议—1 概况协议的位置： SSL介于TCP和应用层协议之间。 SSL可以用于任何面向连接的安全通信，但通常用于安全web应用的HTTP协议。 SMTP IP SSL TCP HTTP FTP 17 SSL协议—1 概况 SSL提供一个安全的"握手"来初始化一个TCP／IP连接建立TCP"连接" SSL握手，建立SSL会话完成客户端和服务器之间关于安全等级、密码算法、通信密钥的协商，以及执行对连接端身份的认证工作。 SSL连接上所传送的应用层协议数据都会被加密，从而保证通信的机密性。 18 SSL协议—1 概况提供的安全保护 SSL 服务器鉴别允许用户证实服务器的身份。具有 SS L功能的浏览器维持一个表，上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公开密钥。 (2) 加密的 SSL 会话客户和服务器交互的所有数据都在发送方加密，在接收

第11章习题及参考答案一、选择题 1、防火墙是隔离内部和外部网的一类安全系统。通常防火墙中使用的技术有过滤和代理两种。路由器可以根据（1）进行过滤，以阻挡某些非法访问。（2）是一种代理协议，使用该协议的代理服务器是一种（3）网关。另外一种代理服务器使用（4）技术，它可以把内部网络中的某些私有IP地址隐藏起来。安全机制是实现安全服务的技术手段，一种安全机制可以提供多种安全服务，而一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是（5）。（1）A、网卡地址　　B、IP地址　　C、用户标识　　D、加密方法（2）A、SSL　　B、STT　　C、SOCKS　　D、CHAP （3）A、链路层　　B、网络层　　C、传输层　　D、应用层（4）A、NAT　　B、CIDR　　C、BGP　　D、OSPF （5）A、数据保密性　　B、访问控制　　C、数字签名　　D、认证答案：（1）B　　（2）C　　（3）D　　（4）A　　（5）B 2、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（ B ）。 A、防病毒技术　 B、防火墙技术　C、差错控制技术　D、流量控制技术 3、防火墙是指（ B ）。 A、防止一切用户进入的硬件　　B、阻止侵权进入和离开主机的通信硬件或软件 C、记录所有访问信息的服务器　D、处理出入主机的邮件的服务器 4、保证网络安全的最主要因素是（ C ）。 A、拥有最新的防毒防黑软件。　　B、使用高档机器。 C、使用者的计算机安全素养。　　D、安装多层防火墙。 5、1988年是Internet安全体系的重要转折，人们开始对网络安全异常重视，是因为（ A ）。 A、蠕虫病毒　B、核打击　 C、主干网停电　 D、计算机损坏 6、计算机中的信息只能由授权访问权限的用户读取，这是网络安全的（ A ）。 A、保密性　 B、数据完整性　 C、可利用性　 D、可靠性 7、验证消息完整性的方法是（ D ）。 A、大嘴青蛙认证协议　 B、数字签名　 C、基于公钥的认证　D、消息摘要 8、计算机系统中的信息资源只能被授予权限的用户修改，这是网络安全的（ B ）。 A、保密性　 B、数据完整性　 C、可利用性　 D、可靠性 9、加密密钥和解密密钥相同的密码系统为（ C ） A、非对称密钥体制　　B、公钥体制　　C、单钥体制　　D、双钥体制 10、特洛伊木马是指一种计算机程序，它驻留在目标计算机中。当目标计算机启动时，这个程序会（ C ）。 A、不启动　　B、远程控制启动　　C、自动启动　　D、本地手工启动 11、如果一个服务器正在受到网络攻击，第一件应该做的事情是（ A ） A、断开网络　　　　　　　　　　B、杀毒 C、检查重要数据是否被破坏　　　D、设置陷井，抓住网络攻击者 12、防火墙的基本构件包过滤路由器工作在OSI的哪一层（ C ） A、物理层　B、传输层　 C、网络层　D、应用层 13、身份认证的方法有（ ABCD ） A、用户认证　　B、实物认证　　C、密码认证　　D、生物特征认证 14、下列哪些是对非对称加密正确的描述（ BCD ） A、用于加密和解密的密钥是相同的。　　B、密钥中的一个用于加密，另一个用于解密 C、密钥管理相对比较简单　　　　　　　D、非对称密钥加密速度较慢 15、下列选项中哪些是可信计算机系统评价准则及等级（ AC ） A、D　　B、D1　　C、C2　　D、C3 16、常见的防火墙体系结构有（ ABCD ） A、屏蔽路由器 　B、双穴主机网关　C、屏蔽子网　D、屏蔽主机网关 17、网络中威胁的具体表现形式有（ ABCD ） A、截获　 B、中断　C、篡改　 D、伪造 18、计算机网络安全的研究内容有（ ABCD ） A、实体硬件安全　　B、数据信息安全　　C、病毒防治技术　　D、软件系统安全 19、可信计算机系统评价准则及等级中的安全级别有（ ABD ） A、C1　　B、A1　　C、A2　　D、B3 20、密码技术是信息安全技术的核心，组成它的两大分支为（ AB ） A、密码编码技术　 B、密码分析技术　　C、单钥密码体制　D、双钥密码体制 21、常见的两种非对称密码算法为（ AD ） A、RSA　 B、DES　 C、IDEA　 D、Diffie-Hellman 22、计算机病毒的主要特征包括（ ABD ） A、潜伏性　B、传染性　C、自动消失　D、破坏性 23、支撑 IPSec 体系结构的两大协议为（ AC ） A、ESP　 B、TCP　 C、AH　 D、UDP 24、常见的防火墙体系结构有（ ABCD ） A、屏蔽路由器 　B、双穴主机网关　　C、屏蔽子网　D、屏蔽主机网关 25、VPN 系统组织中的安全传输平

最初实验路由器为边界，路由器做nat访问sw1上的两个三次vlanif，后期客户要求在该拓扑上部署ssl vpn，更改拓扑，让防火墙作为边界设备，在sw1下桥接虚拟机，让虚拟机的地址和防火墙G1/0/2的外网口地址互通（甭管用啥协议，目的就是打通）重启成功后，打开ensp的云彩，就会发现有你刚才创建的VM2，添加网卡这步，应该都会吧，再不百度一大堆。点击刚才设置好的vm2，把dhcp分配地址取消掉，子网处设置题目需求的地址段，确定，在配置前，在虚拟机ping下防火墙接口，不通-白玩-通了之后再往下玩。

接下来就是配置vpn的安全策略，一般建议配置两条，一条用户控制用户登陆，只对vpn服务（需要预先在服务中手动添加一个针对开始创建的vpn端口的服务）放行，允许登陆；另一条是针对用户登陆访问内网设备的策略。可以参考下方的策略配置。uniVPN客户端或者web浏览器访问。

智能路由器

679

社区成员

913

社区内容

发帖

与我相关

我的任务

linuxpython 技术论坛（原bbs）

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章