Yesky新聞頻道消息】大約三年前,微軟在Windows 8上推出了首個Modern版郵件應用,現在Windows 10 內置郵件應用終于更新開始支持 TLS(傳輸層安全協議)。
Windows 10郵件應用已支持TLS協議
由于大多數郵件服務器都已經取消 SSL 3.0 支持,Windows用戶在使用郵件應用時可能會遇到連接問題。不過在最新Windows 10 預覽版中郵件應用已經更新,開始支持 TLS協議。
測試顯示,由于應用要首先建立SSL連接,因此具體操作過程仍然有些小問題,即使手動更改端口也是如此。微軟在高級設置部分提供了一個接收郵件禁用SSL的選項,但為了更好的安全性,現在應該默認禁用才是。
但微軟還沒有做出這種改變,目前尚不不清楚 Windows 8,8.1 和 Windows Phone 8 版本應用是否會在更新后支持 TLS。
編譯自 Neowin
【請搜索微信“今天的科技新聞”加關注】
作者: 衡水鐵頭哥 鐵軍哥
前面我們已經通過幾篇文章把SSL VPN的3種接入方式和對應的工作機制了解了,IP接入方式請查看(VSR白送的SSL VPN功能,你要不要?),Web接入方式請查看(SSL VPN配置Web接入方式案例),TCP接入方式請查看(SSL VPN配置TCP接入方式案例)。
現在我們回過頭來補充一些和實際使用相關的細節問題。
首先看一下SSL VPN網關的部署方式,主要有兩種:網關模式和旁路模式。
先看我們在云上部署VSR時使用的旁路模式,又稱單臂旁掛、單臂模式。此時SSL VPN網關和內網的業務網關不是同一臺設備,SSL VPN相關的業務流量需要經業務網關繞轉到SSL VPN網關。因為SSL VPN網關不處在業務流量轉發的關鍵路徑上,性能只需滿足SSL VPN的業務性能即可,即使性能不足也不會影響其他內外網通信。甚至設備宕機也只是影響SSL VPN業務。
所以,前面介紹的云上部署VSR的場景,實際業務模型是上圖這樣的,GW設備是云主機的網關設備,PC和VSR直接建立SSL VPN隧道連接。VSR和服務器之間路由可達,PC和Server互訪的流量均需要繞轉VSR設備;而Server和公網其他主機通信的流量直接通過網關設備GW轉發,無需繞轉VSR。這樣,即使VSR宕機,也只是影響SSL VPN用戶的訪問流量。
而網關模式是指設備作為內網網關串接在內外網之間,內外網互通的所有流量需要通過SSL VPN網關進行轉發。優勢是網關模式可以提供對內網的完全保護,但是由于SSL VPN網關處在內網與外網通信的關鍵路徑上,其性能對內外網之間的數據傳輸有很大的影響。
還是前面介紹的云上部署VSR的場景,因為沒有辦法替換掉GW設備,所以只能是把VSR串在GW和Server中間。如果是物理設備場景,在SSL VPN網關能滿足業務需求的情況下,可以將SSL VPN網關復用為業務網關,降低部署成本。但如果SSL VPN網關宕機,所有業務均受影響。
綜上,在實際部署時,還是建議優先考慮采用旁路模式部署。
然后就是SSL VPN網關的配置了。我們前面是把3種接入方式分開講的,其實也是可以組合在一起進行使用的。
可以發現,3種接入方式中SSL服務器端的策略配置都是一樣的。
首先配置PKI域,并導入CA證書和服務器證書,證書的生成方式請參考文章(Windows Server配置生成認證證書)。然后配置SSL服務器端策略,并綁定PKI域。
#
pki domain guotiejun
public-key rsa general name guotiejun
undo crl check enable
pki import domain guotiejun pem ca filename certguo.cer
pki import domain guotiejun p12 local filename serverguo.pfx
#
ssl server-policy guotiejun
pki-domain guotiejunSSL VPN網關配置的IP地址和端口號可以合并為一個。
#
sslvpn gateway guotiejun
ip address 172.30.1.19 port 10086
ssl server-policy guotiejun
service enableIP接入方式需要創建SSL VPN AC接口,以及為SSL VPN客戶端分配地址的地址池,還要創建允許SSL VPN地址池訪問資源的ACL。
#
interface SSLVPN-AC1
ip address 10.1.1.1 255.255.255.0
#
sslvpn ip address-pool tiejun 10.1.1.100 10.1.1.200
#
acl advanced 3402
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 172.30.1.0 0.0.0.255然后就是把3種接入方式的訪問實例配置融合到一起。IP接入方式添加資源172.30.1.0/24,Web接入方式添加資源172.30.1.17的HTTP和HTTPS管理頁面,TCP接入方式添加資源172.30.1.17的SSH、FTP、Telnet、HTTP和HTTPS端口。
#
sslvpn context guotiejun
gateway guotiejun
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool tiejun mask 255.255.255.0
port-forward-item ftp17
local-port 17021 local-name 127.0.0.1 remote-server 172.30.1.17 remote-port 21
port-forward-item http17
local-port 17080 local-name 127.0.0.1 remote-server 172.30.1.17 remote-port 80
port-forward-item https17
local-port 17443 local-name 127.0.0.1 remote-server 172.30.1.17 remote-port 443
port-forward-item ssh17
local-port 17022 local-name 127.0.0.1 remote-server 172.30.1.17 remote-port 22
port-forward-item telent17
local-port 17023 local-name 127.0.0.1 remote-server 172.30.1.17 remote-port 23
port-forward tcp
resources port-forward-item ftp17
resources port-forward-item http17
resources port-forward-item https17
resources port-forward-item ssh17
resources port-forward-item telent17
ip-route-list guotiejun
include 172.30.1.0 255.255.255.0
url-item http17
url http://172.30.1.17
url-item https17
url https://172.30.1.17
url-list web
heading WebManagement
resources url-item http17
resources url-item https17
policy-group guotiejun
resources port-forward tcp
filter ip-tunnel acl 3402
ip-tunnel access-route ip-route-list guotiejun
resources url-list web
default-policy-group guotiejun
service enable最后就是創建授權有策略組的用戶組,并創建本地SSL VPN用戶。
#
user-group sslvpn
authorization-attribute sslvpn-policy-group guotiejun
#
local-user guotiejun class network
password simple guotiejun
service-type sslvpn
group sslvpn
authorization-attribute user-role network-operator然后就可以登錄到SSL VPN網關了。
https://bj.h3cadmin.cn:10086/我們看到頁面中還有一個啟動IP客戶端應用程序的地方,默認是沒有客戶端軟件的。此時我們需要開啟設備的輕量級Web服務器功能Lighttpd,并將定制好的iNode客戶端重命名后上傳到指定路徑。
簡單解釋一下,為什么要指定路徑。因為目前暫時不支持修改下載鏈接,默認的下載鏈接如下:
https://bj.h3cadmin.cn:10086/client/ip/SvpnClient.exe所以我們需要在Web服務器根目錄下創建client/ip/路徑,并且設備名稱必須修改為SvpnClient.exe,所以根目錄下必須有包含ip的文件夾client。配置好之后就能從頁面直接下載SSL VPN客戶端了。
TCP客戶端就不多說了,終端需要具有Java環境,并且要添加例外站點。
再就是對用戶訪問資源的授權管理部分了,這部分之前發過一篇關于IP接入方式的訪問控制(SSL VPN訪問控制)。
其實主要就是通過高級ACL(3000段)或者URI ACL進行訪問控制,IP接入方式可以使用上述兩者,而Web接入方式和TCP接入方式主要是通過URI ACL。首先對流量進行URI ACL的規則檢查,匹配URI ACL中permit規則放行;如果URI ACL匹配失敗,再匹配高級ACL,匹配permit規則放行;如果都匹配失敗,拒絕訪問。但是不怎么實用,把資源列出來又不給用戶訪問,屬實有點流氓的意思。
其實用的比較多的還是sslvpn-policy-group和user-group,可以創建用戶組匹配SSL VPN策略組,因為SSL VPN策略組中是添加了VPN資源的,所以相當于是在用戶組內的用戶都有訪問權限,只要調整用戶或者用戶組就能進行區分了。也可以配置本地用戶直接匹配SSL VPN策略組,看個人喜好。
此時我們再創建一個SSL VPN策略組yancaipin,只添加TCP資源。
#
sslvpn context guotiejun
policy-group yancaipin
resources port-forward tcp然后創建一個用戶yancaipin,直接匹配SSL VPN策略組yancaipin。
#
local-user yancaipin class network
password simple yancaipin
service-type sslvpn
authorization-attribute user-role network-operator
authorization-attribute sslvpn-policy-group yancaipin登錄賬號yancaipin試一下。
可以看到Web資源沒有了,只剩下TCP資源了。
最后應該就是限制在線用戶了,缺省情況下,同一用戶的同時最大在線數為32,如果用到上面的分類用戶了,那肯定是要區分用戶的,所以我們一般將每個用戶名的同時最大在線數限制為2-3個,按個人終端算。配置方式為在SSL VPN訪問實例視圖中配置,同時開啟達到最大在線數再登錄時強制下線功能。
#
sslvpn context guotiejun
max-onlines 3
force-logout max-onlines enable與此相關的有一個SSL VPN訪問實例的最大會話數,缺省最大會話數為1048575,這個就不用管了。還有每個會話的最大連接數缺省為64,也不用管。還有一個SSL VPN會話保持空閑狀態的最長時間,缺省為30分鐘,可以視情況進行調整。
#
sslvpn context guotiejun
timeout idle 60再有可能就是限速了,如果用戶比較多,限速還是很有必要的。IP接入方式的限速功能如下:
#
sslvpn context guotiejun
ip-tunnel rate-limit upstream kbps 2048
ip-tunnel rate-limit downstream kbps 2048還可以基于會話進行限速,命令如下:
#
sslvpn context guotiejun
rate-limit upstream 1024
rate-limit downstream 1024以我處理過幾千個問題的經驗,不夸張講,本篇介紹的內容基本上能覆蓋90%以上的客戶需求了,下課!