實訓七、Linux下利用sslexplorer實現SSLVPN一、實驗目的1、學習sslexplorer實現SSLVPN的根本知識及原理2、掌握linux

利用sslexplorer實現SSLVPN的搭建二、實驗時數：2小時三、實驗環境1、實驗平臺環境如下列圖所示，VPC1-SSLServer〔98〕網絡接口eth0與VPC2-客戶端〔99〕網絡接口eth0互連互通。2、VPC1操作系統為CentosLinux〔root/toor，登錄用戶/密碼為centos/centos〕；VPC2可以采用xp/Windows2003操作系統。四、實驗內容1、安裝JAVAJDK；2、安裝ssl-explorer；3、測試ssl-explorer效勞。五、實驗步驟〔一〕、安裝JAVAJDK1、JDK包準備：到官網下載jdk(，注意版本不要太高)，2、安裝JDK包：通過終端在/opt目錄下新建java文件夾，輸入：mkdir/opt/java然后將下載的JDK包拷貝到java文件夾中，輸入：#cp/opt/java然后進入java目錄，輸入：cd/opt/java安裝JDK包，輸入：以上操作如下列圖所示。3、設置jdk環境變量輸入：vi/etc/profile翻開之后在末尾添加exportJRE_HOME=/opt/jexportPATH=$JAVA_HOME/bin:$JRE_HOME/bin:$ANT_HOME/bin:$PATH在上述添加過程中，等號兩側不要參加空格，然后保存輸入：source/etc/profile使profile修改生效4、檢驗是否安裝成功在終端輸入：java-version如果正確顯示java版本號，說明java及環境參數都設好了，如下列圖：〔二〕安裝ssl-explorer安裝ssl-explorer的第一步是安裝ant。Ant的安裝是為了對sslexplorer進行編輯安裝用的。1.安裝ant〔針對上面對JDK【.bin后綴文件】的安裝方式，可以省略這局部操作〕〔1〕下載apache-ant-1.7.0-bin.tar.gz，并復制到/opt/目錄wget:///dist/ant/binaries/apache-ant-1.7.0-bin.tar.gz〔已下載〕〔2〕安裝與解壓解壓：將解壓后的apache-ant-1.7.0目錄映射到一個ant目錄：#ln-sapache-ant-1.7.0ant〔3〕設置環境修改/etc/profile文件，在末尾添加語句：exportANT_HOME=/opt/antexportPATH=/opt/ant/bin:$PATH#source/etc/profile//使修改生效〔4〕測試#ant-version環境配置成功〔1〕下載sslexplorer_linux_rpm_1_0_0_RC17.zip壓縮包〔:///projects/sslexplorer/〕〔已下載〕〔2〕對該效勞器ip進行配置〔3〕復制到/opt/目錄后，并使用unzip解包：#unzipsslexplore〔4〕使用rpm進行安裝〔5〕安裝sslexplorer，如下列圖所示。〔6〕在/opt/sslexplorer目錄下安裝sslexplorer的Web配置界面，如下列圖所示。(7)翻開一個IE，輸入：://本機IP:28080，進入一個WEB配置向導,

并在這里指定一個superuser和密碼、parchase，導入或生成證書等，配置完后保存并退出。本實驗中ip地址是98。具體設置如下：設置的第一局部是創立一個使用SSL-Explorer自帶組件的一個SSL證書。

選擇CreateNewCertificate選項并單擊Next按鈕。

設置密碼，密碼必須至少6個字符，密碼為：syq123456，單擊Next按鈕。

設置證書的參數，完成后單擊Next按鈕。

創立證書后，對用戶數據庫的類型進行設置。此步驟將會創立一個內置的數據庫只有一個超級用戶time-being。選擇bulit-in的選項并單擊Next按鈕。

數據庫類型已經選定，現在設置超級用戶帳戶的用戶名和密碼。還可以輸入一個電子郵件地址然后單擊Next按鈕。本實驗中將超級用戶帳戶的用戶名設置為syuanquan，密碼設置為syq123456，還考慮設置為：admin/123456。

接下來對SSL-Explorer的web效勞器進行配置。此選項卡使用默認的設置即可。單擊Next按鈕。

本實驗無代理效勞器所以不需要對代理進行配置，單擊Next按鈕繼續。單擊Next按鈕。

最后一步查看配置參數，單擊Finish按鈕。完成sslexplorer的安裝退出安裝。〔8〕更改/opt/sslexplorer/install/platforms/linux下文件的權限為777。〔9〕更改/opt/sslexplorer/install/platforms/linux/x86下wrapper文件的權限為777。〔10〕對sslexplorer安裝目錄的conf子目錄下的兩個文件進行修改(其作用是保證我們連接SSLVPN網頁時，輸入管理員帳號和密碼時能正常登錄進入系統，不會出現帳號無效的情況)。A、對wrapper.conf修改，利用viwrapper.conf進行編輯，在尾部添加：wrapper.java.additional.1=-Dfile.encoding=UTF-8，并保存。B、對perties修改，利用viperties進行編輯，在尾部添加：file.encoding=UTF-8，并保存。〔11〕退回上層目錄，使用servicesslexplorerstart命令安裝開啟sslexplorer效勞并查看sslexplorer效勞的狀態。〔三〕在效勞器端使用s://98測試sslexplorer效勞。輸入用戶名syuanquan，密碼syq123456。〔四〕在客戶端使用s://98測試sslexplorer效勞。(1)客戶端ip配置(2)利用客戶端對效勞器SSLexplorer登錄訪問時，先在效勞器端關閉防火墻設置，即iptables–F。(3)測試sslexplorer效勞輸入用戶名syuanquan密碼syq123456。(五)抓包分析(通過Wireshark進行協議分析)六、實驗報告內容要求1．簡要的實驗操作步驟；2．實驗完成情況說明；3．實驗過程中存在的問題與討論。預備知識：一、SSL協議簡介SSL協議是一種建立在應用層的VPN隧道協議，平安性很高。從密鑰協商、加密算法、密鑰長度來說與IPSec相同。已經在各大國際銀行、證券、電子商務應用中采用。二、SSLVPN簡介SSLVPN技術幫助用戶通過標準的Web瀏覽器就可以訪問企業內部應用。這使得企業員工只要能夠訪問到公眾網絡時，就能通過SSLVPN隧道平安地訪問到企業資源，這為企業提高了效率也帶來了方便。一般認為：SSLVPN無需安裝客戶端軟件，通過遠程建立的SSL隧道訪問內部效勞器的代理技術，并對效勞器內容提供基于用戶認證、遠程站點檢查的資源訪問控制。由于SSLVPN工作在應用層，認證方式更加靈活，可以是口令、證書、硬件令牌、RADIUS、LDAP、ActiveDirectory等，并且可以做遠程主機檢查，以確保訪問內部效勞器的遠程主機是平安的。另外，成熟的SSLVPN產品一般提供三種級別遠程訪問：遠程Web訪問〔核心功能〕、C/S應用、網絡層連接。在Web訪問方面能夠提供基于用戶認證的細粒度內容訪問控制，C/S應用訪問控制功能相對減弱，網絡層連接所提供的訪問控制與IPSec一樣弱。所以，SSLVPN現已成為遠程訪問VPN的新寵。除了具備與IPSecVPN相當的平安性外，還增加了訪問控制機制，客戶端只需要擁有支持SSL的瀏覽器即可，可以說是零配置，非常適合遠程用戶訪問企業內部網。SSLVPN是一種低本錢、高平安性、簡便易用的遠程訪問VPN解決方案，具備相當大的開展潛力。不僅如此，SSLVPN還可以用于保護內部網絡應用，因為平安風險很大程度來自組織內部。隨著越來越多的公司將自己的應用轉向Web平臺，SSLVPN會得到更為廣泛的應用。SSLVPN的出現是為了解決IPSecVPN的固有缺點而出現的，SSLVPN繼承了IPSecVPN的遠程使用與內網使用體驗一致、與應用無關的優點，防止了因有客戶端而導致的使用維護不便、某些網絡條件下無法接通、