今日推荐:Www.6090Sf.Com【六零九零搜服网】,6090sf.com是目前国内最好的网通传奇私服发布网,本站目前拥有各种网通线路的传奇私服开机预告信息.各种网通合击传奇私服、1.76、1.80、1.85、1.89、1.90、1.923、1.95、1.99、英雄合击、变态合击、轻变、微变、超变、复古、仿盛大、元素、无英雄、靓装等全部版本,6090SF拥有多站内嵌同步显示,上千关键词排名、价格低、效果好。找传奇私服?找变态传奇私服发布网?就上Www.6090sf.Com
飞塔防火墙是个相当全面的产品系列,涵盖从小公司到大中型企业的业务需求。以飞塔防火墙310B为例,它是一款针对中型企业的产品。功能上整合了路由(支持 RIP, OSPF, BGP和多播),统一威胁管理(UTM), VPN, 广域网优化,网关代理和无线控制,相当强悍。
飞塔防火墙支持IPSEC VPN 和SSL VPN, 配置和监控上都有其独到的一面。本文将详细讲述配置SSL VPN所将遇到的一个选择 SPLIT TUNNELING 即隧道分离是如何影响或受益终端用户,以及配置该选项时所要注意的问题。
首先看看隧道分离是个什么意思。一般情况下,所有从远程用户发出的网络数据全部封装在IPSec Tunnel里,即使是浏览公司外部的网站,数据包也要先经过VPN网关然后再提交到因特网上的主机,远程用户所请求的浏览数据返回时得先经过VPN 网关然后再经由IPSEC Tunnel传回到主机。SSL VPN同理,见下图
而配置了隧道分离之后 ,情况就演变为:
显而易见的是,远程用户的网络体验将得到改善,访问外网的网络流量将不经过VPN 网关,同时访问内网的数据依然封装在VPN 隧道内。隧道分离的利弊将放在本文最后讨论论,接下来看看飞塔的配置和验证。
飞塔SSL VPN隧道分离选项在SSL 门户里的隧道模式点击铅笔图标后展开可见:
具体到远程用户的电脑上,产生了什么样的变化呢?一句话:更改了默认网关路由。看下图,这截图是在已连入VPN但没有启用隧道分离的远程用户的电脑上敲入netstat -r 的结果:
注意看第二条路由,192.168.250.166 是连入VPN后分配到的一个内网地址,Metric比第一条小得多,说明默认网络路由是经过这个VPN的。
再看下图,是在连入VPN并且启用隧道分离的远程客户机上得到的结果:
之前那条默认路由已经不在路由表里了,多出来的是一个个到端的路由。而这些到端的路由全部是在建立VPN连接后,远程用户端依据预先制定的防火墙策略(外部网络->内部网络) 所更新的路由项目。这种情况下,所有策略外的数据包全部经由默认网关发送而非VPN。
验证起来很简单,只需要用 tracert 或者pathping 一个外网IP就可以了,具体过程就不赘述。
总之,无论什么都有利弊,隧道分离也不例外。它加强了远程用户的网络体验减少了VPN网关的负荷,但是却降低了远程PC的网络安全性。通过无保护的因特网链接黑客可以经由远程电脑进入VPN隧道直抵内部网络!所以在勾选配隧道分离这个选项之前,权衡利弊是必要的。
本文出自http://sydflyer.blog.51cto.com/
赞助连接:国内最优秀的传奇私服发布网-每日为您提供最新开的电信传奇私服开区信息.找新开传奇私服?上Www.11811445.Com
赞助连接:变态传奇私服
