VPN都配置了,但是私网无法通信

  • VPN没建立成功访问不了的原因
    1. 物理层原因,端对端设备运行不正常
    2. 两端内网IP在同一个网段,定义感兴趣流量错误;
    3. 公网不通,两端无法进行网络连接;
    4. 用户的网关设备需要开放AH,ESP协议,单臂部署模式需要放通udp的500和4500端口;
    5. IKE协商不一致,一边配置主模式,一边配置野蛮模式导致IKE SA协商失败;
    6. IPSEC变换集使用的算法不一致,导致IPSEC SA协商失败;
    7. 加密图不一致map1,map2,或者配置的加密图未绑定到接口上;
    8. 不同厂商的VPN设备会存在兼容性问题
    9. 防火墙没有购买VPN的许可证,或者VPN允许的隧道数已经达到许可上限
  • VPN通了访问不了的原因
    1. 单臂部署没有写指向路由;
    2. 防火墙禁ping;
    3. 访问地址配置错误,不在感兴趣流的范围内;
    4. 没禁止排除掉需要做VPN的流量不做nat地址转换,不然这个地址他会转换为公网地址,导致冲突)

内网有个网站服务器,外网用户网页访问不了,如何排错?

  • 底层方面
    1. 边界部署防火墙一般默认禁止所有,没有ACL放通或者配置错误
    2. 外网访问私网需要做静态NAT
    3. 内网路由没有或者写错
  • 应用层渗透方面
    1. 用户做过特殊的SQL注入字符/扫描/XSS,违背了WAF的规则,把该用户IP禁用;
    2. 网站被渗透,把主页修改或者删除了

如何使网络更加安全?

    根据网络安全等级保护的要求,为了保证一个网络的安全性,需要落实:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个技术要点。
    因此需要在网络出口出防止一台防火墙来保证内网安全;
    在终端接入区可以增添一台上网行为审计,用来控制与管理用户对互联网的使用;
    增添防病毒网关,对通信中所带文件中是否含有特定的病毒特征,防止病毒的扩散,尽最大可能保护网络安全;
    对外服务域,如果是总部与分支或者出差用户需要接入企业网络,可以通过VPN技术,在公有网络中通过隧道技术虚拟出来一条企业内部专线,不仅节约了成本,同时使得通信过程更加灵活;
    如果内部web服务器对外发布,可以在web服务器前增加WAF来保护web服务器不受攻击,防止因遭到攻击导致软件服务中断或被远程控制;
增添IDS\IPS,即入侵检测系统与入侵防御系统,对网络的运行状态进行监视,尽可能发现发现各种攻击企图、攻击行为或者攻击结果