我已经使用带有 AnyConnect 客户端的 Cisco ASA 设置了 SSL-VPN。ASA 位于 IPS/路由器后面。少数 Linux 机器在 ASA 后面设置了 VNC。
我想在远程访问设置中允许通过 SSL-VPN 连接 VNC(因为纯 VNC 是不安全的)。这是一个严格的设置,用于阻止除必要端口之外的所有端口。
我正在尝试实施足够的 ACL 来阻止所有不安全的连接。
由于 VNC 是在 SSL 下建立隧道的,我的 IPS/路由器是否必须阻止常规 VNC 端口,但是一旦客户端进入本地网络,我的 ASA 或任何其他设备是否需要为 VNC 打开一个端口?如果数据包中包含 VNC,我的 IPS/路由器是否会剖析数据包并阻止它?(如果 IPS/路由器阻止 VNC,但不阻止 SSL)。
谢谢。
答案1
您只需要允许 SSL(端口 443)。
因为您的 VNC 流量将会被 SSL 搭载。
从 IPS/路由器的角度来看,VNC 流量看起来像 SSL。