Я установил SSL-VPN, используя Cisco ASA с клиентом AnyConnect. ASA находится за IPS / маршрутизатором. На небольшом количестве машин с Linux установлена VNC за ASA.
Я хочу разрешить соединение VNC через SSL-VPN (поскольку VNC не защищен в чистом виде) в настройках удаленного доступа. Это строгие настройки, чтобы заблокировать все порты, кроме необходимых.
Я пытаюсь реализовать достаточно списков ACL, чтобы заблокировать все незащищенные соединения.
Должен ли мой IPS / маршрутизатор блокировать обычный порт VNC, поскольку VNC туннелируется под SSL, но тогда моему ASA или любому другому устройству нужно будет открыть порт для VNC, когда клиент окажется внутри локальной сети? Собирается ли мой IPS / маршрутизатор анализировать пакет и блокировать его, если в нем есть VNC? (если IPS / Router блокирует VNC, но НЕ SSL).
Спасибо.
Вам нужно будет только разрешить SSL (порт 443).
Потому что ваш трафик VNC будет совмещен с SSL.
С точки зрения IPS / Router трафик VNC будет выглядеть как SSL.