参考网址:[url]http://www.ibm.com/developerworks/cn/security/s-stun/index.html#3[/url]
Stunnel.conf文件配置比较简单,下面我们介绍一些常见应用配置,其中Client端是放在本机,IP是127.0.0.1,Server端是放在外网的服务器上,IP是202.151.90.28。
1.加密邮件传输:
加密邮件,需要将发送和接收的过程都要进行保护,那么我们就要对POP3和SMTP传送方式进行加密。如果我们有一个xxx@colasoft.com.cn信箱,服务器的IP是202.108.44.153,配置文件stunnel.conf如下:
Client端SMTP和POP3文件内容 | Server端SMTP和POP3文件内容 |
[smtp.colasoft.com.cn] accept = 127.0.0.1:25 connect = 202.151.90.28:125 [pop3.colasoft.com.cn] accept = 127.0.0.1:110 connect = 202.151.90.28:1110 | [smtp.colasoft.com.cn] accept = 125 connect = 202.108.44.170:25 [pop3.colasoft.com.cn] accept = 1110 connect = 202.108.44.153:110 |
如果有多个邮件传输需要加密,则增加相应的POP3和SMTP设置即可。设置好了配置文件,我们还需要将邮件客户端(常见的为Foxmail或Outlook)与其对应,设置如下:
发送的邮件地址改为:127.0.0.1 端口改为:125
接收的邮件地址改为:127.0.0.1 端口改为:1110
2.加密FTP传输:
FTP是比较早的文件传输协议,内容都是以明文方式传输,我们利用Stunnel后,也可以让FTP的传输非常安全,现在我们只需要在前面的stunnel.conf内容里面增加以下配置信息:
Client端FTP的配置 | Server端FTP的配置 |
[ftp.net130.com] accept = 127.0.0.1:21 connect = 202.151.90.28:121 | [ftp.net130.com] accept = 121 connect = 218.7.9.73:21 |
FTP软件(如CuteFTP)也要做相应更改:
登录的远程地址改为:127.0.0.1 端口改为121
3.加密HTTP网站访问传输:
我们不能对所有的网站访问都进行加密,因为太多,但对于很重要的网站,我们也可以用Stunnel来保护访问的内容不受到监听。例如我们要访问[url]www.colasoft.com.cn[/url],网站IP地址是202.108.36.172,HTTP的配置如下:
Client端HTTP的配置 | Server端HTTP的配置 |
[[url]www.colasoft.com.cn[/url]] accept = 127.0.0.1:80 connect = 202.151.90.28:8080 | [[url]www.colasoft.com.cn[/url]] accept = 8080 connect = 202.108.36.172:80 |
通过结合使用科来网络分析系统与Stunnel,既可以做到对网络的安全检测,并找出网络内的潜在安全隐患,又能从防护的角度出发,保护公司内部网络的重要信息。此方案成本低,不改变当前网络内的结构,容易实施,是一个简单有效的安全管理方案。