SSLVPN的技術(shù)原理與應(yīng)用

SSLVPN的技術(shù)原理與應(yīng)用概述產(chǎn)生背景機可能不夠安全，這些都為公司內(nèi)部網(wǎng)絡(luò)帶來了安全隱患。通過加密實現(xiàn)安全接入的VPN——SVPN〔SecurityVPN〕技術(shù)供給了一種安全機制，保護公司的內(nèi)部網(wǎng)絡(luò)不被攻擊，內(nèi)部資源不被竊取。SVPN技術(shù)主要包括IPsecVPNSSLVPN。IPsecVPNIPsecVPN網(wǎng)絡(luò)時，需要在用戶主機上安裝簡單的客戶端軟件。而遠程用戶的VPN可以快速部署客戶端，并動態(tài)建立連接；遠程終端的多樣性還要求VPN的客戶端具有跨平臺、易于升級和維護等特點。這些問題是IPsecVPN技術(shù)難以解決的。起公司內(nèi)部網(wǎng)絡(luò)感染病毒。IPsecIP報文的內(nèi)容無法識別，因而不能掌握高層應(yīng)用的訪問懇求。隨著企業(yè)經(jīng)營模式的轉(zhuǎn)變，企業(yè)需要建立Extranet，與效地掌握，才能保證企業(yè)信息系統(tǒng)的安全，而IPsecVPN無法實現(xiàn)訪問權(quán)限的掌握。在簡單的組網(wǎng)環(huán)境中，IPsecVPNNAT的場合，IPsecVPNNAT穿越技術(shù)；在部署防火墻的網(wǎng)絡(luò)環(huán)境中，由于IPsecTCP/UDP頭IPsecIPsec報文通過。IPsecVPN比較適合連接固定，對訪問掌握要求不高的場合，無法滿足用戶隨時隨地以多種方式接入網(wǎng)絡(luò)、對用戶訪問權(quán)限進展嚴(yán)格限制的需求。SSLVPNIPsecVPN有效的權(quán)限治理而成為遠程接入市場上的貴。技術(shù)優(yōu)點SSLVPNS為根底的VPN技術(shù)，它利用SSLSSLVPN具有如下優(yōu)點：SSLSSLVPN供給的安全性而不必理睬具體細節(jié)。SSL已經(jīng)成為網(wǎng)絡(luò)中用來鑒別網(wǎng)站和網(wǎng)頁掃瞄者身份，在掃瞄器WebSSL協(xié)議已被集成到大局部IE、Netscape、Firefox等。這就意味著幾乎任意一臺裝有掃瞄器的計算SSL連接。SSLVPNSSL協(xié)議，絕大多數(shù)的軟件運行環(huán)境都可以作SSLVPN客戶端。支持自動安裝和卸載客戶端軟件。在某些需要安裝額外客戶端軟件的應(yīng)用中，SSLVPNSSLVPN客戶端軟件，極大地便利了用戶的使用。支持對客戶端主機進展安全檢查。SSLVPN可以對遠程主機的安全狀態(tài)進展評估，可以推斷遠程主機是否安全，以及安全程度的凹凸。全時，開放較小的訪問權(quán)限；在遠程主機安全性較高時，則開放較大的訪問權(quán)限。SSLVPN網(wǎng)關(guān)支持多種用戶認證方式和細粒度的資源訪問掌握，實現(xiàn)了外網(wǎng)用戶對內(nèi)網(wǎng)資源的受控訪問。SSLVPN的部署不會影響現(xiàn)有的網(wǎng)絡(luò)。SSLIP報TCP報文頭，因此，SSLNAT來說是透亮的；SSL443號端口，只了網(wǎng)絡(luò)治理員的工作量，還可以提高網(wǎng)絡(luò)的安全性。SSLVPNSSLVPN網(wǎng)絡(luò)部署的開銷，SSLVPN網(wǎng)關(guān)上可以創(chuàng)立多個域，企業(yè)或部門在各自域內(nèi)獨立地治理自己的資源和用戶。通過創(chuàng)立多個域，可以將一個實際的SSLVPNSSLVPN網(wǎng)關(guān)。SSLVPN技術(shù)實現(xiàn)概念介紹SSLVPNSSLVPN網(wǎng)關(guān)的治理者，可以創(chuàng)立域，設(shè)置域治理員的密碼。域治理員：負責(zé)治理所在域，可以創(chuàng)立本地用戶和資源、設(shè)置用戶訪問權(quán)限等。域管理員可能是某個企業(yè)的網(wǎng)管人員。一般用戶：簡稱用戶，為效勞器資源訪問者，權(quán)限由域治理員指定。SSLVPN系統(tǒng)組成1SSLVPN典型組網(wǎng)架構(gòu)SSLVPN1SSLVPNPDA等。SSLVPN網(wǎng)關(guān)：SSLVPN系統(tǒng)中的重要組成局部。治理員在SSLVPN網(wǎng)關(guān)上維護SSLVPNSSLVPN網(wǎng)關(guān)負責(zé)在遠程主機和企業(yè)網(wǎng)內(nèi)效勞器之間轉(zhuǎn)發(fā)報文SSLVPN網(wǎng)關(guān)與遠程主機之間建立SSL連接，以保證數(shù)據(jù)傳輸?shù)陌踩?。企業(yè)網(wǎng)內(nèi)的效勞器：可以是任意類型的效勞器，如Web效勞器、FTP效勞器，也可以是企業(yè)網(wǎng)內(nèi)需要與遠程接入用戶通信的主機。CASSLVPN網(wǎng)關(guān)頒發(fā)包含公鑰信息的數(shù)字證書，以便遠程主機驗證SSLVPNSSLVPNSSL連接。認證效勞器：SSLVPN網(wǎng)關(guān)不僅支持本地認證，還支持通過外部認證效勞器對用戶的身份進展遠程認證。SSLVPN工作過程SSLVPNSSLVPN網(wǎng)關(guān)上創(chuàng)立域。SSLVPN網(wǎng)關(guān)上創(chuàng)立用戶和企業(yè)網(wǎng)內(nèi)效勞器對應(yīng)的資源。SSLVPN網(wǎng)關(guān)訪問企業(yè)網(wǎng)內(nèi)效勞器。超級治理員創(chuàng)立域2超級治理員創(chuàng)立域2超級治理員在遠程主機上輸入SSLVPNSSLVPN網(wǎng)關(guān)之間SSLSSLSSLVPN網(wǎng)關(guān)和遠程主機進展基于證書的身份驗證。SSLSSLVPNWeb名、密碼和認證方式。SSLVPN網(wǎng)關(guān)依據(jù)輸入的信息對超級治理員進展身份驗證。身份驗SSLVPNWeb治理頁面。SSLVPN網(wǎng)關(guān)上創(chuàng)立域，并設(shè)置域治理員密碼。域治理員創(chuàng)立用戶和企業(yè)網(wǎng)內(nèi)效勞器對應(yīng)的資源圖3域治理員創(chuàng)立用戶和企業(yè)網(wǎng)內(nèi)效勞器對應(yīng)的資源如圖3所示，域治理員創(chuàng)立用戶和企業(yè)網(wǎng)內(nèi)效勞器對應(yīng)資源的過程為：域治理員在遠程主機上輸入SSLVPNSSLVPN網(wǎng)關(guān)之間建SSLSSLSSLVPN網(wǎng)關(guān)和遠程主機進展基于證書的身份驗證。SSLSSLVPNWeb密碼和認證方式。SSLVPN網(wǎng)關(guān)依據(jù)輸入的信息對域治理員進展身份驗證。身份驗證成功后SSLVPNWeb治理頁面。SSLVPN網(wǎng)關(guān)上創(chuàng)立用戶和企業(yè)網(wǎng)內(nèi)效勞器對應(yīng)的資源，并設(shè)定用戶對資源的訪問權(quán)限。用戶訪問企業(yè)網(wǎng)內(nèi)效勞器4用戶訪問企業(yè)網(wǎng)內(nèi)效勞器4SSLVPNSSLVPN網(wǎng)關(guān)之間建立SSLSSLSSLVPN網(wǎng)關(guān)和遠程主機進展基于證書的身份驗證。SSLSSLVPNWeb密碼和認證方式。SSLVPN網(wǎng)關(guān)依據(jù)輸入的信息對一般用戶進展身份驗證。身份驗證成功后SSLVPNWeb訪問頁面。Web訪問頁面上查看可以訪問的資源列表，如Web效勞器資源、文件共享資源等。用戶選擇需要訪問的資源，通過SSLSSLVPN網(wǎng)關(guān)。SSLVPN網(wǎng)關(guān)解析懇求，檢查用戶權(quán)限，假設(shè)用戶可以訪問該資源，則以明文的形式將懇求轉(zhuǎn)發(fā)給效勞器。效勞器將響應(yīng)報文以明文的形式發(fā)送給SSLVPN網(wǎng)關(guān)。SSLVPN網(wǎng)關(guān)接收到效勞器的應(yīng)答后，將其通過SSL連接轉(zhuǎn)發(fā)給用戶。SSLVPN接入方式SSLVPNWeb接入方式TCP接入方式IP接入方式通過不同的接入方式，用戶可以訪問不同類型的資源；不同接入方式下，SSLVPN網(wǎng)關(guān)在遠端主機和企業(yè)網(wǎng)內(nèi)效勞器之間轉(zhuǎn)發(fā)數(shù)據(jù)的過程也有所不同。下面將分別對其進展介紹。Web接入方式WebS方式、通過SSLVPN訪問，即一切數(shù)據(jù)的顯示和操作都是通過WebWebWebWeb效勞器資源Web效勞器以網(wǎng)頁的形式為用戶供給效勞，用戶可以通過點擊網(wǎng)頁中的超鏈接，在不同的網(wǎng)頁之間跳轉(zhuǎn)，以掃瞄網(wǎng)頁獵取信息。SSLVPN為用戶訪問Web且可以防止非法用戶訪問受保護的Web5Web資源訪問機制5WebSSLVPNSSLVPNURL中的路徑映射到資懇求轉(zhuǎn)發(fā)到被懇求資源對應(yīng)的真正的Web效勞器；SSLVPN回應(yīng)消息后，將網(wǎng)頁中的內(nèi)網(wǎng)鏈接修改為指向SSLVPN網(wǎng)SSLVPN并實現(xiàn)訪問掌握。SSLVPN回應(yīng)消息發(fā)送給用戶。Web應(yīng)答都來自于SSLVPNWebSSLVPN文件共享資源文件共享是一種常用的網(wǎng)絡(luò)應(yīng)用，實現(xiàn)了對遠程網(wǎng)絡(luò)效勞器或者主機上文件系統(tǒng)進展操作〔如掃瞄文件夾、上傳文件、下載文件等〕Windows操作系統(tǒng)上的共享文件夾應(yīng)用。SSLVPN網(wǎng)關(guān)將文件共享資源以Web6中，SSLVPNSSLVPNSSSSLVPN網(wǎng)關(guān)。SSLVPNSMB協(xié)議通信：SSLVPN網(wǎng)關(guān)接收到懇求后，將SMB協(xié)議報文，發(fā)送給文件效勞器。SSLVPN網(wǎng)關(guān)后，SSLVPNS報文后，發(fā)送給遠程主機。6文件共享資源訪問示意圖TCP接入方式TCP接入方式用于實現(xiàn)應(yīng)用程序?qū)π谄鏖_放端口的安全訪問。通過TCP接入方式，用戶可以訪問任意基于TCP的效勞，包括遠程訪問效勞〔如Telnet〕、桌面共享效勞、郵件效勞等。用戶利用TCPTCP裝專用的TCPSSL7所示，用戶利用TCPTCPSSLVPNTCP接入客戶端軟件。SSLVPNWebTCP應(yīng)用程序〔例如翻開遠程桌面連接程序，連接到遠程的內(nèi)網(wǎng)效勞器〕的方式訪問TCP應(yīng)用資源時，客戶SSLVPNSSL消息懇求訪問該資源。SSLVPN網(wǎng)關(guān)與該資源對應(yīng)的內(nèi)網(wǎng)效勞器建立TCP連接。連接建立成功后，用戶訪問內(nèi)網(wǎng)效勞器的數(shù)據(jù)由TCPSSL連接安全SSLVPN網(wǎng)關(guān)，SSLVPN網(wǎng)關(guān)獵取應(yīng)用層數(shù)據(jù)，通過已經(jīng)建立的TCP連接發(fā)送給內(nèi)網(wǎng)效勞器。SSLVPN網(wǎng)關(guān)接收到內(nèi)網(wǎng)效勞器的應(yīng)答后，通過SSL連接將其發(fā)送給遠程主機的客戶端軟件，客戶端軟件獵取效勞器應(yīng)答數(shù)據(jù)，將其轉(zhuǎn)發(fā)給應(yīng)用程序。7TCP接入方式工作流程IP接入方式IPIP機與效勞器的互通，如在遠程主機上ping用戶通過IPIP件會在主機上安裝一個虛擬網(wǎng)卡。8所示，用戶利用IPIPSSLVPNIP接入客戶端軟件，該SSLVPNSSL連接，為虛擬網(wǎng)卡申請地址，并設(shè)置網(wǎng)關(guān)地址和以虛擬網(wǎng)卡為出接口的路由。SSLVPNWebIP〔例如，ping命令〕IP網(wǎng)絡(luò)資源時，IP報文依據(jù)路由發(fā)送到虛擬網(wǎng)卡，被客戶端軟SSLSSLVPN網(wǎng)關(guān)。SSLVPNIP報文，發(fā)往對應(yīng)的效勞器。SSLVPN網(wǎng)關(guān)接收到效勞器的回應(yīng)報文后，將報文封裝后通過SSL連接發(fā)送到遠程IP接入客戶端軟件?？蛻舳塑浖夥庋b后通過虛擬網(wǎng)卡將IP報文交給遠程主機處理。8IP接入方式工作流程ComwareV5平臺實現(xiàn)的技術(shù)特色客戶端免安裝，免維護遠程主機上運行的客戶端軟件包括：SSLWeb掃瞄器：目前大多數(shù)操作系統(tǒng)都供給了掃瞄器，并支持SSL協(xié)議。利用操作系統(tǒng)自帶的掃瞄器，就可以實現(xiàn)Web接入方式。載并安裝主機檢查器。緩存去除器：用來在用戶退出SSLVPNSSLVPN通信過程中使用的程主機自動下載并安裝緩存去除器。TCP接入客戶端：TCP接入方式中用到的客戶端軟件。IP接入客戶端：IP接入方式中用到的客戶端軟件。WebSSLVPN客戶端軟件支持自動下載、自動安裝、自動配置、自動建立連接，使用格外便利。支持多種用戶認證技術(shù)SSLVPNSSLVPN網(wǎng)關(guān)上創(chuàng)立本地用戶，通過將用戶輸入的用戶名和密碼與本地保存的用戶名和密碼比較，來驗證用戶的身份是否合法。RADIUS認證：用戶信息保存在RADIUS效勞器上，SSLVPNRADIUS客RADIUS效勞器交互認證消息，來驗證用戶的身份是否合法。LDAPLDAP效勞器上，SSLVPNLDAP客戶端查LDAP效勞器上的用戶信息，來驗證用戶的身份是否合法。AD認證：LDAP認證方式的一種，MicrosoftLDAPAD。用戶通過掃瞄器連接到SSLVPN網(wǎng)關(guān)后進入登錄頁面，輸入用戶名、密碼和認證方式，這些信息通過SSL連接傳輸?shù)絊SLVPNSSLVPN信息后，依據(jù)認證方式進展認證。SSLVPN豐富敏捷的安全策略擔(dān)憂全遠程主機的接入有可能對內(nèi)部網(wǎng)絡(luò)造成安全隱患。通過主機檢查器可以在用戶登錄SSLVPN時，檢查主機的操作系統(tǒng)版本及其補丁、掃瞄器版本及其補丁、防火墻版本、殺毒軟件版本等，依據(jù)檢查的結(jié)果來推斷該用戶主機能夠訪問哪些資源。SSLVPN才能訪問相應(yīng)的資源。細粒度的資源訪問掌握SSLVPN的資源訪問掌握機制可以便利敏捷地掌握用戶訪問權(quán)限，實現(xiàn)細粒度的資源訪問權(quán)限掌握?，F(xiàn)對用戶訪問權(quán)限的掌握。SSLVPN網(wǎng)關(guān)還可以對遠程主機進展安全檢查，依據(jù)檢查的結(jié)果來推斷該客戶端能夠訪問哪些資源。SSLVPN網(wǎng)關(guān)依據(jù)安全檢查結(jié)果及用戶所在的群組找到其可以訪問的資源組，進而找到可以訪問的資源列表，從而實現(xiàn)對資源訪問的掌握。典型組網(wǎng)應(yīng)用遠程接入組網(wǎng)應(yīng)用9遠程接入組網(wǎng)應(yīng)用9SSLVPNIPsecVPNSSLVPN動態(tài)的遠程接入：用戶使用各種終端設(shè)備，在任何時間、任何地點通過Internet接入公司內(nèi)部網(wǎng)絡(luò)。部網(wǎng)絡(luò)。公用計算機簡潔受到攻擊、感染病毒，安全性無法得到保證。不同的遠程接入用戶具有不同的訪問權(quán)限：在使用Extranet時，遠程接入用戶可能是公司的員工、合作伙伴或其他人員，不同用戶可以訪問的資源各不一樣。程序訪問公司內(nèi)部網(wǎng)絡(luò)。圖10SSLVPN網(wǎng)關(guān)作為企業(yè)網(wǎng)絡(luò)的入口10SSLVPN業(yè)內(nèi)部網(wǎng)絡(luò)資源不受攻擊。圖11SSLVPN網(wǎng)關(guān)保護企業(yè)網(wǎng)內(nèi)的重要效勞器11SSLVPN器資源不受攻擊的同時，對企業(yè)網(wǎng)絡(luò)中其它局部不會造成任何影響。共享式組網(wǎng)應(yīng)用12共享式組網(wǎng)應(yīng)用多個企業(yè)可以共用一個SSLVPN網(wǎng)關(guān)，每個企業(yè)使用一個域，在治理和使用上互不影響，從12所示，企