SSLVPN的技术原理与应用

SSLVPN的技术原理与应用概述产生背景机可能不够安全，这些都为公司内部网络带来了安全隐患。通过加密实现安全接入的VPN——SVPN〔SecurityVPN〕技术供给了一种安全机制，保护公司的内部网络不被攻击，内部资源不被窃取。SVPN技术主要包括IPsecVPNSSLVPN。IPsecVPNIPsecVPN网络时，需要在用户主机上安装简单的客户端软件。而远程用户的VPN可以快速部署客户端，并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsecVPN技术难以解决的。起公司内部网络感染病毒。IPsecIP报文的内容无法识别，因而不能掌握高层应用的访问恳求。随着企业经营模式的转变，企业需要建立Extranet，与效地掌握，才能保证企业信息系统的安全，而IPsecVPN无法实现访问权限的掌握。在简单的组网环境中，IPsecVPNNAT的场合，IPsecVPNNAT穿越技术；在部署防火墙的网络环境中，由于IPsecTCP/UDP头IPsecIPsec报文通过。IPsecVPN比较适合连接固定，对访问掌握要求不高的场合，无法满足用户随时随地以多种方式接入网络、对用户访问权限进展严格限制的需求。SSLVPNIPsecVPN有效的权限治理而成为远程接入市场上的贵。技术优点SSLVPNS为根底的VPN技术，它利用SSLSSLVPN具有如下优点：SSLSSLVPN供给的安全性而不必理睬具体细节。SSL已经成为网络中用来鉴别网站和网页扫瞄者身份，在扫瞄器WebSSL协议已被集成到大局部IE、Netscape、Firefox等。这就意味着几乎任意一台装有扫瞄器的计算SSL连接。SSLVPNSSL协议，绝大多数的软件运行环境都可以作SSLVPN客户端。支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件的应用中，SSLVPNSSLVPN客户端软件，极大地便利了用户的使用。支持对客户端主机进展安全检查。SSLVPN可以对远程主机的安全状态进展评估，可以推断远程主机是否安全，以及安全程度的凹凸。全时，开放较小的访问权限；在远程主机安全性较高时，则开放较大的访问权限。SSLVPN网关支持多种用户认证方式和细粒度的资源访问掌握，实现了外网用户对内网资源的受控访问。SSLVPN的部署不会影响现有的网络。SSLIP报TCP报文头，因此，SSLNAT来说是透亮的；SSL443号端口，只了网络治理员的工作量，还可以提高网络的安全性。SSLVPNSSLVPN网络部署的开销，SSLVPN网关上可以创立多个域，企业或部门在各自域内独立地治理自己的资源和用户。通过创立多个域，可以将一个实际的SSLVPNSSLVPN网关。SSLVPN技术实现概念介绍SSLVPNSSLVPN网关的治理者，可以创立域，设置域治理员的密码。域治理员：负责治理所在域，可以创立本地用户和资源、设置用户访问权限等。域管理员可能是某个企业的网管人员。一般用户：简称用户，为效劳器资源访问者，权限由域治理员指定。SSLVPN系统组成1SSLVPN典型组网架构SSLVPN1SSLVPNPDA等。SSLVPN网关：SSLVPN系统中的重要组成局部。治理员在SSLVPN网关上维护SSLVPNSSLVPN网关负责在远程主机和企业网内效劳器之间转发报文SSLVPN网关与远程主机之间建立SSL连接，以保证数据传输的安全性。企业网内的效劳器：可以是任意类型的效劳器，如Web效劳器、FTP效劳器，也可以是企业网内需要与远程接入用户通信的主机。CASSLVPN网关颁发包含公钥信息的数字证书，以便远程主机验证SSLVPNSSLVPNSSL连接。认证效劳器：SSLVPN网关不仅支持本地认证，还支持通过外部认证效劳器对用户的身份进展远程认证。SSLVPN工作过程SSLVPNSSLVPN网关上创立域。SSLVPN网关上创立用户和企业网内效劳器对应的资源。SSLVPN网关访问企业网内效劳器。超级治理员创立域2超级治理员创立域2超级治理员在远程主机上输入SSLVPNSSLVPN网关之间SSLSSLSSLVPN网关和远程主机进展基于证书的身份验证。SSLSSLVPNWeb名、密码和认证方式。SSLVPN网关依据输入的信息对超级治理员进展身份验证。身份验SSLVPNWeb治理页面。SSLVPN网关上创立域，并设置域治理员密码。域治理员创立用户和企业网内效劳器对应的资源图3域治理员创立用户和企业网内效劳器对应的资源如图3所示，域治理员创立用户和企业网内效劳器对应资源的过程为：域治理员在远程主机上输入SSLVPNSSLVPN网关之间建SSLSSLSSLVPN网关和远程主机进展基于证书的身份验证。SSLSSLVPNWeb密码和认证方式。SSLVPN网关依据输入的信息对域治理员进展身份验证。身份验证成功后SSLVPNWeb治理页面。SSLVPN网关上创立用户和企业网内效劳器对应的资源，并设定用户对资源的访问权限。用户访问企业网内效劳器4用户访问企业网内效劳器4SSLVPNSSLVPN网关之间建立SSLSSLSSLVPN网关和远程主机进展基于证书的身份验证。SSLSSLVPNWeb密码和认证方式。SSLVPN网关依据输入的信息对一般用户进展身份验证。身份验证成功后SSLVPNWeb访问页面。Web访问页面上查看可以访问的资源列表，如Web效劳器资源、文件共享资源等。用户选择需要访问的资源，通过SSLSSLVPN网关。SSLVPN网关解析恳求，检查用户权限，假设用户可以访问该资源，则以明文的形式将恳求转发给效劳器。效劳器将响应报文以明文的形式发送给SSLVPN网关。SSLVPN网关接收到效劳器的应答后，将其通过SSL连接转发给用户。SSLVPN接入方式SSLVPNWeb接入方式TCP接入方式IP接入方式通过不同的接入方式，用户可以访问不同类型的资源；不同接入方式下，SSLVPN网关在远端主机和企业网内效劳器之间转发数据的过程也有所不同。下面将分别对其进展介绍。Web接入方式WebS方式、通过SSLVPN访问，即一切数据的显示和操作都是通过WebWebWebWeb效劳器资源Web效劳器以网页的形式为用户供给效劳，用户可以通过点击网页中的超链接，在不同的网页之间跳转，以扫瞄网页猎取信息。SSLVPN为用户访问Web且可以防止非法用户访问受保护的Web5Web资源访问机制5WebSSLVPNSSLVPNURL中的路径映射到资恳求转发到被恳求资源对应的真正的Web效劳器；SSLVPN回应消息后，将网页中的内网链接修改为指向SSLVPN网SSLVPN并实现访问掌握。SSLVPN回应消息发送给用户。Web应答都来自于SSLVPNWebSSLVPN文件共享资源文件共享是一种常用的网络应用，实现了对远程网络效劳器或者主机上文件系统进展操作〔如扫瞄文件夹、上传文件、下载文件等〕Windows操作系统上的共享文件夹应用。SSLVPN网关将文件共享资源以Web6中，SSLVPNSSLVPNSSSSLVPN网关。SSLVPNSMB协议通信：SSLVPN网关接收到恳求后，将SMB协议报文，发送给文件效劳器。SSLVPN网关后，SSLVPNS报文后，发送给远程主机。6文件共享资源访问示意图TCP接入方式TCP接入方式用于实现应用程序对效劳器开放端口的安全访问。通过TCP接入方式，用户可以访问任意基于TCP的效劳，包括远程访问效劳〔如Telnet〕、桌面共享效劳、邮件效劳等。用户利用TCPTCP装专用的TCPSSL7所示，用户利用TCPTCPSSLVPNTCP接入客户端软件。SSLVPNWebTCP应用程序〔例如翻开远程桌面连接程序，连接到远程的内网效劳器〕的方式访问TCP应用资源时，客户SSLVPNSSL消息恳求访问该资源。SSLVPN网关与该资源对应的内网效劳器建立TCP连接。连接建立成功后，用户访问内网效劳器的数据由TCPSSL连接安全SSLVPN网关，SSLVPN网关猎取应用层数据，通过已经建立的TCP连接发送给内网效劳器。SSLVPN网关接收到内网效劳器的应答后，通过SSL连接将其发送给远程主机的客户端软件，客户端软件猎取效劳器应答数据，将其转发给应用程序。7TCP接入方式工作流程IP接入方式IPIP机与效劳器的互通，如在远程主机上ping用户通过IPIP件会在主机上安装一个虚拟网卡。8所示，用户利用IPIPSSLVPNIP接入客户端软件，该SSLVPNSSL连接，为虚拟网卡申请地址，并设置网关地址和以虚拟网卡为出接口的路由。SSLVPNWebIP〔例如，ping命令〕IP网络资源时，IP报文依据路由发送到虚拟网卡，被客户端软SSLSSLVPN网关。SSLVPNIP报文，发往对应的效劳器。SSLVPN网关接收到效劳器的回应报文后，将报文封装后通过SSL连接发送到远程IP接入客户端软件。客户端软件解封装后通过虚拟网卡将IP报文交给远程主机处理。8IP接入方式工作流程ComwareV5平台实现的技术特色客户端免安装，免维护远程主机上运行的客户端软件包括：SSLWeb扫瞄器：目前大多数操作系统都供给了扫瞄器，并支持SSL协议。利用操作系统自带的扫瞄器，就可以实现Web接入方式。载并安装主机检查器。缓存去除器：用来在用户退出SSLVPNSSLVPN通信过程中使用的程主机自动下载并安装缓存去除器。TCP接入客户端：TCP接入方式中用到的客户端软件。IP接入客户端：IP接入方式中用到的客户端软件。WebSSLVPN客户端软件支持自动下载、自动安装、自动配置、自动建立连接，使用格外便利。支持多种用户认证技术SSLVPNSSLVPN网关上创立本地用户，通过将用户输入的用户名和密码与本地保存的用户名和密码比较，来验证用户的身份是否合法。RADIUS认证：用户信息保存在RADIUS效劳器上，SSLVPNRADIUS客RADIUS效劳器交互认证消息，来验证用户的身份是否合法。LDAPLDAP效劳器上，SSLVPNLDAP客户端查LDAP效劳器上的用户信息，来验证用户的身份是否合法。AD认证：LDAP认证方式的一种，MicrosoftLDAPAD。用户通过扫瞄器连接到SSLVPN网关后进入登录页面，输入用户名、密码和认证方式，这些信息通过SSL连接传输到SSLVPNSSLVPN信息后，依据认证方式进展认证。SSLVPN丰富敏捷的安全策略担忧全远程主机的接入有可能对内部网络造成安全隐患。通过主机检查器可以在用户登录SSLVPN时，检查主机的操作系统版本及其补丁、扫瞄器版本及其补丁、防火墙版本、杀毒软件版本等，依据检查的结果来推断该用户主机能够访问哪些资源。SSLVPN才能访问相应的资源。细粒度的资源访问掌握SSLVPN的资源访问掌握机制可以便利敏捷地掌握用户访问权限，实现细粒度的资源访问权限掌握。现对用户访问权限的掌握。SSLVPN网关还可以对远程主机进展安全检查，依据检查的结果来推断该客户端能够访问哪些资源。SSLVPN网关依据安全检查结果及用户所在的群组找到其可以访问的资源组，进而找到可以访问的资源列表，从而实现对资源访问的掌握。典型组网应用远程接入组网应用9远程接入组网应用9SSLVPNIPsecVPNSSLVPN动态的远程接入：用户使用各种终端设备，在任何时间、任何地点通过Internet接入公司内部网络。部网络。公用计算机简洁受到攻击、感染病毒，安全性无法得到保证。不同的远程接入用户具有不同的访问权限：在使用Extranet时，远程接入用户可能是公司的员工、合作伙伴或其他人员，不同用户可以访问的资源各不一样。程序访问公司内部网络。图10SSLVPN网关作为企业网络的入口10SSLVPN业内部网络资源不受攻击。图11SSLVPN网关保护企业网内的重要效劳器11SSLVPN器资源不受攻击的同时，对企业网络中其它局部不会造成任何影响。共享式组网应用12共享式组网应用多个企业可以共用一个SSLVPN网关，每个企业使用一个域，在治理和使用上互不影响，从12所示，企