SSL VPN的技术原理与应用Word文件下载.docx
《SSL VPN的技术原理与应用Word文件下载.docx》由会员分享,可在线阅读,更多相关《SSL VPN的技术原理与应用Word文件下载.docx(13页珍藏版)》请在冰豆网上搜索。
远程终端的多样性还要求VPN的客户端具有跨平台、易于升级与维护等特点。
这些问题就是IPsecVPN技术难以解决的。
无法检查用户主机的安全性。
如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。
访问控制不够细致。
由于IPsec就是在网络层实现的,对IP报文的内容无法识别,因而不能控制高层应用的访问请求。
随着企业经营模式的改变,企业需要建立Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率。
对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而IPsecVPN无法实现访问权限的控制。
在复杂的组网环境中,IPsecVPN部署比较困难。
在使用NAT的场合,IPsecVPN需要支持NAT穿越技术;
在部署防火墙的网络环境中,由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头,因此,需要在防火墙上进行特殊的配置,允许IPsec报文通过。
IPsecVPN比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。
SSLVPN技术克服了IPsecVPN技术的缺点,以其跨平台、免安装、免维护的客户端,丰富有效的权限管理而成为远程接入市场上的新贵。
1、2
技术优点
SSLVPN就是以HTTPS为基础的VPN技术,它利用SSL协议提供的基于证书的身份认证、数据加密与消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。
SSLVPN具有如下优点:
支持各种应用协议。
SSL位于传输层与应用层之间,任何一个应用程序都可以直接享受SSLVPN提供的安全性而不必理会具体细节。
支持多种软件平台。
目前SSL已经成为网络中用来鉴别网站与网页浏览者身份,在浏览器使用者及Web服务器之间进行加密通信的全球化标准。
SSL协议已被集成到大部分的浏览器中,如IE、Netscape、Firefox等。
这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。
SSLVPN的客户端基于SSL协议,绝大多数的软件运行环境都可以作为SSLVPN客户端。
支持自动安装与卸载客户端软件。
在某些需要安装额外客户端软件的应用中,SSLVPN提供了自动下载并安装客户端软件的功能,退出SSLVPN时,还可以自动卸载并删除客户端软件,极大地方便了用户的使用。
支持对客户端主机进行安全检查。
SSLVPN可以对远程主机的安全状态进行评估,可以判断远程主机就是否安全,以及安全程度的高低。
支持动态授权。
传统的权限控制主要就是根据用户的身份进行授权,同一身份的用户在不同的地点登录,具有相同的权限,称之为静态授权。
而动态授权就是指在静态授权的基础上,结合用户登录时远程主机的安全状态,对所授权利进行动态地调整。
当发现远程主机不够安全时,开放较小的访问权限;
在远程主机安全性较高时,则开放较大的访问权限。
SSLVPN网关支持多种用户认证方式与细粒度的资源访问控制,实现了外网用户对内网资源的受控访问。
SSLVPN的部署不会影响现有的网络。
SSL协议工作在传输层之上,不会改变IP报文头与TCP报文头,因此,SSL报文对NAT来说就是透明的;
SSL固定采用443号端口,只需在防火墙上打开该端口,不需要根据应用层协议的不同来修改防火墙上的设置,不仅减少了网络管理员的工作量,还可以提高网络的安全性。
支持多个域之间独立的资源访问控制。
为了使多个企业或一个企业的多个部门共用一个SSLVPN网关,减少SSLVPN网络部署的开销,SSLVPN网关上可以创建多个域,企业或部门在各自域内独立地管理自己的资源与用户。
通过创建多个域,可以将一个实际的SSLVPN网关划分为多个虚拟的SSLVPN网关。
2
SSLVPN技术实现
2、1
概念介绍
SSLVPN用户分为超级管理员、域管理员与普通用户:
超级管理员:
整个SSLVPN网关的管理者,可以创建域,设置域管理员的密码。
域管理员:
负责管理所在域,可以创建本地用户与资源、设置用户访问权限等。
域管理员可能就是某个企业的网管人员。
普通用户:
简称用户,为服务器资源访问者,权限由域管理员指定。
2、2
SSLVPN系统组成
图1SSLVPN典型组网架构
SSLVPN的典型组网架构如图1所示,SSLVPN系统由以下几个部分组成:
远程主机:
管理员与用户远程接入的终端设备,可以就是个人电脑、手机、PDA等。
SSLVPN网关:
SSLVPN系统中的重要组成部分。
管理员在SSLVPN网关上维护用户与企业网内资源的信息,用户通过SSLVPN网关查瞧可以访问哪些资源。
SSLVPN网关负责在远程主机与企业网内服务器之间转发报文。
SSLVPN网关与远程主机之间建立SSL连接,以保证数据传输的安全性。
企业网内的服务器:
可以就是任意类型的服务器,如Web服务器、FTP服务器,也可以就是企业网内需要与远程接入用户通信的主机。
CA:
为SSLVPN网关颁发包含公钥信息的数字证书,以便远程主机验证SSLVPN网关的身份、在远程主机与SSLVPN网关之间建立SSL连接。
认证服务器:
SSLVPN网关不仅支持本地认证,还支持通过外部认证服务器对用户的身份进行远程认证。
2、3
SSLVPN工作过程
SSLVPN的工作过程可以分为以下三步:
(1)
超级管理员在SSLVPN网关上创建域。
(2)
域管理员在SSLVPN网关上创建用户与企业网内服务器对应的资源。
(3)
用户通过SSLVPN网关访问企业网内服务器。
1、超级管理员创建域
图2超级管理员创建域
如图2所示,超级管理员创建域的过程为:
超级管理员在远程主机上输入SSLVPN网关的网址,远程主机与SSLVPN网关之间建立SSL连接,通过SSL对SSLVPN网关与远程主机进行基于证书的身份验证。
SSL连接建立成功后,进入SSLVPN网关的Web登录页面,输入超级管理员的用户名、密码与认证方式。
SSLVPN网关根据输入的信息对超级管理员进行身份验证。
身份验证成功后,进入SSLVPN网关的Web管理页面。
超级管理员在SSLVPN网关上创建域,并设置域管理员密码。
2、域管理员创建用户与企业网内服务器对应的资源
图3域管理员创建用户与企业网内服务器对应的资源
如图3所示,域管理员创建用户与企业网内服务器对应资源的过程为:
域管理员在远程主机上输入SSLVPN网关的网址,远程主机与SSLVPN网关之间建立SSL连接,通过SSL对SSLVPN网关与远程主机进行基于证书的身份验证。
SSL连接建立成功后,进入SSLVPN网关的Web登录页面,输入域管理员的用户名、密码与认证方式。
SSLVPN网关根据输入的信息对域管理员进行身份验证。
域管理员在SSLVPN网关上创建用户与企业网内服务器对应的资源,并设定用户对资源的访问权限。
3、用户访问企业网内服务器
图4用户访问企业网内服务器
如图4所示,用户访问企业网内服务器的过程为:
用户在远程主机上输入SSLVPN网关的网址,远程主机与SSLVPN网关之间建立SSL连接,通过SSL对SSLVPN网关与远程主机进行基于证书的身份验证。
SSL连接建立成功后,进入SSLVPN网关的Web登录页面,输入普通用户的用户名、密码与认证方式。
SSLVPN网关根据输入的信息对普通用户进行身份验证。
身份验证成功后,进入SSLVPN网关的Web访问页面。
用户在Web访问页面上查瞧可以访问的资源列表,如Web服务器资源、文件共享资源等。
(4)
用户选择需要访问的资源,通过SSL连接将访问请求发送给SSLVPN网关。
(5)
SSLVPN网关解析请求,检查用户权限,如果用户可以访问该资源,则以明文的形式将请求转发给服务器。
(6)
服务器将响应报文以明文的形式发送给SSLVPN网关。
(7)
SSLVPN网关接收到服务器的应答后,将其通过SSL连接转发给用户。
2、4
SSLVPN接入方式
SSLVPN支持三种接入方式:
Web接入方式
TCP接入方式
IP接入方式
通过不同的接入方式,用户可以访问不同类型的资源;
不同接入方式下,SSLVPN网关在远端主机与企业网内服务器之间转发数据的过程也有所不同。
下面将分别对其进行介绍。
2.4.1
Web接入方式就是指用户使用浏览器以HTTPS方式、通过SSLVPN网关对服务器提供的资源进行访问,即一切数据的显示与操作都就是通过Web页面进行的。
通过Web接入方式可以访问的资源有两种:
Web服务器与文件共享资源。
1、Web服务器资源
Web服务器以网页的形式为用户提供服务,用户可以通过点击网页中的超链接,在不同的网页之间跳转,以浏览网页获取信息。
SSLVPN为用户访问Web服务器提供了安全的连接,并且可以防止非法用户访问受保护的Web服务器。
图5Web资源访问机制
如图5所示,Web服务器访问过程中,SSLVPN网关主要充当中继的角色:
SSLVPN网关收到用户的HTTP请求消息后,将HTTP请求URL中的路径映射到资源,并将HTTP请求转发到被请求资源对应的真正的Web服务器;
SSLVPN网关收到HTTP回应消息后,将网页中的内网链接修改为指向SSLVPN网关的链接,使用户在访问这些内网链接对应的资源时都通过SSLVPN网关,从而保证安全,并实现访问控制。
SSLVPN将改写后的HTTP回应消息发送给用户。
在Web服务器访问的过程中,从用户角度瞧,所有的HTTP应答都来自于SSLVPN网关;
从Web服