SSL VPN的实际应用与实现论文.docx
《SSL VPN的实际应用与实现论文.docx》由会员分享,可在线阅读,更多相关《SSL VPN的实际应用与实现论文.docx(20页珍藏版)》请在冰豆网上搜索。
SSLVPN的实际应用与实现论文
前言
互联网的发展已经日趋成熟,互联网的用户数量也在急剧增加,许多涉及私密数据的网络服务如电子商务、网上银行等已被越来越广泛的在互联网上使用。
然而传统的互联网没有提供服务质量保证,也没有权限和相应的安全机制[1]。
随着网络的开放性、共享性以及互联网规模的进一步扩大,加之黑客的攻击手段也越来越先进,对人们造成了巨大的经济损失,网络的安全问题变得越来越严重。
同时,随着企业本身的发展壮大与跨国化,大型企业的分支机构越来越多,企业与各分部之间也需要随时通信,这涉及到远程联网及网络的复杂性问题。
为了保证数据在各个分支部门之间传输过程的安全,按传统方式,需要为每个分部建立独立的专用网络,但大量的独立专用网需要进行重复的网络投资,会造成资源浪费,增加管理负担。
为了解决上述问题,人们提出了虚拟专用网(VirtualPrivateNetwork)的概念,即利用公共通信网络(如全球因特网)实现安全的保密数据通信。
虚拟专用网以其独具特色的优势赢得了越来越多企业的青睐。
目前国内主流的VPN系统是基于IPSec协议的。
IPSec协议为被保护的网络通讯提供较好的安全、认证和授权服务,同时保持了较高的性能。
其能够“透明”部署在较复杂的网络中,具有较高的易用性和灵活性[2]。
但IPSecVPN都要求用户进行非常专业的安装配置工作,而这些工作还会受到防火墙的设置和网络地址转换的影响,这些不断变化的配置调试给用户带了很多不便。
近年来,基于SSL协议的VPN系统以其优良特性获得了广泛应用。
通常只要客户端系统安装了WEB浏览器,SSLVPN即可工作,并且不会受到安装在与服务器之间的防火墙的影响,能确保端到端的真正安全。
随着市场的逐步成熟,SSLVPN已经成为企业首选的VPN设备。
SSLVPN是解决远程访问的主流安全方案,具有广阔的发展前景。
几乎所有的主流浏览器都集成了SSL协议,不需要再安装额外的客户端软件。
SSLVPN的“瘦客户端”具有简单、灵活、易用性等特点,特别适合于远程用户安全连接。
远程安全访问是未来发展趋势,尤其是在互联网和移动通信的快速发展、网络接入方式多变、3G高速网络日益普及的今天,手持终端、PDA、移动PC等移动的计算通信工具迫切需要专门为其量身定做远程安全访问方案,SSLVPN因其与操作系统无关、瘦客户端等特点,成为首选的解决方案。
权威机构Frost&Sullivan发布了2009年中国SSLVPN市场调研报告[3],报告显示中国SSLVPN市场在2009年取得了11.9%的增长,达到了4220万美元的市场规模。
在市场格局方面,深信服、ARRAY、JUNIPER仍然获得了该市场的三甲位置,其中深信服继08年首次成为市场第一后,2009年凭借强劲的增长,其市场占有率提升至34%,超过了整个市场的三分之一。
Frost的报告指出,中国SSLVPN市场虽然较上年预测的增长速度有所放缓,但由于中国地理分散的工作状况及网络应用程序采用的快速增长,中国企业对SSLVPN产品的需求预计将在接下来的几年稳步上升。
此外,随着中国企业对IT安全日趋成熟的观点深入,中国企业有可能驱动高科技市场,如虚拟化和云计算的发展,这将有力增强SSLVPN技术的重要性,SSLVPN市场将在未来几年保持持续、稳定的增长。
国外有很多机构都开展了对SSLVPN相关技术和产品的研究。
国外已有多个开源项目支持SSLVPN研究。
国外很多知名厂商己开发出SSLVPN产品,如Cisco(思科)、CheckPoint、F5网络、Netsereen和Symantee(赛门铁克公司)等。
对国内的用户来说,SSLVPN最大的优越性在于其方便性和灵活性。
尽管我国的SSLVPN市场起步较晚,但近几年来增长势头较快,到目前为止,很多大中型企业已建立了自己的VPN网络,包括SSLVPN。
一些学校的校园网也正在普遍使用SSLVPN技术提供方便快捷的远程安全连接服务。
一些高校和公司也正在研究SSLVPN技术,开发实用的软件产品,提高全方位的SSLVPN技术服务。
无疑,伴随企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSLVPN技术由于拥有全方位的优势,取代传统的组网技术成为主流已为时不远。
研究SSLVPN理论知识,进而开发出新的SSLVPN产品意义重大。
1.SSLVPN的实际应用
1.1SSLVPN的应用方式
SSLVPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。
通常企业内部的资源服务器向外网用户提供一个虚拟的URL地址,当用户从外网访问企业内网资源时,发起的连接被SSLVPN网关取得,通过认证后映射到不同的应用服务器,采用这种方式能够屏蔽内部网络的结构,不易遭受来自外部的攻击。
对于SSLVPN的网关设备应当从三个基本层面来满足不同的应用需求:
(1)支持Web方式的应用。
例如通过SSLVPN建立的安全通道访问基于Web的电子邮件系统收发邮件。
(2)支持非Web方式的应用。
例如终端用户想要实现非Web页面的文件共享,那么SSLVPN网关必须将与内网FTP服务器的通信内容转化为HTTPS协议和HTML格式发往客户端,使终端用户感觉这些应用就是一些基于Web的应用。
(3)支持基于客户/服务器应用的代理。
这种应用需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。
当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSLVPN网关中,SSLVPN网关解开封装的数据包,将它们转发给目的应用服务器。
如图所示为一个基本的SSLVPN实际部署拓扑。
图1-1 SSLVPN网络部署拓扑
对于一个企业来说不仅提供基于Web的应用,也同时提供大量不基于Web的应用,如OA、财务、销售管理、ERP等应用。
在现阶段,SSLVPN只能访问基于Web的应用,而IPSecVPN却几乎可以为所有的应用提供访问,不过,IPSec不容易穿越防火墙和NAT设备,所以当用户需要从外网接入企业内部网络时就难以实现。
对于用户来说,理想的方式是将SSLVPN和IPSecVPN结合起来使用。
一方面为数量有限的用户提供IPSecVPN连接,使其能够访问企业内网的所有资源;另一方面为多数用户提供SSLVPN连接,使其可以访问基于Web的企业应用。
1.2SSLVPN为企业提供的多种远程访问服务
E-mail:
对于企业来说,电子邮件通信是一个很基本的功能。
IPSecVPN可以保护邮件系统的安全性,但是IPSecVPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。
如果员工使用他人的电脑设备或者在其他的的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。
外出的工作人员在酒电里由于这些问题无法连接到企业内部网络是非常另人头疼的问题。
SSLVPN提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSLVPN建立的安全通道收发邮件。
SSLVPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。
内部网访问:
即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。
SSLVPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。
面向合作伙伴的网络资源:
为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。
考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。
IPSecVPN在部署时无法保证对最终用户的访问限制,即只允许合作伙伴访问内部网络中的指定资源,而且部署IPSecVPN会要求更改合作伙伴防火墙的安全策略,这是很难实现的。
SSLVPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。
1.3SSLVPN在教育行业中的应用
教育行业中的应用之一的大规模应用下的VPN接入需求。
运用专线网络、普通拨号接入作为校区互联应用的基础,已经不是满足远程接入的必要手段。
VPN技术的实现,特别是SSLVPN在B/S、C/S构架的网络上全面适应,以及高强度加密保障传输安全等性能,已逐步形成一种主流的替代模式。
教育行业中的应用的移动访问数字图书馆。
校园数字图书馆的应用越具规模,从工作人员将自身馆藏书籍数字化开始,到与商业化合作购买阅览版权,再将数据与校园网共享,让校内外师生都能方便查询电子文献资料。
这是以教育信息化直接面向师生应用较为广泛的需求之一。
教育行业中的应用的校园内外网的多线路智能分流。
网络世界无所谓纵横分布,每一个交点上都可能汇集着多条不同的线路,就说国内现状,电信、网通、铁通、联通争相角逐,又有教育网、科技网的应用覆盖,这就很难保证同一所高校的所有节点应用在同一个网内。
多线路的接入会产生数据在线路之间转移时的延时现象。
而对于大流量的数据在传输过程中,又会导致带宽瓶颈等问题。
多线路智能分流技术便应运而生了。
2.SSLVPN的实现
2.1简单的SSLVPN实现
图2-1SSLVPN实验拓扑图
2.1.1各个路由器的基本配置
R1的基本配置:
Router>en
Route#conft
Router(config)#hostnameR1
R1(config)#intf0/0
R1(config-if)#ipaddress10.10.1.254255.255.255.0
R1(config-if)#noshutedown
R1(config-if)#ints1/0
R1(config-if)#ipaddress200.1.1.1255.255.255.252
R1(config-if)#clockrate64000
R1(config-if)#noshutdown
R1(config-if)#exit
R1(config)#iproute0.0.0.00.0.0.0200.1.1.2
R2的基本配置:
Router>en
Route#conft
Router(config)#hostnameR2
R2(config)#intf0/0
R2(config-if)#ipaddress200.2.2.2255.255.255.252
R2(config-if)#noshutedown
R2(config-if)#ints1/0
R2(config-if)#ipaddress200.1.1.2255.255.255.252
R2(config-if)#clockrate64000
R2(config-if)#noshutdown
R2(config-if)#exit
注意:
这里完成了基本配置,但pc1和私网服务器是无法相互通信的
2.1.2配置SSLVPN
前提:
为VPN网关连接安装SSLVPNClient软件
(1)R1的配置:
1)、安装tftp
2)、设置tftp目录
3)、设置网关:
formatdisk0:
4)、copytftpdisk0:
10.10.1.1
Sslclient-win-1.1.3.173.pkg
(2)安装SVC软件
R1(config)#webvpninstallsvcflash:
/sslclient-win-1.1.3.173.pkg
(3)定义AAA
R1(config)#aaanew-model
R1(config)#aaaauthenticationloginvpn_authenlocal
R1(config)#usernameciscopasswordcisco
(4)启用webvpn,产生自签名证书
R1(config)#webvpngatewayvpn_gateway
R1(config-webvpn-gateway)#ipaddress200.1.1.1port443
R1(config-webvpn-gateway)#inservice
R1(config-webvpn-gateway)#iexit
(5)定义ip地址池
R1(config)#iplocalpoolvpn_pool192.168.1.1192.168.1.100
(6)建立webvpn环境
R1(config)#webvpncontextvpn_context
R1(config-webvpn-context)#gatewayvpn_gatewaydomaingroup1
R1(config-webvpn-context)#aaaauthenticationlistvpn_authen
R1(config-webvpn-context)#inservice
R1(config-webvpn-context)#exit
(7)定义组策略
R1(config)#webvpncontextvpn_context
R1(config-webvpn-context)#policygroupvpn_group_policy
R1(config-webvpn-groupt)#functionssvc-enabled
R1(config-webvpn-groupt)#svcaddress-poolvpn_pool
R1(config-webvpn-groupt)#svcsplitinclude10.10.1.0255.255.255.0
R1(config-webvpn-groupt)#exit
R1(config-webvpn-context)#default-group-policyvpn_group_policy
2.1.3测试过程
图2-2测试过程1
图2-3测试过程2
图2-4测试过程3
图2-5测试过程4
图2-6测试过程5
然后安装控件
图2-7安装控件
测试连通性
图2-8测试联通性
2.2web及隧道模式配置SSLVPN
本次实验针对SSLVPN4.0MR2及以上的web代理模式以及隧道模式配置进行说明。
本次实验使用FortiGate60B做演示。
本实验支持的系统版本为FortiOSv4.0MR2及更高。
2.2.1SSLVPNWEB模式配置
(1)启用SSLVPN
4.2版本中无需特定启用SSL-vpn,默认功能已经启用
图2-9查看是否开启SSLVPN
(2)新建SSLVPN用户及用户组
进入设置用户---->设置用户,点击“新建”按钮新建一个本地用户,用户类型,我们同时可以支持本地用户,Radius用户,Tacacs+用户,LDAP用户等等,这里我们只使用本地用户举例。
图2-10设置用户
新建SSLVPN用户组
图2-11新建SSLVPN用户组
选择SSLVPN界面full-access允许web代理及隧道模式。
(3)编辑SSLVPN界面
进入SSL界面设置,新建SSLVPN界面(或使用系统自带默认界面),输入名称及选中web访问SSLVPN时所需的应用确认。
图2-12SSLVPN界面
编辑界面,选择web方式需要使用的应用
图2-13选择web方式需要使用的应用
(4)建立SSLVPN策略
进入防火墙-->策略,新建一条防火墙策略,源接口是外网接口,源地址可以是SSL的地址或者任意,目的接口是服务器所连接的接口,目的地址可以是只能允许访问的服务器地址段或任意服务器地址,模式是:
SSL-VPN,然后添加SSL认证组,选择之前建立的SSLVPN类型的用户组就可以了
图2-14防火墙策略
如果没用数字证书,请不要勾选SSL客户端认证限制
图2-15认证控制
FortiGate防火墙模式使用的SSLVPN的端口是10443,这样,就可以从外网通过https:
//防火墙外网口地址:
10443登陆到防火墙Web模式的SSLVPN入口,通过防火墙认证后使用SSLVPN访问内网服务器资源了。
(5)登陆SSLVPNWeb模式后的界面
图2-16登入SSLVPN后界面
2.2.2隧道模式配置
隧道模式的SSLVPN可在之前的web模式配置基础上继续配置。
(1)编辑通道模式
打开Web浏览器登陆防火墙,迚入虚拟专网-->SSL-->界面,选中界面添加TunnelMode部件;(full-access和tunnel-access默认包含tunnlemode部件)
如需使用通道模式,请确认当前界面中有Tunnelmode的部件
图2-17通道模式
FortiGate防火墙还支持另外一种方式的隧道模式SSLVPN叫做通道分割方式(SplitTunnel),这种模式下,客户端在SSLVPN隧道启动的时候只会在客户端虚拟出一条到达SSLVPN服务器方向的一条静态路由,系统原来的默认网关不会被更改,这样的话从客户端发起的连接只有连向SSLVPN服务器端,路由时才会通过SSLVPN隧道传送到防火墙,其它的所有非SSLVPN应用的数据包仍然会通过客户端系统原来的网关转发,以达到通道分割的目的
(2)隧道模式的策略
防火墙移用隧道模式SSLVPN之后,系统会虚拟出一个“SSLVPN隧道接口”,所有使用SSL隧道模式的流量都相当于进出此SSLVPN接口,对应的SSL.root接口可以在防火墙-->策略里面找到。
进入防火墙-->策略,点击“新建”按钮新建一条防火墙策略,按如下配置设置:
1.源接口:
SSLVPN隧道接口
2.源地址:
SSL隧道模式分配的通道IP范围
3.目的接口:
服务器所在的接口
4.目的地址:
允许SSLVPN客户端访问的服务器资源等
5.时间表:
根据需要配置
6.服务:
允许SSLVPN客户端访问的服务器服务
7.模式:
ACCEPT
8.NAT等所有其他选项可以根据具体需要配置
图2-18具体配置
此处动作为ACCEPT
如果有反向的从服务器端到SSLVPN客户端的访问需求的话,可以同时建立一条方向的防火墙策略以允许服务器到客户端的访问,如下图示:
图2-19新建输出策略
(3)隧道模式的静态路由
防火墙虚拟的“ssl.root”接口时不会自动创建目SSL路由,所以需要手工添加一条目的地址是SSLVPN虚拟接口通道IP地址范围的静态路由,如下图示:
(4)启用隧道模式
从外网通过https:
//防火墙外网口地址:
10443登陆到防火墙Web模式的SSLVPN入口,迚入到SSLVPNWeb模式界面下面,如下图显示:
图2-20外网进入时SSLVPNWEB界面
安装SSLClient后,
图2-21安装SSLClient后
点击左上角的“激活SSL-VPN通道模式”,如下图显示:
可以看到“LinkStatus”显示成“Up”,并且有显示通过SSLVPN隧道收发的字节数,同时会在客户端操作系统里面虚拟出一个Fortinet的网络连接来表示SSLVPN隧道已经建立并且可以被客户端使用了.
图2-22链接状态
2.2.3SSLVPN客户端
我们同时提供Windows、Linux和Mac版本的SSLVPN客户端软件,具体如下详细描述。
(1)windows客户端
Windows版本的SSLVPN客户端有2种格式安装包可以选择,分别是.msi和.exe。
在通过浏览器登陆到防火墙Web模式的SSLVPN界面里面去下载,登陆上Web模式后防火墙会检测客户端机器是否已经安装了SSLVPN客户端软件,如果没有安装戒安装的SSLVPN客户端版本太低的话,登陆过后的Web模式界面里面会有提示要求用户下载新版本的SSLVPN客户端软件安装,并有下载地址。
用户需要退出Web模式的SSLVPN界面才可以启动SSLVPN客户端软件,界面如下
图2-23启动SSLVPN客户端软件
SSLVPN客户端软件同时支持用户名密码+证书的认证方式,如果在“虚拟专网-->SSL-->设置”里面启用了“要求客户端认证”的话,隧道模式登陆时候必须同时提供客户证书才能通过防火墙的认证,这个证书可以打开IE浏览器,迚入到工具-->Internet选项-->内容-->证书里面导入客户端正式,之后再打SSLVPN客户端软件时可以自劢选上之前从IE浏览器里面导入的证书。
如果没有启用“要求客户端认证”的话和Web模式下认证是一样的只需要提供用户名和密码就可以了。
(2)Linux/Mac下面的SSLVPN客户端
Linux/Mac环境下面不支持Web模式的SSLVPN登陆方式,只能通过SSLVPN客户端软件登陆SSLVPN,同时也不支持自动客户端软件安装检测和从防火墙Web模式的界面里面下载SSLVPN客户端软件,只能从网站里面下载。
如下显示Linux环境下SSLVPN客户端登陆界面:
图2-24Linux下SSLVPN客户端启动界面
Linux/Mac环境下面不支持Web模式的SSLVPN登陆方式,只能通过SSLVPN客户端软件登陆SSLVPN,同时也不支持自动客户端软件安装检测和从防火墙Web模式的界面里面下载SSLVPN客户端软件,只能从网站里面下载。
如下显示Linux环境下SSLVPN客户端登陆界面:
同时,如果要是证书认证方式,客户端证书只能手工上传到客户端上。
客户端可以通过代理服务器和防火墙建立SSLVPN隧道,打开“AdvancedSetting”可以配置代理服务器等设置。
图2-25AdvancedSetting
2.2.4SSLVPN监视器
通过虚拟专网-监视器-SSL-VPN监视器可以查看连接至防火墙上的VPN隧道状态信息
图2-26SSLVPN监视器
参考文献
[1]萧文龙,林松儒.因特网原理与应用[M]机械工业出版社.2010.8-5
[2]JeffDoyle,JenniferDeHavenCanoll.TCP/IP路由技术第二卷[M].人民邮电出版社.2009
[3]马军锋.SSL-VPN技术原理及其应用[J].《电信网技术》2005年08期
[4]高海英等.VPN技术[M].北京:
北京机械工业出版社,2004
致谢
三年的大学生活即将划上一个句号,我又将面对一次征程的开始。
三年的求学生涯在父母、师长和亲友的大力支持下,走得辛苦却也收获满囊,在论文即将完成之际,思绪万千,心情激动,但是,我要把我的敬意和赞美献给一位平凡的人:
我的指导老师缪斌老师。
您治学严谨,思想深邃,视野雄阔,为我营造了一种良好的精神氛围。
虽然在完成论文的过程中有很多困难和波折,但是您的教导让我懂得了授人以鱼不如授人以渔,您置身其间,耳濡目染,潜移默化的使我接受了全新的思想观念,树立了宏伟的学术目标。
从论文题目的选定到论文写作的指导,都经由您悉心的点拨,再经思考后的领悟,你
升级会员 