1、SSLVPN的技术原理与应用SSL VPN的技术原理与应用1 概述1.1 产生背景随着互联网的普及和电子商务的飞速发展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。通过加密实现安全接入的VPNSVPN(Security VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取。SVPN技术主要包括IPsec VPN和SSL VPN。由于IPsec VPN实现方式上的局限性,导致其存在着一些不足: 部署IPsec VPN网络时,需要在用户主机上安装
2、复杂的客户端软件。而远程用户的移动性要求VPN可以快速部署客户端,并动态建立连接;远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN技术难以解决的。 无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。 访问控制不够细致。由于IPsec是在网络层实现的,对IP报文的内容无法识别,因而不能控制高层应用的访问请求。随着企业经营模式的改变,企业需要建立Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率。对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而IPsec VPN
3、无法实现访问权限的控制。 在复杂的组网环境中,IPsec VPN部署比较困难。在使用NAT的场合,IPsec VPN需要支持NAT穿越技术;在部署防火墙的网络环境中,由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头,因此,需要在防火墙上进行特殊的配置,允许IPsec报文通过。IPsec VPN比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。SSL VPN技术克服了IPsec VPN技术的缺点,以其跨平台、免安装、免维护的客户端,丰富有效的权限管理而成为远程接入市场上的新贵。1.2 技术优点SSL VPN是以
4、HTTPS为基础的VPN技术,它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点: 支持各种应用协议。SSL位于传输层和应用层之间,任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。 支持多种软件平台。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份,在浏览器使用者及Web服务器之间进行加密通信的全球化标准。SSL协议已被集成到大部分的浏览器中,如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。SSL VPN的客户端基于SS
5、L协议,绝大多数的软件运行环境都可以作为SSL VPN客户端。 支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件的应用中,SSL VPN提供了自动下载并安装客户端软件的功能,退出SSL VPN时,还可以自动卸载并删除客户端软件,极大地方便了用户的使用。 支持对客户端主机进行安全检查。SSL VPN可以对远程主机的安全状态进行评估,可以判断远程主机是否安全,以及安全程度的高低。 支持动态授权。传统的权限控制主要是根据用户的身份进行授权,同一身份的用户在不同的地点登录,具有相同的权限,称之为静态授权。而动态授权是指在静态授权的基础上,结合用户登录时远程主机的安全状态,对所授权利进行动态地
6、调整。当发现远程主机不够安全时,开放较小的访问权限;在远程主机安全性较高时,则开放较大的访问权限。 SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制,实现了外网用户对内网资源的受控访问。 SSL VPN的部署不会影响现有的网络。SSL协议工作在传输层之上,不会改变IP报文头和TCP报文头,因此,SSL报文对NAT来说是透明的;SSL固定采用443号端口,只需在防火墙上打开该端口,不需要根据应用层协议的不同来修改防火墙上的设置,不仅减少了网络管理员的工作量,还可以提高网络的安全性。 支持多个域之间独立的资源访问控制。为了使多个企业或一个企业的多个部门共用一个SSL VPN网关,减少S
7、SL VPN网络部署的开销,SSL VPN网关上可以创建多个域,企业或部门在各自域内独立地管理自己的资源和用户。通过创建多个域,可以将一个实际的SSL VPN网关划分为多个虚拟的SSL VPN网关。2 SSL VPN技术实现2.1 概念介绍SSL VPN用户分为超级管理员、域管理员和普通用户: 超级管理员:整个SSL VPN网关的管理者,可以创建域,设置域管理员的密码。 域管理员:负责管理所在域,可以创建本地用户和资源、设置用户访问权限等。域管理员可能是某个企业的网管人员。 普通用户:简称用户,为服务器资源访问者,权限由域管理员指定。2.2 SSL VPN系统组成图1 SSL VPN典型组网架
8、构SSL VPN的典型组网架构如图1所示,SSL VPN系统由以下几个部分组成: 远程主机:管理员和用户远程接入的终端设备,可以是个人电脑、手机、PDA等。 SSL VPN网关:SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和企业网内资源的信息,用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和企业网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接,以保证数据传输的安全性。 企业网内的服务器:可以是任意类型的服务器,如Web服务器、FTP服务器,也可以是企业网内需要与远程接入用户通信的主机。 CA:为SSL VPN网
9、关颁发包含公钥信息的数字证书,以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接。 认证服务器:SSL VPN网关不仅支持本地认证,还支持通过外部认证服务器对用户的身份进行远程认证。2.3 SSL VPN工作过程SSL VPN的工作过程可以分为以下三步:(1) 超级管理员在SSL VPN网关上创建域。(2) 域管理员在SSL VPN网关上创建用户和企业网内服务器对应的资源。(3) 用户通过SSL VPN网关访问企业网内服务器。1. 超级管理员创建域图2 超级管理员创建域如图2所示,超级管理员创建域的过程为:(1) 超级管理员在远程主机上输入SSL VPN
10、网关的网址,远程主机和SSL VPN网关之间建立SSL连接,通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。(2) SSL连接建立成功后,进入SSL VPN网关的Web登录页面,输入超级管理员的用户名、密码和认证方式。SSL VPN网关根据输入的信息对超级管理员进行身份验证。身份验证成功后,进入SSL VPN网关的Web管理页面。(3) 超级管理员在SSL VPN网关上创建域,并设置域管理员密码。2. 域管理员创建用户和企业网内服务器对应的资源图3 域管理员创建用户和企业网内服务器对应的资源如图3所示,域管理员创建用户和企业网内服务器对应资源的过程为:(1) 域管理员在远程主机
11、上输入SSL VPN网关的网址,远程主机和SSL VPN网关之间建立SSL连接,通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。(2) SSL连接建立成功后,进入SSL VPN网关的Web登录页面,输入域管理员的用户名、密码和认证方式。SSL VPN网关根据输入的信息对域管理员进行身份验证。身份验证成功后,进入SSL VPN网关的Web管理页面。(3) 域管理员在SSL VPN网关上创建用户和企业网内服务器对应的资源,并设定用户对资源的访问权限。3. 用户访问企业网内服务器图4 用户访问企业网内服务器如图4所示,用户访问企业网内服务器的过程为:(1) 用户在远程主机上输入SSL
12、 VPN网关的网址,远程主机和SSL VPN网关之间建立SSL连接,通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。(2) SSL连接建立成功后,进入SSL VPN网关的Web登录页面,输入普通用户的用户名、密码和认证方式。SSL VPN网关根据输入的信息对普通用户进行身份验证。身份验证成功后,进入SSL VPN网关的Web访问页面。(3) 用户在Web访问页面上查看可以访问的资源列表,如Web服务器资源、文件共享资源等。(4) 用户选择需要访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。(5) SSL VPN网关解析请求,检查用户权限,如果用户可以访问该资源,则
13、以明文的形式将请求转发给服务器。(6) 服务器将响应报文以明文的形式发送给SSL VPN网关。(7) SSL VPN网关接收到服务器的应答后,将其通过SSL连接转发给用户。2.4 SSL VPN接入方式SSL VPN支持三种接入方式: Web接入方式 TCP接入方式 IP接入方式通过不同的接入方式,用户可以访问不同类型的资源;不同接入方式下,SSL VPN网关在远端主机和企业网内服务器之间转发数据的过程也有所不同。下面将分别对其进行介绍。2.4.1 Web接入方式Web接入方式是指用户使用浏览器以HTTPS方式、通过SSL VPN网关对服务器提供的资源进行访问,即一切数据的显示和操作都是通过W
14、eb页面进行的。通过Web接入方式可以访问的资源有两种:Web服务器和文件共享资源。1. Web服务器资源Web服务器以网页的形式为用户提供服务,用户可以通过点击网页中的超链接,在不同的网页之间跳转,以浏览网页获取信息。SSL VPN为用户访问Web服务器提供了安全的连接,并且可以防止非法用户访问受保护的Web服务器。图5 Web资源访问机制如图5所示,Web服务器访问过程中,SSL VPN网关主要充当中继的角色:(1) SSL VPN网关收到用户的HTTP请求消息后,将HTTP请求URL中的路径映射到资源,并将HTTP请求转发到被请求资源对应的真正的Web服务器;(2) SSL VPN网关收到HTTP回应消息后,将网页中的内网链接修改为指向SSL VPN网关的链接,使用户在访问这些内网链接对应的资源时都通过SSL VPN网关,从而保证安全,并实现访问控制。SSL VPN将改写后的HTTP回应消息发送给用户。在Web服务器访问的过程中,从用户角度看,所有的HTTP应答都来自于SSL VPN网关;从Web服务器的角度看,所有的HTTP
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1