SSL VPN的实际应用与实现论文.docx

1、SSL VPN的实际应用与实现论文前言互联网的发展已经日趋成熟，互联网的用户数量也在急剧增加，许多涉及私密数据的网络服务如电子商务、网上银行等已被越来越广泛的在互联网上使用。然而传统的互联网没有提供服务质量保证，也没有权限和相应的安全机制1。随着网络的开放性、共享性以及互联网规模的进一步扩大，加之黑客的攻击手段也越来越先进，对人们造成了巨大的经济损失，网络的安全问题变得越来越严重。同时，随着企业本身的发展壮大与跨国化，大型企业的分支机构越来越多，企业与各分部之间也需要随时通信，这涉及到远程联网及网络的复杂性问题。为了保证数据在各个分支部门之间传输过程的安全，按传统方式，需要为每个分部建立独立的

2、专用网络，但大量的独立专用网需要进行重复的网络投资，会造成资源浪费，增加管理负担。为了解决上述问题，人们提出了虚拟专用网（Virtual Private Network）的概念，即利用公共通信网络(如全球因特网)实现安全的保密数据通信。虚拟专用网以其独具特色的优势赢得了越来越多企业的青睐。目前国内主流的VPN系统是基于IPSec协议的。IPSec协议为被保护的网络通讯提供较好的安全、认证和授权服务，同时保持了较高的性能。其能够“透明”部署在较复杂的网络中，具有较高的易用性和灵活性2。但IPSec VPN都要求用户进行非常专业的安装配置工作，而这些工作还会受到防火墙的设置和网络地址转换的影响，这

3、些不断变化的配置调试给用户带了很多不便。近年来，基于SSL协议的VPN系统以其优良特性获得了广泛应用。通常只要客户端系统安装了WEB浏览器，SSL VPN即可工作，并且不会受到安装在与服务器之间的防火墙的影响，能确保端到端的真正安全。随着市场的逐步成熟，SSL VPN已经成为企业首选的VPN设备。SSL VPN是解决远程访问的主流安全方案，具有广阔的发展前景。几乎所有的主流浏览器都集成了SSL协议，不需要再安装额外的客户端软件。SSL VPN的“瘦客户端”具有简单、灵活、易用性等特点，特别适合于远程用户安全连接。远程安全访问是未来发展趋势，尤其是在互联网和移动通信的快速发展、网络接入方式多变、

4、3G高速网络日益普及的今天，手持终端、PDA、移动PC等移动的计算通信工具迫切需要专门为其量身定做远程安全访问方案，SSL VPN因其与操作系统无关、瘦客户端等特点，成为首选的解决方案。权威机构Frost & Sullivan发布了2009年中国SSL VPN市场调研报告3，报告显示中国SSL VPN市场在2009年取得了11.9%的增长，达到了4220万美元的市场规模。在市场格局方面，深信服、ARRAY、JUNIPER仍然获得了该市场的三甲位置，其中深信服继08年首次成为市场第一后，2009年凭借强劲的增长，其市场占有率提升至34%，超过了整个市场的三分之一。Frost的报告指出，中国SSL

5、 VPN市场虽然较上年预测的增长速度有所放缓，但由于中国地理分散的工作状况及网络应用程序采用的快速增长，中国企业对SSL VPN产品的需求预计将在接下来的几年稳步上升。此外，随着中国企业对IT安全日趋成熟的观点深入，中国企业有可能驱动高科技市场，如虚拟化和云计算的发展，这将有力增强SSL VPN技术的重要性，SSL VPN市场将在未来几年保持持续、稳定的增长。国外有很多机构都开展了对SSL VPN相关技术和产品的研究。国外已有多个开源项目支持SSL VPN研究。国外很多知名厂商己开发出SSL VPN产品，如Cisco(思科)、Check Point、F5网络、Netsereen和Symante

6、e(赛门铁克公司)等。对国内的用户来说，SSL VPN最大的优越性在于其方便性和灵活性。尽管我国的SSL VPN市场起步较晚，但近几年来增长势头较快，到目前为止，很多大中型企业已建立了自己的VPN网络，包括SSL VPN。一些学校的校园网也正在普遍使用SSL VPN技术提供方便快捷的远程安全连接服务。一些高校和公司也正在研究SSL VPN技术，开发实用的软件产品，提高全方位的SSL VPN技术服务。无疑，伴随企业信息化程度的加深，远程安全访问、协同工作的需求会日益明显，SSL VPN技术由于拥有全方位的优势，取代传统的组网技术成为主流已为时不远。研究SSL VPN理论知识，进而开发出新的SSL

7、 VPN产品意义重大。 1.SSL VPN的实际应用1.1 SSL VPN的应用方式SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。通常企业内部的资源服务器向外网用户提供一个虚拟的URL地址，当用户从外网访问企业内网资源时，发起的连接被SSL VPN网关取得，通过认证后映射到不同的应用服务器，采用这种方式能够屏蔽内部网络的结构，不易遭受来自外部的攻击。对于SSL VPN的网关设备应当从三个基本层面来满足不同的应用需求：(1)支持Web方式的应用。例如通过SSL VPN建立的安全通道访问基于Web的电子邮件系统收发邮件。 (2)支持非Web

8、方式的应用。例如终端用户想要实现非Web页面的文件共享，那么SSL VPN网关必须将与内网FTP服务器的通信内容转化为HTTPS协议和HTML格式发往客户端，使终端用户感觉这些应用就是一些基于Web的应用。(3)支持基于客户/服务器应用的代理。这种应用需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器，监听某个端口上的连接。当数据包进入这个端口时，它们通过SSL连接中的隧道被传送到SSL VPN网关中，SSL VPN网关解开封装的数据包，将它们转发给目的应用服务器。如图所示为一个基本的SSL VPN实际部署拓扑。图1-1 SSL VPN网络部署拓扑对于一个企业来说不仅提

9、供基于Web的应用，也同时提供大量不基于Web的应用，如OA、财务、销售管理、ERP等应用。在现阶段，SSL VPN只能访问基于Web的应用，而IPSec VPN却几乎可以为所有的应用提供访问，不过，IPSec不容易穿越防火墙和NAT设备，所以当用户需要从外网接入企业内部网络时就难以实现。对于用户来说，理想的方式是将SSL VPN和IPSec VPN结合起来使用。一方面为数量有限的用户提供IPSec VPN连接，使其能够访问企业内网的所有资源；另一方面为多数用户提供SSL VPN连接，使其可以访问基于Web的企业应用。1.2 SSL VPN为企业提供的多种远程访问服务E-mail：对于企业来说

10、，电子邮件通信是一个很基本的功能。IPSec VPN可以保护邮件系统的安全性，但是IPSec VPN需要安装客户端软件并且连接企业网络，然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在其他的的网络中时，就会面临对方防火墙的地址转换和安全策略带来的障碍，无法连接企业网络，从而无法使用内部邮件系统。外出的工作人员在酒电里由于这些问题无法连接到企业内部网络是非常另人头疼的问题。SSL VPN提供了一个比较好的方案，员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统，通过SSL VPN建立的安全通道收发邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来，以提高

11、企业网络的安全性。内部网访问：即使不在办公室，企业员工也需要使用内部网中的一些文件资源，但是一般情况下企业不会开放整个内部网络以实现文件访问。SSL VPN可以让企业员工在任何地方，使用任何一个包含浏览器、连接到Internet的接入设备，实现对内部特定资源的访问。面向合作伙伴的网络资源：为了提高工作效率和加强合作关系，企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性，如何能保证只有指定的合作伙伴才能访问相应的资源，以及保证信息在网络上传递时不被截获，就成为企业必须解决的问题。IPSec VPN在部署时无法保证对最终用户的访问限制，即只允许合作伙伴访问内部网络中的指定资源，而

12、且部署IPSec VPN会要求更改合作伙伴防火墙的安全策略，这是很难实现的。SSL VPN则完全不存在上述问题，企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹，并且不需要修改合作伙伴的安全策略，只要合作伙伴能够访问Internet即可。1.3 SSL VPN在教育行业中的应用教育行业中的应用之一的大规模应用下的VPN接入需求。运用专线网络、普通拨号接入作为校区互联应用的基础，已经不是满足远程接入的必要手段。VPN技术的实现，特别是SSL VPN在B/S、C/S构架的网络上全面适应，以及高强度加密保障传输安全等性能，已逐步形成一种主流的替代模式。 教育行业中的应用的移动访问数

13、字图书馆。校园数字图书馆的应用越具规模，从工作人员将自身馆藏书籍数字化开始，到与商业化合作购买阅览版权，再将数据与校园网共享，让校内外师生都能方便查询电子文献资料。这是以教育信息化直接面向师生应用较为广泛的需求之一。 教育行业中的应用的校园内外网的多线路智能分流。网络世界无所谓纵横分布，每一个交点上都可能汇集着多条不同的线路，就说国内现状，电信、网通、铁通、联通争相角逐，又有教育网、科技网的应用覆盖，这就很难保证同一所高校的所有节点应用在同一个网内。多线路的接入会产生数据在线路之间转移时的延时现象。而对于大流量的数据在传输过程中，又会导致带宽瓶颈等问题。多线路智能分流技术便应运而生了。 2.S

14、SL VPN的实现2.1 简单的 SSL VPN 实现图2-1 SSL VPN 实验拓扑图2.1.1 各个路由器的基本配置R1的基本配置：Routeren Route#conf tRouter(config)#hostname R1R1(config)#int f0/0R1(config-if)#ip address 10.10.1.254 255.255.255.0R1(config-if)#no shutedownR1(config-if)#int s1/0R1(config-if)#ip address 200.1.1.1 255.255.255.252R1(config-if)#clo

15、ck rate 64000R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2R2的基本配置：Routeren Route#conf tRouter(config)#hostname R2R2(config)#int f0/0R2(config-if)#ip address 200.2.2.2 255.255.255.252R2(config-if)#no shutedownR2(config-if)#int s1/0R2(config-if)#ip address 20

16、0.1.1.2 255.255.255.252R2(config-if)#clock rate 64000R2(config-if)#no shutdownR2(config-if)#exit注意：这里完成了基本配置，但pc1和私网服务器是无法相互通信的2.1.2 配置 SSL VPN前提：为VPN网关连接安装SSL VPN Client 软件（1）R1 的配置：1）、安装tftp2）、设置tftp目录3）、设置网关： format disk0:4）、copy tftp disk0: 10.10.1.1 Sslclient-win-1.1.3.173.pkg( 2 ) 安装SVC软件R1(co

17、nfig)#webvpn install svc flash:/sslclient-win-1.1.3.173.pkg(3) 定义AAAR1(config)#aaa new-modelR1(config)#aaa authentication login vpn_authen localR1(config)#username cisco password cisco( 4 )启用webvpn，产生自签名证书R1(config)#webvpn gateway vpn_gatewayR1(config-webvpn-gateway)#ip address 200.1.1.1 port 443R1(

18、config-webvpn-gateway)#inserviceR1(config-webvpn-gateway)#iexit(5)定义ip地址池R1(config)#ip local pool vpn_pool 192.168.1.1 192.168.1.100( 6 )建立webvpn环境R1(config)#webvpn context vpn_contextR1(config-webvpn-context)#gateway vpn_gateway domain group1R1(config-webvpn-context)#aaa authentication list vpn_aut

19、henR1(config-webvpn-context)#inserviceR1(config-webvpn-context)#exit( 7 )定义组策略R1(config)#webvpn context vpn_contextR1(config-webvpn-context)#policy group vpn_group_policyR1(config-webvpn-groupt)#functions svc-enabledR1(config-webvpn-groupt)#svc address-pool vpn_poolR1(config-webvpn-groupt)#svc split

20、 include 10.10.1.0 255.255.255.0R1(config-webvpn-groupt)#exitR1(config-webvpn-context)#default-group-policy vpn_group_policy2.1.3 测试过程图2-2 测试过程1图2-3 测试过程2图2-4 测试过程3图2-5 测试过程4图2-6 测试过程5然后安装控件图2-7 安装控件测试连通性图2-8 测试联通性2.2 web及隧道模式配置SSL VPN本次实验针对SSLVPN4.0MR2及以上的web代理模式以及隧道模式配置进行说明。本次实验使用FortiGate60B做演示。本

21、实验支持的系统版本为FortiOSv4.0MR2及更高。2.2.1 SSL VPN WEB模式配置（1）启用SSL VPN4.2版本中无需特定启用SSL-vpn，默认功能已经启用图2-9 查看是否开启SSL VPN（2）新建SSLVPN用户及用户组进入设置用户-设置用户，点击“新建”按钮新建一个本地用户，用户类型，我们同时可以支持本地用户，Radius用户，Tacacs+用户，LDAP用户等等，这里我们只使用本地用户举例。图2-10 设置用户新建SSLVPN用户组图2-11 新建SSL VPN用户组选择SSL VPN界面full-access允许web代理及隧道模式。（3）编辑SSL VPN界

22、面进入SSL界面设置，新建SSL VPN界面(或使用系统自带默认界面)，输入名称及选中web访问SSL VPN时所需的应用确认。图2-12 SSL VPN界面编辑界面，选择web方式需要使用的应用图2-13 选择web方式需要使用的应用（4）建立SSLVPN策略进入防火墙-策略，新建一条防火墙策略，源接口是外网接口，源地址可以是SSL的地址或者任意，目的接口是服务器所连接的接口，目的地址可以是只能允许访问的服务器地址段或任意服务器地址，模式是：SSL-VPN，然后添加SSL认证组，选择之前建立的SSLVPN类型的用户组就可以了图2-14 防火墙策略如果没用数字证书，请不要勾选SSL客户端认证限

23、制图2-15 认证控制FortiGate防火墙模式使用的SSL VPN的端口是10443，这样，就可以从外网通过https:/防火墙外网口地址 :10443登陆到防火墙Web模式的SSL VPN入口，通过防火墙认证后使用SSL VPN访问内网服务器资源了。（5）登陆SSLVPN Web模式后的界面图2-16 登入SSL VPN后界面2.2.2隧道模式配置隧道模式的SSL VPN可在之前的web模式配置基础上继续配置。（1）编辑通道模式打开Web浏览器登陆防火墙，迚入虚拟专网-SSL-界面，选中界面添加TunnelMode部件；(full-access和tunnel-access默认包含tunn

24、lemode部件)如需使用通道模式，请确认当前界面中有Tunnelmode的部件图2-17 通道模式Forti Gate防火墙还支持另外一种方式的隧道模式SSL VPN叫做通道分割方式（Split Tunnel），这种模式下，客户端在SSL VPN隧道启动的时候只会在客户端虚拟出一条到达SSL VPN服务器方向的一条静态路由，系统原来的默认网关不会被更改，这样的话从客户端发起的连接只有连向SSLVPN服务器端，路由时才会通过SSLVPN隧道传送到防火墙，其它的所有非SSL VPN应用的数据包仍然会通过客户端系统原来的网关转发，以达到通道分割的目的（2）隧道模式的策略防火墙移用隧道模式SSL V

25、PN之后，系统会虚拟出一个“SSL VPN隧道接口”,所有使用SSL隧道模式的流量都相当于进出此SSL VPN接口，对应的SSL.root接口可以在防火墙-策略里面找到。进入防火墙-策略，点击“新建”按钮新建一条防火墙策略，按如下配置设置：1.源接口：SSL VPN隧道接口2.源地址：SSL隧道模式分配的通道IP范围3.目的接口：服务器所在的接口4.目的地址：允许SSL VPN客户端访问的服务器资源等5.时间表：根据需要配置6.服务：允许SSL VPN客户端访问的服务器服务7.模式：ACCEPT8.NAT等所有其他选项可以根据具体需要配置图2-18 具体配置此处动作为ACCEPT如果有反向的从

26、服务器端到SSLVPN客户端的访问需求的话，可以同时建立一条方向的防火墙策略以允许服务器到客户端的访问，如下图示：图2-19 新建输出策略（3）隧道模式的静态路由防火墙虚拟的“ssl.root”接口时不会自动创建目SSL路由，所以需要手工添加一条目的地址是SSL VPN虚拟接口通道IP地址范围的静态路由，如下图示：（4）启用隧道模式从外网通过https:/防火墙外网口地址:10443登陆到防火墙Web模式的SSL VPN入口，迚入到SSL VPN Web模式界面下面，如下图显示：图2-20 外网进入时SSL VPN WEB界面安装SSLClient后，图2-21 安装SSL Client后点击

27、左上角的“激活SSL-VPN通道模式”，如下图显示：可以看到“LinkStatus”显示成“Up”，并且有显示通过SSLVPN隧道收发的字节数，同时会在客户端操作系统里面虚拟出一个Fortinet的网络连接来表示SSLVPN隧道已经建立并且可以被客户端使用了.图2-22 链接状态2.2.3 SSL VPN 客户端我们同时提供Windows、Linux和Mac版本的SSLVPN客户端软件，具体如下详细描述。（1）windows客户端Windows版本的SSL VPN客户端有2种格式安装包可以选择，分别是.msi和.exe。在通过浏览器登陆到防火墙Web模式的SSL VPN界面里面去下载，登陆上W

28、eb模式后防火墙会检测客户端机器是否已经安装了SSL VPN客户端软件，如果没有安装戒安装的SSL VPN客户端版本太低的话，登陆过后的Web模式界面里面会有提示要求用户下载新版本的SSLVPN客户端软件安装，并有下载地址。用户需要退出Web模式的SSL VPN界面才可以启动SSL VPN客户端软件，界面如下图2-23 启动SSL VPN客户端软件SSLVPN客户端软件同时支持用户名密码证书的认证方式，如果在“虚拟专网-SSL-设置”里面启用了“要求客户端认证”的话，隧道模式登陆时候必须同时提供客户证书才能通过防火墙的认证，这个证书可以打开IE浏览器，迚入到工具-Internet选项-内容-证

29、书里面导入客户端正式，之后再打SSLVPN客户端软件时可以自劢选上之前从IE浏览器里面导入的证书。如果没有启用“要求客户端认证”的话和Web模式下认证是一样的只需要提供用户名和密码就可以了。（2） Linux/Mac下面的SSLVPN客户端Linux/Mac环境下面不支持Web模式的SSL VPN登陆方式，只能通过SSL VPN客户端软件登陆SSL VPN，同时也不支持自动客户端软件安装检测和从防火墙Web模式的界面里面下载SSL VPN客户端软件，只能从网站里面下载。如下显示Linux环境下SSL VPN客户端登陆界面：图2-24 Linux下SSL VPN客户端启动界面Linux/Mac环

30、境下面不支持Web模式的SSL VPN登陆方式，只能通过SSL VPN客户端软件登陆SSL VPN，同时也不支持自动客户端软件安装检测和从防火墙Web模式的界面里面下载SSL VPN客户端软件，只能从网站里面下载。如下显示Linux环境下SSL VPN客户端登陆界面：同时，如果要是证书认证方式，客户端证书只能手工上传到客户端上。客户端可以通过代理服务器和防火墙建立SSLVPN隧道，打开“Advanced Setting”可以配置代理服务器等设置。 图2-25 Advanced Setting2.2.4 SSL VPN监视器通过虚拟专网-监视器-SSL-VPN监视器可以查看连接至防火墙上的VPN

31、隧道状态信息图2-26 SSL VPN监视器参考文献1 萧文龙，林松儒.因特网原理与应用M机械工业出版社.2010.8-52 Jeff Doyle,Jennifer DeHavenCanoll.TCP/IP路由技术第二卷M.人民邮电出版社.20093 马军锋. SSL-VPN技术原理及其应用J. 电信网技术 2005年08期 4 高海英等.VPN技术M.北京:北京机械工业出版社,2004致谢三年的大学生活即将划上一个句号，我又将面对一次征程的开始。三年的求学生涯在父母、师长和亲友的大力支持下，走得辛苦却也收获满囊，在论文即将完成之际，思绪万千，心情激动，但是，我要把我的敬意和赞美献给一位平凡的人：我的指导老师缪斌老师。您治学严谨，思想深邃，视野雄阔，为我营造了一种良好的精神氛围。虽然在完成论文的过程中有很多困难和波折，但是您的教导让我懂得了授人以鱼不如授人以渔，您置身其间，耳濡目染，潜移默化的使我接受了全新的思想观念，树立了宏伟的学术目标。从论文题目的选定到论文写作的指导,都经由您悉心的点拨,再经思考后的领悟,你