收藏 分销(赏)

SSLVPN的关键技术原理与应用.doc

上传人:a199****6536 文档编号:2953622 上传时间:2024-06-12 格式:DOC 页数:17 大小:300.54KB 下载积分:8 金币
下载 相关 举报
SSLVPN的关键技术原理与应用.doc_第1页
第1页 / 共17页
SSLVPN的关键技术原理与应用.doc_第2页
第2页 / 共17页


点击查看更多>>
资源描述
SSL VPN技术原理与应用 1  概述 1.1  产生背景 随着互联网普及和电子商务飞速发展,越来越多员工、客户和合伙伙伴但愿可以随时随处接入公司内部网络,访问公司内部资源。接入顾客身份也许不合法、远端接入主机也许不够安全,这些都为公司内部网络带来了安全隐患。 通过加密实现安全接入VPN——SVPN(Security VPN)技术提供了一种安全机制,保护公司内部网络不被袭击,内部资源不被窃取。SVPN技术重要涉及IPsec VPN和SSL VPN。 由于IPsec VPN实现方式上局限性,导致其存在着某些局限性: l              布置IPsec VPN网络时,需要在顾客主机上安装复杂客户端软件。而远程顾客移动性规定VPN可以迅速布置客户端,并动态建立连接;远程终端多样性还规定VPN客户端具备跨平台、易于升级和维护等特点。这些问题是IPsec VPN技术难以解决。 l              无法检查顾客主机安全性。如果顾客通过不安全主机访问公司内部网络,也许引起公司内部网络感染病毒。 l              访问控制不够细致。由于IPsec是在网络层实现,对IP报文内容无法辨认,因而不能控制高层应用访问祈求。随着公司经营模式变化,公司需要建立Extranet,与合伙伙伴共享某些信息资源,以便提高公司运作效率。对合伙伙伴访问必要进行严格有效地控制,才干保证公司信息系统安全,而IPsec VPN无法实现访问权限控制。 l              在复杂组网环境中,IPsec VPN布置比较困难。在使用NAT场合,IPsec VPN需要支持NAT穿越技术;在布置防火墙网络环境中,由于IPsec合同在原TCP/UDP头前面增长了IPsec报文头,因而,需要在防火墙上进行特殊配备,容许IPsec报文通过。 IPsec VPN比较适合连接固定,对访问控制规定不高场合,无法满足顾客随时随处以各种方式接入网络、对顾客访问权限进行严格限制需求。 SSL VPN技术克服了IPsec VPN技术缺陷,以其跨平台、免安装、免维护客户端,丰富有效权限管理而成为远程接入市场上新贵。 1.2  技术长处 SSL VPN是以HTTPS为基本VPN技术,它运用SSL合同提供基于证书身份认证、数据加密和消息完整性验证机制,为顾客远程访问公司内部网络提供了安全保证。SSL VPN具备如下长处: l              支持各种应用合同。SSL位于传播层和应用层之间,任何一种应用程序都可以直接享有SSL VPN提供安全性而不必理睬详细细节。 l              支持各种软件平台。当前SSL已经成为网络中用来鉴别网站和网页浏览者身份,在浏览器使用者及Web服务器之间进行加密通信全球化原则。SSL合同已被集成到大某些浏览器中,如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器计算机都支持SSL连接。SSL VPN客户端基于SSL合同,绝大多数软件运营环境都可以作为SSL VPN客户端。 l              支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件应用中,SSL VPN提供了自动下载并安装客户端软件功能,退出SSL VPN时,还可以自动卸载并删除客户端软件,极大地以便了顾客使用。 l              支持对客户端主机进行安全检查。SSL VPN可以对远程主机安全状态进行评估,可以判断远程主机与否安全,以及安全限度高低。 l              支持动态授权。老式权限控制重要是依照顾客身份进行授权,同一身份顾客在不同地点登录,具备相似权限,称之为静态授权。而动态授权是指在静态授权基本上,结合顾客登录时远程主机安全状态,对所授权利进行动态地调节。当发现远程主机不够安全时,开放较小访问权限;在远程主机安全性较高时,则开放较大访问权限。 l              SSL VPN网关支持各种顾客认证方式和细粒度资源访问控制,实现了外网顾客对内网资源受控访问。 l              SSL VPN布置不会影响既有网络。SSL合同工作在传播层之上,不会变化IP报文头和TCP报文头,因而,SSL报文对NAT来说是透明;SSL固定采用443号端口,只需在防火墙上打开该端口,不需要依照应用层合同不同来修改防火墙上设立,不但减少了网络管理员工作量,还可以提高网络安全性。 l              支持各种域之间独立资源访问控制。为了使各种公司或一种公司各种部门共用一种SSL VPN网关,减少SSL VPN网络布置开销,SSL VPN网关上可以创立各种域,公司或部门在各自域内独立地管理自己资源和顾客。通过创立各种域,可以将一种实际SSL VPN网关划分为各种虚拟SSL VPN网关。 2  SSL VPN技术实现 2.1  概念简介 SSL VPN顾客分为超级管理员、域管理员和普通顾客: l              超级管理员:整个SSL VPN网关管理者,可以创立域,设立域管理员密码。 l              域管理员:负责管理所在域,可以创立本地顾客和资源、设立顾客访问权限等。域管理员也许是某个公司网管人员。 l              普通顾客:简称顾客,为服务器资源访问者,权限由域管理员指定。 2.2  SSL VPN系统构成 图1 SSL VPN典型组网架构 SSL VPN典型组网架构如图1所示,SSL VPN系统由如下几种某些构成: l              远程主机:管理员和顾客远程接入终端设备,可以是个人电脑、手机、PDA等。 l              SSL VPN网关:SSL VPN系统中重要构成某些。管理员在SSL VPN网关上维护顾客和公司网内资源信息,顾客通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和公司网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接,以保证数据传播安全性。 l              公司网内服务器:可以是任意类型服务器,如Web服务器、FTP服务器,也可以是公司网内需要与远程接入顾客通信主机。 l              CA:为SSL VPN网关颁发包括公钥信息数字证书,以便远程主机验证SSL VPN网关身份、在远程主机和SSL VPN网关之间建立SSL连接。 l              认证服务器:SSL VPN网关不但支持本地认证,还支持通过外部认证服务器对顾客身份进行远程认证。 2.3  SSL VPN工作过程 SSL VPN工作过程可以分为如下三步: (1)        超级管理员在SSL VPN网关上创立域。 (2)        域管理员在SSL VPN网关上创立顾客和公司网内服务器相应资源。 (3)        顾客通过SSL VPN网关访问公司网内服务器。 1. 超级管理员创立域 图2 超级管理员创立域 如图2所示,超级管理员创立域过程为: (1)        超级管理员在远程主机上输入SSL VPN网关网址,远程主机和SSL VPN网关之间建立SSL连接,通过SSL对SSL VPN网关和远程主机进行基于证书身份验证。 (2)        SSL连接建立成功后,进入SSL VPN网关Web登录页面,输入超级管理员顾客名、密码和认证方式。SSL VPN网关依照输入信息对超级管理员进行身份验证。身份验证成功后,进入SSL VPN网关Web管理页面。 (3)        超级管理员在SSL VPN网关上创立域,并设立域管理员密码。 2. 域管理员创立顾客和公司网内服务器相应资源 图3 域管理员创立顾客和公司网内服务器相应资源 如图3所示,域管理员创立顾客和公司网内服务器相应资源过程为: (1)        域管理员在远程主机上输入SSL VPN网关网址,远程主机和SSL VPN网关之间建立SSL连接,通过SSL对SSL VPN网关和远程主机进行基于证书身份验证。 (2)        SSL连接建立成功后,进入SSL VPN网关Web登录页面,输入域管理员顾客名、密码和认证方式。SSL VPN网关依照输入信息对域管理员进行身份验证。身份验证成功后,进入SSL VPN网关Web管理页面。 (3)        域管理员在SSL VPN网关上创立顾客和公司网内服务器相应资源,并设定顾客对资源访问权限。 3. 顾客访问公司网内服务器 图4 顾客访问公司网内服务器 如图4所示,顾客访问公司网内服务器过程为: (1)        顾客在远程主机上输入SSL VPN网关网址,远程主机和SSL VPN网关之间建立SSL连接,通过SSL对SSL VPN网关和远程主机进行基于证书身份验证。 (2)        SSL连接建立成功后,进入SSL VPN网关Web登录页面,输入普通顾客顾客名、密码和认证方式。SSL VPN网关依照输入信息对普通顾客进行身份验证。身份验证成功后,进入SSL VPN网关Web访问页面。 (3)        顾客在Web访问页面上查看可以访问资源列表,如Web服务器资源、文献共享资源等。 (4)        顾客选取需要访问资源,通过SSL连接将访问祈求发送给SSL VPN网关。 (5)        SSL VPN网关解析祈求,检查顾客权限,如果顾客可以访问该资源,则以明文形式将祈求转发给服务器。 (6)        服务器将响应报文以明文形式发送给SSL VPN网关。 (7)        SSL VPN网关接受到服务器应答后,将其通过SSL连接转发给顾客。 2.4  SSL VPN接入方式 SSL VPN支持三种接入方式: l              Web接入方式 l              TCP接入方式 l              IP接入方式 通过不同接入方式,顾客可以访问不同类型资源;不同接入方式下,SSL VPN网关在远端主机和公司网内服务器之间转发数据过程也有所不同。下面将分别对其进行简介。 2.4.1  Web接入方式 Web接入方式是指顾客使用浏览器以HTTPS方式、通过SSL VPN网关对服务器提供资源进行访问,即一切数据显示和操作都是通过Web页面进行。 通过Web接入方式可以访问资源有两种:Web服务器和文献共享资源。 1. Web服务器资源 Web服务器以网页形式为顾客提供服务,顾客可以通过点击网页中超链接,在不同网页之间跳转,以浏览网页获取信息。SSL VPN为顾客访问Web服务器提供了安全连接,并且可以防止非法顾客访问受保护Web服务器。 图5 Web资源访问机制 如图5所示,Web服务器访问过程中,SSL VPN网关重要充当中继角色: (1)        SSL VPN网关收到顾客HTTP祈求消息后,将HTTP祈求URL半途径映射到资源,并将HTTP祈求转发到被祈求资源相应真正Web服务器; (2)        SSL VPN网关收到HTTP回应消息后,将网页中内网链接修改为指向SSL VPN网关链接,使顾客在访问这些内网链接相应资源时都通过SSL VPN网关,从而保证安全,并实现访问控制。SSL VPN将改写后HTTP回应消息发送给顾客。 在Web服务器访问过程中,从顾客角度看,所有HTTP应答都来自于SSL VPN网关;从Web服务器角度看,所有HTTP祈求都是SSL VPN网关发起。 2. 文献共享资源 文献共享是一种惯用网络应用,实现了对远程网络服务器或者主机上文献系统进行操作(如浏览文献夹、上传文献、下载文献等)功能,如Windows操作系统上共享文献夹应用。 SSL VPN网关将文献共享资源以Web方式提供应顾客。如图6所示,文献共享资源访问过程中,SSL VPN网关起到合同转换器作用: (1)        远程主机与SSL VPN网关之间通过HTTPS合同通信:远程主机将顾客访问文献共享资源祈求通过HTTPS报文发送给SSL VPN网关。 (2)        SSL VPN网关与文献服务器通过SMB合同通信:SSL VPN网关接受到祈求后,将其转换为SMB合同报文,发送给文献服务器。 (3)        文献服务器应答报文到达SSL VPN网关后,SSL VPN网关将其转换为HTTPS报文后,发送给远程主机。 图6 文献共享资源访问示意图 2.4.2  TCP接入方式 TCP接入方式用于实现应用程序对服务器开放端口安全访问。通过TCP接入方式,顾客可以访问任意基于TCP服务,涉及远程访问服务(如Telnet)、桌面共享服务、邮件服务等。 顾客运用TCP接入方式访问内网服务器时,不需要对既有TCP应用程序进行升级,只需安装专用TCP接入客户端软件,由该软件实现使用SSL连接传送应用层数据。 如图7所示,顾客运用TCP接入方式访问内网服务器工作流程为: (1)        顾客启动TCP应用后,远程主机自动从SSL VPN网关上下载TCP接入客户端软件。 (2)        顾客通过点击SSL VPN网关Web访问页面上资源链接或启动TCP应用程序(例如打开远程桌面连接程序,连接到远程内网服务器)方式访问TCP应用资源时,客户端软件就会与SSL VPN网关建立SSL连接,并使用扩展HTTP消息祈求访问该资源。 (3)        SSL VPN网关与该资源相应内网服务器建立TCP连接。 (4)        连接建立成功后,顾客访问内网服务器数据由TCP接入客户端通过SSL连接安全地发送给SSL VPN网关,SSL VPN网关获取应用层数据,通过已经建立TCP连接发送给内网服务器。 (5)        SSL VPN网关接受到内网服务器应答后,通过SSL连接将其发送给远程主机客户端软件,客户端软件获取服务器应答数据,将其转发给应用程序。 图7 TCP接入方式工作流程 2.4.3  IP接入方式 IP接入方式实现远程主机与服务器网络层之间安全通信,进而实现所有基于IP远程主机与服务器互通,如在远程主机上ping内网服务器。 顾客通过IP接入方式访问内网服务器前,需要安装专用IP接入客户端软件,该客户端软件会在主机上安装一种虚拟网卡。 如图8所示,顾客运用IP接入方式访问内网服务器工作流程为: (1)        顾客启动IP应用时,远程主机自动从SSL VPN网关上下载IP接入客户端软件,该软件负责与SSL VPN网关建立SSL连接,为虚拟网卡申请地址,并设立网关地址和以虚拟网卡为出接口路由。 (2)        顾客通过点击SSL VPN网关Web访问页面上资源链接或执行IP访问命令(例如,执行ping命令)方式访问IP网络资源时,IP报文依照路由发送到虚拟网卡,被客户端软件封装后通过SSL连接发送到SSL VPN网关。 (3)        SSL VPN网关接受到数据后,将其还原成IP报文,发往相应服务器。 (4)        SSL VPN网关接受到服务器回应报文后,将报文封装后通过SSL连接发送到远程主机IP接入客户端软件。 (5)        客户端软件解封装后通过虚拟网卡将IP报文交给远程主机解决。 图8 IP接入方式工作流程 3  Comware V5平台实现技术特色 3.1  客户端免安装,免维护 远程主机上运营客户端软件涉及: l              支持SSLWeb浏览器:当前大多数操作系统都提供了浏览器,并支持SSL合同。运用操作系统自带浏览器,就可以实现Web接入方式。 l              主机检查器:用来对远程主机安全状态进行评估。顾客登录时,远程主机会自动下载并安装主机检查器。 l              缓存清除器:用来在顾客退出SSL VPN系统时,清除SSL VPN通信过程中使用暂时文献、配备文献和下载客户端程序,以避免系统私密信息被泄漏。顾客登录后,远程主机自动下载并安装缓存清除器。 l              TCP接入客户端:TCP接入方式中用到客户端软件。 l              IP接入客户端:IP接入方式中用到客户端软件。 除Web浏览器是远程主机自带以外,其他客户端软件都是从SSL VPN网关下载。这些客户端软件支持自动下载、自动安装、自动配备、自动建立连接,使用非常以便。 3.2  支持各种顾客认证技术 SSL VPN支持四种认证方式: l              本地认证:由管理员在SSL VPN网关上创立本地顾客,通过将顾客输入顾客名和密码与本地保存顾客名和密码比较,来验证顾客身份与否合法。 l              RADIUS认证:顾客信息保存在RADIUS服务器上,SSL VPN网关作为RADIUS客户端,通过与RADIUS服务器交互认证消息,来验证顾客身份与否合法。 l              LDAP认证:顾客信息保存在LDAP服务器上,SSL VPN网关作为LDAP客户端查询LDAP服务器上顾客信息,来验证顾客身份与否合法。 l              AD认证:LDAP认证方式一种,Microsoft实现LDAP称为AD。 顾客通过浏览器连接到SSL VPN网关后进入登录页面,输入顾客名、密码和认证方式,这些信息通过SSL连接传播到SSL VPN网关,保证了数据传播安全性。SSL VPN网关收到登录信息后,依照认证方式进行认证。 SSL VPN网关提供认证方式简朴通用,扩展性很强。 3.3  丰富灵活安全方略 不安全远程主机接入有也许对内部网络导致安全隐患。通过主机检查器可以在顾客登录SSL VPN时,检查主机操作系统版本及其补丁、浏览器版本及其补丁、防火墙版本、杀毒软件版本等,依照检查成果来判断该顾客主机可以访问哪些资源。 在SSL VPN网关上可以设立安全方略,通过安全方略制定对远程主机进行安全检查办法,明确需要检查项目,并通过为安全方略指定保护资源,保证只有满足安全方略远程主机才干访问相应资源。 3.4  细粒度资源访问控制 SSL VPN资源访问控制机制可以以便灵活地控制顾客访问权限,实现细粒度资源访问权限控制。 超级管理员创立若干个域,并指定域管理员密码;域管理员配备本域资源和顾客,将资源加入到资源组,将顾客加入到顾客组,然后为每个顾客组指定可以访问资源组,从而实现对顾客访问权限控制。 SSL VPN网关还可以对远程主机进行安全检查,依照检查成果来判断该客户端可以访问哪些资源。 SSL VPN网关依照安全检查成果及顾客所在群组找到其可以访问资源组,进而找到可以访问资源列表,从而实现对资源访问控制。 4  典型组网应用 4.1  远程接入组网应用 图9 远程接入组网应用 如图9所示,SSL VPN在远程接入方面具备诸多优势,合用于各种复杂网络环境。与IPsec VPN相比,SSL VPN特别适合应用于如下场景: l              动态远程接入:顾客使用各种终端设备,在任何时间、任何地点通过Internet接入公司内部网络。 l              无法保证远程主机安全性:顾客使用网吧、旅馆提供公用计算机远程访问公司内部网络。公用计算机容易受到袭击、感染病毒,安全性无法得到保证。 l              不同远程接入顾客具备不同访问权限:在使用Extranet时,远程接入顾客也许是公司员工、合伙伙伴或其她人员,不同顾客可以访问资源各不相似。 l              远程终端运营环境各种各样:远程终端也许安装不同操作系统,使用不用应用程序访问公司内部网络。 图10 SSL VPN网关作为公司网络入口 如图10所示,SSL VPN网关可以与防火墙配合使用,作为公司网络入口,保护所有公司内部网络资源不受袭击。 图11 SSL VPN网关保护公司网内重要服务器 如图11所示,SSL VPN网关还可以用来保护公司内部重要服务器资源,在保证重要服务器资源不受袭击同步,对公司网络中其他某些不会导致任何影响。 4.2  共享式组网应用 图12 共享式组网应用 各种公司可以共用一种SSL VPN网关,每个公司使用一种域,在管理和使用上互不影响,从而为公司节约成本。如图12所示,公司A、公司B、公司C共用SSL VPN网关,分别在SSL VPN网关上创立域A、域B和域C。公司A在域A内管理自己顾客和服务器资源,并设立自己安全方略等,保证公司A顾客只能访问公司A资源,与公司B和公司C隔离。 4.3  SSL VPN组网模式 依照SSL VPN网关接入网络方式不同,SSL VPN组网模式分为单臂模式和双臂模式。 双臂模式中,SSL VPN网关位于内网(或内网服务器)与外网通信途径上,如图9、图10和图11所示。双臂模式可以提供对内网完全保护,但是由于SSL VPN网关处在内网与外网通讯核心途径上,其性能和稳定性对内外网之间数据传播有很大影响。 图13 单臂模式 如图13所示,单臂模式中,SSL VPN网关相称于一台代理服务器,代理远程祈求,与内部服务器进行通信。此时SSL VPN网关不处在网络通信核心途径上,其性能不会影响内外网通信。但是这种组网使得SSL VPN网关不能全面地保护公司内部网络资源。
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服