SSL-VPN网关产品方案.doc

数盾SSL VPN网关解决方案 V3.0 北京数盾信息科技有限公司 2007年8月 保密说明 本文档包含北京数盾信息科技有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向XXX公司承担保密责任： 1 ) 接受方在接收该文档前，已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方，以无附加保密要求方式获得的信息。 目 录 1 概述 1 1.1 背景 1 1.2 名词解释 2 2 产品简述 3 3 为什么选择DS VPN 网关 4 3.1 PKI的全面支持 4 3.2 对用户的一致性认证、单点登录 4 3.3 对应用的加速 5 3.4 业内首创进程认证技术 5 3.5 率先提供完整的二次应用开发接口 6 3.6其他特性 6 4 产品主要功能 7 5 产品部署 8 5.1 串联部署 8 5.2 并联部署 9 5.3 双机热备部署 10 5.4 负载均衡部署 12 6 技术原理 14 6.1 SSL-VPN工作结构设计 14 6.2 虚拟服务代理 15 6.3 服务器架构设计 17 7 选购指南 18 8 客户端运行环境 20 9 产品支持联系方式 20 1 名词解释 ² SSL：Secure Socket Layer，安全套接层协议层，它是网景（Netscape）公司提出的基于WEB应用的安全协议。 ² CA：Certificate Authority，数字证书中心，作为权威的第三方负责发放数字证书。 ² 数字证书：Certificate，数字证书中心签发的用于代表实体身份的一段电文。本文中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务器证书）。 ² LDAP：(Light Weight Directory Access Protocol) 是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。本文中专指用于CA发布证书及黑名单的服务。 ² 黑名单：通常所说的CRL（Certificate Revoke List ），因时间或者安全原因被废除的证书列表，一般发布在LDAP上。 2 产品简述 图表 1型网关外观（1U硬件） 图表 2 型网关外观（2U硬件） （以上产品外观图仅做参考，具体外观及接口以实物为准） DS SSL VPN 网关（以下简称DS SSL网关）是北京数盾信息科技有限公司自主研发的网络安全应用产品，为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户终端软件就可以安全访问公司的任何资源。为网络应用提供以下安全服务： n 基于USB数字证书、OTP以及SecureID在内的多因素高强度身份认证。 n 实现客户端远程透明安全访问内网，并通过全新的SNA架构实现区域安全访问。 n 业内第一家实现基于客户端进程绑定功能实现进程认证，全面保护VPN通道免受来自客户端木马、病毒的安全威胁，实现最可靠的客户端端点安全。 n 提供强大的加密性能和可伸缩性，透过基于ASIC硬件加速引擎提供最大超过3.2Gbps的吞吐量性能。 n 首创VPN二次开发接口，为用户提供完整的覆盖LINUX和Windows平台的应用程序开发接口，实现VPN、安全认证功能与应用的无缝集成，提高应用安全性和加密效率。 n 无论是通过互联网还是通过内部网访问应用，都能够提供良好的安全性（保密性及访问控制）。 DS SSL网关部署在用户浏览器与Web服务器之间，使用数字证书完成双方的身份认证，在服务器端和用户客户端建立256位高强度的SSL加密连接，实现客户端和服务器之间身份的有效认证和数据传输安全。DS SSL网关使用代理（proxy）应用模式，即DS SSL网关对所有经过的网络流量都进行处理，然后传递给被保护的服务器，因此用户必须通过DS SSL网关才能访问被保护的服务器。 3 为什么选择DS VPN 网关 DS VPN 网关的价值体现在以下几个方面： 3.1 PKI的全面支持 基于对PKI的深刻理解，DS SSL网关具备了对PKI的全面支持，包括以下几个方面： n 证书单双向的认证选择：DS SSL网关可以配置建立加密连接时是否认证用户证书。 n 多服务，多站点证书支持：DS SSL网关可以建立多个服务，保护不同的应用，每个服务可以使用不同的站点证书。 n 多条证书链支持：DS SSL网关支持多条证书链同时存在、同时生效，即同一个SSL服务可以同时认证多家CA中心的证书用户。 n 动态黑名单支持：DS SSL网关可以自动到LDAP发布点获取黑名单，并动态更新，不需要重新启动服务。 3.2 对用户的一致性认证、单点登录 通常的网关产品只是建立了一个加密连接，与应用完全无关，用户通过认证建立加密连接后必须经过再次认证（如用户名+口令、动态令牌等）登录应用系统，这种两次登录不仅没有加强安全性，而且在给用户带来不便的同时也带来安全隐患，由于加密连接和应用对用户认证的不一致，用户可以使用自己的证书建立连接，使用别人的用户名登录，这种方式给应用的流程和日后审计、取证带来了混乱。 DS SSL网关可以将用户证书中的任意信息以cookie方式向后台服务器传送，应用系统无需额外接口就可以方便获取证书用户信息，即保证了用户的一次登录，又保证了应用对用户认证的一致性，安全性得到进一步保障。同时，使用SSL网关保护的多个应用系统也实现了对用户的单点登录功能，即用户使用一张证书登录所有应用系统。 3.3 对应用的加速 DS SSL网关采用业内高端的基于ASIC硬件加速的高性能SSL VPN解决方案，加解密运算全部由硬件完成，效率是同等硬件环境下软件实现的20倍以上，可以彻底将应用服务器的CPU资源从繁重的加解密中解放出来，起到了对应用加速的作用。 DS SSL网关能够获得强大的硬件VPN加速性能，高达全面满足大规模用户 3.4 业内首创进程认证技术 DS SSL网关具备业内首创的进程认证功能，所谓进程认证指的是客户端在通过VPN通道访问企业内部服务器时，DS SSL安全网关将仅允许管理员指定的客户端应用程序可以访问服务器，该客户端上其他应用进程在未经许可的情况下无权访问VPN通道。 DS SSL网关采用先进的内核态编程技术实现对应用进程的认证与访问控制，DS SSL网关在内核态建立安全检查引擎，实时监控系统进程的分配与调用，对于允许的进程采用白名单方式建立访问控制列表(ACL)，任何进程通过VPN通道访问内部网络时，内核监控引擎将判断该应用进程是否在允许列表中，任何不被允许的进程将无法利用TCP/IP协议进程网络通讯。当然，DS SSL网关将不处理非VPN通道的网络通讯，以保障其他客户端应用不受影响。 3.5 率先提供完整的二次应用开发接口 很多情况下，应用系统需要实现“按需加密”的要求，这一方面是因为按需加密可以根据需要仅对部分敏感信息进行加密，从而减少VPN的通讯流量，加速应用效率，对于面对大量用户，强调实时响应时间的用户十分重要。另一方面，应用系统通过控制VPN通道可以隐藏用户名、口令等敏感信息，控制VPN建立时间等，能够有效防止来自客户端安全管理疏忽引起的安全风险。 DS SSL网关在业内率先为应用提供了完整的二次开发接口，包括基于Windows平台和Linux平台的接口，接口采用ANSI C++标准函数封装，具备良好的通用性，可支持VC++、DELPHIE、PHP、JAVA等各类开发平台。 3.6其他特性 l 安全性：系统设置专用网络接口管理系统，系统关闭所有不需要的服务和端口（如FTP、SSH等），只保留SSL服务端口，避免外界的攻击。 l 易用性：系统所有管理操作均采用web方式，操作简单方便。 l 适用性：系统支持串联、并联等多种部署方式，适用不同的网络环境和应用需求。 l 兼容性：支持IE、Netscape、Firefox等主流浏览器，支持IIS、Websphere、Weblogic、apache、tomcat等主流Web服务器。 l 高可用性：系统支持双机热备。 4 产品主要功能及性能参数 功能 说明 单双向认证选择功能 系统可以设置是否需要用户提交用户证书 动态黑名单功能 系统可以自动更新黑名单、动态更新，不需要重新启动服务 多服务功能 系统可以创建多个SSL服务，保护不同的应用服务 多站点证书功能 系统可以拥有多个站点证书，不同的服务可以拥有不同的站点证书 多证书链功能 一个SSL服务中可同时配置多条证书链，验证不同CA的用户证书 支持标准SSL客户端 支持IE、Firefox等主流浏览器的https连接，支持标准CSP连接 多种证书支持功能 支持DS、CFCA、SHECA及多数省级CA中心数字证书 支持多种web服务器 系统兼容IIS、Websphere、Weblogic、apache、tomcat等主流Web服务器 支持应用重定向功能 能够正常访问有重定向的网站 防火墙访问控制 系统支持基于端口、IP地址等防火墙访问控制功能 端点安全 系统支持基于应用进程的绑定认证功能，全面防御各类病毒木马，包括未知病毒、木马的防御功能 支持透明内网访问功能 透明支持对内网的各类应用，无需修改任何客户端配置 支持OTP身份认证功能 支持基于OTP令牌的一次性口令认证功能 系统备份恢复功能 系统可以备份当前SSL的所有配置，保证系统瘫痪时的快速恢复 日志发送功能 系统将日志以SYSLOG的方式发送到指定服务器。 第三方对称加密算法的替换功能 系统支持加密算法的替换 支持SSL2.0 SSL3.0 TLS1.0 高兼容性 双机热备功能 高可靠性 错误页面重定向功能 可以制定发生特定错误时显示的错误页面，如（证书验证错误、证书过期、证书在黑名单内等等） 支持Qos 保证网络的高效运行 产品型号 DS100-SSL 网络接口 4*100M 硬件加速 有 高度 1u机架 电源 功率：460w 电压：60~256v 工作温度 -5°C--55 °C 湿度 5%--95% RH，不凝结 新建连接数 1700（TPS/秒） 并发连接数 〉10000 支持用户数 无限制 转发延时 50ns SSL加速最大吞吐量（128位） 85Mbps 最大规则数 2048 可建立隧道数 100 5 产品部署 DS SSL网关可以部署为串联模式（桥模式）或者并联模式（单臂模式）。 5.1 串联部署 串联模式（桥模式）指DS SSL网关物理部署在用户和被保护的服务器之间，即DS SSL网关的外网口与用户网络连接，内网口与被保护服务器相连。由于被保护服务器通过内部网络与DS SSL网关连接，因此用户与服务器的连接被DS SSL网关隔离，用户只知道网关地址，无法直接访问被保护服务器，只有通过网关才能获得服务。 串联模式（桥模式）是DS SSL网关的标准部署模式，也是推荐部署模式，其部署示意图如下： 图表 3串联部署示意图 串联模式的优点是： l 安全性高：用户必须通过网关的认证加密后才能获取服务，同时网关将服务器与外界网络隔离，避免了对服务器的直接攻击。 l 结构清晰：串联模式在物理部署和逻辑结构上都非常简单，容易理解。 l 性能高：相对于并联模式，串联模式的效率及带宽利用率更高。 串联模式的缺点是： l 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。 5.2 并联部署 并联模式（单臂模式）指DS SSL网关逻辑部署在用户和被保护的服务器之间，而物理连接是在同一网络中，即DS SSL网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务，也可以直接连接到服务器（在知道服务器地址情况下）获取服务。 图表 4 并联部署示意图 并联模式的优点是： l 部署方便：应用无需作改动，用户只需变更一下访问地址即可。 并联模式的缺点是： l 安全性低：由于服务器和外界网络连接，存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性；同时，网关到服务器的明文数据也在网络上传输，存在被窃听的安全隐患。 l 性能较低：相对于串联模式，并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行，效率及带宽利用率相对较低。 5.3 双机热备部署 系统支持双机热备功能，在需要高可靠性的环境下需要对SSL网关进行双机热备部署。双机热备部署需要部署两台设备，一台作为主机，一台作为备机，两台机器都与网络连接，两台设备之间使用交叉线连接热备口进行状态检测，在正常情况下由主机提供服务，当主机发生异常时系统自动切换到备机进行服务。部署方式如图： 图表 5串联模式下的双机热备部署 图表 6并联模式下的双机热备部署 5.4 负载均衡部署 DS SSL网关可以和大多数负责均衡设备配合使用，DS SSL网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图： 图表 7负载均衡环境下的串联模式部署 图表 8负载均衡环境下的并联部署 注：负载均衡器将网络的SSL流量负载到可用的DS SSL网关上，DSSSL网关对后端的Web服务器并没有负载均衡的作用。 6 技术原理 6.1 SSL-VPN工作结构设计 相对于传统的VPN方案，SSL协议能在满足安全需求的基础上更适应大多企业用户，采纳SSL VPN作为远程安全接入技术，不仅仅是由于其对客户端设备要求低降低了配置运行支撑成本，更重要的是其接入控制功能。SSL VPN是基于应用层次的VPN解决方案，而对访问请求身份的判断验证正属于网络第七层的范畴，也就是应用层才关注的内容。 基于SSL的远程访问的安全套接层（SSL）的方案很简单：利用SSL协议自身的加密和验证功能，提供安全远程访问企业应用的机制。所谓的SSL VPN，是结合SSL功能的远程客户端和安全网关，不用安装诸如IPSec VPN客户机之类就可以随地访问基于Web、传统C/S和终端等应用的功能。 图3.1描述了我们的SSL-VPN 接入模型： 图图表9 SSL-VPN系统结构 图9给出了接入模型的工作方式：远程用户使用接入模型打开与SSL-VPN 服务器之间的通道，并通过一定的访问控制策略获取授权访问的内部服务器信息。当用户使用譬如telnet的客户程序欲远程登陆内部telnet服务器时，接入模型重新建立一个与VPN服务器间的SSL安全通道，并将客户欲连接的真正服务器即telnet server的地址信息传递给VPN网关，然后VPN网关建立与telnet server之间的连接。数据就在这样的通道上传送：用户－VPN 服务器－telnet server。在数据交换的中途也可以有代理服务器的存在。 该接入模型提供增强的远程安全接入功能，只有经认证的用户才能对资源进行访问，安全性得以提高。同时能对加密隧道进行细分，从而使得终端用户能够同时接入 Internet 和访问内部企业网资源，也就是说它具备可控功能。另外还细化了接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问。 这种解决方案的另一个特点时基本上不受接入位置限制，可以从众多 Internet 接入设备、任何远程位置访问网络资源。 SSL VPN 通信基于标准 TCP/UDP 协议传输，因而能遍历所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入，实现了任意位置的远程安全接入。 6.2 虚拟服务代理 一般的SSL应用是基于浏览器的，通过HTTP连接访问Web应用软件。它们获得高级功能的方式是，运行时分析网页，确保与客户机相连的每条Web导航路径都是可以路由的。这时SSL VPN不用客户软件就可以访问企业或者组织网络内部的应用软件。 自由移动的浏览器是SSL-VPN访问方式的优点，却又是弊端所在。这把你的网络暴露在无数安全状态不明的计算机面前；同时默认的用户验证只限于用户名和口令，这也不安全。 这里提供的是种SSL隧道技术，它部分模仿了IPSEC VPN，让用户运行接入模型的虚拟服务代理(详细技术参考4.1)，客户端程序的工作就是将连接请求重定向到VPN Server，建立与VPN Server间的安全通道，并交换完成一次访问所需的数据信息。 图表10 系统工作模型 图表10给出了接入模型的工作过程： 1） 接入系统运行初始化各项参数，包括代理设置、平台版本号等，并发起与SSL VPN服务器的第一次连接，获取内部服务器IP列表 2） 客户端有应用程序欲对外发起连接，接入系统检查目的地址信息，若不是VPN内部服务器，则不预处理，直接建立连接，否则转入3）； 3） 处理代理； 4） 重定向模块向VPN Server申请SSL连接，并将真实目的地址信息通过私有握手的形式发送给它，vpn Server与内部服务器建立连接 5） 一条从接入系统到VPN Server再到内部服务器的通路建立成功。 通道位于Internet的那部分是安全的，连接建立过程中客户端系统与VPN Server之间要经过身份鉴定与密钥交换，从而建立安全连接。具体过程如下：系统将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给客户端，同时还有服务器的证书。这部分工作是由SSL协议本身制定的流程。 连接由客户端系统发起，首先是TCP的三次握手，而后是SSL的连接过程，然后再是VPN自己的私有握手过程。一切都成功之后，用户可以进行操作。当系统配置了代理服务器信息的时候工作流程会复杂一些，然而总体的思路是不变的，那就是通过私有握手交换真实服务器的信息，将对真实服务器的连接重定向到VPN server。当然在登陆VPN Server的时候会有相应的控制策略保证用户在授权状态下对服务器资源进行访问。 6.3 服务器架构设计 SSL VPN服务器在整个VPN系统中处于非常关键的位置，所有客户端与内网服务器的通讯数据都要经过它的处理。服务器包括了通信控制引擎、SSL数据握手引擎、安全日志引擎、重定向引擎、安全接入引擎和数据传输引擎，图11给出了VPN服务器的逻辑框架结构。 SSL数据握手引擎主要负责SSL握手阶段的工作，它实现了端点认证，并为通信双方协商了SSL数据传输阶段的密钥,下面介绍一下各引擎的关系： 1. 通信控制引擎先处理客户端发起的TCP连接； 2. SSL数据握手引擎在该TCP连接的基础上进行SSL握手； 3. 解析SSL连接上的第一个数据包，然后决定启动重定向引擎、安全接入引擎和UDP数据传输引擎这三者之一。 4. 最后启动数据传输引擎，以转发客户端和内网服务器之间的通信数据。 安全日志负责对客户端的每个http访问都进行记录。 图11 VPN服务器逻辑模块结构 7 客户端运行环境 与DS SSL安全网关连接的客户端推荐配置如下： CPU：P4 以上 内存：256M以上 操作系统：win98以上 浏览器：IE6.0以上，密钥长度128位 8产品支持联系方式 北京数盾信息科技有限公司 地址：北京市海淀区花园东路10号高德大厦5楼 电话：（010）82038864/65/67 传真：分机116 Email：support@ 邮编：100083