SSL VPN

什么是SSL VPN？

         SSL VPN是采用SSL（Security Socket Layer）/TLS（Transport Layer Security）协议来实现远程接入的一种轻量级VPN技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。因为SSL协议内置于浏览器中，使用SSL协议进行认证和数据加密的SSL VPN可以免于安装客户端。
        移动办公用户使用终端（如便携机、PAD或智能手机）与企业内部的SSL VPN服务器建立SSL VPN隧道以后，就能通过SSL VPN隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源。

SSL VPN是如何工作的？

        移动办公用户访问企业内网的服务器时，首先与SSL VPN服务器之间建立起安全连接（SSL VPN隧道），采用标准的SSL协议对传输的数据包进行加密。登录SSL VPN服务器时，用户访问SSL VPN服务器登录界面，SSL VPN服务器会对用户身份进行认证。SSL VPN服务器往往支持多种用户认证方式，来保证访问的安全性、合法性。

        然后SSL VPN服务器将报文转发给特定的内部服务器，从而使得移动办公用户在通过验证后，可访问企业内网中管理员分配指定的服务器资源。SSL VPN可以借助Web浏览器覆盖所有的远程访问需求。
​

IPsec VPN和SSL VPN的区别
​ 

Ipsec VPN针对Client to LAN的场景，存在的弱势点：

1、IKEV1不支持远程用户接入，IKEV2支持，但是采用EAP认证的方法，目前尚未普及

2、因为需要进行参数协商，所以，我们的PC设备需要安装专门的应用程序来进行支持

3、因为IPSEC VPN需要抓取感兴趣流，但是，PC设备所谓私网网段不固定，需要不断的调整策略，导致部署不灵活

4、因为IPSEC VPN主要通过抓取感兴趣流来进行访问控制，最多可以深入到服务层面，但

是，无法深入到应用层面。所以，如果需要进行更细颗粒度的控制，则IPSEC VPN略显不

足

​

SSL VPN的优势

1、SSL VPN采用的是一种基于B/S架构的模式，不需要额外安装客户端，可以直接通过浏览

器进行访问

2、部署更加灵活，因为他的封装位置在于传输层和应用层之间，不会保护传输层和网络层的

数据，所以，不会影响到网络环境

3、因为SSL VPN针对的是应用层进行控制，所以，可以实现更细颗粒的控制，可以深入到应用层面

这里我们以防火墙作为SSL VPN服务器，在防火墙上完成相关配置。

步骤一

SSL服务器的功能在防火墙上被称为虚拟网关。虚拟网关的地址/域名即为SSL VPN服务器的地址/域名。
a.配置虚拟网关，启用SSL VPN服务器功能，配置服务器地址等。
b.配置认证授权方式为本地认证、并创建用户包括配置用户名和密码。
c.配置防火墙安全策略，保证网络互通。

步骤二

按客户端登录SSL VPN服务器步骤、配置好的用户名/密码，登录SSL VPN服务器。

a.客户端10.108.84.93以IE浏览器向防火墙的虚拟网关https://10.174.64.61发起链接请求。
如下图所示，No.21-No.29展示了完SSL握手的四次通信过程，至No.29服务器回应Server Finished Message（已被加密，提示为加密的握手消息）后，对应登录到提示安全证书有问题的警告界面。此时客户端与服务器实际并未开始正常通信，而是在SSL握手阶段，客户端验证服务器不合法，在其Web界面提示用户是否继续浏览该网站。

b.强制信任，选择“继续浏览该网站”，从No.103起客户端要求使用新会话，重新发起SSL握手协议。握手完成之后，开始正常的加密通信，直至用户浏览器上成功加载出防火墙虚拟网关的用户登录界面。
c.输入用户名/密码，从No.1561起继续发起SSL握手协议，经过四次通信协商出“会话密钥”，从携带用户名/密码的报文起所有用户与服务器之前的数据被加密（显示为Application Data）发送给服务器。

用户身份认证

为了保证SSL VPN接入用户的合法性、提升系统安全性，SSL VPN服务器往往支持多种认证方式，上文一直在以配置并存储在防火墙上的用户名/密码为例，这是最基本最简单的认证方式。
实际华为防火墙支持以下认证方式：

• 用户名/密码的本地认证：即上文各种举例，指将用户名/密码在防火墙上配置并存储，用户输入与之匹配的用户名/密码即可成功登录。
• 用户名/密码的服务器认证：指将用户名/密码存储在专门的认证服务器上，用户输入用户名/密码后，防火墙将其转至认证服务器认证。当前支持的认证服务器类型包括：RADIUS、HWTACACS、SecurID、AD、LDAP。
• 证书匿名认证：指用户的客户端配备客户端证书，防火墙通过验证客户端的证书来认证用户身份。
• 证书挑战认证：指服务器通过用户名/密码+客户端证书双重因素认证用户身份。可以看出，此种方式是最安全的。
  • 单用客户端证书认证，当客户端丢失或被非法使用时就无法保证安全；
  • 单用用户名/密码认证，当使用不同客户端时，客户端本身可能存在安全隐患。双重因素认证方式，保证了指定用户、使用指定客户端登录SSL VPN服务器，进而合法访问内网资源。

 

防火墙通过验证客户端的证书来认证用户身份，流程如下：

①用户、防火墙分别导入由同一CA机构颁发的客户端证书和客户端CA证书。
②用户（客户端）将自己的证书发给防火墙，防火墙对该证书进行认证。
满足以下几个条件，则认证通过：

• 客户端证书与防火墙上导入的客户端CA证书由同一家CA颁发。按照②所述，正是应为同一家CA机构颁发。
• 客户端证书在有效期内。
• 客户端证书中的用户过滤字段是防火墙上已经配置并存储的用户名。例如，客户端证书的用户过滤字段CN=user000010，那么防火墙上已经配置对应的用户名user000010，表明这是颁发给user000010的客户端证书。

③用户通过防火墙的身份认证后，会成功登录资源界面，可以开始访问内网的指定资源。