4 SSL VPN
4.1 概念
4.1.1 SSL
SSL(Secure Socket Layer,安全套接层)是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL基于TCP/IP连接的应用程序协议(如HTTP、Telenet和FTP等)提供数据加密、服务器认证、消息完整性以及可选的客户端认证。
SSL协议结构及各部分作用如图4.1所示。
图4.1 SSL协议结构及各部分作用
SSL的建立主要依靠SSL握手协议,SSL握手协议的基本设计思路:采用公钥加密算法进行密文传输。SSL通过服务器与客户端的4次握手建立连接,详细过程如图4.2所示。
图4.2 SSL握手过程
4.1.2 SSL VPN背景
SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用。SSL VPN的出现有效解决了上述问题,在实际远程接入方案中应用十分广泛。
4.1.3 SSL VPN的应用场景
SSL VPN技术,指远程接入用户利用Web浏览器内嵌的SSL封包处理功能,连接企业内部的SSL VPN服务器,然后SSL VPN服务器可以将报文转向给特定的内部服务器,从而使得远程接入用户在通过验证后,即可访问企业内网特定的额服务器资源。其中,远程接入用户与SSL VPN服务器之间,采用标准的SSL协议对传输的数据包进行加密,这相当于远程接入用户与SSL VPN服务器之间建立起隧道。SSL VPN服务器通常部署在企业出口防火墙之后,其典型应用场景如图4.3所示。
图4.3 SSL VPN典型应用场景
4.1.4 SSL VPN的四大业务
(1)文件共享
(2)Web代理
(3)端口转发
(4)网络扩展
4.2 文件共享
4.2.1 文件共享应用场景
SSL VPN的文件共享功能,简单说就是让远程用户能够直接通过浏览器安全地访问企业内部的文件服务器,而且支持新建、修改、上传和下载等常用的文件操作,SSL VPN文件共享的应用场景如图4.4所示。
图4.4 SSL VPN文件共享的应用场景
4.2.2 文件共享流程
SSL VPN文件共享原理如图4.5所示
图4.5 SSL VPN文件共享的应用场景
图4.5中流程可以简述为:
(1)客户端向内网文件服务器发起HTTPS格式的请求,发送到USG防火墙;
(2)USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文;
(3)USG防火墙发送SMB格式的请求报文给文件服务器;
(4)文件服务器接受请求报文,将请求结果发送给USG防火墙,用的是SMB报文
(5)USG防火墙将SMB应答报文转换为HTTPS格式;
(6)将请求结果(HTTPS格式的报文)发送到客户端。
4.3 Web代理
4.3.1 Web代理分类
Web代理,即是通过防火墙做代理访问内网的Web服务器资源(即URL资源)。Web代理有两种实现方式:Web改写(默认)和Web-Link。
(1)Web改写:是将内网web链接隐藏起来,起到加密的作用。即远程用户在点击虚拟网关资源列表中的链接时,虚拟网关会将用户要访问的真实URL进行加密。同时用户要访问的Web资源页面链接对象(例如Flash、PDF、Java Applet等)的URL也会被一并加密。
(2)Web-Link:不会进行加密和适配,只做单纯“转发”远程用户的Web资源请求。
两者的比结果如表4.1所示
表4.1 Web改写和Web-Link对比
4.3.2 Web代理流程
Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段。首先是远程用户与FW虚拟网关之间建立HTTPS会话,然后FW虚拟网关再与Web Server建立HTTP会话。虚拟网关在远程用户访问企业内网Web Server中起到了改写、转发Web请求的作用。Web代理封装报文流程如图4.6所示。
图4.6 SSL VPN Web代理报文封装流程
图4.6中,远程用户与虚拟网关建立HTTPS会话时,使用的源端口为6293,这个源端口是一个随机端口;目的端口是443。虚拟网关与Web Server建立HTTP会话时,源端口是10091,这个源端口也是随机端口,目的端口为80。
4.4 端口转发
4.4.1 端口转发应用场景
端口转发,即使用专门的端口转发客户端程序,在远程用户侧获取用户的访问请求,再通过虚拟网关转发到内网相应的服务器。端口转发的应用场景如图4.7所示。
图4.7 SSL VPN端口转发的应用场景
4.4.2 端口转发流程
端口转发的原理如图4.8所示。
图4.8 SSL VPN端口转发流程
4.4.3 特点
端口转发具有以下特点:
(1)实现对内网TCP应用的广泛支持
(2)远程桌面、outlook、Notes、FTP等
(3)所有数据流都经过加密认证
(4)对用户进行统一的授权、认证
(5)提供对TCP应用的访问控制
(6)只需标准浏览器,不用安装客户端
4.5 网络扩展
4.5.1 网络扩展应用场景
网络扩展用于实现对内网所有复杂应用的全网访问。如图4.9所示,远程用户访问企业内部的的语音服务器(SIP Sever)参加电话会议。
图4.9 SSL VPN网络扩展的应用场景
4.5.2 网络扩展流程
远程用户使用网络扩展功能访问内网资源时,其内部交互过程如图4.10所示。
图 4.10 SSL VPN网络扩展流程
详细过程为:
(1)远程用户通过IE浏览器登录虚拟网关;
(2)远程用户成功登录虚拟网关后启动网络扩展功能,远程用户启动网络扩展功能后会触发以下几个动作:
1)远程用户与虚拟网关之间建立一条新的SSL VPN隧道;
2)远程用户本地PC会自动生成一个虚拟网卡,虚拟网关从地址池中随机选择一个IP地址,分配给远程用户的虚拟网卡,该地址作为远程用户与企业内网之间通信之用。有了这个私网地址,远程用户就如同企业内网用户一样可以方便访问内网IP资源。
3)虚拟网关向远程用户下发到达企业内网Sever的路由信息;
(3)远程用户向企业内网Sever发送业务请求报文,该报文通过SSL VPN隧道到达虚拟网关;
(4)虚拟网关收到报文后进行解封装,并将解封装后的业务请求报文发送给内网Sever;
(5)内网Sever响应远程用户的业务请求;
(6)响应报文到达虚拟网关后进入SSL VPN隧道;
(7)远程用户收到业务响应报文后进行解封装,并将解封装后的业务请求报文发送给内网Sever。
4.5.3 两种传输模式
网络扩展建立SSL VPN隧道的方式有两种:可靠模式和快速传输模式。可靠模式下,SSL VPN采用SSL协议封装报文,并以TCP协议作为传输协议;快速模式下,SSL VPN采用QUIC(Quick UDP Internet Connections)协议封装报文,并以UDP协议作为传输协议。QUIC也是基于TLS/SSL协议实现的数据加密协议,他的作用和SSL一致,只是经它封装的报文要基于UDP协议传输。可靠模式和快速模式下报文封装过程如图4.11所示。
(a)可靠模式
(b)快速模式
图4.11 两种模式下报文封装过程
4.6 四种业务对比
Web代理只支持基于HTTP协议的应用;文件共享只支持SMB、NFS协议的应用;端口转发只支持基于TCP协议的应用,但是不支持基于UDP协议的应用(例如用户的电话会议系统使用的SIP协议即基于UDP)。而网络扩展则一步到位直接支持到了IP层。其中,四种业务支持的网络层次如图4.12所示。
图4.12 SSL VPN四种业务支持的网络层次
SSL VPN四大功能的业务规划如图表4.2所示。
表4.2 SSL VPN业务规划
3900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
