蓝盟IT外包聊聊SSLVPN(蓝盟IT外包聊聊SSLVPN)
蓝盟IT外包聊聊SSLVPN(蓝盟IT外包聊聊SSLVPN)有两个关键要点,是SSL VPN技术两个基本安全性的体现。・更重要的是,相对于IPSec网络层的控制,SSL VPN的所有访问控制都是基于应用层,其细分程度可以达到URL或文件级别,可以大大提高企业远程接入的安全级别。这时SSL VPN的出现,有效地解决了上述问题,在实际远程接入方案中应用非常广泛。・SSL VPN工作在传输层和应用层之间,不会改变IP报文头和TCP报文头,不会影响原有网络拓扑。如果网络中部署了防火墙,只需放行传统的HTTPS(443)端口。・SSL VPN基于B/S架构,无需安装客户端,只需要使用普通的浏览器进行访问,方便易用。
随着远程办公需求越来越强,在远程接入、访问内网这一具体应用场景中,传统VPN巨头IPSec也暴露出自身一些短板。
・组网不灵活。建立IPSec VPN,如果增加设备或调整用户的IPSec策略,需要调整原有IPSec配置。
・需要安装客户端软件,导致在兼容性、部署和维护方面都比较麻烦。
・对用户的访问控制不够严格,只能进行网络层的控制,无法进行细粒度的、应用层资源的访问控制。
这时SSL VPN的出现,有效地解决了上述问题,在实际远程接入方案中应用非常广泛。
・SSL VPN工作在传输层和应用层之间,不会改变IP报文头和TCP报文头,不会影响原有网络拓扑。如果网络中部署了防火墙,只需放行传统的HTTPS(443)端口。
・SSL VPN基于B/S架构,无需安装客户端,只需要使用普通的浏览器进行访问,方便易用。
・更重要的是,相对于IPSec网络层的控制,SSL VPN的所有访问控制都是基于应用层,其细分程度可以达到URL或文件级别,可以大大提高企业远程接入的安全级别。
有两个关键要点,是SSL VPN技术两个基本安全性的体现。
(1)传输过程安全
远程用户与SSL VPN服务器之间,采用标准的SSL协议对传输的数据包进行加密。那么从用户打开浏览器、访问SSL VPN服务器地址开始,SSL协议就开始运行。
(2)用户身份安全
远程用户访问SSLVPN服务器登录界面,SSLVPN服务器要求输入用户名/密码。这实际是SSLVPN服务器要求对用户身份进行认证。SSLVPN服务器往往支持多种用户认证方式,来保证访问的安全性、合法性。现在的防火墙支持用户名/密码的本地认证、服务器认证、证书认证、用户名/密码 证书双重因素认证等多种认证方式。
所谓SSL VPN技术,实际是VPN设备厂商创造的名词,指的是远程接入用户利用标准Web浏览器内嵌的SSL(Security SocketLayer,安全套接层)封包处理功能,连接企业内部的SSL VPN服务器,然后SSL VPN服务器可以将报文转向给特定的内部服务器,从而使得远程接入用户在通过验证后,可访问企业内网特定的服务器资源。其中,远程接入用户与SSL VPN服务器之间,采用标准的SSL协议对传输的数据包进行加密,这相当于远程接入用户与SSL VPN服务器之间建立起隧道。
以下为SSL VPN认证建立连接的简要步骤:
* 以防火墙作为SSLVPN服务器,在防火墙上完成相关配置。SSL服务器的功能在防火墙上被称为虚拟网关。虚拟网关的地址/域名即为SSL VPN服务器的地址/域名。
(1)配置虚拟网关,启用SSL VPN服务器功能,配置服务器地址等。
(2)配置认证授权方式为本地认证,并创建用户包括配置用户名和密码。
(3)配置安全策略,保证网络互通。安全策略的配置方法我们将在“8.7配置安全策略”中介绍。
* 使用配置好的用户名/密码,登录SSLVPN服务器。
(1)客户端x.x.x.x以IE浏览器向防火墙的虚拟网关https://y.y.y.y发起链接请求。SSL四次握手建立通信过程,SSL VPN服务器回应Server Finished Message(已被加密,提示为加密的握手消息)后,对应登录到提示安全证书有问题的警告界面。此时客户端与服务器实际并未开始正常通信,而是在SSL握手阶段,客户端验证服务器不合法,在其Web界面提示用户是否继续浏览该网站。
(2)强制信任,选择“继续浏览该网站”,客户端要求使用新会话,重新发起SSL握手协议。握手完成之后,开始正常的加密通信,直至用户浏览器上成功加载出虚拟网关的用户登录界面。
(3)输入用户名/密码,继续发起SSL握手协议,经过4次通信协商出“会话密钥”,从携带用户名/密码的报文起所有用户与服务器之前的数据被加密(显示为Application Data)发送给服务器,完成认证过程,建立连接。
如需对SSL VPN具体实施应用有进一步的了解,请联系蓝盟IT外包获取免费咨询。
文/上海蓝盟 IT外包专家
