SSL VPN的技术原理与应用

1 概述

1.1 产生背景

随着互联网的普及和电子商务的飞速发展;越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络;访问公司的内部资源..接入用户的身份可能不合法、远端接入主机可能不够安全;这些都为公司内部网络带来了安全隐患..

通过加密实现安全接入的VPN——SVPNSecurity VPN技术提供了一种安全机制;保护公司的内部网络不被攻击;内部资源不被窃取..SVPN技术主要包括IPsec VPN和SSL VPN..

由于IPsec VPN实现方式上的局限性;导致其存在着一些不足：

● 部署IPsec VPN网络时;需要在用户主机上安装复杂的客户端软件..而远程用户的移动性要求筛板塔VPN可以快速部署客户端;并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点..这些问题是IPsec VPN技术难以解决的..

● 无法检查用户主机的安全性..如果用户通过不安全的主机访问公司内部网络;可能引起公司内部网络感染病毒..

● 访问控制不够细致..由于IPsec是在网络层实现的;对IP报文的内容无法识别;因而不能控制高层应用的访问请求..随着企业经营模式的改变;企业需要建立Extranet;与合作伙伴共享某些信息资源;以便提高企业的运作效率..对合作伙伴的访问必须进行严格有效地控制;才能保证企业信息系统的安全;而IPsec VPN无法实现访问权限的控制..

网络收集● 在复杂的组网环境中;IPsec VPN部署比较困难..在使用NAT的场合;IPsec VPN需要支持NAT穿越技术；在部署防火墙的网络环境中;由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头;因此;需要在防火墙上进行特殊的配置;允许IPsec报文通过..

IPsec VPN比较适合连接固定;对访问控制要求不高的场合;无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求..

scm435

SSL VPN技术克服了IPsec VPN技术的缺点;以其跨平台、免安装、免维护的客户端;丰富有效的权限管理而成为远程接入市场上的新贵..

1.2 技术优点

SSL VPN是以HTTPS为基础的VPN技术;它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制;为用户远程访问公司内部网络提供了安全保证..SSL VPN具有如下优点：

● 支持各种应用协议..SSL位于传输层和应用层之间;任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节..

● 支持多种软件平台..目前SSL已经成为网络中用来鉴别网站和网页浏览者身份;在浏览器使用者及Web服务器之间进行加密通信的全球化标准..SSL协议已被集成到大部分的浏览器中;如IE、Netscape、Firefox等..这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接..SSL VPN的客户端基于SSL协议;绝大多数的软件运行环境都可以作为SSL VPN客户端..

● 支持自动安装和卸载客户端软件..在某些需要安装额外客户端软件的应用中;SSL VPN提供了自动下载并安装客户端软件的功能;退出SSL VPN时;还可以自动卸载并删除客户端软件;极大地方便了用户的使用..

● 支持对客户端主机进行安全检查..SSL VPN可以对远程主机的安全状态进行评估;可以判断远程主机是否安全;以及安全程度的高低..

● 支持动态授权..传统的权限控制主要是根据用户的身份进行授权;同一身份的用户在不同的地点登录;具有相同的权限;称之为静态授权..而动态授权是指在静态授权的基础上;结合用户登录时远程主机的安全状态;对所授权利进行动态地调整..当发现远程主机不够安全时;开放较小的访问权限；在远程主机安全性较高时;则开放较大的访问权限..

● SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制;实现了外网用户对内网资源的受控访问..

● SSL VPN的部署不会影响现有的网络..SSL协议工作在传输层之上;不会改变IP报文头和TCP报文头;因此;SSL报文对NAT来说是透明的；SSL固定采用443号端口;只需在防火墙上打开该端口;不需要根据应用层协议的不同来修改防火墙上的设置;不仅减少了网络管理员的工作量;还可以提高网络的安全性..

● 支持多个域之间独立的资源访问控制..为了使多个企业或一个企业的多个部门共

用一个SSL VPN网关;减少SSL VPN网络部署的开销;SSL VPN网关上可以创建多个域;企业或部门在各自域内独立地管理自己的资源和用户..通过创建多个域;可以将一个实际的SSL VPN网关划分为多个虚拟的SSL VPN网关..

2 SSL VPN技术实现

2.1 概念介绍

SSL VPN用户分为超级管理员、域管理员和普通用户：

● 超级管理员：整个SSL VPN网关的管理者;可以创建域;设置域管理员的密码..

● 翻转立方体域管理员：负责管理所在域;可以创建本地用户和资源、设置用户访问权限等..域管理员可能是某个企业的网管人员..

● 普通用户：简称用户;为服务器资源访问者;权限由域管理员指定..

2.2 SSL VPN系统组成

图1 SSL VPN典型组网架构

SSL VPN的典型组网架构如图1所示;SSL VPN系统由以下几个部分组成：

● 远程主机：管理员和用户远程接入的终端设备;可以是个人电脑、手机、PDA等..

● SSL VPN网关：SSL VPN系统中的重要组成部分..管理员在SSL VPN网关上维护用户和企业网内资源的信息;用户通过SSL VPN网关查看可以访问哪些资源..SSL VPN网关负责在远程主机和企业网内服务器之间转发报文..SSL VPN网关与远程主机之间建立SSL连接;以保证数据传输的安全性..

● 企业网内的服务器：可以是任意类型的服务器;如Web服务器、FTP服务器;也可以是企业网内需要与远程接入用户通信的主机..

● CA：为SSL VPN网关颁发包含公钥信息的数字证书;以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接..

● 认证服务器：SSL VPN网关不仅支持本地认证;还支持通过外部认证服务器对用户的身份进行远程认证..

2.3 SSL VPN工作过程

SSL VPN的工作过程可以分为以下三步：

建模仿真

1 超级管理员在SSL VPN网关上创建域..

2 域管理员在SSL VPN网关上创建用户和企业网内服务器对应的资源..

3 用户通过SSL VPN网关访问企业网内服务器..

1. 超级管理员创建域

图2 超级管理员创建域

如图2所示;超级管理员创建域的过程为：

1 超级管理员在远程主机上输入SSL VPN网关的网址;远程主机和SSL VPN网关之间建立SSL连接;通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证..

2 SSL连接建立成功后;进入SSL VPN网关的Web登录页面;输入超级管理员的用户名、密码和认证方式..SSL VPN网关根据输入的信息对超级管理员进行身份验证..身份验证成功后;进入SSL VPN网关的Web管理页面..

3 超级管理员在SSL VPN网关上创建域;并设置域管理员密码..

2. 域管理员创建用户和企业网内服务器对应的资源

图3 域管理员创建用户和企业网内服务器对应的资源

如图3所示;域管理员创建用户和企业网内服务器对应资源的过程为：

1 域管理员在远程主机上输入SSL VPN网关的网址;远程主机和SSL VPN网关之间建立SSL连接;通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证..

>kuse006

本文发布于:2024-09-22 21:35:04，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/1/106454.html

上一篇：非对称密钥加密

下一篇：OPCUA智能网关，工业数字化之路

标签：用户远程企业

留言与评论（共有 0 条评论）