SSL VPN技术白皮书

SSL VPN技术白皮书

关键词：SSL VPN、HTTPS、Web接入方式、TCP接入方式、IP接入方式

摘 要：SSL VPN是一种新兴的以HTTPS为基础的VPN技术，为用户远程访问公司内部网络提

供了安全保证。本文介绍了SSL VPN技术的实现原理及典型组网应用。

缩略语： 缩略语 AD CA HTTPS LDAP RADIUS SMB 英文全名 Active Directory Certificate Authority HTTP Security SSL VPN

中文解释 活动目录 证书机构 安全的HTTP，即支持SSL的HTTP Lightweight Directory Access 轻型目录访问协议 Protocol Remote Authentication Dial-In 远程认证拨号用户服务 User Service Server Message Block 服务器信息块，用来实现文件共享、打印机等资源访问的协议，Windows、Linux操作系统均支持该协议 Secure Sockets Layer 安全套接层 Virtual Private Network 虚拟专用网络

目 录

1 概述

1.1 产生背景 1.2 技术优点

2 SSL VPN技术实现 2.1 概念介绍

2.2 SSL VPN系统组成 2.3 SSL VPN工作过程 2.4 SSL VPN接入方式 2.4.1 Web接入方式 2.4.2 TCP接入方式 2.4.3 IP接入方式

3 Comware V5平台实现的技术特色 3.1 客户端免安装，免维护 3.2 支持多种用户认证技术 3.3 丰富灵活的安全策略 3.4 细粒度的资源访问控制 4 典型组网应用

4.1 远程接入组网应用

4.2 共享式组网应用 4.3 SSL VPN组网模式

1 概述

1.1 产生背景

随着互联网的普及和电子商务的飞速发展，越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络，访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全，这些都为公司内部网络带来了安全隐患。

通过加密实现安全接入的VPN——SVPN（Security VPN）技术提供了一种安全机制，保护公司的内部网络不被攻击，内部资源不被窃取。SVPN技术主要包括IPsec VPN和SSL VPN。 由于IPsec VPN实现方式上的局限性，导致其存在着一些不足： l 部署IPsec VPN网络时，需要在用户主机上安装复杂的客户端软件。而远程用户的移动性要求VPN可以快速部署客户端，并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN技术难以解决的。 l 无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络，可能引起公司内部网络感染病毒。 l 访问控制不够细致。由于IPsec是在网络层实现的，对IP报文的内容无法识别，因而不能控制高层应用的访问请求。随着企业经营模式的改变，企业需要建立Extranet，与合作伙伴共享某些信息资源，以便提高企业的运作效率。对合作伙伴的访问必须进行严格有效地控制，才能保证企业信息系统的安全，而IPsec VPN无法实现访问权限的控制。

l 在复杂的组网环境中，IPsec VPN部署比较困难。在使用NAT的场合，IPsec VPN需要支持NAT穿越技术；在部署防火墙的网络环境中，由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头，因此，需要在防火墙上进行特殊的配置，允许IPsec报文通过。 IPsec VPN比较适合连接固定，对访问控制要求不高的场合，无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。

SSL VPN技术克服了IPsec VPN技术的缺点，以其跨平台、免安装、免维护的客户端，丰富有效的权限管理而成为远程接入市场上的新贵。

1.2 技术优点

SSL VPN是以HTTPS为基础的VPN技术，它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点：

l 支持各种应用协议。SSL位于传输层和应用层之间，任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。 l 支持多种软件平台。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份，在浏览器使用者及Web服务器之间进行加密通信的全球化标准。SSL协议已被集成到大部分的浏览器中，如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。SSL VPN的客户端基于SSL协议，绝大多数的软件运行环境都可以作为SSL VPN客户端。

支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件的应用中，SSL VPN提供了自动下载并安装客户端软件的功能，退出SSL VPN时，还可以自动卸载并删除客户端软件，极大地方便了用户的使用。 l 支持对客户端主机进行安全检查。SSL VPN可以对远程主机的安全状态进行评估，可以判断远程主机是否安全，以及安全程度的高低。

l 支持动态授权。传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，具有相同的权限，称之为静态授权。而动态授权是指在静态授权的基础上，结合用户登录时远程主机的安全状态，对所授权利进行动态地调整。当发现远程主机不够安全时，开放较小的访问权限；在远程主机安全性较高时，则开放较大的访问权限。 l SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制，实现了外网用户对内网资源的受控访问。

l SSL VPN的部署不会影响现有的网络。SSL协议工作在传输层之上，不会改变IP报文头和TCP报文头，因此，SSL报文对NAT来说是透明的；SSL固定采用443号端口，只需在防火墙上打开该端口，不需要根据应用层协议的不同来修改防火墙上的设置，不仅减少了网络管理员的工作量，还可以提高网络的安全性。

l 支持多个域之间独立的资源访问控制。为了使多个企业或一个企业的多个部门共用一个SSL VPN网关，减少SSL VPN网络部署的开销，SSL VPN网关上可以创建多个域，企业或部门在各自域内独立地管理自己的资源和用户。通过创建多个域，可以将一个实际的SSL VPN网关划分为多个虚拟的SSL VPN网关。

l

2 SSL VPN技术实现

2.1 概念介绍

SSL VPN用户分为超级管理员、域管理员和普通用户：

l 超级管理员：整个SSL VPN网关的管理者，可以创建域，设置域管理员的密码。 l 域管理员：负责管理所在域，可以创建本地用户和资源、设置用户访问权限等。域管理员可能是某个企业的网管人员。

l 普通用户：简称用户，为服务器资源访问者，权限由域管理员指定。

2.2 SSL VPN系统组成

图1 SSL VPN典型组网架构

SSL VPN的典型组网架构如图1所示，SSL VPN系统由以下几个部分组成：

远程主机：管理员和用户远程接入的终端设备，可以是个人电脑、手机、PDA等。 l SSL VPN网关：SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和企业网内资源的信息，用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和企业网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接，以保证数据传输的安全性。

l 企业网内的服务器：可以是任意类型的服务器，如Web服务器、FTP服务器，也可以是企业网内需要与远程接入用户通信的主机。

l CA：为SSL VPN网关颁发包含公钥信息的数字证书，以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接。 l 认证服务器：SSL VPN网关不仅支持本地认证，还支持通过外部认证服务器对用户的身份进行远程认证。

l

2.3 SSL VPN工作过程

SSL VPN的工作过程可以分为以下三步： (1) 超级管理员在SSL VPN网关上创建域。

(2) 域管理员在SSL VPN网关上创建用户和企业网内服务器对应的资源。 (3) 用户通过SSL VPN网关访问企业网内服务器。 1. 超级管理员创建域

图2 超级管理员创建域

如图2所示，超级管理员创建域的过程为：

(1) 超级管理员在远程主机上输入SSL VPN网关的网址，远程主机和SSL VPN网关之间建立SSL连接，通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。

(2) SSL连接建立成功后，进入SSL VPN网关的Web登录页面，输入超级管理员的用户名、密码和认证方式。SSL VPN网关根据输入的信息对超级管理员进行身份验证。身份验证成功后，进入SSL VPN网关的Web管理页面。

(3) 超级管理员在SSL VPN网关上创建域，并设置域管理员密码。 2. 域管理员创建用户和企业网内服务器对应的资源