SSL VPN的技术原理与应用
概述
1。1  产生背景
随着互联网的普及和电子商务的飞速发展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。
通过加密实现安全接入的VPN-—SVPNSecurity VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取。SVPN技术主要包括IPsec VPNSSL VPN
由于IPsec VPN实现方式上的局限性,导致其存在着一些不足:
              部署IPsec VPN网络时,需要在用户主机上安装复杂的客户端软件。而远程用户的移动性要求VPN可以快速部署客户端,并动态建立连接;远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN技术难以解决的.
登录页面背景图              无法检查用户主机的安全性.如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。
              访问控制不够细致。由于IPsec是在网络层实现的,对IP报文的内容无法识别,因而不能控制高层应用的访问请求。随着企业经营模式的改变,企业需要建立Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率.对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而IPsec VPN无法实现访问权限的控制。
              在复杂的组网环境中,IPsec VPN部署比较困难。在使用NAT的场合,IPsec VPN需要支持NAT穿越技术;在部署防火墙的网络环境中,由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头,因此,需要在防火墙上进行特殊的配置,允许IPsec报文通过。
IPsec VPN比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。
SSL VPN技术克服了IPsec VPN技术的缺点,以其跨平台、免安装、免维护的客户端,丰富有效的权限管理而成为远程接入市场上的新贵。
1.2  技术优点
SSL VPN是以HTTPS为基础的VPN技术,它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点:
              支持各种应用协议.SSL位于传输层和应用层之间,任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。
              支持多种软件平台.目前SSL已经成为网络中用来鉴别网站和网页浏览者身份,在浏览器使用者及Web服务器之间进行加密通信的全球化标准。SSL协议已被集成到大部分的浏览器中,如IENetscapeFirefox等。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。SSL VPN的客户端基于SSL协议,绝大多数的软件运行环境都可以作为SSL VPN客户端.
              支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件的应用中,SSL VPN提供了自动下载并安装客户端软件的功能,退出SSL VPN时,还可以自动卸载并删除客户端软件,极大地方便了用户的使用。
              支持对客户端主机进行安全检查。SSL VPN可以对远程主机的安全状态进行评估,可以判断远程主机是否安全,以及安全程度的高低。
              支持动态授权.传统的权限控制主要是根据用户的身份进行授权,同一身份的用户在不同的地点登录,具有相同的权限,称之为静态授权.而动态授权是指在静态授权的基础上,结合用户登录时远程主机的安全状态,对所授权利进行动态地调整。当发现远程主机不够安全时,开放较小的访问权限;在远程主机安全性较高时,则开放较大的访问权限。
              SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制,实现了外网用户对内网资源的受控访问.
              SSL VPN的部署不会影响现有的网络。SSL协议工作在传输层之上,不会改变IP报文头和TCP报文头,因此,SSL报文对NAT来说是透明的;SSL固定采用443号端口,只需在防火墙上打开该端口,不需要根据应用层协议的不同来修改防火墙上的设置,不仅减少了网络管理员的工作量,还可以提高网络的安全性。
              支持多个域之间独立的资源访问控制。为了使多个企业或一个企业的多个部门共
用一个SSL VPN网关,减少SSL VPN网络部署的开销,SSL VPN网关上可以创建多个域,企业或部门在各自域内独立地管理自己的资源和用户。通过创建多个域,可以将一个实际的SSL VPN网关划分为多个虚拟的SSL VPN网关。
2  SSL VPN技术实现
2。1  概念介绍
SSL VPN用户分为超级管理员、域管理员和普通用户:
              超级管理员:整个SSL VPN网关的管理者,可以创建域,设置域管理员的密码。
              域管理员:负责管理所在域,可以创建本地用户和资源、设置用户访问权限等。域管理员可能是某个企业的网管人员。
              普通用户:简称用户,为服务器资源访问者,权限由域管理员指定.
2。2  SSL VPN系统组成
图1 SSL VPN典型组网架构
SSL VPN的典型组网架构如图1所示,SSL VPN系统由以下几个部分组成:
              远程主机:管理员和用户远程接入的终端设备,可以是个人电脑、手机、PDA等。
              SSL VPN网关:SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和企业网内资源的信息,用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和企业网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接,以保证数据传输的安全性。