SSL VPN

本文涉及的产品
云防火墙,500元 1000GB
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: SSL VPN

什么是SSL VPN


        SSL VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)协议来实现远程接入的一种轻量级VPN技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。因为SSL协议内置于浏览器中,使用SSL协议进行认证和数据加密的SSL VPN可以免于安装客户端。

       移动办公用户使用终端(如便携机、PAD或智能手机)与企业内部的SSL VPN服务器建立SSL VPN隧道以后,就能通过SSL VPN隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源。


SSL VPN是如何工作的?


       移动办公用户访问企业内网的服务器时,首先与SSL VPN服务器之间建立起安全连接(SSL VPN隧道),采用标准的SSL协议对传输的数据包进行加密。登录SSL VPN服务器时,用户访问SSL VPN服务器登录界面,SSL VPN服务器会对用户身份进行认证。SSL VPN服务器往往支持多种用户认证方式,来保证访问的安全性、合法性。


       然后SSL VPN服务器将报文转发给特定的内部服务器,从而使得移动办公用户在通过验证后,可访问企业内网中管理员分配指定的服务器资源。SSL VPN可以借助Web浏览器覆盖所有的远程访问需求。


IPsec VPN和SSL VPN的区别


Ipsec VPN针对Client to LAN的场景,存在的弱势点:

1、IKEV1不支持远程用户接入,IKEV2支持,但是采用EAP认证的方法,目前尚未普及

2、因为需要进行参数协商,所以,我们的PC设备需要安装专门的应用程序来进行支持

3、因为IPSEC VPN需要抓取感兴趣流,但是,PC设备所谓私网网段不固定,需要不断的调整策略,导致部署不灵活

4、因为IPSEC VPN主要通过抓取感兴趣流来进行访问控制,最多可以深入到服务层面,但

是,无法深入到应用层面。所以,如果需要进行更细颗粒度的控制,则IPSEC VPN略显不

d3a9a1a88cca465f0b948d1ea1d30b3d_b9b4b095205945928bcc15dbb95ec595.png

SSL VPN的优势

1、SSL VPN采用的是一种基于B/S架构的模式,不需要额外安装客户端,可以直接通过浏览

器进行访问

2、部署更加灵活,因为他的封装位置在于传输层和应用层之间,不会保护传输层和网络层的

数据,所以,不会影响到网络环境

3、因为SSL VPN针对的是应用层进行控制,所以,可以实现更细颗粒的控制,可以深入到应用层面

这里我们以防火墙作为SSL VPN服务器,在防火墙上完成相关配置。


步骤一

SSL服务器的功能在防火墙上被称为虚拟网关。虚拟网关的地址/域名即为SSL VPN服务器的地址/域名。

a.配置虚拟网关,启用SSL VPN服务器功能,配置服务器地址等。

b.配置认证授权方式为本地认证、并创建用户包括配置用户名和密码。

c.配置防火墙安全策略,保证网络互通。


步骤二

按客户端登录SSL VPN服务器步骤、配置好的用户名/密码,登录SSL VPN服务器。


a.客户端10.108.84.93以IE浏览器向防火墙的虚拟网关https://10.174.64.61发起链接请求。

如下图所示,No.21-No.29展示了完SSL握手的四次通信过程,至No.29服务器回应Server Finished Message(已被加密,提示为加密的握手消息)后,对应登录到提示安全证书有问题的警告界面。此时客户端与服务器实际并未开始正常通信,而是在SSL握手阶段,客户端验证服务器不合法,在其Web界面提示用户是否继续浏览该网站。

f85584f48b4fdd1c164c299d43e7ccd8_762d437f8c614e60aed3894eb4e861ee.png


b.强制信任,选择“继续浏览该网站”,从No.103起客户端要求使用新会话,重新发起SSL握手协议。握手完成之后,开始正常的加密通信,直至用户浏览器上成功加载出防火墙虚拟网关的用户登录界面。

46a4d9b74b0ffee09294f34f8a5f737f_4d395dc7f2c0491a86af4b0b6eb98a6c.png

c.输入用户名/密码,从No.1561起继续发起SSL握手协议,经过四次通信协商出“会话密钥”,从携带用户名/密码的报文起所有用户与服务器之前的数据被加密(显示为Application Data)发送给服务器。


用户身份认证

为了保证SSL VPN接入用户的合法性、提升系统安全性,SSL VPN服务器往往支持多种认证方式,上文一直在以配置并存储在防火墙上的用户名/密码为例,这是最基本最简单的认证方式。

实际华为防火墙支持以下认证方式:


  • 用户名/密码的本地认证:即上文各种举例,指将用户名/密码在防火墙上配置并存储,用户输入与之匹配的用户名/密码即可成功登录。
  • 用户名/密码的服务器认证:指将用户名/密码存储在专门的认证服务器上,用户输入用户名/密码后,防火墙将其转至认证服务器认证。当前支持的认证服务器类型包括:RADIUS、HWTACACS、SecurID、AD、LDAP。
  • 证书匿名认证:指用户的客户端配备客户端证书,防火墙通过验证客户端的证书来认证用户身份。
  • 证书挑战认证:指服务器通过用户名/密码+客户端证书双重因素认证用户身份。可以看出,此种方式是最安全的。
  • 单用客户端证书认证,当客户端丢失或被非法使用时就无法保证安全;
  • 单用用户名/密码认证,当使用不同客户端时,客户端本身可能存在安全隐患。双重因素认证方式,保证了指定用户、使用指定客户端登录SSL VPN服务器,进而合法访问内网资源。

5642986c3b2974d3e5764b7481ac6ffb_63c8b2a500bb4d7ea3a6e25a167a525a.png

防火墙通过验证客户端的证书来认证用户身份,流程如下:

①用户、防火墙分别导入由同一CA机构颁发的客户端证书和客户端CA证书。

②用户(客户端)将自己的证书发给防火墙,防火墙对该证书进行认证。

满足以下几个条件,则认证通过:


  • 客户端证书与防火墙上导入的客户端CA证书由同一家CA颁发。按照②所述,正是应为同一家CA机构颁发。
  • 客户端证书在有效期内。
  • 客户端证书中的用户过滤字段是防火墙上已经配置并存储的用户名。例如,客户端证书的用户过滤字段CN=user000010,那么防火墙上已经配置对应的用户名user000010,表明这是颁发给user000010的客户端证书。

③用户通过防火墙的身份认证后,会成功登录资源界面,可以开始访问内网的指定资源。

相关文章
|
网络安全 网络虚拟化 数据安全/隐私保护
EVE-NG下模拟山石网科SSL VPN 实验
EVE-NG下模拟山石网科SSL VPN 实验
552 1
EVE-NG下模拟山石网科SSL VPN 实验
|
安全 网络协议 Java
思科ASA防火墙配置SSL远程VPN
使用SSL(Secure Socket Layer,安全套接层);VPN可以更加方便地实现远程安全接入。SSL VPN不需要在用户计算机安装特殊软件,可以使用当前用户计算机地浏览器安全地访问公司内部服务器。SSL VPN除了浏览器外,还可以通过浏览器自动安装客户端软件到用户计算机上,本章主要介绍SSL VPN地原理,配置与实现。
思科ASA防火墙配置SSL远程VPN
|
Web App开发 安全 网络协议
SSL VPN和 IPsec VPN的区别
在本文中,我们将解释 IPsec 和 SSL VPN 协议之间的区别,以及如何选择合适的协议来满足客户的需求。
2147 0
SSL VPN和 IPsec VPN的区别
|
网络虚拟化
MPLS VPN跨域C2 RR反射器方案(二)
MPLS VPN跨域C2 RR反射器方案
142 0
|
网络虚拟化
MPLS VPN跨域C2 RR反射器方案(一)
MPLS VPN跨域C2 RR反射器方案
159 0
|
网络虚拟化
MPLS VPN跨域C1方案 RR反射器(二)
MPLS VPN跨域C1方案 RR反射器
87 0
|
4月前
|
网络协议 Shell 网络虚拟化
手把手教你玩MPLS VPN如何配置
手把手教你玩MPLS VPN如何配置
301 0
|
6月前
|
网络协议 网络虚拟化 网络架构
MPLS VPN协议高级应用
MPLS VPN协议高级应用
|
6月前
|
网络协议 网络虚拟化 虚拟化
|
6月前
|
网络协议 网络虚拟化
MPLS VPN跨域方案(一)
MPLS VPN跨域方案(一)