SSL VPN使用SSL和代理技术,向终端用户提供对超文本传送协议(HTTP)、客户/服务器和文件共享等应用授权安全访问的一种远程访问技术,因此不需要安装专门客户端软件。SSL协议是在网络传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
由于SSL VPN不需要购买和维护远程客户端或软件,造价比IPSecVPN低很多。从市场角度看,SSL VPN部署和管理费用低,在安全性和为用户提供更多便利性方面,明显优于传统IPSecVPN。SSL VPN是建立用户和服务器之间的一条专用通道,在这条通道中传输的数据是不公开的数据,因此必须要在安全的前提下进行远程连接。
SSL VPN其安全性包含三层含义:一是客户端接入的安全性;二是数据传输的安全性;三是内部资源访问的安全性。SSL VPN支持Web应用的远程连接,包括基于TCP协议的B/S和C/S应用,UDP应用。SSL VPN的关键技术有代理和转发技术、访问控制、身份验证、审计日志。
10.4.1 SSL VPN的安全技术
1.信息传输安全
1)通过标准浏览器,对任何Internet可以连接的地方到远程应用或数据间的所有通信进行即时的SSL加密。
2)安全客户端检测,有效保护您的网络免受特洛伊、病毒、蠕虫或黑客的攻击。含防火墙检测、反病毒防护检测、Windows升级检测、Windows服务检测、文件数字签名检测、管理员选择注册表检测、IP地址检测等。
2.用户认证与授权
1)认证。谁被允许登录系统,在远程用户被允许登录前进行身份确认。包括标准的用户名+密码方式、智能卡、RSA,一般还可使用第三方的CA证书。
2)授权。登录后可以访问什么内容。按角色划分的权限访问应用程序、数据和其他一些资源,在服务器端通过划分组、角色和应用程序进行集中管理。
3)审计。随时了解用户做了什么访问。对每位用户的活动进行追踪、监视并记录日志。
10.4.2 SSL VPN的功能与特点
1.SSL VPN的基本功能
SSL VPN是一款专门针对B/S 和C/S应用的SSL VPN产品,具有以下完善实用的功能:
1)SSL VPN提供了基于SSL协议和数字证书的强身份认证和安全传输通道。
2)SSL VPN提供了先进的基于URL的访问控制。
3)SSL VPN提供了SSL硬件加速的处理和后端应用服务的负载平衡。
4)SSL VPN提供了基于加固的系统平台和IDS技术的安全功能。
2.SSL VPN系统协议
由SSL、HTTPS、SOCKS 这3 个协议相互协作共同实现的,它们是一个有机的整体:SSL 协议作为一个安全协议,它的作用是为VPN 系统建立安全通道;HTTPS 协议比较简单,它使用SSL协议保护HTTP应用的安全;SOCKS协议实现代理功能,负责转发数据。SSL VPN 服务器全部使用了这3 个协议,而SSLVPN 客户端对这3 个协议的使用则有些差别,WEB 浏览器只使用了HTTPS和SSL协议,SSL VPN客户端程序则使用了SOCKS和SSL协议。
3.SSL VPN的特点
SSL VPN具有如下突出的特点:
1)SSL VPN安装简单、易于操作,无需安装客户端软件,可以快速配置和应用。
2)SSL VPN具有认证加密、访问控制、安全信息备份、负载平衡等多种安全功能。
3)SSL VPN使用标准的HTTPS协议传输数据,可以穿越防火墙,不存在地址转换的问题,而且不改变用户网络结构,适合复杂应用环境。
4)SSL VPN采用基于Java的实现技术,支持Windows和Linux等多种操作系统平台和多种后端服务器,系统的通用性强。
5)SSL VPN同时支持多个后端应用服务,支持第三方数字证书,具有很好的可扩展性。
6)SSL VPN通过采用SSL硬件加速、多线程及缓冲技术,具有很好的应用性能。
10.4.3 SSL VPN的工作原理
SSL VPN的工作原理可用以下几个步骤来描述:
1)SSL VPN生成自己的根证书和服务器操作证书。
2)客户端浏览器下载并导入SSL VPN的根证书。
3)通过管理界面对后端网站服务器设置访问控制。
4)客户端通过浏览器使用HTTPS 协议访问网站时,SSL VPN接受请求,客户端实现对SSL VPN服务器的认证。
5)服务器端通过口令方式认证客户端。
6)客户端浏览器和SSL VPN服务器端之间所有通信建立了SSL安全通道。
10.4.4 SSL VPN的应用模式及特点
SSL VPN的解决方案包括三种模式:Web浏览器模式、SSL VPN客户端模式和LAN 到LAN 模式。WEB浏览器模式是SSL VPN的最大优势,它充分利用了当前Web浏览器的内置功能,来保护远程接入的安全,配置和使用都非常方便。SSL VPN已逐渐成为远程接入的主要手段之一。
1.Web浏览器模式的解决方案
此模式是SSL VPN的主要优势所在。由于Web浏览器的广泛部署,而且Web浏览器内置了SSL协议,使得SSL VPN在这种模式下只要在SSL VPN服务器上集中配置安全策略,几乎不用为客户端做什么配置就可使用,大大减少了管理的工作量,方便用户的使用。缺点是仅能保护Web通信传输安全。
远程计算机使用Web浏览器通过SSL VPN 服务器来访问企业内部网中的资源。在这里,SSL VPN服务器扮演的角色相当一个数据中转服务器,所有Web浏览器对WWW 服务器的访问都经过SSL VPN服务器的认证后转发给WWW服务器,从WWW服务器发往Web浏览器的数据经过SSL VPN服务器加密后送到Web浏览器。从而在Web浏览器和SSL VPN服务器之间,由SSL协议构建了一条安全的通道。图10-9是Web浏览器模式工作流程图。
图10-9 Web浏览器模式工作流程
2.SSL VPN客户端模式的解决方案
SSL VPN客户端模式为远程访问提供安全保护,用户需要在客户端安装一个客户端软件,并做一些简单的配置即可使用,不需对系统做改动。这种模式的优点是支持所有建立在TCP/IP和UDP/IP上的应用通信传输的安全,Web浏览器也可以在这种模式下正常工作。这种模式的缺点是客户端需要额外的开销。
这种模式与Web浏览器模式的差别主要是远程计算机上需要安装一个SSL VPN客户端程序,远程计算机访问企业内部的应用服务器时,需要经过SSL VPN 客户端和SSL VPN 服务器之间的保密传输后才能到达。在这里,SSL VPN服务器扮演的角色相当一个代理服务器,SSL VPN客户端相当于一个代理客户端。在SSL VPN 客户端和SSL VPN服务器之间,由SSL协议构建了一条安全通道,用来传送应用数据。图10-10是它的工作流程示意图。
图10-10 SSL VPN客户端模式工作流程
3.LAN到LAN模式的解决方案
LAN到LAN模式对LAN(局域网)与LAN(局域网)间的通信传输进行安全保护。与基于IPSec 协议的LAN 到LAN 的VPN 相比,它的优点就是拥有更多的访问控制的方式,缺点是仅能保护应用数据的安全,并且性能较低。
这种模式下客户端不需要做任何安装和配置,仅在SSL VPN服务器上安装和配置。当一个网内的计算机要访问远程网络内的应用服务器时,需要经过两个网之间的SSL VPN服务器之间的保密传输后才能到达。在这里,SSL VPN服务器扮演的角色相当一个网关,在两个SSL VPN服务器之间,由SSL协议构建了一条安全通道,用来保护在局域网之间传送的数据。图10-11是它的工作流程示意图。
图10-11 LAN到LAN模式工作流程