- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-SSL VPN
本章節下載: 18-SSL VPN (369.79 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 資源訪問控製
· 配置指南
SSL VPN是以SSL(Secure Sockets Layer,安全套接字層)為基礎的VPN(Virtual Private Network,虛擬專用網絡)技術。SSL VPN充分利用了SSL協議提供的基於證書的身份認證、數據加密和消息完整性驗證機製,能夠為應用層之間的通信建立安全連接。
SSL VPN可以為企業或機構提供安全、快捷的遠程網絡接入服務,並適合移動接入。企業員工可以使用移動客戶端在任意能夠訪問互聯網的位置安全地接入到企業內部網絡,訪問內部網絡的共享資源。
1. 管理員登錄SSL VPN網關,在SSL VPN網關上創建與企業網內服務器對應的資源。
2. 遠程接入用戶與SSL VPN網關建立HTTPS連接,通過SSL提供的基於證書的身份驗證功能,SSL VPN網關和遠程接入用戶可以驗證彼此的身份。
3. 遠程接入用戶輸入用戶名、密碼等身份信息,SSL VPN網關對用戶的身份進行認證,並對用戶可以訪問的資源進行授權。
4. 用戶獲取到可以訪問的資源,通過SSL連接將訪問請求發送給SSL VPN網關。
5. SSL VPN網關將資源訪問請求轉發給企業網內的服務器。
6. SSL VPN網關接收到服務器的應答後,通過SSL連接將其轉發給用戶。
SSL VPN的典型組網方式主要有兩種:網關模式和單臂模式。
· 在網關模式中,SSL VPN網關直接作為網關設備連接用戶和內網服務器,所有流量將通過SSL VPN網關進行轉發。網關模式可以提供對內網的完全保護,但是由於SSL VPN網關處在內網與外網通信的關鍵路徑上,其性能對內外網之間的數據傳輸有很大的影響。
· 在單臂模式中,SSL VPN網關不作為網關設備。用戶訪問內網服務器時,流量將先由網關設備轉發到SSL VPN網關,經SSL VPN網關處理後再轉發到網關設備,由網關設備轉發到內網服務器。在單臂模式中,SSL VPN網關不處在網絡通信的關鍵路徑上,其性能不會影響內外網的通信。但是這種組網使得SSL VPN網關不能全麵地保護企業內部的網絡資源。
Web接入方式是指用戶使用瀏覽器,通過HTTPS協議訪問SSL VPN網關提供的Web資源。用戶登錄後,Web頁麵上會顯示用戶可訪問的資源列表,用戶選擇需要訪問的資源直接訪問。Web接入方式中,所有數據的顯示和操作均通過Web頁麵進行。
目前,通過Web接入方式可以訪問的資源隻有Web服務器。
TCP接入方式是指用戶對企業內部服務器開放端口的安全訪問。通過TCP接入方式,用戶可以訪問任意基於TCP的服務,包括遠程訪問服務(如Telnet)、桌麵共享服務、電子郵件服務、Notes服務以及其他使用固定端口的TCP服務。
用戶利用TCP接入方式訪問內網服務器時,需要在SSL VPN客戶端(用戶使用的終端設備)上安裝專用的TCP接入客戶端軟件,由該軟件實現使用SSL連接傳送應用層數據。
IP接入方式用來實現遠程主機與企業內部服務器網絡層之間的安全通信,進而實現所有基於IP的遠程主機與服務器的互通,如在遠程主機上ping內網服務器。
用戶通過IP接入方式訪問內網服務器前,需要安裝專用的IP接入客戶端軟件,該客戶端軟件會在SSL VPN客戶端上安裝一個虛擬網卡。
BYOD接入方式用來實現移動客戶端對企業內部服務器進行安全訪問。
移動客戶端利用BYOD接入方式訪問內網服務器時,需要在客戶端上安裝移動客戶端專用的客戶端軟件,並在SSL VPN網關上為客戶端指定EMO(Endpoint Mobile Office,終端移動辦公)服務器。移動客戶端通過EMO服務器來獲取可以訪問的內網資源。
SSL VPN采用基於用戶的權限管理方法,可以根據用戶的身份,限製用戶可以訪問的資源。
如圖-1所示,SSL VPN對資源的管理方式為:同一台SSL VPN網關上可以創建多個SSL VPN訪問實例(SSL VPN context)。每個SSL VPN訪問實例包含多個資源組。資源組包含一係列規則,這些規則為用戶定義了可訪問的資源,包含Web接入資源、TCP接入服務資源、IP接入服務資源等。
圖-1 SSL VPN資源管理方式
SSL VPN用戶訪問網關的方式,及每種訪問方式下SSL VPN網關判斷該用戶所屬的SSL VPN訪問實例的方法為:
· 直接訪問:SSL VPN用戶直接輸入網關的IP地址和端口號訪問網關。隻有SSL VPN網關上僅存在一個SSL VPN訪問實例時,可以采用此方式。SSL VPN用戶屬於該SSL VPN訪問實例。
· 通過域名列表訪問:為不同的SSL VPN訪問實例指定不同的域名。遠端用戶輸入網關的IP地址和端口號登錄SSL VPN網關後,進入Domain List頁麵,在該頁麵上選擇自己所在的域。SSL VPN網關根據用戶選擇的域判斷該用戶所屬的SSL VPN訪問實例。
· 通過主機名訪問:為不同的SSL VPN訪問實例指定不同的主機名稱。遠端用戶訪問SSL VPN網關時,輸入主機名稱。SSL VPN網關根據主機名稱判斷該用戶所屬的SSL VPN訪問實例。
SSL VPN網關判斷出用戶所屬的SSL VPN訪問實例後,根據SSL VPN訪問實例所在的ISP域對用戶進行認證和授權,授權結果為資源組名稱。如果某個用戶被授權訪問某個資源組,則該用戶可以訪問該資源組下的資源。如果沒有為用戶進行授權,則用戶可訪問的資源由缺省資源組決定。
SSL VPN網關對用戶的認證和授權通過AAA來完成。目前,SSL VPN支持的AAA協議包括RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)協議和LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)協議。在實際應用中,RADIUS協議較為常用。
為方便使用,SSL VPN提供了向導式的Web配置頁麵。進入“新建訪問實例”頁麵後,按照Web頁麵提示,逐步完成如下配置後即可使用SSL VPN功能。
配置訪問實例的基本屬性,包括訪問實例關聯的網關、所屬的VRF、使用的ISP認證域等。
選擇業務類型後,在“新建訪問實例”頁麵的導航欄處會彈出相應的業務類型。單擊“下一步”,可以按照順序依次為不同的業務類型創建不同的訪問資源。業務類型包括:
· Web業務:即Web接入方式。在該業務下需要以URL表項和列表的形式創建Web接入資源。缺省情況下SSL VPN網關會對URL進行常規改寫。常規改寫可能會造成URL改寫遺漏和改寫錯誤等問題,從而導致SSL VPN客戶端不能訪問內網資源。因此可以通過配置域名映射或端口映射的方式盡可能的解決此問題。
以SSL VPN網關名gw(域名為https://www.gateway.com:4430,對應的IP地址為1.1.1.1),內網資源服務器URL=http://www.server.com:8080為例:
¡ 當不配置URL映射方式時(默認為常規改寫),客戶端訪問內網資源服務器的URL顯示為:https://www.gateway.com:4430/_proxy2/http/8080/www.server.com
¡ 當配置域名映射,映射的域名為www.domain.com時,www.domain.com與內網資源http://www.server.com:8080為一一映射關係。客戶端訪問內網資源服務器的URL顯示為:https://www.domain.com:4430
¡ 當配置端口映射,又分為配置虛擬主機名和不配置虛擬主機名兩種情況:
- 不配置虛擬主機名,引用SSL VPN網關gw2時,客戶端訪問內網資源服務器的URL顯示為:https://2.2.2.2:4430(網關gw2的IP地址為2.2.2.2,端口號是4430)
- 配置虛擬主機名,虛擬主機名為vhosta,vhosta與內網資源http://www.server.com:8080為一一映射關係。引用SSL VPN網關gw時,客戶端訪問內網資源服務器的URL顯示為:https://vhosta:4430
當內網資源為HTTPS服務器時,需要為Web業務指定SSL客戶端策略,以便SSL VPN網關使用指定的SSL客戶端策略與HTTPS服務器建立連接。如果沒有指定SSL客戶端策略,則SSL VPN網關使用缺省的SSL客戶端策略,該策略支持的加密套件為rsa_rc4_128_md5。
· TCP業務:即TCP接入方式。在該業務下需要以端口轉發列表的形式創建TCP接入資源。端口轉發列表用來將企業網內的基於TCP的服務(如Telnet、SSH、POP3)映射為SSL VPN客戶端上的本地地址和本地端口,以便SSL VPN客戶端通過本地地址和本地端口訪問企業網內的服務器。例如,配置客戶端主機為127.0.0.1、客戶端代理端口為80、服務器地址為192.168.0.213、服務器端口為80,則表示在SSL VPN客戶端上通過127.0.0.1、端口80可以訪問企業網內的HTTP服務器192.168.0.213。
· IP業務:即IP接入方式。在該業務下需要進行以下配置:
¡ 指定SSL VPN訪問實例引用的IP接入接口,並為其配置IP地址。
¡ 指定SSL VPN訪問實例引用的地址池,以便SSL VPN網關從該地址池中選擇IP地址分配給客戶端。
¡ 以路由列表的形式配置IP接入資源。路由表項包括包含和排除兩種類型。包含路由下發給客戶端後,匹配該路由的報文將通過虛擬網卡發送給SSL VPN網關;排除路由下發給客戶端後,匹配該路由的報文不會發送給SSL VPN網關。
· BYOD業務:即BYOD接入方式。在該業務下需要配置EMO服務器的地址和端口號、Message服務器的地址和端口號。
指定訪問實例引用的資源組,並在資源組中引用已經創建的訪問資源,以限製用戶隻能訪問授權的資源組中的資源。在資源組中還可以通過ACL進一步控製用戶訪問權限。在資源組中配置IP接入時,可以采用以下方式配置下發給客戶端的路由表項:
· 指定路由方式:既可以直接配置路由表項,將一條路由下發給客戶端,也可以引用“IP業務”中創建的路由列表,將路由列表中的多條路由同時下發給客戶端。
· 強製接入方式:強製將客戶端的流量轉發給SSL VPN網關。SSL VPN網關在客戶端上添加優先級最高的缺省路由,路由的出接口為虛擬網卡,從而使得所有沒有匹配到路由表項的流量都通過虛擬網卡發送給SSL VPN網關。SSL VPN網關還會實時監控SSL VPN客戶端,不允許SSL VPN客戶端刪除此缺省路由,且不允許SSL VPN客戶端添加優先級高於此路由的缺省路由。
此外,在資源組中配置IP接入時,還可以配置資源組引用的客戶端地址池。若SSL VPN資源組下引用了地址池,則SSL VPN網關隻會從該地址池中為客戶端分配IP地址,當該地址池中無可用地址時,分配失敗,用戶無法通過IP接入。若SSL VPN資源組下未引用地址池,則SSL VPN網關將使用SSL VPN訪問實例中引用的地址池為客戶端分配IP地址。
除了按照配置向導逐步完成SSL VPN配置外,管理員還可以進行以下操作:
· 通過“網關”、“客戶端地址池”、“IP接入接口”頁麵創建和修改網關、客戶端地址池、IP接入接口。
· 在“編輯訪問實例”頁麵配置SSL VPN用戶登錄的SSL VPN網關Web頁麵的形式,包括頁麵模板、頁麵標題、登錄頁麵歡迎信息、登錄頁麵是否顯示密碼輸入框、Logo。
· 通過“編輯訪問實例”頁麵開啟全局URL偽裝功能,此功能將該訪問實例下的所有Web資源URL偽裝成另一字符串對外呈現,從而達到隱藏真實的Web資源URL的目的。此外,還可以通過“新建URL表項頁麵”開啟單個URL的偽裝功能。
· 在“全局配置”頁麵,管理員可以上傳自定義IP接入客戶端供用戶下載使用,也可選擇已上傳的頁麵模板作為全局頁麵模板。
· 在“頁麵模板”頁麵,管理員可以上傳自定義頁麵模板。上傳後,管理員可在“全局配置”或“編輯訪問實例”頁麵引用該頁麵模板。
· 通過“統計信息”頁麵,管理員可以查看在線用戶信息。
· 隻能為一個SSL VPN網關配置一個IP地址和端口號。如果重複為網關配置不同IP地址或端口號,則後配置的IP地址和端口號會覆蓋之前的配置。
· 修改SSL VPN網關引用的SSL服務器端策略,或修改該策略內的SSL相關配置後,需要重新使能網關,否則新的配置不能生效。
· 客戶端主機地址建議配置為127.0.0.0/8網段的地址,或者配置為主機名或域名。
· 主機通過TCP接入方式訪問內網資源時,可能會修改主機上的Host文件,此時需要使用該主機的用戶具有管理員權限。
· 主機上要求安裝Java運行環境。
為客戶端地址池配置的網段需要滿足以下要求:
· 不能和客戶端物理網卡的IP地址在同一個網段。
· 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
· 不能和欲訪問的內網地址在同一個網段。
配置域名(如配置Web接入資源中的URL、端口轉發表項中的客戶端主機名)時,需要由用戶保證域名的合法性,SSL VPN不檢查域名是否存在以及是否合法。
· 用戶上傳的自定義模板文件必須以.zip為拓展名。
· 用戶上傳的自定義模板文件中必須在其根路徑下包含home.html和login.html兩個文件。
· 若通過“編輯訪問實例”頁麵開啟全局URL偽裝功能,則該實例下所有Web資源都會開啟URL偽裝功能。此時不能單獨關閉某個URL的偽裝功能。
· 隻有當SSL VPN訪問實例下的全局URL偽裝功能處於關閉狀態時,才能單獨開啟或關閉某個URL的偽裝功能。
SSL加密套件暫不支持如下類型:
· exp_rsa_des_cbc_sha
· exp_rsa_rc2_md5
· exp_rsa_rc4_md5
· rsa_des_cbc_sha
這是因為SSL VPN不支持動態授權,權限變化的生效範圍及生效時間如表-1所示。
|
權限變化方式 |
生效範圍及時間 |
|
|
遠程服務器授權變化 |
對已經登錄用戶不生效,僅對新登錄的用戶生效 |
|
|
資源組引用的ACL變化或ACL內的規則變化 |
IP接入方式、TCP接入方式和Web接入方式,均立即生效 |
|
|
Web接入資源變化 |
SSL VPN用戶刷新頁麵後,可以看到資源變化 |
|
|
TCP接入資源變化 |
SSL VPN用戶重新啟動客戶端軟件後,變化生效 |
|
|
IP接入方式中的路由表項、DNS服務器地址、WINS服務器地址變化 |
立即生效 |
|
SSL VPN用戶作為SSL客戶端登錄SSL VPN網關時,SSL客戶端證書認證的三種方式及其區別如表-2所示。
|
認證方式 |
說明 |
|
關閉客戶端證書認證 |
在使用瀏覽器訪問SSL VPN網關時,不會提示用戶選擇證書,不對客戶端進行證書認證 |
|
開啟客戶端證書認證 |
在使用瀏覽器訪問SSL VPN網關時,會提示用戶選擇證書。如果用戶沒有證書,則會斷開SSL連接 |
|
不強製要求客戶端證書認證 |
在使用瀏覽器訪問SSL VPN網關時,會提示用戶選擇證書。如果用戶不使用證書,則SSL連接依然有效,此時並不會斷開SSL連接。如果用戶選擇證書,但是服務器檢查客戶端證書未通過,則會斷開SSL連接 |
當SSL VPN管理員認為需要對SSL VPN用戶進行證書認證時,應該將SSL VPN網關引用的SSL服務器端策略配置為後兩種方式,並使能SSL VPN的證書認證功能。SSL VPN證書認證功能會比較證書中的CN字段和用戶名是否匹配,如果不匹配,則會禁止訪問。
對於SSL VPN證書認證功能,僅在Web接入和IP接入方式下,支持SSL服務器端強製要求對SSL客戶端進行基於數字證書的身份驗證;在TCP接入和移動客戶端接入方式下,不支持SSL服務器端強製要求對SSL客戶端進行基於數字證書的身份驗證。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
