18-SSL VPN
本章节下载: 18-SSL VPN (369.79 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 资源访问控制
· 配置指南
SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。
SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务,并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络,访问内部网络的共享资源。
1. 管理员登录SSL VPN网关,在SSL VPN网关上创建与企业网内服务器对应的资源。
2. 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
3. 远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
4. 用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
5. SSL VPN网关将资源访问请求转发给企业网内的服务器。
6. SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
SSL VPN的典型组网方式主要有两种:网关模式和单臂模式。
· 在网关模式中,SSL VPN网关直接作为网关设备连接用户和内网服务器,所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护,但是由于SSL VPN网关处在内网与外网通信的关键路径上,其性能对内外网之间的数据传输有很大的影响。
· 在单臂模式中,SSL VPN网关不作为网关设备。用户访问内网服务器时,流量将先由网关设备转发到SSL VPN网关,经SSL VPN网关处理后再转发到网关设备,由网关设备转发到内网服务器。在单臂模式中,SSL VPN网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。
Web接入方式是指用户使用浏览器,通过HTTPS协议访问SSL VPN网关提供的Web资源。用户登录后,Web页面上会显示用户可访问的资源列表,用户选择需要访问的资源直接访问。Web接入方式中,所有数据的显示和操作均通过Web页面进行。
目前,通过Web接入方式可以访问的资源只有Web服务器。
TCP接入方式是指用户对企业内部服务器开放端口的安全访问。通过TCP接入方式,用户可以访问任意基于TCP的服务,包括远程访问服务(如Telnet)、桌面共享服务、电子邮件服务、Notes服务以及其他使用固定端口的TCP服务。
用户利用TCP接入方式访问内网服务器时,需要在SSL VPN客户端(用户使用的终端设备)上安装专用的TCP接入客户端软件,由该软件实现使用SSL连接传送应用层数据。
IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。
用户通过IP接入方式访问内网服务器前,需要安装专用的IP接入客户端软件,该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。
BYOD接入方式用来实现移动客户端对企业内部服务器进行安全访问。
移动客户端利用BYOD接入方式访问内网服务器时,需要在客户端上安装移动客户端专用的客户端软件,并在SSL VPN网关上为客户端指定EMO(Endpoint Mobile Office,终端移动办公)服务器。移动客户端通过EMO服务器来获取可以访问的内网资源。
SSL VPN采用基于用户的权限管理方法,可以根据用户的身份,限制用户可以访问的资源。
如图-1所示,SSL VPN对资源的管理方式为:同一台SSL VPN网关上可以创建多个SSL VPN访问实例(SSL VPN context)。每个SSL VPN访问实例包含多个资源组。资源组包含一系列规则,这些规则为用户定义了可访问的资源,包含Web接入资源、TCP接入服务资源、IP接入服务资源等。
图-1 SSL VPN资源管理方式
SSL VPN用户访问网关的方式,及每种访问方式下SSL VPN网关判断该用户所属的SSL VPN访问实例的方法为:
· 直接访问:SSL VPN用户直接输入网关的IP地址和端口号访问网关。只有SSL VPN网关上仅存在一个SSL VPN访问实例时,可以采用此方式。SSL VPN用户属于该SSL VPN访问实例。
· 通过域名列表访问:为不同的SSL VPN访问实例指定不同的域名。远端用户输入网关的IP地址和端口号登录SSL VPN网关后,进入Domain List页面,在该页面上选择自己所在的域。SSL VPN网关根据用户选择的域判断该用户所属的SSL VPN访问实例。
· 通过主机名访问:为不同的SSL VPN访问实例指定不同的主机名称。远端用户访问SSL VPN网关时,输入主机名称。SSL VPN网关根据主机名称判断该用户所属的SSL VPN访问实例。
SSL VPN网关判断出用户所属的SSL VPN访问实例后,根据SSL VPN访问实例所在的ISP域对用户进行认证和授权,授权结果为资源组名称。如果某个用户被授权访问某个资源组,则该用户可以访问该资源组下的资源。如果没有为用户进行授权,则用户可访问的资源由缺省资源组决定。
SSL VPN网关对用户的认证和授权通过AAA来完成。目前,SSL VPN支持的AAA协议包括RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议和LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议。在实际应用中,RADIUS协议较为常用。
为方便使用,SSL VPN提供了向导式的Web配置页面。进入“新建访问实例”页面后,按照Web页面提示,逐步完成如下配置后即可使用SSL VPN功能。
配置访问实例的基本属性,包括访问实例关联的网关、所属的VRF、使用的ISP认证域等。
选择业务类型后,在“新建访问实例”页面的导航栏处会弹出相应的业务类型。单击“下一步”,可以按照顺序依次为不同的业务类型创建不同的访问资源。业务类型包括:
· Web业务:即Web接入方式。在该业务下需要以URL表项和列表的形式创建Web接入资源。缺省情况下SSL VPN网关会对URL进行常规改写。常规改写可能会造成URL改写遗漏和改写错误等问题,从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式尽可能的解决此问题。
以SSL VPN网关名gw(域名为https://www.gateway.com:4430,对应的IP地址为1.1.1.1),内网资源服务器URL=http://www.server.com:8080为例:
¡ 当不配置URL映射方式时(默认为常规改写),客户端访问内网资源服务器的URL显示为:https://www.gateway.com:4430/_proxy2/http/8080/www.server.com
¡ 当配置域名映射,映射的域名为www.domain.com时,www.domain.com与内网资源http://www.server.com:8080为一一映射关系。客户端访问内网资源服务器的URL显示为:https://www.domain.com:4430
¡ 当配置端口映射,又分为配置虚拟主机名和不配置虚拟主机名两种情况:
- 不配置虚拟主机名,引用SSL VPN网关gw2时,客户端访问内网资源服务器的URL显示为:https://2.2.2.2:4430(网关gw2的IP地址为2.2.2.2,端口号是4430)
- 配置虚拟主机名,虚拟主机名为vhosta,vhosta与内网资源http://www.server.com:8080为一一映射关系。引用SSL VPN网关gw时,客户端访问内网资源服务器的URL显示为:https://vhosta:4430
当内网资源为HTTPS服务器时,需要为Web业务指定SSL客户端策略,以便SSL VPN网关使用指定的SSL客户端策略与HTTPS服务器建立连接。如果没有指定SSL客户端策略,则SSL VPN网关使用缺省的SSL客户端策略,该策略支持的加密套件为rsa_rc4_128_md5。
· TCP业务:即TCP接入方式。在该业务下需要以端口转发列表的形式创建TCP接入资源。端口转发列表用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,配置客户端主机为127.0.0.1、客户端代理端口为80、服务器地址为192.168.0.213、服务器端口为80,则表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。
· IP业务:即IP接入方式。在该业务下需要进行以下配置:
¡ 指定SSL VPN访问实例引用的IP接入接口,并为其配置IP地址。
¡ 指定SSL VPN访问实例引用的地址池,以便SSL VPN网关从该地址池中选择IP地址分配给客户端。
¡ 以路由列表的形式配置IP接入资源。路由表项包括包含和排除两种类型。包含路由下发给客户端后,匹配该路由的报文将通过虚拟网卡发送给SSL VPN网关;排除路由下发给客户端后,匹配该路由的报文不会发送给SSL VPN网关。
· BYOD业务:即BYOD接入方式。在该业务下需要配置EMO服务器的地址和端口号、Message服务器的地址和端口号。
指定访问实例引用的资源组,并在资源组中引用已经创建的访问资源,以限制用户只能访问授权的资源组中的资源。在资源组中还可以通过ACL进一步控制用户访问权限。在资源组中配置IP接入时,可以采用以下方式配置下发给客户端的路由表项:
· 指定路由方式:既可以直接配置路由表项,将一条路由下发给客户端,也可以引用“IP业务”中创建的路由列表,将路由列表中的多条路由同时下发给客户端。
· 强制接入方式:强制将客户端的流量转发给SSL VPN网关。SSL VPN网关在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。
此外,在资源组中配置IP接入时,还可以配置资源组引用的客户端地址池。若SSL VPN资源组下引用了地址池,则SSL VPN网关只会从该地址池中为客户端分配IP地址,当该地址池中无可用地址时,分配失败,用户无法通过IP接入。若SSL VPN资源组下未引用地址池,则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址。
除了按照配置向导逐步完成SSL VPN配置外,管理员还可以进行以下操作:
· 通过“网关”、“客户端地址池”、“IP接入接口”页面创建和修改网关、客户端地址池、IP接入接口。
· 在“编辑访问实例”页面配置SSL VPN用户登录的SSL VPN网关Web页面的形式,包括页面模板、页面标题、登录页面欢迎信息、登录页面是否显示密码输入框、Logo。
· 通过“编辑访问实例”页面开启全局URL伪装功能,此功能将该访问实例下的所有Web资源URL伪装成另一字符串对外呈现,从而达到隐藏真实的Web资源URL的目的。此外,还可以通过“新建URL表项页面”开启单个URL的伪装功能。
· 在“全局配置”页面,管理员可以上传自定义IP接入客户端供用户下载使用,也可选择已上传的页面模板作为全局页面模板。
· 在“页面模板”页面,管理员可以上传自定义页面模板。上传后,管理员可在“全局配置”或“编辑访问实例”页面引用该页面模板。
· 通过“统计信息”页面,管理员可以查看在线用户信息。
· 只能为一个SSL VPN网关配置一个IP地址和端口号。如果重复为网关配置不同IP地址或端口号,则后配置的IP地址和端口号会覆盖之前的配置。
· 修改SSL VPN网关引用的SSL服务器端策略,或修改该策略内的SSL相关配置后,需要重新使能网关,否则新的配置不能生效。
· 客户端主机地址建议配置为127.0.0.0/8网段的地址,或者配置为主机名或域名。
· 主机通过TCP接入方式访问内网资源时,可能会修改主机上的Host文件,此时需要使用该主机的用户具有管理员权限。
· 主机上要求安装Java运行环境。
为客户端地址池配置的网段需要满足以下要求:
· 不能和客户端物理网卡的IP地址在同一个网段。
· 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
· 不能和欲访问的内网地址在同一个网段。
配置域名(如配置Web接入资源中的URL、端口转发表项中的客户端主机名)时,需要由用户保证域名的合法性,SSL VPN不检查域名是否存在以及是否合法。
· 用户上传的自定义模板文件必须以.zip为拓展名。
· 用户上传的自定义模板文件中必须在其根路径下包含home.html和login.html两个文件。
· 若通过“编辑访问实例”页面开启全局URL伪装功能,则该实例下所有Web资源都会开启URL伪装功能。此时不能单独关闭某个URL的伪装功能。
· 只有当SSL VPN访问实例下的全局URL伪装功能处于关闭状态时,才能单独开启或关闭某个URL的伪装功能。
SSL加密套件暂不支持如下类型:
· exp_rsa_des_cbc_sha
· exp_rsa_rc2_md5
· exp_rsa_rc4_md5
· rsa_des_cbc_sha
这是因为SSL VPN不支持动态授权,权限变化的生效范围及生效时间如表-1所示。
权限变化方式 |
生效范围及时间 |
|
远程服务器授权变化 |
对已经登录用户不生效,仅对新登录的用户生效 |
|
资源组引用的ACL变化或ACL内的规则变化 |
IP接入方式、TCP接入方式和Web接入方式,均立即生效 |
|
Web接入资源变化 |
SSL VPN用户刷新页面后,可以看到资源变化 |
|
TCP接入资源变化 |
SSL VPN用户重新启动客户端软件后,变化生效 |
|
IP接入方式中的路由表项、DNS服务器地址、WINS服务器地址变化 |
立即生效 |
SSL VPN用户作为SSL客户端登录SSL VPN网关时,SSL客户端证书认证的三种方式及其区别如表-2所示。
认证方式 |
说明 |
关闭客户端证书认证 |
在使用浏览器访问SSL VPN网关时,不会提示用户选择证书,不对客户端进行证书认证 |
开启客户端证书认证 |
在使用浏览器访问SSL VPN网关时,会提示用户选择证书。如果用户没有证书,则会断开SSL连接 |
不强制要求客户端证书认证 |
在使用浏览器访问SSL VPN网关时,会提示用户选择证书。如果用户不使用证书,则SSL连接依然有效,此时并不会断开SSL连接。如果用户选择证书,但是服务器检查客户端证书未通过,则会断开SSL连接 |
当SSL VPN管理员认为需要对SSL VPN用户进行证书认证时,应该将SSL VPN网关引用的SSL服务器端策略配置为后两种方式,并使能SSL VPN的证书认证功能。SSL VPN证书认证功能会比较证书中的CN字段和用户名是否匹配,如果不匹配,则会禁止访问。
对于SSL VPN证书认证功能,仅在Web接入和IP接入方式下,支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证;在TCP接入和移动客户端接入方式下,不支持SSL服务器端强制要求对SSL客户端进行基于数字证书的身份验证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!