TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。 同IPSec VPN相比,SSL VPN具有如下优点:
-它的HTTPS客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;
Microsoft Outlook与Eudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;
-SSL VPN可在NAT代理装置上以透明模式工作;
-SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
5.2 Array的SSL VPN 解决方案
多项业务集成能最大限度地利用已有链路,提高网络经济性,但由此带来的安全问题不容忽视,例如:网上银行用户和银行营业部职员所能访问的权限肯定是有所不同的,它们的数据应能被识别和隔离开来分别处理。采用Array公司端到端的安全解决方案,可以提供以下安全防范手段:
实施安全认证--安全认证主要是对用户身份实施检验和权限设定,这样当外部用户以远程大户身份和以营业部职员身份登录时,他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式,在内部网络中设立专门的认证服务器,在其上建立用户数据库,这样不论用户从何处登录进来,都需要经过该服务器的统一检验,授权并且其后的所有访问过程都可被审计,记入日志。
在营业部与银行总部之间,及营业部与网上银行用户之间,都可建立起端到端的逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户所窃取,只有在隧道的始末两端(营业部、银行总部或用户节点处)才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)
16
传递业务数据时,这项技术尤为必要。
下图为Array SP产品在网上银行的应用结构。
5.3 Array的SSL VPN的特点
(1)虚拟站点
Array SP支持多达128个独立的虚拟Web站点,一个虚拟站点是一个远程接入内部应用的安全门户,每个站点包含自有的域名和IP/port,并且每个站点可配置独立的应用服务器、门户接口和安全措施。
虚拟站点的好处:
-SP的sorter会把每一个VS的用户连接状态保持在专用的内存空间中; -系统完全隔离的维护每个VS的配置;
-当系统处理一个VS的新的工作时,它读取VS的配置和上次工作的状态信息,其他VS的状态信息不会被读取;
17
-类似于交换网络中的VLAN。 (2)Web资源映射
银行或其他企业需要将Intranet内的资源向远程访问的员工、合作伙伴开放共享,对任意访问Intranet的请求提供唯一的可控制的访问入口,但是Intranet的IP/DNS体制通常与Internet的IP/DNS体制相独立,外部用户只能看到一个个Broken Links,而且服务不可用。 利用Array的SSL VPN的Web资源映射可以实现: -URL-NAT:URL的动态重写;
-强迫认证:强迫任何访问Intranet的请求都必须先通过AAA; -隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。
(3)支持非Web应用
-SP 6.0 支持大量的非Web应用,绝大多数固定端口的TCP应用都可以支持; -典型的企业非Web应用:Telnet、Email (POP/IMAP/SMTP/OWA)、Microsoft Exchange、Lotus Notes;
-支持远程文件共享,可以与文件服务器的权限设定相结合,支持Windows 和Unix的操作环境;
-通过标准的Web浏览器实现 (4)多层安全控制机制
-Webwall-应用层防火墙:基于IP/TCP/UDP的包过滤机制;防DOS攻击;基于状态检测的防火墙功能;基于URL的过滤机制。
18
-端到端的SSL加密 -强大的AAA功能
-通过WRM隐藏内部资源路径
6.Array的Cluster技术,提供容错性,高可靠性和高吞吐量
6.1 Cluster的工作方式
传统的四层设备,仅支持二台设备工作在HA方式下,支持Active/Active、Active/Standby工作方式,从而L4设备可靠性,可扩展性,网络吞吐量都受到限制。但L4层的设备是一关健设备,许多L4 层厂家都没有很好解决这些问题。
Array在给服务器提供高容错性,高可靠性的前提是,Array设备本身的容错性和高可靠性。Array支持Cluster的工作模式,提供1+1 和N+1 的冗余配置模式,能工作在Active/Standby或Active/Active方式。 (1) Active/Standby方式
在Active/Standby方式,一个Cluster中某个Array设备的所有VIP都是主VIP,其他Array中的VIP都是备份VIP。当主设备故障时,备份设备转换为主设备。如图所示:
图中,Array1为主设备,处理SLB流量,Array2为备份设备,监听Array1的广播,当Array1发生故障时,Array2就会接管Array1上的所有流量。 (2)Active/Active方式
19
在Active/Active方式,一个Cluster中每一个Array设备的都有主VIP和备份VIP。如图所示:
图中Array1的VIP1为主VIP,VIP2为备份VIP,Array2的VIP1为备份VIP,VIP2为主VIP。Array1和Array2同时处理SLB流量,又互为备份。
6.2 Array clustering 工作原理
- 利用 IP Multicast (224.0.0.18) 进行广播,默认值:每3秒一次;
- 具有最高优先级的成为Master, 若一个备份的Array具有最高优先级,它就成为Master;
- 一个备份Array在3 秒内,没在听到Master的广播,它宣布成为Master; - 只在Master的Array的VIP响应ARP请求;
- 每个设备独立的流量的处理,同时又监视本Cluster中其它设备的工作状态; - 能把Clustering 配置成Active-Standby 或 Active-Active ; - 利用VRRP的技术实现 ( VRRP-虚拟路由冗余协议, RFC 2338)。
7.SSL加速
SSL(安全套接层协议)已经成为互联网安全通信的标准协议。它是一种对用户进行鉴权的
20