SSL VPN技术方案建议
VPN网关-SPX ( Security Proxy),SPX可以放在路由器和防火墙的后面,提供SSL VPN门户站点(如上图左上角的页面)。所有上网用户必须登陆此 SSL VPN 门户站点才能访问SSL VPN,同时每个用户必须有自己的帐号、口令并享有访问SSL VPN各种资源的响应权限。SPX提供的门户站点IP地址可以是公网地址,也可以是防火墙等地址提供的NAT后的私有地址。此时,防火墙可以只对SP开放https的端口地址,缺省为TCP 443端口。用户端使用标准的浏览器,如IE 和 Netscape,用户可以是NAT,或者是通过代理方式访问,只需保持https通道是畅通的既可。
4.1 具体应用的实现功能
SSL VPN不同于MPLS 以及 IPSec VPN的一个特点是面向应用的VPN,当然也提供隧道式的VPN。所以,SSL VPN对于不同的应用采用不同的功能模块来实现,可以做到比传统VPN更加精细的授权访问控制,甚至在隧道内部也能做到基于用户和组的授权,这都是MPLS和 IPSec很难做到的。
下图为功能实现模块图:
用户层BrowserWeb ResourceMappingBrowserFile Share专用客户端ApplicationManager & Thin Client复杂应用客户端L3 VPNSSL VPN应用层Web 服务器文件服务器TCP 传统应用服务器动态端口、流媒体、等复杂应用服务器 其中,Web Resource Mapping 、File Share、Application Manager、L3 VPN是SP 提供的四个功能模块,针对不同的应用可以采用不同的SSL VPN模块。这样无论员工是在家、宾馆、抑或是任何地点,都可以轻松又十分安全地接入企
第 15页
SSL VPN技术方案建议
业内网。
下面详细论述这四个功能模块:
1. Web资源映射(Web Resource Mapping)
当企业需要将Intranet内的资源向远程访问的员工、合作伙伴开放共享,对任意访问Intranet的请求提供唯一的可控制的访问入口,但是Intranet的IP/DNS体制通常与Internet的IP/DNS体制相独立,外部用户只能看到一个个Broken Links,而且服务不可用。
利用Array的SSL VPN的Web资源映射可以实现:
企业内部的Web资源的远程访问,支持OWA(Outlook Web Access) URL-NAT:URL的动态重写;
强迫认证:强迫任何访问Intranet的请求都必须先通过AAA; 隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。
2. 远程文件共享(File Share)
可以与文件服务器的权限设定相结合,支持Windows 和Unix的操作环境:UNIX (NFS) 文件、Windows (SMB/CIFS) 文件,通过WEB接口浏览目录、下
第 16页
SSL VPN技术方案建议
载和上传文件。通过通用浏览器安全接入内部文件系统,所有文件传输采用SSL加密,所有文件接入需要认证,文件服务器访问权限增强,SPX增强额外接入控制,UNIX (NFS) 文件,Windows (SMB/CIFS) 文件。 3. 非WEB应用支持(Application Manager)
这项功能可以是客户端通过安全SSL接入企业非WEB应用,Array Networks SPX支持大量的非Web应用,绝大多数固定端口的TCP应用都可以支持,并且无需安装客户端软件。
典型的企业非Web应用:Telnet、Email (POP/IMAP/SMTP/OWA)、Microsoft Exchange、Lotus Notes;
SPX在虚拟门户站点中生成Application Manager功能选项,用户可以打开它来实现非WEB应用,如POP3、SMTP等。Application Manager是运行在客户端浏览器上面的基于SSL的TCP Proxy,本质上它是一个Java Applet。它不需要用户端安装客户端软件,大多数的浏览器软件都支持它。Windows - IE 5.X 和 6.X;Windows - Netscape 6.X 和 7.X;MacOS 9, MacOS X – IE 和 Netscape。
当用户启动Application Manager功能时,Java Applet将作为TCP Proxy运行在客户端,它侦听客户端的特定非WEB的请求,并把请求通过SSL连接发给SPX,SPX将终结SSL连接并和企业内网应用服务器建立请求连接。这样,对于客户端来讲,通过Applet作代理,企业应用服务器就像是运行在客户端本机上。这样,就实现了客户端通过SSL 加密接入企业固定TCP端口的非WEB应用。
4. 网络层VPN(L3 VPN)
此项功能是在客户端和SPX之间通过SSL的连接建立一条VPN通道,客户端将会生成一个虚拟网卡,并修改本机的路由表。这样,客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址,并通过这条VPN通道直连到企业内网,就好像客户端机器在企业内部一样。这样,就构建了一个类似IPSec VPN一样的网络层的VPN,同时通过VPN通道的所有流量都是经过SSL加密的,保证了数据的安全性。由于此VPN是建立在网络层之上的,所以所有基于IP的应用都可以运行,包括基于动态TCP 、UDP端口的应用,以及NETBIOS、ICMP
第 17页
SSL VPN技术方案建议
等应用。
下图示例:
提供网络层的vpn,通过建立安全vpn通道支持所有IP应用客户端202.X.X.X10.X.X.X(虚拟)Internet虚通道Array SP10.X.X.X企业内网Email ServersWeb Servers
4.2 虚拟站点(Virtual Site)
Array SSL VPN通过一个或多个虚拟站点实现对内部资源的远程安全访问。一个虚拟站点对应于一个远程访问接口。每个站点都与一个域名相关联并且绑定在一个VIP和端口上。客户端的HTTP请求会被发到虚拟站点上, 而不是直接发到内部服务器上从而有效的保护了内部网络。
每个虚拟站点都拥有自己的用户访问Portal,拥有各自的访问风格,都可以有自己单独的配置, 包括SSL配置, 文件共享配置以及用户会话管理。这样,就为不同等级的用户访问不同类型的资源提供了极大的灵活性。
例如,针对******的应用,我们可以将员工移动办公OA和招投标的SSL VPN接入配置到两个不同的虚拟站点,可以有不同的应用设置,包括站点的登陆界面的风格!
在Array SPX2800设备中最多可以支持256个虚拟站点。(当多于2个虚拟站点时,需要License支持)
第 18页
SSL VPN技术方案建议
4.2 端到端的安全性
作为远程接入的解决方案,如何更好的保护企业内网的信息安全尤其重要。Array Networks SSL VPN提供端到端的安全保护,Array Networks 公司的SPX系统内置全功能的Sygate On-Demand客户端安全管理工具,可以实现在用户经过认证登录进入SSL VPN之前,对计算机的一些特征进行检测,如:运行指定程序、注册表值、指定目录、指定文件、病毒软件、个人防火墙、域,能根据这些特征判定用户是位于安全区域、一般区域或非安全区域,并根据用户安全程度的不同,执行不同的安全策略。
同时,还可以向用户提供缓存清除功能。在启用了缓存清除功能后,在用户会话结束时,会将用户会话过程中产生的Web页、临时文件、cookies、auto-complete 密码完全从用户计算机上清除。
另外,还可以向用户提供虚拟桌面功能。在启用虚拟桌面功能后,当用户进入SSL VPN时,会在客户机的内存中虚拟地建立一个与客户机操作系统相似的桌面环境。这个桌面环境完全是在客户机的内存中运行的,与客户的物理存储系统(如硬盘)完全隔离,所有的读写操作(包括缓存、修改系统配置、文件处理)
第 19页