洛阳师范学院2013届本科生毕业设计
4.2.3 SSL VPN 4.2.3.1 SSL VPN 概述
SSL VPN也是一种在Internet上确保信息安全收发的通用协议技术,位于TCP/IP协议与各种应用层协议之间,以可靠的传输协议(如TCP)为根基,为高层协议提供数据封装、压缩、加密等基本功能的支持,为网络的连接提供服务器认证、可选的客户认证、SSL链路上的数据完整性保证、保密性保证。目前,SSL VPN也广泛被应用于各种浏览器中,使用者利用浏览器内的SSL封装包处理功能,用浏览器连接单位内网的SSL VPN服务器,通过网络封包转向的方式,从而让远程计算机执行任务,读取单位内网上的信息。
图4-13 SSL示意图
在TCP的网络层,IPSec协议通过预共享密钥或者安全数字签名和高强度加密
算法实现了局域网的安全互联,让组织的分支机构融合到了总部的局域网,分支机构可以根据其网络规模和使用人数选择和总部连接的方式,然而,组织的成员不会永远安坐在办公室,当他们“移动”起来时,例如下班回到家中、参加会议、出差考察,环境的频繁变化让IPSec难以应对。组织的外界环境迅速膨胀,合作伙伴、股东、审计部门、供应商、经销商都被纳入了组织的网络外延,他们需要接入到组织的内网,以访问他们所关心的应用资源和数据报表。IPSec的部署问题会让企业的网络人员成为合作伙伴 “公用”的网管。IPSec客户端不停的安装、调试和维护将会成为网管人员生活中不可或缺的一部分,无论你是在工作时间还是8小时之外。问题还远没有结束,基于IPSec是网络层协议的前提,当远程设备从Internet接入
16
黛蓝公司VPN网络方案设计与分析
后将被虚拟成局域网内的一台PC,也就是获得了局域网的所有使用权限。这是相当危险和难以控制的。如果这台接入的设备携带了病毒、蠕虫,局域网也会很快地受到感染,使网络人员精心构建的安全城墙在一瞬间被摧毁。
SSL(安全套接层)VPN被视为IPSec VPN的互补性技术,在实现移动办公和远程接入时,SSL VPN更可以作为IPSec VPN的取代性方案。SSL协议由网景公司提出,是一种基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和数据保密性。所有标准的WEB浏览器均已内建了SSL协议。采用SSL协议的设备实现对WEB及各种使用静态或动态端口的服务做支持,于是便出现了 SSL VPN。在上图中,移动用户或者固定用户通过浏览器直接访问公司内部网络或者访问内部服务,实现内网的随时随地访问。
4.2.3.2 SSL VPN原理
SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和 TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。 警告协议用于在发生错误时终止两个主机之间的会话。所以SSL VPN,就是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器访问公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问,即构建基于IP的访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。
4.2.3.3 SSL VPN优势
17
洛阳师范学院2013届本科生毕业设计
SSL VPN的优势来自于HTTP的广泛应用,常见的使用 HTTP 的应用有:SOAP(Simple Object Access Protocol) 简单对象访问协议,UDDI (Universal Description, Discovery, and Integration)统一描述、发现和集成等。这类B/S 架构管理软件只安装在服务器端上,用户界面主要事务逻辑在服务器端完全通过WWW浏览器实现。极少部分事务逻辑在前端(Browser)实现,所有的客户端可以只有浏览器。 SSL VPN与主流的IPSEC easy VPN相比,自然有其优势。与L2TP VPN相比,更是明显。一个是2层,一个是3层VPN,这里不作比较。 1.不需要客户端
客户端的区别是SSL VPN最大的优势。有Web浏览器的地方的就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供应商等,通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问,而IPSec VPN只允许已经定义好的客户端进行访问,所以它更适用于企业内部。
SSL VPN的客户端属于即插即用的安装模式,不需要任何附加的客户端软件和硬件,即便是瘦客户端模式,由于是用自动下载的模式,所以对用户来讲仍然是透明的;相对而言,IPSec VPN通常需要长时间的配置,并必须有相应的软硬件才可使用,用户需要支付软硬件费用以及配置、技术支持的费用也就比较高。IPSec VPN部署如果增添新的设备,往往要改变网络结构,因此造成IPSec VPN的可扩展性比较差。
2.安全性较好
SSL是与客户资源之间建立安全连接的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
SSL VPN的安全性与IPSec VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
SSL VPN由于是与资源直接建立连接,比如web 服务器,文件服务器,邮件等,所以不是基于IP应用的访问。所以客户主机即使感染病毒而后发起基于SSL VPN的访问,都不会感染内网的其他主机。而采用IPSEC VPN,则可能会感染整个网络。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
还有就是对整个网络的影响。比如客户要访问公司内部FTP服务器,则在出口防火墙则需要开启对21端口的检测,或者运行outside直接访问inside服务器的21端口,这样务必会造成防火墙多余端口的开放,造成不必要的安全隐患。而SSL VPN采用HTTPS加密传输数据,不需要防火墙等安全设备开放21端口,所以这在另一个
18
黛蓝公司VPN网络方案设计与分析
层面上保证了集团内网安全。
3.身份识别方面
用户部署VPN是为了让外网用户能安全的访问内网资源,所以保护网络中重要数据的安全成了VPN的一个重要组成部分。在电子商务和电子政务日益发展的今天,企业的各种应用日益复杂,需要访问内部网络人员的身份也多种多样,对内网资源的权限也有不同的级别。
由于IPSEC VPN主要提供基于IP的应用,所以用户通过IPSEC连到内网后就没办法控制,他们就具有较高的权限,因此,内部网络对于IPSec VPN的使用者来说是透明的,只要是通过了IPSEC VPN网关,就可以任意访问内网中的资源。因此,IPSEC VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的全面安全。
而SSL VPN重点在于只是对敏感数据的访问,所以SSL VPN可以根据用户的不同身份,给予不同的访问权限。通过配合一定的身份认证,不仅可以控制访问人员的权限,还可以对访问人员的每个访问的关键信息进行数字签名,以保证每次访问的不可抵赖性,为事后追踪提供了依据。
4.经济性
使用SSL VPN具有很好的经济性,SSL VPN不需要使用专门的设备,只需要在防火墙或者出口路由器上配置即可。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备,同时,若也在出口路由器以及防火墙上部署IPSEC easy VPN,则IPSEC使用的加密手段以及HASH手段会加大设备的负担,造成处理能力低下。就使用成本而言,SSL VPN具有更大的优势。
5.易于维护
SSL VPN相比IPSEC EASY VPN,只需要较少的专业知识就可以维护,不像IPSEC,IPSEC过程较为复杂,很容易就出现差错。出现差错了排错也不容易。所以从维护性来说这也是SSL VPN的一个优势。
所以SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全简单便宜的解决方案,才能真正符合需求。
4.2.4 MPLS VPN 4.2.4.1 MPLS 概述
多协议标签交换MPLS VPN是一种面向连接的技术,通过MPLS信令建立好MPLS标记交换通道LSP,数据转发时在网络的入口处对信息进行分类,网络设备中根据分类选择相应的交换通道LSP,并打上相应的标签,再转发时直接根据报头的标签
19
洛阳师范学院2013届本科生毕业设计
转发,不再通过IP地址查找,在LSP出口处,卸掉标签,还原为原来的IP数据包。它是一种快速数据包交换和路由的体系,通过标签交换路径将私有的网络的不同分支联系起来,从而形成一套虚拟的统一的网络。基于这种交换和路由的特点,它的路由工作在网络的第三层,而核心任务工作在第二层。
4.2.4.2 MPLS 原理
MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络(图1中的MPLS骨干网络)相连,它“感知”不到VPN的存在;PE(Provider Edge Router,骨干网边缘路由器)设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Router 骨干路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P,PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为 BGP/MPLS VPN。本文主要阐述的是Layer3 MPLS VPN。
在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。 VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由,这通常是通过 MBGP实现的。正常的BGP4能只传递IPv4的路由,MP-BGP在BGP的基础上定义了新的属性。MP-iBGP在邻居间传递VPN用户路由时会将 IPv4地址打上RD前缀,这样VPN用户传来的IPv4路由就转变为VPNv4路由,从而保证VPN用户的路由到了对端的PE上以后,即使存在地址空间重叠,对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个 VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site均创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN路由时,要用Export RT对VPN路由进行标记;当PE收到VPNv4路由信息时,只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中,而不是全网所有VPN的路由,从而形成不同的VPN,实现VPN的互访与隔离。通过
20