VPN 的技術原理是什麼?
SSL VPN 技術
SSl 協議支隊通信雙方傳輸的應用數據進行加密,而不是對從一個主機到另一個主機的所有數據進行加密。
IPSec 缺陷
由於 IPSec 是基於網絡層的協議,很難穿越 NAT 和防火牆,特別是在接入一些防護措施較爲嚴格的個人網絡和公共計算機時,往往會導致訪問受阻。移動用戶使用 IPSec VPN 需要安裝專用的客戶端軟件,爲日益增長的用戶羣發放、安裝、配置、維護客戶端軟件已經使管理員不堪重負。因此,IPSec VPN 在 Point- to-Site 遠程移動通信方面並不適用。
SSL VPN 功能技術
虛擬網關
每個虛擬網關都是獨立可管理的,可以配置各自的資源、用戶、認證方式、訪問控制規則以及管理員等。
當企業有多個部門時,可以爲每個部門或者用戶羣體分配不同的虛擬網關,從而形成完全隔離的訪問體系。
WEB 代理
它將遠端瀏覽器的頁面請求 (採用 https 協議) 轉發給 web 服務器,然後將服務器的響應回傳給終端用戶,提供細緻到 URL 的權限控制,即可控制到用戶對某一張具體頁面的訪問。
web 代理實現對內網 Web 資源的安全訪問:
Web 代理有兩種實現方式:
Web-Link 和 Web 改寫(默認)。
-
Web-link 採用 ActiveX 控件方式,對頁面進行轉發。
Web 改寫方式採用腳本改寫方式,將請求所得頁面上的鏈接進行改寫,其他網頁內容不作修改。
從業務交互流程可以看出,Web 代理功能的基本實現原理是將遠程用戶訪問 Web Server 的過程被分成了兩個階段。首先是遠程用戶與 NGFW 虛擬網關之間建立 HTTPS 會話,然後 NGFW 虛擬網關再與 Web Server 建立 HTTP 會話。虛擬網關在遠程用戶訪問企業內網 Web Server 中起到了改寫、轉發 Web 請求的作用。
文件共享
文件共享實現過程
-
客戶端向內網文件服務器發起 HTTPS 格式的請求,發送到 USG 防火牆。
-
USG 防火牆將 HTTPS 格式的請求報文轉換爲 SMB 格式的報文。
-
USG 防火牆發送 SMB 格式的請求報文給文件服務器。
-
文件服務器接受請求報文,將請求結果發送給 USG 防火牆,用的是 SMB 報文。另外,搜索公衆號程序員小樂後臺回覆 “賺錢”,獲取一份驚喜禮包。
-
USG 防火牆將 SMB 應答報文轉換爲 HTTPS 格式。
-
將請求結果 (HTTPS 格式的報文) 發送到客戶端。
端口轉發
提供豐富的內網 TCP 應用服務。
廣泛支持靜態端口的 TCP 應用:
-
單端口單服務器(如:Telnet,SSH,MS RDP, VNC 等)。
-
單端口多服務器(如:Lotus Notes)。
-
多端口多服務器(如:Outlook)。
支持動態端口的 TCP 應用:
- 動態端口(如:FTP,Oracle)。
提供端口級的訪問控制。
端口轉發實現原理
端口轉發特點
-
實現對內網 TCP 應用的廣泛支持。
-
遠程桌面、outlook、Notes、FTP 等。
-
所有數據流都經過加密認證。
-
對用戶進行統一的授權、認證。
-
提供對 TCP 應用的訪問控制。
-
只需標準瀏覽器,不用安裝客戶端。
網絡擴展
-
分離模式:用戶可以訪問遠端企業內網 (通過虛擬網卡) 和本地局域網(通過實際網卡),不能訪問 Internet。
-
全路由模式:用戶只允許訪問遠端企業內網 (通過虛擬網卡),不能訪問 Internet 和本地局域網。
-
手動模式:用戶可以訪問遠端企業內網特定網段的資源 (通過虛擬網卡),對其它 Internet 和本地局域網的訪問不受影響 (通過實際網卡)。網段衝突時優先訪問遠端企業內網。
網絡擴展實現過程
報文封裝過程
可靠傳輸模式
快速傳輸模式
終端安全
主機檢查
終端安全是在請求接入內網的主機上部署一個軟件,通過該軟件檢查終端主機的安全狀況。主要包括: 主機檢查、緩存清理。
主機檢查:檢查用戶用來訪問內網資源的主機是否符合安全要求。
主機檢查策略包括如下檢查項:
-
殺毒軟件檢查
-
防火牆檢查
-
註冊表檢查
-
文件檢查
-
端口檢查
-
進程檢查
-
操作系統檢查
緩存清理
USG 可以在用戶訪問虛擬網關結束時,採用必要的手段清除終端. 上的訪問痕跡 (例如生成的臨時文件、Cookie 等),以防止泄密,杜絕安全隱患。
清理範圍:
-
Internet 臨時文件
-
瀏覽器自動保存的密碼
-
Cookie 記錄
-
瀏覽器的訪問歷史記錄
-
回收站和最近打開的文檔列表
-
指定文件或文件夾
完善的日誌功能
-
日誌查詢
-
日誌導出
-
虛擬網關管理員日誌
-
用戶日誌
-
系統日誌
認證授權
證書匿名認證
NGFW 只通過驗證用戶的客戶端證書來驗證用戶的身份。
-
用戶在 SSLVPN 網關登錄界面選擇證書後,客戶端會將客戶端證書發送給網關。
-
網關會將客戶端證書以及自己引用的 CA 證書的名稱發送給證書模塊。
-
證書模塊會根據網關引用的 CA 證書檢查客戶端證書是否可信,並將結果返回給網關:
-
如果網關引用的 CA 證書與客戶端證書是同一個 CA 機構頒發的,且客戶端證書在有效期內,則證書模塊認爲客戶端證書可信,用戶認證通過,繼續執行 4。
-
如果證書模塊認爲客戶端證書不可信,用戶認證不通過,則執行 5。
- 網關根據用戶過濾字段從客戶端證書中提取用戶名。
- 網關會從自己的角色授權列表中查找用戶所屬角色從而確認此用戶的業務權限。
- 網關將認證結果返回給客戶端。
認證結果爲通過的用戶能夠登錄 SSLVPN 網關界面,以相應的業務權限來使用 SSL VPN 業務。
認證結果爲不通過的用戶會在客戶端上看到 “您的證書驗證非法,請提供合法的證書”。另外,搜索公衆號 Java 架構師技術後臺回覆 “Spring”,獲取一份驚喜禮包。
證書挑戰認證
證書挑戰認證是指將驗證客戶端證書與本地認證或服務器認證結合起來。
證書+本地用戶名密碼
證書+服務器認證
SSL VPN 應用場景
SSL VPN 單臂組網模式應用場景分析
在網絡規劃時,SVN 的接口 IP 爲內網 IP 地址,此地址需要能與所有被訪問需求的服務器路由可達。
防火牆上需配置 nat server, 將 SVN 的地址映射到防火牆的某一公網 IP. 上。也可以只映射部分端口,如 443。如果外網用戶有管理 SVN 的需求,還需要映射 SSH、Telnet 等端口。擴展:接私活兒
SSLVPN 雙臂組網模式應用場景分析
-
在此類組網環境中,SVN 使用兩個不同的網口連接外網與內網,這種組網方式下,具有清晰的內網、外網概念; 無需做額外的配置,外網口對應虛擬網關 IP,內網口配置內網管理 IP。
-
虛擬網關 IP 不一定需要經過 NAT 轉換,只要外網用戶能夠訪問此虛擬網關 IP 地址即可。內外網接口沒有特定的物理接口,任何一個物理接口都可以作爲內網或外網接口。
-
圖中路由器和交換機之間處於連接狀態。這是因爲客戶網絡中可能有部分應用不需要經過 SSL 加密,而是直接通過防火牆訪問外網。這時就需要在交換機和路由器. 上配置策略路由,需要建立 SSLVPN 的流量就轉發到 SVN 上,而普通的應用就直接通過防火牆訪問外網。
SSL VPN 配置步驟
1. 配置接口
2. 配置安全策略
-
放行 Untrust 到 L ocal 安全區域的 SSL VPN 流量。
-
放行 Local 到 Trust 安全區域的業務流量。
3. 配置 VPNDB
4. 虛擬網關配置
5. 業務選擇
ensp將防火牆該功能閹割
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/BS3BjWEuJlhQH1UB17MkBg