SSLVPN方案模板初稿.docx

SSLVPN方案模板初稿.docx

《SSLVPN方案模板初稿.docx》由会员分享，可在线阅读，更多相关《SSLVPN方案模板初稿.docx（8页珍藏版）》请在冰点文库上搜索。

SSLVPN方案模板初稿

XXXVPN远程安全接入解决方案

1.概述：

      作为一种成熟有效的低成本广域网互联解决方案，通过VPN技术实现远程安全接入已经得到了普遍的接受和广泛的应用。

通过VPN，可以让远程的分支机构、移动办公用户乃至于合作伙伴在一个类似于局域网的环境下协同工作。

  在所有VPN技术中，IPSecVPN与SSLVPN是公认的最佳的网络到网络VPN解决方案，广泛应用于总部和分支机构之间的互联。

IPSec是标准的网络安全协议，它可以提供透明的IP层加密通讯服务，加密强度根据选择的加密算法不同而有所区别。

由于是基于IP层进行加密，所以与上层协议与应用无关，对各种应用的支持较好。

但是IPSecVPN不支持路由协议的透传，因此在进行需要透传路由协议的相对复杂组网的时候会遇到困难。

为了解决这一难题，业内也开发了很多解决方案，其中最佳的就是利用GRE隧道技术与IPSec技术相结合的组网方式。

  在移动用户接入时，相对于IPSecVPN需要额外安装客户端以及需要对客户端进行比较复杂的配置的缺点，SSLVPN提供了更加简便的无客户端的移动用户接入解决方案。

SSLVPN使用了面向HTTP应用的SSL协议对TCP协议进行加密。

由于SSL协议得到了浏览器的广泛支持，因此在使用SSLVPN的时候不需要安装客户端和进行复杂的配置，只需要使用浏览器即可。

同时结合ActiveX控件，SSLVPN可以实现对非HTTP应用的支持，以及VPN客户端接入时的安全校验等功能。

2.需求设计

在XXX网络环境进行VPN设计时应当考虑以下问题：

■分析业务的实际需求，综合采用多种VPN技术，灵活网络设计。

一般说来，网络到网络比较适合接入采用IPSecVPN，远程办公用户接入比较适合采用SSLVPN，而在需要透传路由协议的情况下，则需要使用GREVPN承载IPSecVPN的方法。

■考虑到不同的远程接入网络/远程接入用户的业务需求不同，应用采用分域的方法进行VPN设计。

比如分支机构与合作伙伴通过VPN接入的时候就应该接入不同的域。

■与通过专线进行广域网设计类似，在设计时要考虑对蠕虫病毒等恶意流量的防护问题。

■在多数情况下，用于VPN连接的互联网链路往往同时也是访问互联网的链路，因此在进行设计时，要考虑与边界防护设计的融合问题。

■充分考虑统一安全策略部署，与统一配置管理问题。

3典型组网

  DPtech远程安全接入解决方案综合应用IPSecVPN、SSLVPN、GREVPN、L2TPVPN等多种VPN技术，为用户提供多样的、高可靠性的远程安全接入解决方案，实现分支机构、合作伙伴、移动用户的一体化远程安全接入。

同时根据实际情况，应用杭州迪普科技有限公司的防火墙、UTM和IPS产品，提供了全面的L2～7层安全防护，统一的安全策略部署与配置管理能力，以及与边界防护解决方案的融合能力。

4.功能与优势

■网络级的性能

迪普相关产品基于APP-X硬件平台，可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。

不会因为增加了新的设备而使得应用的性能出现下降。

■网络适应性

迪普相关产品基于Conplat软件平台，提供了丰富的网络适应性，可以在IPv6、MPLS等复杂网络环境下良好的工作。

设备部署的时候，可不受网络环境的限制，也不需要大面积调整网络结构。

■丰富的VPN组网能力

综合应用IPSecVPN、SSLVPN、GREVPN、L2TPVPN等多种VPN技术，提供了丰富的VPN接入手段和组网方法。

■完善的L2～7安全保护

通过DPtech防火墙、UTM和IPS产批为核心，提供了完善的L2～7层安全保护能力。

可有效抵御VPN内的病毒传播，以及抵御来自于互联网的攻击。

■虚拟化安全服务

所有产品都支持虚拟化功能，可以虚拟成为多个独立设备使用。

这在分域设计以及多种安全策略并存的环境下，可以有效的降低安全策略设计的复杂性。

■快速部署及排错

所有设备都支持统一管理，能对所有设备进行统一系统软件升级、策略集中下发，提供了快速部署及排错能力。

■完善的高可靠性保障

根据组网方式的不同，可支持链路备份、VRRP、路由备份等多种高可靠性设计，提供微秒级的故障切换能力。

5.SSLVPN技术简介

随着WEB化和移动办公的普及，大量企业出差员工、分支机构员工、合作伙伴与公司总部业务系统的联系日益紧密。

如何能让市场人员或者分支机构在外也能及时与公司总部的业务系统沟通？

如何能让企业老总们能够在家方便管理公司事务，随时了解公司情况？

这些都需要企业构筑一个基于Internet的信息网络，但也要注意到Internet带来便捷的同时，也引入了黑客攻击、数据泄密等不安全的事件，在开放的Internet上进行信息安全、便捷的信息传递，是企业面临的难题，SSLVPN正是在这种需求下应运而生。

首先介绍一下SSL协议，SSL（SecureSocketLayer）是在Internet基础上提供的一种保证私密性的安全协议。

它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。

SSL协议的优势在于它是与应用层协议独立无关的。

高层的应用层协议（例如：

HTTP，，…）能透明的建立于SSL协议之上。

SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。

在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

通过以上叙述，SSL协议提供的安全信道有以下三个特性：

私密性。

因为在握手协议定义了会话密钥后，所有的消息都被加密。

确认性。

因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。

可靠性。

因为传送的消息包括消息完整性检查（使用MAC）。

SSLVPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。

这使得企业员工出差时甚至不必再携带自己的笔记本电脑，仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便。

由于SSLVPN不像IPSecVPN那样要购买和维护远程客户端或软件，因而要比后者系统造价低很多。

DPtech公司紧密跟踪客户需求，通过在防火墙系列中扩展SSLVPN插卡，为用户提供一体化VPN接入。

通过硬件加速和优化的TCP/IP内核，可以提供高性能的SSL接入能力；同时，内置防火墙和用户认证模块等安全模块，支持热备份，从而提高了整个网络系统的安全性。

拓扑如下：

5.1DPtechSSLVPN技术特点

SSLVPN和传统的IPSecVPN相比，有着自身鲜明的技术特点，IPSecVPN需要客户处安装专用的客户端程序，对于需要提供公共服务的系统往往是不能接受的。

相比之下，SSLVPN的技术特点如下：

5.1.1无客户端接入

与传统VPN解决方案相比较，SSLVPN使用维护简单，不用更改现有网络结构；移动性强，不需要安装安全客户端程序；具有强有力的访问控制能力，可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。

由于目前流行的Web浏览器都内置了SSL模块，所以对于基于B/S模型的应用，客户

不需要另外安装和配置任何客户端软件，就可以通过Web浏览器安全的访问数据了，系统的部署和用户的使用都极为方便。

另外，对于传统的C/S模型的应用，DPtech也可以提供两种基于SSLVPN的安全访问手段：

用户既可以通过Web界面自动下载安装JAVA应用程序来建立安全的SSL加密通道，也可以通过DPtech特有的SSLVPN设备透明的构建SSLVPN通道。

5.1.2强大的用户认证

SSL应用需要客户和服务器相互进行身份认证，客户对服务器的认证采用数字证书的方式，这个是必须的。

服务端对客户的认证是可以选择的，可以选择不进行认证，这种网络一般面对公共用户提供开发式服务。

对于客户的认证可以支持如下：

普通的“用户名+密码”认证方式。

管理员既可以根据需要通过集成LDAP、RADIUS服务器，实现对用户的企业级集中认证；也可以在SSLVPN网关上直接开户，从而实现本地认证。

“SecKey+PIN码”双因子认证方式。

SecKey是DPtech提供的基于USB接口身份验证令牌，可以方便的连接到兼容USB的终端设备上，实现终端设备的方便接入。

数字证书认证方式。

数字证书可以存储在用户个人计算机上，也可以存储在SecKey里面。

系统通过提供硬件加速，实现用户的高速安全连接。

5.1.3可管理性和可维护性

可管理性包括SSLVPN的用户策略配置管理，SSLVPN连接的管理、配置策略的下发更新，对用户访问权限和业务资源进行有效的管理和配置。

可维护性方面，SSLVPN具有很强大的审计、日志和报告功能。

记录每次配置修改，用户会话信息，用户登录退出信息，以及用户使用的业务资源，和相关业务统计数据。

5.1.4高可靠性

对于SSLVPN，在为后台服务器提供SSL代理服务的时候，需要增强自身的高可靠性，通过状态热备和VRRP协议，或者通过和负载均衡设备的配合，来实现SSLVPN设备备份，从而避免单点故障。

同时对于用户安全接入来讲，需要建立备份设备和备份链路，当一个设备或一条链路出现故障时备用设备或链路可以平滑地建立备份VPN连接，保证网络无间断。

网络的灵活性体现在用户不论是以什么样的接入方式接入Internet都可以方便地建立VPN连接。

通过在Internet上承载业务，为用户节省了租用专线的费用，大大降低了企业运营成本，具有极高的经济性。

5.1.6SSLVPN客户化解决方案

DPtechSSLVPN很成功的解决了网络上两个应用之间的安全连接，方便用户安全接入网络的同时，保护了网络业务资源。

5.1.7基于Internet的电子商务应用

在电子商务网络，包括购物、拍卖、网上银行等，都需要提供对用户的数据安全性的保护，从而避免造成用户利益损失。

这种网络特点是保护用户的交易阶段，对用户在网站上浏览阶段，为保证服务器的响应速度，不进行特别保护。

同时由于是公共服务系统，所以在用户建立SSL加密隧道的时候，不对用户身份进行认证，只需要用户对服务器的进行认证。

用户建立安全隧道之后，进行业务交易，根据需要，后台的应用服务可以对用户进行传统的身份认证，整个过程已经在安全保护下。

SSLVPN在这里主要的作用是对SSL应用进行加速，因为服务器一般都是通用CPU，对加密解密是采用软件方式实现，SSL应用中加密解密需要消耗大量的CPU资源，有测试

数据表明：

PII的NT服务器，能处理的HTTP服务是1400个，能处理的HTTPS服务是在70个左右。

可见普通服务器应用SSL服务，性能下降到1/20。

同时对于用户来讲，长时间的业务处理等待，严重影响服务质量，降低交易成功率。

SSLVPN的出现，卸载了服务器的加密解密处理，增强系统处理能力。

在这时候SSLVPN的网络位置一般是放在防火墙与后端服务器之间，从客户端到SSLVPN之间的通讯都采用SSL协议加密，而SSLVPN与服务器之间的通讯则使用标准的http协议（对于Web应用）,或相应的TCP端口（对于C/S结构应用程序），因此不会因为SSL加解密工作给服务器带来任何负担。

5.1.8远程接入应用

对于企业网络用户，出差员工或者销售代理机构，需要密切保持和总部业务系统的联系，以方便及时处理订单等业务数据。

这就要求可以方便的接入企业网络，同时考虑网络安全性，对用户进行身份认证和策略控制。

用户登录时可以使用“SecKey+PIN”码的双因素认证方式，其中对服务器身份使用标准数字证书验证，对客户端身份使用基于HMAC的冲击响应进行验证。

双方验证结束后，所有通讯均使用HTTPS协议，保证了从客户端到SSLVPN之间的通讯安全。

信息传递到SSLVPN，由SSLVPN将其解密后以标准HTTP协议或通过相应TCP端口，传递到后端的服务器，从服务器返回的信息，再由SSLVPN加密后传递到客户端。

同样可以采用数字证书的方式认证，数字证书储存在个人PC上或者是SecKey里面，这样保证了证书的安全性。

最后，还可以通过和RSA服务器的集成，采用静态密码加动态密码方式，实现了双因子验证，从而提高了口令的安全性。

用户接入认证后，可以根据用户权限，控制用户访问的目录和服务，同时对用户访问行为进行详细的日志记录。

6.总结

DPtechSSLVPN系统可为XXX用户提供一种灵活方便的安全接入方式，将极大的提高用户的工作效率，同时也大大的降低管理员的部署复杂度。