來源丨GitHub科技
SSL VPN技術
SSl協議支隊通信雙方傳輸的應用數據進行加密,而不是對從一個主機到另一個主機的所有數據進行加密。
IPSec缺陷
由于IPSec是基于網絡層的協議,很難穿越NAT和防火墻,特別是在接入一些防護措施較為嚴格的個人網絡和公共計算機時,往往會導致訪問受阻。移動用戶使用IPSec VPN需要安裝專用的客戶端軟件,為日益增長的用戶群發放、安裝、配置、維護客戶端軟件已經使管理員不堪重負。因此,IPSec VPN在Point- to-Site遠程移動通信方面并不適用。
SSL VPN功能技術
虛擬網關
每個虛擬網關都是獨立可管理的,可以配置各自的資源、用戶、認證方式、訪問控制規則以及管理員等。
當企業有多個部門時,可以為每個部門或者用戶群體分配不同的虛擬網關,從而形成完全隔離的訪問體系。
WEB代理
它將遠端瀏覽器的頁面請求(采用https協議)轉發給web服務器,然后將服務器的響應回傳給終端用戶,提供細致到URL的權限控制,即可控制到用戶對某一張具體頁面的訪問。
web代理實現對內網Web資源的安全訪問:
Web代理有兩種實現方式:
Web-Link和Web改寫(默認)。
-
Web-link采用ActiveX控件方式,對頁面進行轉發。
-
Web改寫方式采用腳本改寫方式,將請求所得頁面上的鏈接進行改寫,其他網頁內容不作修改。
從業務交互流程可以看出,Web代理功能的基本實現原理是將遠程用戶訪問Web Server的過程被分成了兩個階段。首先是遠程用戶與NGFW虛擬網關之間建立HTTPS會話,然后NGFW虛擬網關再與Web Server建立HTTP會話。虛擬網關在遠程用戶訪問企業內網Web Server中起到了改寫、轉發Web請求的作用。
文件共享
文件共享實現過程
-
客戶端向內網文件服務器發起HTTPS格式的請求,發送到USG防火墻。
-
USG防火墻將HTTPS格式的請求報文轉換為SMB格式的報文。
-
USG防火墻發送SMB格式的請求報文給文件服務器。
-
文件服務器接受請求報文,將請求結果發送給USG防火墻,用的是SMB報文。
-
USG防火墻將SMB應答報文轉換為HTTPS格式。
-
將請求結果(HTTPS格式的報文)發送到客戶端。
端口轉發
提供豐富的內網TCP應用服務。
廣泛支持靜態端口的TCP應用:
-
單端口單服務器(如:Te.NET,SSH,MS RDP, VNC等)。
-
單端口多服務器(如:Lotus Notes)。
-
多端口多服務器(如:Outlook)。
支持動態端口的TCP應用:
-
動態端口(如:FTP,Oracle)。
提供端口級的訪問控制。
端口轉發實現原理
端口轉發特點
-
實現對內網TCP應用的廣泛支持。
-
遠程桌面、outlook、Notes、FTP等。
-
所有數據流都經過加密認證。
-
對用戶進行統一的授權、認證。
-
提供對TCP應用的訪問控制。
-
只需標準瀏覽器,不用安裝客戶端。
網絡擴展
-
分離模式:用戶可以訪問遠端企業內網(通過虛擬網卡)和本地局域網(通過實際網卡),不能訪問Internet。
-
全路由模式:用戶只允許訪問遠端企業內網(通過虛擬網卡),不能訪問Internet和本地局域網。
-
手動模式:用戶可以訪問遠端企業內網特定網段的資源(通過虛擬網卡),對其它Internet和本地局域網的訪問不受影響(通過實際網卡)。網段沖突時優先訪問遠端企業內網。
網絡擴展實現過程
報文封裝過程
可靠傳輸模式
快速傳輸模式
終端安全
主機檢查
終端安全是在請求接入內網的主機上部署一個軟件,通過該軟件檢查終端主機的安全狀況。主要包括:主機檢查、緩存清理。
主機檢查:檢查用戶用來訪問內網資源的主機是否符合安全要求。
主機檢查策略包括如下檢查項:
-
殺毒軟件檢查
-
防火墻檢查
-
注冊表檢查
-
文件檢查
-
端口檢查
-
進程檢查
-
操作系統檢查
緩存清理
USG可以在用戶訪問虛擬網關結束時,采用必要的手段清除終端.上的訪問痕跡(例如生成的臨時文件、Cookie等),以防止泄密,杜絕安全隱患。
清理范圍:
-
Internet臨時文件
-
瀏覽器自動保存的密碼
-
Cookie記錄
-
瀏覽器的訪問歷史記錄
-
回收站和最近打開的文檔列表
-
指定文件或文件夾
完善的日志功能
-
日志查詢
-
日志導出
-
虛擬網關管理員日志
-
用戶日志
-
系統日志
認證授權
證書匿名認證
NGFW只通過驗證用戶的客戶端證書來驗證用戶的身份。
1.用戶在SSLVPN網關登錄界面選擇證書后,客戶端會將客戶端證書發送給網關。
2.網關會將客戶端證書以及自己引用的CA證書的名稱發送給證書模塊。
3.證書模塊會根據網關引用的CA證書檢查客戶端證書是否可信,并將結果返回給網關:
-
如果網關引用的CA證書與客戶端證書是同一個CA機構頒發的,且客戶端證書在有效期內,則證書模塊認為客戶端證書可信,用戶認證通過,繼續執行4。
-
如果證書模塊認為客戶端證書不可信,用戶認證不通過,則執行5。
4.網關根據用戶過濾字段從客戶端證書中提取用戶名。
-
網關會從自己的角色授權列表中查找用戶所屬角色從而確認此用戶的業務權限。
5.網關將認證結果返回給客戶端。
認證結果為通過的用戶能夠登錄SSLVPN網關界面,以相應的業務權限來使用SSL VPN業務。
認證結果為不通過的用戶會在客戶端上看到“您的證書驗證非法,請提供合法的證書”。
證書挑戰認證
證書挑戰認證是指將驗證客戶端證書與本地認證或服務器認證結合起來。
證書+本地用戶名密碼證書+服務器認證
SSL VPN應用場景
SSL VPN單臂組網模式應用場景分析
在網絡規劃時,SVN的接口IP為內網IP地址,此地址需要能與所有被訪問需求的服務器路由可達。
防火墻上需配置nat server,將SVN的地址映射到防火墻的某一公網IP. 上。也可以只映射部分端口,如443。如果外網用戶有管理SVN的需求,還需要映射SSH、Telnet等端口。
SSLVPN雙臂組網模式應用場景分析
-
在此類組網環境中,SVN使用兩個不同的網口連接外網與內網,這種組網方式下,具有清晰的內網、外網概念;無需做額外的配置,外網口對應虛擬網關IP,內網口配置內網管理IP。
-
虛擬網關IP不一定需要經過NAT轉換,只要外網用戶能夠訪問此虛擬網關IP地址即可。內外網接口沒有特定的物理接口,任何一個物理接口都可以作為內網或外網接口。
-
圖中路由器和交換機之間處于連接狀態。這是因為客戶網絡中可能有部分應用不需要經過SSL加密,而是直接通過防火墻訪問外網。這時就需要在交換機和路由器.上配置策略路由,需要建立SSLVPN的流量就轉發到SVN上,而普通的應用就直接通過防火墻訪問外網。
SSL VPN配置步驟
1.配置接口
2.配置安全策略
-
放行Untrust到L ocal安全區域的SSL VPN流量。
-
放行Local到Trust安全區域的業務流量。
3.配置VPNDB
4.虛擬網關配置
5.業務選擇
ensp將防火墻該功能閹割
微信公眾號官方矩陣
