SSL VPN

1、SSL协议简介

（1）基本概念
SSL是一个安全协议，为基于TCP的应用层协议提供安全连接，SSL介于TCP/IP协议栈第四层和第七层之间。SSL可以为HTTP协议提供安全连接。安全套接字（SSL）是一种在两台机器之间提供安全通信的协议。

（2）SSL协议结构分为两层

1）底层为SSL记录协议

主要对上层的数据进行分块、压缩、计算并添加MAC、加密，最后把记录块传输给对方。

2）上层为：
SSL握手协议------客户端和服务器通过握手协议建立一个会话。会话包含一组参数，主要有会话ID、对方的证书、加密算法列表（包括密钥交换算法、数据加密算法和MAC算法）、压缩算法以及主密钥。SSL会话可以被多个连接共享，以减少会话协商开销。

SSL密码变化协议------客户端和服务器通过密码变化协议通知接收方，随后的报文都将使用新协商的加密算法列表和密钥进行保护和传输。

SSL警告协议------用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。

2、SSL VPN概述
（1）SSL和IPSec安全防护对比

（2）SSL VPN技术优势

1）无客户端的便捷部署
a、无需改变内网网络结构即可实现快速部署。
b、节省投资，技术支持和管理成本。
c、不存在网络地址转换（NAT）穿越问题。

2）应用层接入的安全保护
a、用户只能通过SSL VPN接入企业应用资源，一定程度遏制了网络病毒的传播。
b、针对具体的应用资源的细粒度访问控制

3）企业的效率提升
a、灵活安全接入
b、企业移动/远程员工可以随时安全接入企业内网
c、分支机构安全连接，合作伙伴业务流整合，用户远程支持。

（3）SSL协议从以下方面确保了数据通信的安全
身份认证、机密性、完整性

3、SSL VPN功能与实现

功能：
（1）领先的虚拟网关

（2）Web代理
1）实现对内网Web资源的安全访问
a、Web代理实现了无客户端的页面访问
b、Web代理有两种实现方式：Web-link和Web改写

2）实现过程
a、远程接入用户通过USG网关对企业内网某一web页面发起访问请求。
b、内网服务器将请求结果返回给USG，由USG将获取的页面返回给用户
c、对用户来说，USG相当于web服务器，而对内部服务器来说，USG又充当了客户端的角色。

3）两种实现方式
a、Web-link采用ActiveX控件方式，对页面进行转发。
b、Web改写方式采用脚本改写方式，将请求所得页面上的链接进行改写，其他网页内容不作修改。

（3）文件共享

1）主要功能
是将不同的系统服务器（SMB，NFS）的共享资源以网页的形式提供给用户访问。

2）实现过程
a、客户端向内网文件服务器发起HTTPS格式的请求，发送到USG防火墙。
b、USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文。
c、USG防火墙发送SMB格式的请求报文给文件服务器。
d、文件服务器接受请求报文，将请求结果发送给USG防火墙，用的是SMB报文
e、USG防火墙将SMB应答报文转换为HTTPS格式
f、将请求结果（HTTPS格式的报文）发送到客户端。

（4）端口转发
1）主要功能
主要用于C/S不能使用web技术访问的应用

2）支持静态端口的TCP应用
a、单端口单服务
一个服务对应一个端口。例如Telnet、SSH、VNC

b、单端口多服务
多个服务对应一个端口。例如Notes（多个数据库服务器对应一个端口）

c、多端口单服务
一个服务对应多个端口。例如POP3、Email。

3）支持动态端口的TCP应用
动态端口服务
一个服务对应多个动态变化的端口。例如FTP被动模式

4）实现原理
a、用户点击客户端页面“启动端口转发功能”按钮，自动安装运行一个WindowsActiveX控件，获取到管理端配置的端口转发资源列表（目的服务器IP、端口）。控件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出），并将目的地址改写为回环地址，转发到侦听端口。

b、对该报文加密封装，添加私有报文头，将目的地址设为USG的IP地址，经由侦听端口发往USG。
c、USG收到报文进行解密，发往真实的目的服务器端口。
d、USG收到服务器的响应后，再加密封装回传给用户终端的侦听端口。

（5）网络扩展
1）访问方式
a、全路由模式
用户可以访问远端企业内网（通过虚拟网卡）和本地局域网（通过实际网卡），不能访问Internet。

b、分离模式
用户只允许访问远端企业内网（通过虚拟网卡），不能访问Internet和本地局域网

c、手工模式
用户可以访问远端企业内网特定网段的资源（通过虚拟网卡），对其它Internet和本地局域网的访问不受影响（通过实际网卡）。网段冲突时优先访问远端企业内网。

2）实现过程
a、远程用户通过IE浏览器登录虚拟网关，建立HTTPS会话。
b、远程用户在虚拟网关上启动网络扩展功能。
c、.远程用户向企业内网的Server发送IP报文。该IP报文首先流向虚拟网卡，经过虚拟网卡后再进入SSL隧道。
d、进入SSL隧道的IP报文被加密保护，并送往虚拟网关。
e、虚拟网关解密远程用户发来的IP报文，并将解密后的IP报文发送给企业内网Server。
f、企业内网Server回复远程用户的资源请求，回复报文到达虚拟网关后，经过虚拟网关进入SSL隧道。
g、进入SSL隧道的IP报文被加密保护，并送往远程用户。
h、远程用户解密虚拟网关发来的IP报文。

（6）用户安全控制
1）主机检查
2）缓存清理
3）认证授权

（7）完善的日志功能
1）系统日志
2）用户日志
3）虚拟网关管理员日志
4）日志导出
5）日志查询

cs