选择区域语言: EN CN HK

H3C SecBlade SSL VPN技术白皮书

H3C SecBlade SSL VPN技术白皮书

关键词:SSL VPNSecBladeWeb接入,TCP接入,IP接入,主机检查,动态授权,证书认证,USB-Key认证

    要:本文首先介绍了远程接入所关心的主要问题,继而介绍了H3C SecBlade SSL VPN产品对远程接入的解决方案。

缩略语:

缩略语

英文全名

中文解释

SSL

Security Socket Layer

安全套接字层

VPN

Virtual Private Network

虚拟专用网络

 



概述

随着信息社会的到来,人们的工作和生活越来越依赖对信息的及时获取和使用。市场人员经常需要在现场向用户介绍某些产品或解决方案,虽然事先准备充分,并携带了大量的资料,但面对爱提问题的用户仍然会感到难以应付,此刻多么需要及时从公司的数据库中获得相关的资讯;企业领导或员工出差在外,但仍有很多公司内的文件或电子流等待他们去处理;编辑、律师、咨询顾问等知识白领虽然很多工作可以在家中完成,但为了获得某些材料,或者处理某些流程,仍然需要不辞劳苦地赶路上班;散布在各地的企业合作伙伴多么希望彼此能开放自己的网络,共享信息资源、合作完成项目;经常排队缴费的人多么希望能多一点时间休息,少一点时间等待。所以对信息及时便利的获取将会为我们节省大量宝贵的时间,减少沟通成本,提高工作效率,改善生活品质。

一个企业如何能方便快捷地为远程用户提供访问内网的连接呢?采用VPN就可以做到这一点。VPNVirtual Private Network)是一种在Internet上建立私有网络连接的技术,使得远程用户可以通过公用网络访问自己的私有网络。最初的VPN技术,如L2TPGRE等只是实现简单的网络互连,随着网络安全问题的日益增多,如今的VPN都要求采用加密连接,实现安全的网络互连。

采用加密技术的VPN有两种:IPsec VPNSSL VPNIPsec VPNSSL VPN出现得早,由于协议简单、实现容易,可以满足一般情况下的VPN互连要求,IPsec VPN得到了一定的应用和推广。但是,在使用IPsec VPN的过程中,也遇到了一些问题:

l              网络互连性问题。

在通过NAT(地址转换)上网的环境中,IPsec报文的IP头会被出口路由器修改,从而破坏了报文的完整性,在对端的IPsec网关接收时会被丢弃。这样采用NAT方式上网的用户连接IPsec VPN就会遇到问题。虽然后来有了相应的解决办法“NAT穿越”,但是增加了使用的复杂性。

另外,在建立IPsec连接之初需要通过IKE协议协商密钥,IKE协议使用UDP报文进行通讯。如果用户上网的线路途径防火墙,而防火墙配置不当,没有允许IKE报文通过的话,用户建立IPsec VPN连接仍然会遇到问题。

总之,由于用户上网方式多种多样,上网的环境也比较复杂,IPsec VPN在实际应用中会遇到一些网络互连方面的问题。

l              客户端维护问题

对于通过电脑直接远程访问内网的用户,部署IPsec VPN需要预先安装一个客户端软件。由于现在电脑终端的类型有很多种,如台式机、笔记本、PDA、手机等;运行的操作系统也很多:有Windows 98/2000/XP/Vista/CEUnixLinuxPalm OS等,IPsec VPN需要为每种运行环境准备一种VPN客户端,安装维护起来比较麻烦。另外,IPsec VPN的客户端一般工作在IP层,涉及到对操作系统核心的操作,容易产生异常,带来系统的不稳定。所以IPsec VPN客户端的安装维护是个大麻烦。

此外,面对越来越多的安全漏洞和黑客攻击,如何有效地阻止远程用户的非法入侵成为建设VPN系统不容忽视的重要问题。这一点涉及到以下几方面的技术问题:

l              身份认证

如何验证用户的身份?如何保证标识用户身份的私密信息在网络传输过程中不被窃取?如何保证用户身份不会被冒用?

l              访问控制

即使远程用户的身份是真实的,考虑到远程主机的不可控,远程主机上可能存在各种潜藏的未知危险,对远程用户应当严格地、精细地限制访问权限,以避免由于非法入侵而造成的系统损失。

l              安全评估

为了尽可能减少远程访问所带来的风险,一种好的作法就是要求远程主机足够安全。这就需要对远程主机的安全状态进行评估。可以检查远程主机上是否安装了符合公司安全标准的操作系统,并及时打上了补丁;远程主机上是否安装并运行了合适的杀毒软件,病毒库是否更新;如此等等。只有在远程主机足够安全的情况下,我们才允许它远程接入企业的网络。

l              动态授权

虽然检查远程主机的安全状态是一种很好的保护网络安全的作法,但是远程主机有可能是私人设备、公用设备(网吧)、合作方的设备,对这些设备我们是不能严格控制和管理的,因而也难以统一要求在这些设备上必须安装符合公司网络安全标准的软件。对此,好的VPN系统应当可以对远程主机的安全状态进行评级,对处于不同安全级别的主机授予不同的访问权限,安全的主机将获得较多的访问资源,不安全的主机将只能访问少数受限的网络资源。这种授权管理的办法将使得用户的访问权限不再只与个人身份相关,还与当前所使用主机的安全状态相关,因而被称为动态授权。

l              精细的访问日志

由于远程访问可能带来比较隐蔽的非法入侵问题,所以需要对远程用户的访问过程进行详细的记录,以便对用户的访问行为进行实时的监控和日后的问题回溯。

面对上述远程接入的问题和安全管理要求,近年来兴起的SSL VPN技术可以很好地给予解决。作为国内网络设备的领导厂商,H3C公司始终关注用户需求,以用户需求为导向来开发产品和设计方案。继IPsec VPN之后,H3C又推出了功能全面,使用方便的SSL VPN产品。H3C SSL VPN产品的种类和形态很多,既有专用的VPN产品V100E,又有集成在防火墙中的SSL VPN模块,还有采用OAA架构,与以高端交换机配合使用的SecBlade SSL VPN插卡。本文以下部分对SecBlade SSL VPN插卡的功能和特点作一简要说明。

SecBlade SSL VPN插卡简介

SecBlade SSL VPN 是专门提供SSL VPN安全服务的插卡,可以配合S7500E/S9000系列的高端交换机使用。 SecBlade SSL VPN有两种型号,相关的产品性能规格如下:

产品型号

并发用户数

并发连接数

连接建立速度(/S)

吞吐量(Gbps)

LSB1SSL1A0

(适于S9500

10000

40000

5000

2.0

LSQ1SSLSC0

(适于S7500E

10000

40000

5000

2.0

 

SecBlade SSL VPN 的高性能源自于卓越的硬件平台:

l               多达16个核的高性能CPU

l               16个加密引擎,支持DES3DESAESRC4RSA等加密算法。

l               提供专用的加密指令,可以使复杂的加密计算通过执行单步指令完成。

l               万兆的背板接口,使得安全插卡可以与高端交换机进行线速的数据传输。

SecBlade SSL VPN对远程接入的支持

VPN有两种组网方式:网到网(Site-to-Site)和远程接入(Remote-Access)。网到网的组网方式是指两个局域网(LAN)通过VPN连接起来,实现两个局域网主机之间的互相访问。远程接入的组网方式是指远程用户直接通过自己的终端设备与企业的VPN网关建立连接,实现对内部网络资源的访问。显然远程接入的组网方式适用于移动办公、家庭办公、与合作伙伴网络互连(Extranet)等场合。

相对于IPsec VPNSSL VPN可以更好地满足远程接入的技术和管理方面的要求。具体来说,SSL VPN在以下方面提供了很好的支持:

(1)        SSL VPN具有很好的网络连通性。

因为SSL协议工作在TCP层之上,所以在进行NAT转换时,对TCP/IP报文头的修改不会影响到SSL报文的封装。因而SSL VPN没有像IPsec VPN那样需要解决NAT穿越问题。此外,SSL协议所使用的TCP 443端口号是知名端口,一般防火墙都会打开此端口。而IPsec/IKE协议所要求的UDP 4500/500号端口有时就会被防火墙所禁止。

(2)        SSL VPNWeb接入方式可以做到免客户端

SSL VPN提供了三种接入方式:Web接入、TCP接入、IP接入。其中的Web接入可以实现让用户仅通过Web浏览器就可以访问内网的Web站点,而Web浏览器是各种操作系统都提供的,其可靠性、稳定性都能得到保证。因而称Web接入是免客户端的。无客户端的远程接入方式给用户和系统管理员都带来了很大的方便,从根本上消除了安装和维护客户端的麻烦。

(3)        TCP接入和IP接入的客户端是免安装免维护的

SSL VPN还提供了TCP接入和IP接入两种接入方式。这两种接入方式都需要使用客户端。不过,SSL VPN的客户端可以通过网页自动下载,自动安装运行,在用户退出登录后,也能自动卸载。这样SSL VPN客户端的运行不需要用户的任何干预,既方便了用户使用,又省去了管理员的支持维护工作。

(4)        安全而又严格的用户认证

首先,SSL VPN采用SSL协议建立加密连接,整个连接的建立过程和数据传输过程都是严密的,在其中传输的用户认证信息不会被盗取。

其次,SSL协议支持证书认证,在部署了PKI系统的网络中,可以通过CA证书验明用户身份。而证书可以保存到USB-Key之中,受到USB-Key智能卡的保护,使得证书认证既方便快捷,又安全可靠。

此外,H3CSSL VPN还支持本地认证、Radius认证、Ldap认证、AD认证、RSA SecureID认证等多种认证方式,使得SSL VPN的部署易于集成到网络中原有的认证系统之中。

(5)        高细粒度的访问控制。

一方面SSL VPN可以支持对URL、文件共享目录、TCP服务、IP网段等不同粒度的访问控制,另一方面SSL VPN的授权实现了基于角色或用户组的管理,从而方便了管理员对用户实施精确的权限管理。

(6)        安全评估

SSL VPN可以做到在用户正式登录SSL VPN之前,通过下载一个主机检查器,自动检查远程主机的运行环境是否安全。

H3CSSL VPN支持的主机检查对象有:

l              操作系统的种类、版本和补丁。目前可以支持对Windows一族的检查。

l              浏览器的种类、版本和补丁。可以检查的种类有IEFirefoxNetscape

l              杀毒软件的类型、版本和病毒库版本。可以检查的杀毒软件有NortonSymantecMcAfeeCA、趋势、卡巴斯基等。

l              用户使用的证书。

l              指定的文件是否存在。

l              指定的程序是否运行。

(7)        动态授权

H3C SSL VPN支持对用户的动态授权,可以允许管理员设置10个安全级别。在主机检查和用户组授权管理的支持下,管理员可以轻松实现对复杂终端环境的策略化安全接入管理。

(8)        精细的访问日志

H3C SSL VPN提供的日志信息包括以下内容:

l              用户登录SSL VPN系统的时间、用户名、源IP地址。

l              用户退出SSL VPN系统的时间。

l              管理员的配置管理操作:执行人、操作时间、操作种类和配置的参数。

l              普通用户的访问:对Web接入可以记录所访问的URL;对TCP接入可以记录所访问的服务器IP地址和端口号,以及所采用的客户端类型;对IP接入可以记录所访问的IP地址。

上述日志内容采用标准的Syslog格式,日志信息可以保留在网关本地也可以上传到另外的日志服务器上。

典型组网

SecBlade SSL VPN可以有两种组网模式:双臂模式和单臂模式。

l              双臂模式

采用双臂模式,SSL VPN网关处在跨接在内网和外网之间,处在网络出口的枢纽位置。双臂模式的组网如下所示:

图1 双臂模式的组网图

双臂模式的优点是:SSL VPN网关可以完全地保护整个内网,内网和外网的交互完全由网关控制,对整个网络系统的保护最强。但是,作为网络出口处的网关,对其处理能力、抗攻击能力和稳定性都有较高的要求。

l              单臂模式

采用单臂模式,SSL VPN网关作为网络内部的一台服务器,以代理方式响应外部的业务请求,在远程主机和内网服务器之间传递报文。单臂模式的组网如下图所示:

图2 SSL VPN单臂的组网模式

单臂模式的优点是:SSL VPN网关没有成为网络出口的瓶颈。即使出现故障,也不会导致整个系统不能上外网。当然在这种模式下,SSL VPN网关并不能对整个内部网络进行保护,保护是不全面的。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。