《新一代防火墻技術(shù)及應(yīng)用》課件第4章 VPN互聯(lián)技術(shù)

4.1NGAFDLAN互聯(lián)原理以及基本配置4.2NGAF標(biāo)準(zhǔn)IPSECVPN互聯(lián)原理以及配置4.3NGAFSSLVPN原理以及配置

4.4本章小結(jié)新一代防火墻技術(shù)及應(yīng)用12學(xué)習(xí)目標(biāo)掌握NGAF設(shè)備建立DLANVPN互聯(lián)、并用NGAF設(shè)備實(shí)現(xiàn)DLAN多線路功能的條件以及配置；掌握NGAF設(shè)備與第三方設(shè)備建立標(biāo)準(zhǔn)IPSecVPN互聯(lián)的條件以及配置；了解NGAF設(shè)備SSLVPN的基本原理以及配置本章重點(diǎn)NGAF設(shè)備建立DLANVPN互聯(lián)、NGAF設(shè)備實(shí)現(xiàn)DLAN多線路功能的條件及其配置NGAF設(shè)備與第三方設(shè)備建立標(biāo)準(zhǔn)IPSecVPN互聯(lián)的條件及其配置本章難點(diǎn)NGAF設(shè)備建立DLANVPN互聯(lián)、NGAF設(shè)備實(shí)現(xiàn)DLAN多線路功能的條件及其配置NGAF設(shè)備與第三方設(shè)備建立標(biāo)準(zhǔn)IPSecVPN互聯(lián)的條件及其配置新一代防火墻技術(shù)及應(yīng)用VPN叫做虛擬專用網(wǎng)絡(luò)，虛擬專用網(wǎng)絡(luò)的功能是：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通信。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。這種技術(shù)在現(xiàn)在的企業(yè)當(dāng)中具有非常廣泛的應(yīng)用，是新一代防火墻技術(shù)中需要大家重點(diǎn)掌握的內(nèi)容。新一代防火墻技術(shù)及應(yīng)用34.1NGAFDLAN互聯(lián)原理以及基本配置新一代防火墻技術(shù)及應(yīng)用44.1NGAFDLAN互聯(lián)原理以及基本配置DLAN是深信服公司自己的私有協(xié)議，用來(lái)搭建VPN。DLAN的實(shí)現(xiàn)原理與標(biāo)準(zhǔn)IPSecVPN的原理基本是一致的，它的優(yōu)點(diǎn)是配置簡(jiǎn)單，數(shù)據(jù)傳輸?shù)男时葮?biāo)準(zhǔn)IPSecVPN高，但是它又存在跟其他廠商兼容性的問(wèn)題。新一代防火墻技術(shù)及應(yīng)用54.1.1DLAN常用術(shù)語(yǔ)1、DLAN總部、DLAN分支、DLAN移動(dòng)。DLAN總部要求網(wǎng)絡(luò)位置是固定的，是指總公司所在的網(wǎng)絡(luò)，一般要求外網(wǎng)有固定的公網(wǎng)ip或者通過(guò)webagent技術(shù)能夠識(shí)別到外網(wǎng)的ip地址。DLAN分支一般要求網(wǎng)絡(luò)位置也是固定的，是指分公司所在的網(wǎng)絡(luò)，一般要求外網(wǎng)有固定的公網(wǎng)ip。DLAN移動(dòng)指的是網(wǎng)絡(luò)位置不固定，例如在家里辦公或者在外地出差的員工辦公，這時(shí)公網(wǎng)的ip一般不固定。新一代防火墻技術(shù)及應(yīng)用64.1.1DLAN常用術(shù)語(yǔ)

2、WEBAGENT尋址技術(shù)叫做動(dòng)態(tài)地址尋址技術(shù)，它可以讓分支或者移動(dòng)人員通過(guò)WEBAGENT服務(wù)器動(dòng)態(tài)尋找到總部的公網(wǎng)ip地址，原理如圖所示。注意：WEBAGENT尋址過(guò)程中，所有信息都是經(jīng)過(guò)DES加密了的。新一代防火墻技術(shù)及應(yīng)用74.1.1DLAN常用術(shù)語(yǔ)3、直連與非直連直連：也即我們?cè)O(shè)備本身有公網(wǎng)IP或者能夠被從公網(wǎng)訪問(wèn)的到。例如以下幾種情況可以被稱為直連：設(shè)備wan口直接接光纖或者撥號(hào)，本身就有公網(wǎng)IP或者設(shè)備放在企業(yè)內(nèi)網(wǎng)，但是從前面的防火墻或者路由器做了TCP4009的端口映射給我們?cè)O(shè)備。非直連：也即我們?cè)O(shè)備本身沒有公網(wǎng)IP或者無(wú)法從公網(wǎng)去訪問(wèn)。常見的情況是設(shè)備放在企業(yè)的內(nèi)網(wǎng)，能夠上網(wǎng)，但是前面防火墻或者路由器沒有做端口映射給我們?cè)O(shè)備，這樣的設(shè)備稱為非直連設(shè)備。注意：深信服的防火墻設(shè)備之間要能正?；ハ噙B接VPN，則要求至少保證一端為直連。新一代防火墻技術(shù)及應(yīng)用84.1.1DLAN常用術(shù)語(yǔ)4、虛擬網(wǎng)卡、虛擬ip、虛擬ip池虛擬網(wǎng)卡的概念a、只在移動(dòng)PDLAN上生成b、承載虛擬IP地址c、操作系統(tǒng)需添加本地路由虛擬IP、虛擬IP池的概念a、由總部端設(shè)定虛擬IP池范圍b、虛擬IP分配到移動(dòng)PDLAN上注意：虛擬網(wǎng)卡、虛擬ip、虛擬ip池只有在DLAN移動(dòng)模式下才使用，這時(shí)移動(dòng)用戶需要使用vpn客戶端連入總部的vpn。新一代防火墻技術(shù)及應(yīng)用94.1.2NGAFDLAN互聯(lián)原理以及基本配置1.DLAN互聯(lián)的基本條件：1.至少有一端作為總部，且有足夠的授權(quán)（硬件與硬件之間互連不需要授權(quán)）。2.建立DLAN互聯(lián)的兩個(gè)設(shè)備路由可達(dá)，且至少有一個(gè)設(shè)備的VPN監(jiān)聽端口能被對(duì)端設(shè)備訪問(wèn)到。3.建立DLAN互聯(lián)兩端的內(nèi)網(wǎng)地址不能沖突。4.建立DLAN互聯(lián)兩端的版本需匹配。新一代防火墻技術(shù)及應(yīng)用104.1.2NGAFDLAN互聯(lián)原理以及基本配置2.DLAN互聯(lián)的部署模式NGAF僅支持作為網(wǎng)關(guān)(路由)模式或者單臂模式的SANGFORVPN對(duì)接的部署模式。標(biāo)準(zhǔn)的第三方IPSec互聯(lián)僅在網(wǎng)關(guān)模式部署下下支持。網(wǎng)橋透明模式、虛擬線路模式和旁路模式都不支持VPN功能。新一代防火墻技術(shù)及應(yīng)用114.1.2NGAFDLAN互聯(lián)原理以及基本配置路由(網(wǎng)關(guān))模式如圖所示新一代防火墻技術(shù)及應(yīng)用124.1.2NGAFDLAN互聯(lián)原理以及基本配置單臂模式如圖所示新一代防火墻技術(shù)及應(yīng)用134.1.2NGAFDLAN互聯(lián)原理以及基本配置3.基本配置過(guò)程下面我們來(lái)學(xué)習(xí)SANFORDLANVPN的基本配置過(guò)程，首先我們要明確DLANVPN建立的過(guò)程，大概步驟分為：1、尋址：與誰(shuí)建立連接(找到對(duì)方)——尋址（WebAgent設(shè)置）；2、認(rèn)證：身份驗(yàn)證（提交正確、充分的信息）—賬號(hào)密碼、Dkey、硬件鑒權(quán)、第三方認(rèn)證；3、策略：（下發(fā)）選路策略、權(quán)限策略、VPN路由策略、安全策略（移動(dòng)用戶）、VPN專線（移動(dòng)用戶）、分配虛擬IP（移動(dòng)用戶）。新一代防火墻技術(shù)及應(yīng)用144.1.2NGAFDLAN互聯(lián)原理以及基本配置總部與分支或移動(dòng)人員正常建立VPN連接的基本配置如下：(1)DLAN總部：需要配置Webagent、虛擬IP池(非必配)、用戶管理。請(qǐng)分別在“VPN信息設(shè)置”菜單下選擇“基本設(shè)置”→“虛擬IP池”→“用戶管理”進(jìn)行相關(guān)配置，如圖所示。新一代防火墻技術(shù)及應(yīng)用154.1.2NGAFDLAN互聯(lián)原理以及基本配置(2)DLAN分支：只需配置連接管理。請(qǐng)?jiān)凇癡PN信息設(shè)置”菜單下選擇“連接管理”，如圖所示。防火墻技術(shù)與應(yīng)用164.1.2NGAFDLAN互聯(lián)原理以及基本配置(3)DLAN移動(dòng)：安裝DLAN移動(dòng)端軟件，配置基本設(shè)置與主連接參數(shù)設(shè)置。首先需要在客戶端下載和安裝DLAN移動(dòng)端軟件，然后進(jìn)行基本配置與管理配置，如圖所示。新一代防火墻技術(shù)及應(yīng)用174.1.2NGAFDLAN互聯(lián)原理以及基本配置在VPN設(shè)置菜單中，選擇“基本設(shè)置”，然后按圖所示進(jìn)行配置。新一代防火墻技術(shù)及應(yīng)用184.1.2NGAFDLAN互聯(lián)原理以及基本配置在VPN設(shè)置菜單中，選擇“連接參數(shù)設(shè)置”，然后按圖所示進(jìn)行配置。至此，SANGFORDLANVPN的基本配置講述完畢，這里初學(xué)者應(yīng)該注意，前面所學(xué)的接口配置、區(qū)域配置以及策略路由(靜態(tài)路由)配置是必須要配置的，這里未做重復(fù)的截圖。新一代防火墻技術(shù)及應(yīng)用194.1.3DLANVPN多線路互聯(lián)原理及其基本配置DLANVPN多線路互聯(lián)原理DLANVPN多線路互聯(lián)的原理與前面講解的單線路互聯(lián)是一致的，只不過(guò)它們的部署模式不同，DLANVPN多線路互聯(lián)的配置與單線路的配置也稍有不同，在這里我們只研究不同的地方。DLANVPN多線路互聯(lián)是指在VPN的一端或者兩端連接公網(wǎng)的線路不止一條，這樣可以增強(qiáng)網(wǎng)絡(luò)的可靠性，但是我們需要考慮每條線路的流量以及是否需要負(fù)載均衡。新一代防火墻技術(shù)及應(yīng)用204.1.3DLANVPN多線路互聯(lián)原理及其基本配置DLANVPN多線路互聯(lián)如圖所示。新一代防火墻技術(shù)及應(yīng)用21在圖示中，公司總部在公網(wǎng)出口部署了一臺(tái)NGAF設(shè)備，用于保護(hù)內(nèi)網(wǎng)服務(wù)器和用戶上網(wǎng)的安全，內(nèi)網(wǎng)用戶和服務(wù)器網(wǎng)段為172.16.1.0～172.16.2.0/24。分公司公網(wǎng)出口部署了一臺(tái)SSL設(shè)備，用于遠(yuǎn)程辦公。SSLVPN是本書后面研究的內(nèi)容，在這里不做過(guò)多的闡述。通過(guò)圖示我們發(fā)現(xiàn)公司總部連接到公網(wǎng)共有兩條線路，這就是所謂的多線路。假如eth1接口連接的為聯(lián)通的網(wǎng)絡(luò)，eth2接口連接的為電信的網(wǎng)絡(luò)，公司平常上網(wǎng)用電信的網(wǎng)絡(luò)，當(dāng)電信網(wǎng)絡(luò)出故障時(shí)我們使用聯(lián)通的網(wǎng)絡(luò)，這樣可以增強(qiáng)網(wǎng)絡(luò)的可靠性。4.1.3DLANVPN多線路互聯(lián)原理及其基本配置下面我們來(lái)學(xué)習(xí)DLANVPN多線路互聯(lián)的基本配置，這里我們根據(jù)上圖進(jìn)行配置。NGAF設(shè)備上的配置思路為：(1)由于需要配置兩個(gè)WAN接口，因此必須確保設(shè)備有兩條或兩條以上線路的授權(quán)，線路授權(quán)需要序列號(hào)或者聯(lián)系深信服公司的售后人員。如圖所示，這里與單線路的配置不同，大家要注意。新一代防火墻技術(shù)及應(yīng)用224.1.3DLANVPN多線路互聯(lián)原理及其基本配置(2)物理接口設(shè)置：將eth1、eth2、eth3設(shè)置成路由接口，且eth1和eth2設(shè)置為WAN屬性，eth3設(shè)置為非WAN屬性。(配置過(guò)程省略)(3)靜態(tài)路由設(shè)置：目標(biāo)地址為172.16.1.0～172.16.2.0/24，下一跳為172.16.0.254。(配置過(guò)程省略)(4)區(qū)域設(shè)置：設(shè)置內(nèi)網(wǎng)和外網(wǎng)區(qū)域，內(nèi)網(wǎng)區(qū)域添加eth3口，外網(wǎng)區(qū)域添加eth1口和eth2口(此處設(shè)置與VPN互聯(lián)無(wú)關(guān)，可選擇配置，配置過(guò)程省略)。新一代防火墻技術(shù)及應(yīng)用234.1.3DLANVPN多線路互聯(lián)原理及其基本配置(5)VPN設(shè)置：設(shè)置【基本設(shè)置】、【用戶管理】、【外網(wǎng)接口設(shè)置】、【多線路選路策略】和【本地子網(wǎng)列表】。這里我們只研究多線路選路策略的配置，如圖所示。新一代防火墻技術(shù)及應(yīng)用244.2NGAF標(biāo)準(zhǔn)IPSECVPN互聯(lián)原理以及配置新一代防火墻技術(shù)及應(yīng)用254.2.1IPSecVPN的原理

在上節(jié)課我們提過(guò)SANGFOR下一代防火墻IPSecVPN互聯(lián)一般采用深信服的私有協(xié)議DLAN，因?yàn)镈LAN有IPSec不可比擬的優(yōu)點(diǎn)，例如：效率高，配置簡(jiǎn)單。但是既然是私有協(xié)議說(shuō)明其他廠商的有可能不兼容，所以下面我們要去研究SANGFOR防火墻與其他廠商（不兼容DLAN）互聯(lián)時(shí)采用標(biāo)準(zhǔn)IPSec互聯(lián)的原理以及基本配置。首先我們先去理解一下IPSecVPN的原理，RFC2401描述了IPSec（IPSecurity）的體系結(jié)構(gòu)，IPSec是一種網(wǎng)絡(luò)層安全保障機(jī)制，IPSec可以實(shí)現(xiàn)訪問(wèn)控制、機(jī)密性、完整性校驗(yàn)、數(shù)據(jù)源驗(yàn)證、拒絕重播報(bào)文等安全功能，IPSec可以引入多種驗(yàn)證算法、加密算法和密鑰管理機(jī)制，IPSecVPN是利用IPSec隧道實(shí)現(xiàn)的L3VPN，IPSec也具有配置復(fù)雜、消耗運(yùn)算資源較多、增加延遲、不支持組播等缺點(diǎn)。新一代防火墻技術(shù)及應(yīng)用264.2.1IPSecVPN的原理IPSecVPN的體系結(jié)構(gòu)：包含安全協(xié)議、工作模式、密鑰管理三部分。1、安全協(xié)議：負(fù)責(zé)保護(hù)數(shù)據(jù)；AH/ESP。AH協(xié)議：AH（AuthenticationHeader），提供數(shù)據(jù)的完整性校驗(yàn)和源驗(yàn)證，不能提供數(shù)據(jù)加密功能，可提供有限的抗重播能力，AH用IP協(xié)議號(hào)51來(lái)標(biāo)識(shí)。ESP協(xié)議：ESP（EncapsulatingSecurityPayload），可提供數(shù)據(jù)的機(jī)密性保證，可提供數(shù)據(jù)的完整性校驗(yàn)和源驗(yàn)證，可提供一定的抗重播能力，ESP用IP協(xié)議號(hào)50來(lái)標(biāo)識(shí)。2、工作模式：傳輸模式：實(shí)現(xiàn)端到端保護(hù)。隧道模式：實(shí)現(xiàn)站點(diǎn)到站點(diǎn)保護(hù)。3、密鑰管理：手工配置密鑰。通過(guò)IKE協(xié)商密鑰。新一代防火墻技術(shù)及應(yīng)用274.2.1IPSecVPN的原理下圖中上面的為傳輸模式，下面的為隧道模式；可以看出傳輸模式是在站點(diǎn)到站點(diǎn)之間進(jìn)行IPSec的建立，隧道模式是在端到端之間進(jìn)行IPSec的建立，我們一般后者用的較多。新一代防火墻技術(shù)及應(yīng)用284.2.1IPSecVPN的原理4、IPSecSA：SA（SecurityAssociation，安全聯(lián)盟）：由一個(gè)（SPI，IP目的地址，安全協(xié)議標(biāo)識(shí)符）三元組唯一標(biāo)識(shí)，決定了對(duì)報(bào)文進(jìn)行何種處理。主要管理協(xié)議、算法、密鑰三部分，每個(gè)IPSecSA都是單向的，可以通過(guò)手工建立或者IKE協(xié)商生成。所以IPSecSA分為出站包處理和入站包處理，具體處理流程在這里不做詳述。5、IKE：因特網(wǎng)密鑰交換協(xié)議（IKE）是一份符合因特網(wǎng)協(xié)議安全（IPSec）標(biāo)準(zhǔn)的協(xié)議。它常用來(lái)確保虛擬專用網(wǎng)絡(luò)VPN（virtual

private

network）與遠(yuǎn)端網(wǎng)絡(luò)或者宿主機(jī)進(jìn)行交流時(shí)的安全。IKE監(jiān)聽UDP端口500，IKE使用Diffie-Hellman交換，在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰，驗(yàn)證身份，定時(shí)更新SA和密鑰，實(shí)現(xiàn)完善的前向安全性，允許IPSec提供抗重播服務(wù)，降低手工布署的復(fù)雜度。新一代防火墻技術(shù)及應(yīng)用294.2.1IPSecVPN的原理IKE與IPSec之間的關(guān)系如圖所示新一代防火墻技術(shù)及應(yīng)用304.2.1IPSecVPN的原理IKE定義了階段1的兩種交換模式——主模式(MainMode)和野蠻模式(AggressiveMode)，還定義了階段2的交換模式——快速模式(QuickMode)。在這里我們主要研究階段1的兩種交換模式。新一代防火墻技術(shù)及應(yīng)用314.2.1IPSecVPN的原理1)IKE主模式主模式是IKE強(qiáng)制實(shí)現(xiàn)的階段1交換模式，它可以提供完整性保護(hù)，如圖所示。主模式總共有3個(gè)步驟、6條消息。其中，Peer為對(duì)等體。新一代防火墻技術(shù)及應(yīng)用324.2.1IPSecVPN的原理2)IKE野蠻模式在使用預(yù)共享密鑰的主模式IKE交換時(shí)，通信雙方必須首先確定對(duì)方的IP地址。對(duì)于擁有固定地址的站點(diǎn)到站點(diǎn)的應(yīng)用，這不是問(wèn)題。但是在遠(yuǎn)程撥號(hào)時(shí)，由于撥號(hào)的IP地址無(wú)法預(yù)先確定，就不能使用這種方法。為了解決這個(gè)問(wèn)題，需要使用IKE的野蠻模式進(jìn)行交換，如圖所示。IKE野蠻模式的功能比較有限，安全性差于主模式。但是在不能預(yù)先得知發(fā)起者的IP地址，并且需要使用預(yù)共享密鑰的情況下，就必須使用野蠻模式。另外，野蠻模式的過(guò)程比較簡(jiǎn)單快捷，在充分了解對(duì)方安全策略的情況下也可以使用野蠻模式。新一代防火墻技術(shù)及應(yīng)用334.2.1IPSecVPN的原理IKE的優(yōu)點(diǎn)如下：①允許端到端動(dòng)態(tài)驗(yàn)證。②降低手工部署的復(fù)雜度。③定時(shí)更新SA。④定時(shí)更新密鑰。⑤允許IPSec提供抗重播服務(wù)。新一代防火墻技術(shù)及應(yīng)用344.2.2IPSECVPN互聯(lián)的基本配置注意事項(xiàng)一：NGAF與第三方設(shè)備建立標(biāo)準(zhǔn)IPSecVPN互聯(lián)的條件如下：(1)NGAF設(shè)備必須具有分支機(jī)構(gòu)的授權(quán)，如圖所示。(2)NGAF設(shè)備必須至少具有一個(gè)WAN屬性的路由接口(非管理口eth0)，和一個(gè)非WAN屬性的路由口(非管理口eth0)，用于建立標(biāo)準(zhǔn)IPSec連接。新一代防火墻技術(shù)及應(yīng)用354.2.2IPSECVPN互聯(lián)的基本配置注意事項(xiàng)二：通過(guò)NGAF設(shè)備與第三方設(shè)備進(jìn)行標(biāo)準(zhǔn)IPSecVPN互聯(lián)時(shí)，除了【第三方對(duì)接】的配置外，還需要配置【內(nèi)網(wǎng)接口設(shè)置】和【外網(wǎng)接口設(shè)置】。配置了【外網(wǎng)接口設(shè)置】后，【第三方對(duì)接】第一階段的線路出口才能選擇線路，否則為空，如圖所示。新一代防火墻技術(shù)及應(yīng)用364.2.2IPSECVPN互聯(lián)的基本配置注意事項(xiàng)三：NGAF設(shè)備不能通過(guò)管理口eth0建立標(biāo)準(zhǔn)IPSec互聯(lián)(即給eth0口添加其他IP地址，當(dāng)做內(nèi)網(wǎng)口或者外網(wǎng)口建立標(biāo)準(zhǔn)IPSecVPN的場(chǎng)景)，但是NGAF設(shè)備可以通過(guò)管理口eth0建立SANGFORVPN對(duì)接?！緝?nèi)網(wǎng)接口設(shè)置】添加本端VPN數(shù)據(jù)進(jìn)入NGAF設(shè)備的非WAN屬性的路由口(非管理口eth0)，如圖所示。新一代防火墻技術(shù)及應(yīng)用374.2.2IPSECVPN互聯(lián)的基本配置注意事項(xiàng)四：NGAF設(shè)備配置標(biāo)準(zhǔn)IPSec互聯(lián)時(shí)，必須配置【外網(wǎng)接口設(shè)置】和【內(nèi)網(wǎng)接口設(shè)置】。NGAF設(shè)備建立標(biāo)準(zhǔn)IPSec互聯(lián)時(shí)，VPN的數(shù)據(jù)必須從一個(gè)非WAN屬性的路由口進(jìn)入到設(shè)備，并從一個(gè)WAN屬性的路由口轉(zhuǎn)發(fā)。新一代防火墻技術(shù)及應(yīng)用384.3NGAFSSLVPN原理以及配置新一代防火墻技術(shù)及應(yīng)用394.3.1NGAFSSLVPN的基本原理

SSLVPN是解決遠(yuǎn)程用戶訪問(wèn)公司敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件，只需要有瀏覽器即可。SSL（SecureSocketsLayer，安全套接層）協(xié)議是一種在internet上保證發(fā)送信息安全的通用協(xié)議，采用C/S結(jié)構(gòu)（Client/Server，客戶端/服務(wù)器模式）。SSL服務(wù)器端使用TCP協(xié)議的443號(hào)端口提供SSL服務(wù)。它處在應(yīng)用層，SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/IP之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選擇的客戶機(jī)認(rèn)證。新一代防火墻技術(shù)及應(yīng)用404.3.1NGAFSSLVPN的基本原理SSL協(xié)議可分為兩層：SSL記錄協(xié)議(SSLRecordProtocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議(SSLHandshakeProtocol）：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。SSL協(xié)議架構(gòu)如圖所示。新一代防火墻技術(shù)及應(yīng)用414.3.1NGAFSSLVPN的基本原理

SSLVPN其實(shí)就是采用SSL加密協(xié)議建立遠(yuǎn)程隧道連接的一種VPN?？蛻舳撕蚐SLVPN網(wǎng)關(guān)之間的數(shù)據(jù)是通過(guò)SSL協(xié)議進(jìn)行加密的，而SSLVPN網(wǎng)關(guān)和內(nèi)網(wǎng)各服務(wù)器之間則是明文傳送的，如圖所示。新一代防火墻技術(shù)及應(yīng)用424.3.1NGAFSSLVPN的基本原理SSLVPN的優(yōu)點(diǎn)：1、方便。實(shí)施SSLVPN只需要安裝配置好中心網(wǎng)關(guān)即可。其余的客戶端是免安裝的，因此，實(shí)施工期很短，如果網(wǎng)絡(luò)條件具備，連安裝帶調(diào)試，1-2天即可投入運(yùn)營(yíng)。2、容易維護(hù)。SSLVPN維護(hù)起來(lái)簡(jiǎn)單，出現(xiàn)問(wèn)題，就維護(hù)網(wǎng)關(guān)就可以了。實(shí)在不行，換一臺(tái)，如果有雙機(jī)備份的話，備份機(jī)器啟動(dòng)就可以了。3、安全。SSLVPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個(gè)web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不到內(nèi)部服務(wù)器。而IPSecVPN就不一樣，實(shí)現(xiàn)的是IP級(jí)別的訪問(wèn)，遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。局域網(wǎng)能夠傳播的病毒，通過(guò)VPN一樣能夠傳播。新一代防火墻技術(shù)及應(yīng)用434.3.1NGAFSSLVPN的基本原理SSLVPN運(yùn)作流程如圖所示。防火墻技術(shù)與應(yīng)用444.3.1NGAFSSLVPN的基本原理

典型的SSLVPN構(gòu)成其實(shí)非常簡(jiǎn)單，包括遠(yuǎn)程主機(jī)、SSLVPN網(wǎng)關(guān)、內(nèi)網(wǎng)資源服務(wù)器、相關(guān)認(rèn)證及CA類服務(wù)器等。遠(yuǎn)程主機(jī)是用戶遠(yuǎn)程接入的終端設(shè)備，一般就是一臺(tái)普通PC。SSLVPN網(wǎng)關(guān)是SSLVPN的核心，負(fù)責(zé)終結(jié)客戶端發(fā)來(lái)的SSL連接；檢查用戶的訪問(wèn)權(quán)限；代理遠(yuǎn)程主機(jī)向資源服務(wù)器發(fā)出訪問(wèn)請(qǐng)求；對(duì)服務(wù)器返回應(yīng)答進(jìn)行轉(zhuǎn)化，并形成適當(dāng)?shù)膽?yīng)答轉(zhuǎn)發(fā)給遠(yuǎn)程客戶端主機(jī)。SSLVPN網(wǎng)關(guān)上配置了3種類型的賬號(hào)：超級(jí)管理員、域管理員和普通用戶。超級(jí)管理員為系統(tǒng)域的管理員，可以創(chuàng)建若干個(gè)域，并指定每個(gè)域的域管理員，初始化域的管理員密碼，給域授予資源組，并授權(quán)域是否能夠創(chuàng)建新的資源。新一代防火墻技術(shù)及應(yīng)用454.3.1NGAFSSLVPN的基本原理

域管理員是一個(gè)SSLVPN域的管理人員，主要是對(duì)一個(gè)域的所有用戶進(jìn)行訪問(wèn)權(quán)限的限制。域管理員可以創(chuàng)建域的本地用戶、用戶組、資源和資源組等。以域管理員賬號(hào)登錄到SSLVPN網(wǎng)關(guān)后，可以配置本域的資源和用戶，將資源加入到資源組，將