SSL VPN优势

第一章SecPath SSL VPN技术白皮书
关键词：Remote Access, SSL VPN
摘要：SSL VPN是一种新兴的VPN技术，它以简单易用的安全接入方式、丰富有效的权限管理而成为远程接入VPN市场上的新贵。

本文将对SSL VPN技术以及SecPath SSL VPN产品进行一下简要地介绍。

缩略语清单：
1 前言
随着信息技术在企业应用中的不断深化，企业信息系统对VPN网络也提出了越来越高的要求。

最初的VPN仅实现简单的网络互联功能，采用了L2TP、GRE等隧道技术。

为了保证数据的私密性和完整性，而产生了IPsec VPN。

IPsec VPN采用IPSec协议，实现简单，性能较高。

在点到点的VPN连接中，有着广泛的应用，如：分支机构与公司总部之间的远程连接。

但是由于其实现方式上的局限性，IPsec VPN 在应用中也存在着一些不足：
(1) 在用户主机上部署IPsec VPN时，需要预先安装客户端软件。

维护IPsec VPN的客户端对企业网管或运营商都是一件麻烦的事情。

(2) 访问控制不够细致。

因为IPsec是在IP层实现的，所以对IP报文的内容无法识别，因而不能控制高层应用的访问请求，如：http报文、文件共享等。

(3) 组网受限。

在使用NAT的场合，IPsec VPN需要支持NAT穿越技术。

由于各厂家的实现是不一致的，这给IPsec VPN的互连带来一定的障碍。

另外，IPsec协议在原TCP/UDP头的前面增加了IPsec
报文头，报文在穿越防火墙时，需要在防火墙上进行特殊的配置，允许AH或ESP协议报文通过。

正因为如此，IPsec VPN比较适合连接固定，对访问控制要求不高的场合。

然而，随着接入技术和移动技术的发展，如今的人们可以随时随地以多种方式接入Internet。

企业的员工可以在家中、路上、网吧、旅馆，使用自己的、别人的、公用的电脑或手机，通过ADSL网络、小区宽带网络、移动电话网络、无线网络等多种接入网络，远程访问公司的信息系统。

这些多种多样的远程接入都是动态建立的，并且远程主机的安全性是得不到保证的。

这些问题是传统的VPN技术难以解决的。

远程终端的多样性也要求VPN的客户端具有跨平台、易于升级和维护等特点。

另外，随着企业经营模式的改变，企业需要建立Extranet，与合作伙伴共享某些信息资源，以便提高企业的运作效率。

对合作伙伴的访问必须进行严格有效地控制，才能保证企业信息系统的安全。

面对这些新的挑战，SSL VPN便应运而生了。

SSL VPN以其简单易用的安全接入方式、丰富有效的权限管理，跨平台、免安装、免维护的客户端而成为远程接入市场上的新贵。

2 SSL VPN概述
目前网络技术的发展和应用对远程接入提出了以下要求：
(1) 安全的通讯：要求保证数据传输的私密性和完整性。

(2) 动态连接：用户可以从任何地点发起连接，请求接入。

(3) 对客户端的安全状态进行评估：当发现客户端不安全时，就拒绝接入；当客户端安全等级不高时，就限制其能够访问的网络资源。

(4) VPN客户端能支持多种平台：这包括多种操作系统(Windows、Liunx)、多种浏览器(IE、Firefox)和多种终端(个人电脑、手机，PDA)。

(5) 对用户访问权限进行有效地管理和控制：远程接入的用户可能是公司的高级经理，也可能是普通员工，还有可能是合作伙伴，对不同身份的人应该授予不同的访问权限，对越权的访问请求应该拒绝。

针对上述要求，SSL VPN采用了以下方法给予解决：
(1) 采用SSL加密协议建立远程连接。

首先，SSL协议是一种加密协议，可以很好地保证数据传输的私密性和完整性。

其次，SSL协议还是一种工作在TCP协议层之上的协议。

使用SSL进行通讯，不改变IP报文头和TCP报文头，因而SSL报文对NAT和防火墙来说都是透明的，SSL VPN的部署不会影响现有的网络。

这样用户从任何地方上网，只要能接入Internet，就能使用SSL VPN。

另外，SSL加密协议受到了目前决大多数软件平台的支持。

常用的操作系统Windows、Linux，浏览器IE、Firefox等都支持SSL。

(2) 使用Portal登录界面
SSL VPN网关提供Web页面作为用户登录的入口，用户登录后即可使用SSL VPN。

由于Web页面的简单易用、以及浏览器的普及，使得用户的远程接入变得非常简单。

(3) 三种接入方式
首先，SSL VPN提供了Web接入方式，即用户通过Web浏览器来访问网络资源。

一切数据的显示和操作都是通过Web页面进行的。

使用Web接入不但可以访问Web服务器，还可以访问其它任何数据服务器，如文件服务器、数据库等。

Web接入方式操作简单方便，对软件平台依赖小。

由于限制了用户只能通过http协议访问特定的URL地址，所以能有效防止用户执行非法操作，系统安全性高。

但是Web接入要对传输的数据进行较复杂的处理，对系统处理能力有较高的要求。

其次，SSL VPN还提供了TCP接入方式，也称“端口转发”方式。

即用户可以通过SSL VPN网络实现TCP层的通讯。

这种接入方式主要是为了在不对现有TCP应用程序进行升级，也不用修改其任何配置的情况下，使用SSL连接进行远程通讯。

从而最大限度地保护了用户已有的软件资源。

但是此种接入方式对远程主机开放了TCP层的通讯，如果远程主机不安全，则系统的服务器有可能受到TCP层的攻击，其安全性较Web接入方式要低一些。

第三，SSL VPN提供了IP接入方式，也称“网络扩展”方式。

即用户通过SSL VPN网络可以进行IP层的通讯。

这种接入方式主要是为了满足一些特殊场合下IP层通讯的需要。

与前面两种接入方式相比，IP接入的安全性最低。

(4) 对客户端主机进行安全评估。

在远程主机请求接入时，网关会在客户端下载一个小程序对主机的安全状态进行检查。

可以检查主机的操作系统版本及其补丁、浏览器版本及其补丁、防火墙版本、杀毒软件版本等等。

通过对主机安全状态的评估，可以判断远程主机是否安全，以及安全程度的高低。

进而对用户访问权限进行限制。

(5) 动态授权
传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，行使相同的权限，故称之为静态授权。

而动态授权是指：对用户授权时，在静态授权的基础上，结合用户登录时远程主机的安全状态，对所授权利进行动态地调整。

当发现远程主机不够安全时，应当开放较小的访问权限；在远程主机安全性较高时，则开放较大的访问权限。

目前只有SSL VPN系统才具有此项功能。

(6) 高细粒度的权限控制
与传统的VPN技术相比，SSL VPN可以具有较宽阔的粒度选择范围，这包括：URL、文件目录、IP、TCP/UDP端口号，以及三种接入方式。

因而可以细致地限制用户所访问的网络资源。

3 SSL VPN系统的组成
SSL VPN系统的构成非常简单，建立SSL VPN网络连接所需的大部分软硬件资源都集中在SSL VPN 网关上，具体的系统组成见下图：
图1 SSL VPN的系统组成
3.1 远程主机
远程主机是用户远程接入的终端设备，可以是个人电脑、手机、PDA等。

其上运行的客户端软件有：
(1) Web浏览器：目前决大多数电脑的操作系统都提供浏览器，支持Web页面的显示。

所以采用Web 接入时，SSL VPN不需要安装特殊的客户端软件。

(2) 主机检查器：在用户登录时，SSL VPN网关会通过Web网页下载主机检查器，该软件会对客户端的安全状态进行评估。

(3) 缓存清除器：在用户登录后，SSL VPN网关在远程主机上下载并安装的一个小程序。

用户退出SSL VPN系统时，缓存清除器会清除SSL VPN通讯过程中所使用的临时文件和配置文件，以避免系统的私密信息被泄漏。

(4) TCP接入客户端：如果用户采用TCP接入方式，则需要下载一个TCP客户端。

该程序将与SSL VPN 网关建立SSL连接，在TCP应用程序与远程服务器之间转发报文。

(5) IP接入客户端：如果用户采用IP接入方式，则需要下载一个IP客户端。

该程序将负责与SSL VPN网关建立SSL连接，对本机与远程网络之间传送的IP报文进行加密和解密。

上述这些客户端，除Web浏览器是远程主机自带的以外，其它都是从SSL VPN网关下载的。

而且这些客户端一般都是自动下载、自动安装、自动配置、自动建立连接，使用非常方便。

3.2 SSL VPN网关
SSL VPN网关是建立SSL VPN所需的唯一网络设备，它包括的功能有：
(1) 用户登录管理模块：对用户登录会话进行管理，生成用户的动态授权信息。

(2) Web接入模块：负责终结客户端发来的SSL连接，与资源服务器之间建立TCP连接；检查用户的访问权限；代理远程主机向资源服务器发出访问请求；对服务器返回的应答进行转化，生成适当的Web 页面。

(3) TCP接入模块：负责终结客户端发来的SSL连接，与资源服务器之间建立TCP连接；检查用户的访问权限；在客户端和服务器之间转发TCP数据。

(4) IP接入模块：负责终结客户端发来的SSL连接；检查用户的访问权限；对收到的IP报文进行IP转发。

3.3 CA服务器
SSL VPN网关需要CA服务器提供的公钥证书，才能建立SSL加密连接。

此外，企业还可以部署PKI 系统，使用户通过PKI证书进行身份认证。

3.4 认证服务器
SSL VPN网关一般都支持本地认证，即使用SSL VPN网关上的认证数据库对用户的身份进行认证。

此外，为了更好地与原有网络系统集成，SSL VPN网关还支持通过外部的认证服务器对用户的身份进行认证。

一般支持的认证方式有：Radius、LDAP、AD等。

3.5 网络服务器
可以是任何种类的应用服务器，如：Web服务器、数据库服务器、文件共享服务器、Telnet、FTP 等等。

4 SSL VPN的组网
SSL VPN的使用不会影响现有网络的组网结构，部署也比较容易。

SSL VPN网关既可以作为企业网络的入口，也可以作为内网服务器群组的代理网关。

作为企业网络的入口网关时，SSL VPN网关可以作为独立的设备存在，也可以集成防火墙的功能。

此时由于处在整个网络的出口处，对其性能和稳定性要求比较高。

此种组网的结构如下图所示：
图2 SSL VPN作为企业网络的入口
也可以用SSL VPN网关保护内部重要的服务器资源，在确保重要网络资源受到安全访问的同时，对企业网络中其它部分不会造成任何影响。

这种组网的结构如下图所示：
图3 SSL VPN网关作为服务器群组的代理网关
此外，SSL VPN网关有两种接入模式：双臂模式和单臂模式。

采用双臂模式，SSL VPN网关跨接在内网和外网之间，对内网的保护最完全。

但是，此时也处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。

双臂模式的组网如下图所示：
图4 SSL VPN双臂模式的组网结构
采用单臂模式，SSL VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。

此时SSL VPN网关不处在网络通讯的关键路径上，不会造成单点故障。

但是此种组网使得SSL VPN网关不能全面地保护网络资源。

单臂模式的组网如下图所示：
图5 SSL VPN单臂模式的组网结构
5 应用场景
与IPsec VPN相比，SSL VPN尤其适合应用于如下的场景中：
(1) 动态的远程接入：用户使用各种终端设备，在任何时间、任何地点通过Internet接入系统网络。

(2) 远程终端的安全性不能得到保证：用户可以使用网吧、旅馆提供的公用计算机远程访问系统网络。

此时无法对远程主机进行管理或控制，不能保证远程主机的运行环境是安全的。

(3) 远程终端的用户是不可信任的：在使用extranet时，远程接入的用户可能是公司的外部人员，此时需要对其访问权限进行限制。

另外，远程接入都存在这样的风险，远程用户可能是个冒名者。

在远程用户不可信任的情况下，需要对用户访问权限进行有效地限制。

(4) 远程终端的运行环境多种多样：这种情况要求VPN的客户端具有较好的跨平台性。

由于SSL VPN 的客户端是基于SSL协议和浏览器技术而实现的，适应于绝大多数的软硬件运行环境。

综上所述，SSL VPN在远程接入方面具有很多优势，可以适用于多种复杂的网络环境：
图6 SSL VPN的应用环境
6 SecPath SSL VPN产品的特点
在广泛研究客户需求的基础上，H3C公司采用先进的软硬件技术，开发出了SecPath系列的SSL VPN 产品。

作为SSL VPN网关，该设备具有以下特点：
6.1 全面的接入手段
SecPath产品提供了SSL VPN所需要的三种接入方式：Web接入、TCP接入和IP接入。

有了这三种接入方式，可以保证任何基于IP的应用都能得到访问。

另外，这三种接入方式之间安全性的差异和访问能力的不同，为管理员有选择、有区别地控制远程接入提供了可能。

6.2 丰富灵活的安全策略
SecPath产品为网络管理员提供了设定安全策略的界面。

在其中可以定义多条安全策略，每条安全策略可以规定远程主机应符合的安全状态，这包括：
* 操作系统版本和补丁
* 浏览器版本和补丁
* 防火墙版本
* 杀毒软件版本
* 用户的PKI证书
* 特定文件
* 特定进程
可以配置每条安全策略所保护的资源种类、资源子类、甚至具体的资源条目。

用户登录时只能访问安全策略所允许的网络资源。

6.3 高细粒度的权限控制
目前SecPath SSL VPN支持的访问粒度包括：
对Web接入方式，可以控制远程访问资源的URL或文件目录；
对TCP接入方式，可以限制所访问服务器的IP地址和端口号；
对IP接入方式，可以限制传输报文的IP地址和IP协议类型；
安全策略还可以对各安全等级下，所提供的接入方式和服务类型进行控制。

此外，可以在日志中记录用户所访问的资源和执行的操作，便于对系统安全问题进行分析和审计。

6.4 支持多种认证方式
目前SecPath SSL VPN产品支持本地认证、Radius认证、LDAP认证、AD认证四种认证方式。

这四种认证方式都可以选择同时使用证书认证，以构成双因子认证。

证书可以保存在USB-Key中。

而USB-Key一种结合U盘和智能芯片的智能卡。

USB-Key对外提供了一组标准的接口，通过该接口只能获取公钥证书，以及数字签名，不能导出证书中的私钥。

因而使用USB-Key可以很好地保护用户证书的私密性。

现在普遍采用口令+USB-Key的方式构成双因子认证。

6.5 免安装、免维护的客户端
SSL VPN也是有客户端的。

只是由于主要的客户端软件就是Web浏览器，而目前几乎所有的操作系统都带有浏览器软件，其它SSL VPN客户端的组件都是通过网络下载的，所以用户不需要再单独购买VPN 的客户端软件了，因而SSL VPN也号称“免客户端”。

SecPath SSL VPN产品提供的客户端在用户登录时，会自动下载、自动安装、自动配置；在用户退出时，自动删除。

此外SSL VPN的客户端还提供清除Web缓存、Cookie、客户端配置文件等功能。

为防止远程主机突然断电而造成的系统残留，SSL VPN客户端还提供了开机自动清除功能。

6.6 集中统一的安全管理
SecPath SSL VPN网关不但提供远程接入的功能，还集成了访问控制、安全策略、本地认证、安全日志等功能。

通过对SSL VPN网关一台设备的管理，就可以实现对整个企业网络远程接入的控制和管理。

6.7 易于系统集成
SecPath SSL VPN网关支持多种认证方式，易于与系统中原有的认证体系集成。

此外，SecPath网关支持Syslog格式的日志。

可以借助SecCenter系统丰富的日志管理和分析功能，为系统提供强大的安全审计。

SecPath网关支持单臂和双臂模式，可以在不影响现有网络结构的情况下，轻松地完成系统部署。

6.8 较强的抗攻击能力
在Secpath F系列的防火墙产品上，SSL VPN可以作为一个功能模块与防火墙一起部署。

从而使得整个SSL VPN系统具有较强的抗攻击能力。

6.9 一体双修的VPN产品
Secpath 的SSL VPN产品同时支持IPsec VPN。

一台VPN设备，可以同时满足远程接入和点到点连接两种VPN接入需求。

6.10 高性能的硬件加密
SecPath SSL VPN网关采用专业的高性能SSL加密协议处理芯片，支持多种加密算法、摘要算法和数字签名算法。

大大增强了网关处理SSL报文的能力。

6.11 个性化的用户界面
SecPath SSL VPN网关支持管理员和用户对操作界面的定制。

允许管理创建多种风格模板，允许管理员定制公司的Logo图片，定制欢迎语等。

用户可以选择喜欢的风格模板作为自己的操作界面。

7 总结与展望
H3C SecPath 系列SSL VPN网关是面向企业用户开发的专业SSL VPN网关。

在提供全面SSL VPN功能的同时，采用了先进的软硬件技术，对SSL加密协议的处理实现了硬件加速，在授权管理、用户个性化等方面提供了完善的功能，为企业用户提供了一款高性能、高可用性的SSL VPN产品。