VPN 的技術原理是什么？

SSL VPN技術

SSl協(xié)議支隊通信雙方傳輸?shù)膽脭?shù)據(jù)進行加密，而不是對從一個主機到另一個主機的所有數(shù)據(jù)進行加密。

IPSec缺陷

由于IPSec是基于網絡層的協(xié)議，很難穿越NAT和防火墻，特別是在接入一些防護措施較為嚴格的個人網絡和公共計算機時，往往會導致訪問受阻。移動用戶使用IPSec VPN需要安裝專用的客戶端軟件，為日益增長的用戶群發(fā)放、安裝、配置、維護客戶端軟件已經使管理員不堪重負。因此，IPSec VPN在Point- to-Site遠程移動通信方面并不適用。

SSL VPN功能技術

虛擬網關

每個虛擬網關都是獨立可管理的，可以配置各自的資源、用戶、認證方式、訪問控制規(guī)則以及管理員等。

當企業(yè)有多個部門時，可以為每個部門或者用戶群體分配不同的虛擬網關，從而形成完全隔離的訪問體系。

WEB代理

它將遠端瀏覽器的頁面請求(采用https協(xié)議)轉發(fā)給web服務器，然后將服務器的響應回傳給終端用戶，提供細致到URL的權限控制，即可控制到用戶對某一張具體頁面的訪問。

web代理實現(xiàn)對內網Web資源的安全訪問：

• Web-link采用ActiveX控件方式，對頁面進行轉發(fā)。
• Web改寫方式采用腳本改寫方式，將請求所得頁面上的鏈接進行改寫，其他網頁內容不作修改。

從業(yè)務交互流程可以看出，Web代理功能的基本實現(xiàn)原理是將遠程用戶訪問Web Server的過程被分成了兩個階段。首先是遠程用戶與NGFW虛擬網關之間建立HTTPS會話，然后NGFW虛擬網關再與Web Server建立HTTP會話。虛擬網關在遠程用戶訪問企業(yè)內網Web Server中起到了改寫、轉發(fā)Web請求的作用。

文件共享

• 客戶端向內網文件服務器發(fā)起HTTPS格式的請求，發(fā)送到USG防火墻。
• USG防火墻將HTTPS格式的請求報文轉換為SMB格式的報文。
• USG防火墻發(fā)送SMB格式的請求報文給文件服務器。
• 文件服務器接受請求報文，將請求結果發(fā)送給USG防火墻，用的是SMB報文。
• USG防火墻將SMB應答報文轉換為HTTPS格式。
• 將請求結果(HTTPS格式的報文)發(fā)送到客戶端。

端口轉發(fā)

提供豐富的內網TCP應用服務。

• 單端口單服務器（如：Telnet，SSH，MS RDP， VNC等）。

• 單端口多服務器（如：Lotus Notes）。

• 多端口多服務器（如：Outlook）。

• 動態(tài)端口（如：FTP，Oracle）。
  

提供端口級的訪問控制。

端口轉發(fā)實現(xiàn)原理

• 實現(xiàn)對內網TCP應用的廣泛支持。

• 遠程桌面、outlook、Notes、FTP等。

• 所有數(shù)據(jù)流都經過加密認證。

• 對用戶進行統(tǒng)一的授權、認證。

• 提供對TCP應用的訪問控制。

• 只需標準瀏覽器，不用安裝客戶端。

網絡擴展

• 分離模式：用戶可以訪問遠端企業(yè)內網(通過虛擬網卡)和本地局域網(通過實際網卡)，不能訪問Internet。

  
  

• 全路由模式：用戶只允許訪問遠端企業(yè)內網(通過虛擬網卡)，不能訪問Internet和本地局域網。

  
  

• 手動模式：用戶可以訪問遠端企業(yè)內網特定網段的資源(通過虛擬網卡)，對其它Internet和本地局域網的訪問不受影響(通過實際網卡)。網段沖突時優(yōu)先訪問遠端企業(yè)內網。

網絡擴展實現(xiàn)過程

可靠傳輸模式

快速傳輸模式

終端安全

主機檢查

終端安全是在請求接入內網的主機上部署一個軟件，通過該軟件檢查終端主機的安全狀況。主要包括:主機檢查、緩存清理。

主機檢查：檢查用戶用來訪問內網資源的主機是否符合安全要求。

主機檢查策略包括如下檢查項：

• 殺毒軟件檢查
  
• 防火墻檢查
• 注冊表檢查
• 文件檢查
• 端口檢查
• 進程檢查
• 操作系統(tǒng)檢查

緩存清理

USG可以在用戶訪問虛擬網關結束時，采用必要的手段清除終端.上的訪問痕跡(例如生成的臨時文件、Cookie等)，以防止泄密，杜絕安全隱患。

清理范圍：

• Internet臨時文件

• 瀏覽器自動保存的密碼

• Cookie記錄

• 瀏覽器的訪問歷史記錄

• 回收站和最近打開的文檔列表

• 指定文件或文件夾

完善的日志功能

• 日志查詢

• 日志導出

• 虛擬網關管理員日志

• 用戶日志

• 系統(tǒng)日志

認證授權

證書匿名認證

NGFW只通過驗證用戶的客戶端證書來驗證用戶的身份。

1.用戶在SSLVPN網關登錄界面選擇證書后，客戶端會將客戶端證書發(fā)送給網關。

2.網關會將客戶端證書以及自己引用的CA證書的名稱發(fā)送給證書模塊。

3.證書模塊會根據(jù)網關引用的CA證書檢查客戶端證書是否可信，并將結果返回給網關：

• 如果網關引用的CA證書與客戶端證書是同一個CA機構頒發(fā)的，且客戶端證書在有效期內，則證書模塊認為客戶端證書可信，用戶認證通過，繼續(xù)執(zhí)行4。

• 另外，搜索公眾號互聯(lián)網架構師后臺回復“2T”，獲取一份驚喜禮包。

• 如果證書模塊認為客戶端證書不可信，用戶認證不通過，則執(zhí)行5。

4.網關根據(jù)用戶過濾字段從客戶端證書中提取用戶名。

• 網關會從自己的角色授權列表中查找用戶所屬角色從而確認此用戶的業(yè)務權限。

5.網關將認證結果返回給客戶端。

認證結果為通過的用戶能夠登錄SSLVPN網關界面，以相應的業(yè)務權限來使用SSL VPN業(yè)務。

認證結果為不通過的用戶會在客戶端上看到“您的證書驗證非法，請?zhí)峁┖戏ǖ淖C書”。

證書挑戰(zhàn)認證

證書挑戰(zhàn)認證是指將驗證客戶端證書與本地認證或服務器認證結合起來。

證書+本地用戶名密碼證書+服務器認證

SSL VPN應用場景

SSL VPN單臂組網模式應用場景分析

在網絡規(guī)劃時，SVN的接口IP為內網IP地址，此地址需要能與所有被訪問需求的服務器路由可達。

防火墻上需配置nat server,將SVN的地址映射到防火墻的某一公網IP. 上。也可以只映射部分端口，如443。如果外網用戶有管理SVN的需求，還需要映射SSH、Telnet等端口。

SSLVPN雙臂組網模式應用場景分析

• 在此類組網環(huán)境中，SVN使用兩個不同的網口連接外網與內網，這種組網方式下，具有清晰的內網、外網概念;無需做額外的配置，外網口對應虛擬網關IP，內網口配置內網管理IP。
  

  
  

• 虛擬網關IP不一定需要經過NAT轉換，只要外網用戶能夠訪問此虛擬網關IP地址即可。內外網接口沒有特定的物理接口，任何一個物理接口都可以作為內網或外網接口。

  
  

• 圖中路由器和交換機之間處于連接狀態(tài)。這是因為客戶網絡中可能有部分應用不需要經過SSL加密，而是直接通過防火墻訪問外網。這時就需要在交換機和路由器.上配置策略路由，需要建立SSLVPN的流量就轉發(fā)到SVN上，而普通的應用就直接通過防火墻訪問外網。

SSL VPN配置步驟

1.配置接口

• 放行Untrust到L ocal安全區(qū)域的SSL VPN流量。

• 放行Local到Trust安全區(qū)域的業(yè)務流量。

3.配置VPNDB

4.虛擬網關配置

5.業(yè)務選擇

ensp將防火墻該功能閹割