• HCIE-Security Day43:SSL 虚拟私有网络技术


    概念

    SSL 虚拟私有网络是通过SSL协议实现远程安全接入的虚拟私有网络技术。

    安全套接层俗称secure socket layer(SSL)是网景公司1990年开发,用于保障www通讯的安全。主要任务是提供私密性、信息完整性和身份认证。1994年改版为sslv2,1995年改版为sslv3

    TLS全称是transport layer security,传输层安全协议。1999年由IETF发布,整体来说TLS非常类似于SSLV3,只是对SSLV3做了些增加和修改。

    SSL是一个不依赖于平台和应用程序的协议,用于保障TCP-based应用安全,SSL在TCP层和应用层之间,可以理解为其是应用层连接到TCP连接的一个插口。

    目的和场景

    企业出差员工,需要在外地远程办公,并期望能够通过internet随时随地的远程访问企业内部资源。同时企业为了保证内网资源的安全性,希望能对移动办公用户进行多种形式的身份认证,并对移动办公用户可访问内网资源的权限做精细化控制。

    能实现与ipsec、l2tp相同的功能:通过internet远程访问企业内网资源

    优点

    与ipsec、l2tp相比的优点:

    1、企业通过多种方式实现对接入用户的身份认证

    2、企业基于接入用户的身份精细化控制可访问资源

    3、免安装客户端软件

    4、组网灵活

    5、部署和维护简单

    业务

    SSL 虚拟私有网络为了更精细的控制移动办公用户的资源访问权限,将内网资源划分为了Web资源、文件资源、端口资源和IP资源这4种类型。每一类资源有与之对应的访问方式,例如移动办公用户想访问企业内部的Web服务器,就需要使用SSL 虚拟私有网络提供的Web代理业务;想访问内网文件服务器,就需要使用文件共享业务。

    web代理

    访问内网web资源(属于IP资源)时使用web代理业务

    文件共享

    直接通过浏览器访问内网文件服务器(属于IP资源),如基于smb协议的windows共享文件夹、基于nfs协议的linux共享目录等。可以在浏览器上创建和浏览目录,进行下载、上传、改名、删除等文件操作。

    端口转发

    适用于基于TCP端口的应用服务(属于IP资源),包括telnet、远程桌面、FTP、Email等。提供了一种端口级的安全访问内网资源的方式。

    网络拓展

    通常在不区分用户访问的资源类型时为对应用户开通此业务。

    原理

    虚拟网关

    虚拟网关是公网用户通过SSL 虚拟私有网络访问企业内网资源的统一入口。(通常是防火墙的公网出口)

    虚拟网关可以创建多个,相互独立,基于不同的虚拟网关可以配置各自的用户和资源。

    虚拟网关的配置由fw的系统管理员完成。

    资源访问过程

    用户登录

    在浏览器中输入SSL 虚拟私有网络虚拟网关的IP地址或域名,请求建立SSL连接。虚拟网关向远程用户发送自己的证书,远程用户对虚拟网关的证书进行身份认证。认证通过后,远程用户与虚拟网关成功建立SSL连接,进入SSL 虚拟私有网络虚拟网关时的登录页面。

    用户认证

    在登录页面输入用户名和口令,虚拟网关对该用户进行身份认证。方式包括:本地认证、服务器认证、证书匿名认证、证书挑战认证等。

    本地认证

    远程接入用户的用户名、密码等身份信息保存在fw本地,由fw自身完成用户身份认证。

    1. 移动办公用户在SSL 虚拟私有网络虚拟网关登录界面输入用户名和密码,这些身份信息被送往虚拟网关。
    2. 虚拟网关将移动办公用户的身份信息发送至认证域进行认证。

    如果该虚拟网关中指定了认证域,则用户信息被发送到指定的认证域进行验证。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定送往哪个认证域进行认证。用户名中不携带“@”时,默认由default认证域进行认证。

    认证域中存放有用户身份信息及其用户所属的组信息。用户身份信息包括该用户的用户名、密码、描述等。另外,身份认证方式也是在认证域下指定的。认证域依据指定的认证方式决定采用本地认证还是服务器认证,此处以本地认证方式为例。

    1. 认证域向虚拟网关返回认证结果。

    如果身份认证通过,则继续下一步。如果身份认证不通过,则用户会在虚拟网关登录页面看到“认证失败”的提示。

    1. 虚拟网关向移动办公用户推送资源页面。

    虚拟网关会从角色授权列表中查找该用户所属的角色信息,并将该角色对应的资源链接推送给用户。

    服务器认证

    远程接入用户的用户名、密码等身份信息保存在认证服务器上,由认证服务器完成用户身份认证。认证服务器类型包括:RADIUS服务器、HWTACACS服务器、AD服务器和LDAP服务器。

    1. 移动办公用户在SSL 虚拟私有网络虚拟网关登录界面输入用户名和密码,这些身份信息被送往虚拟网关。
    2. 虚拟网关将移动办公用户的身份信息发送至认证域进行认证。

    如果该虚拟网关中指定了认证域,则用户信息被发送到指定的认证域进行验证。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定的送往哪个认证域进行认证。用户名中不携带“@”时,默认由default认证域进行认证。

    1. 认证域指定为服务器认证时,认证域将用户身份信息转发给认证服务器。
    2. 认证服务器向认证域返回认证结果。

    如果身份认证通过,则继续下一步。如果身份认证不通过,则用户会在虚拟网关登录页面看到“认证失败”的提示。

    1. 认证域将认证结果转发给虚拟网关。
    2. 虚拟网关向移动办公用户推送资源页面。

    虚拟网关会从角色授权列表中查找该用户所属的角色信息,并将该角色对应的资源链接推送给用户。虚拟网关会在本地查找用户所属的角色信息,因此需要提前将用户信息从认证服务器导入到认证域中。此处用户信息的作用不是认证,而是授权。

    证书认证

    远程接入用户以数字证书作为登录虚拟网关的身份凭证。虚拟网关针对证书提供了两种认证方式,一种是证书匿名,一种是证书挑战。

    证书匿名认证

    证书匿名方式下,虚拟网关只是检查用户所持证书的有效性,比如证书的有效期是否逾期,证书是否由合法CA颁发等),不检查用户的登录密码等身份信息。

    对于使用证书认证的双方(远程接入用户和防火墙),首先需要FW管理员从CA中心获取所需的证书。管理员需要从CA中心获取CA证书和客户端证书,CA中心审核通过后,会把CA证书和客户端证书发放给管理员,FW管理员将获取到的CA证书导入到FW,该CA证书用来验证移动办公用户客户端证书的有效性。管理员将客户端证书发放给移动办公用户,由移动办公用户将客户端证书导入个人设备,该客户端证书作为移动办公用户的身份凭证。

    1. 分别将客户端证书和CA证书导入到移动办公用户的主机和FW上。
    2. 移动办公用户在SSL 虚拟私有网络虚拟网关登录界面选择导入的客户端证书,该证书被送往虚拟
  • 相关阅读:
    Salesforce撤离中国后,谁来缓解在华跨国企业的焦虑?
    手写call
    【论文精读】TextDiffuser-2:释放语言模型用于文本渲染的力量
    【C++】多态
    LeetCode - 622. 设计循环队列(C语言,顺序存储结构,配图)
    利用噪声构建美妙的 CSS 图形
    .NET关于 跳过SSL中遇到的问题
    nginx的正向代理和反向代理以及负载均衡
    Linux简单命令学习 -- useradd passwd userdel
    JAVA基础(二十七)——文件相关操作
  • 原文地址:https://blog.csdn.net/qq_36813857/article/details/126445261