SSL 虚拟私有网络是通过SSL协议实现远程安全接入的虚拟私有网络技术。
安全套接层俗称secure socket layer(SSL)是网景公司1990年开发,用于保障www通讯的安全。主要任务是提供私密性、信息完整性和身份认证。1994年改版为sslv2,1995年改版为sslv3
TLS全称是transport layer security,传输层安全协议。1999年由IETF发布,整体来说TLS非常类似于SSLV3,只是对SSLV3做了些增加和修改。
SSL是一个不依赖于平台和应用程序的协议,用于保障TCP-based应用安全,SSL在TCP层和应用层之间,可以理解为其是应用层连接到TCP连接的一个插口。
企业出差员工,需要在外地远程办公,并期望能够通过internet随时随地的远程访问企业内部资源。同时企业为了保证内网资源的安全性,希望能对移动办公用户进行多种形式的身份认证,并对移动办公用户可访问内网资源的权限做精细化控制。
能实现与ipsec、l2tp相同的功能:通过internet远程访问企业内网资源
与ipsec、l2tp相比的优点:
1、企业通过多种方式实现对接入用户的身份认证
2、企业基于接入用户的身份精细化控制可访问资源
3、免安装客户端软件
4、组网灵活
5、部署和维护简单
SSL 虚拟私有网络为了更精细的控制移动办公用户的资源访问权限,将内网资源划分为了Web资源、文件资源、端口资源和IP资源这4种类型。每一类资源有与之对应的访问方式,例如移动办公用户想访问企业内部的Web服务器,就需要使用SSL 虚拟私有网络提供的Web代理业务;想访问内网文件服务器,就需要使用文件共享业务。
访问内网web资源(属于IP资源)时使用web代理业务
直接通过浏览器访问内网文件服务器(属于IP资源),如基于smb协议的windows共享文件夹、基于nfs协议的linux共享目录等。可以在浏览器上创建和浏览目录,进行下载、上传、改名、删除等文件操作。
适用于基于TCP端口的应用服务(属于IP资源),包括telnet、远程桌面、FTP、Email等。提供了一种端口级的安全访问内网资源的方式。
通常在不区分用户访问的资源类型时为对应用户开通此业务。
虚拟网关是公网用户通过SSL 虚拟私有网络访问企业内网资源的统一入口。(通常是防火墙的公网出口)
虚拟网关可以创建多个,相互独立,基于不同的虚拟网关可以配置各自的用户和资源。
虚拟网关的配置由fw的系统管理员完成。
在浏览器中输入SSL 虚拟私有网络虚拟网关的IP地址或域名,请求建立SSL连接。虚拟网关向远程用户发送自己的证书,远程用户对虚拟网关的证书进行身份认证。认证通过后,远程用户与虚拟网关成功建立SSL连接,进入SSL 虚拟私有网络虚拟网关时的登录页面。
在登录页面输入用户名和口令,虚拟网关对该用户进行身份认证。方式包括:本地认证、服务器认证、证书匿名认证、证书挑战认证等。
本地认证
远程接入用户的用户名、密码等身份信息保存在fw本地,由fw自身完成用户身份认证。
如果该虚拟网关中指定了认证域,则用户信息被发送到指定的认证域进行验证。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定送往哪个认证域进行认证。用户名中不携带“@”时,默认由default认证域进行认证。
认证域中存放有用户身份信息及其用户所属的组信息。用户身份信息包括该用户的用户名、密码、描述等。另外,身份认证方式也是在认证域下指定的。认证域依据指定的认证方式决定采用本地认证还是服务器认证,此处以本地认证方式为例。
如果身份认证通过,则继续下一步。如果身份认证不通过,则用户会在虚拟网关登录页面看到“认证失败”的提示。
虚拟网关会从角色授权列表中查找该用户所属的角色信息,并将该角色对应的资源链接推送给用户。
服务器认证
远程接入用户的用户名、密码等身份信息保存在认证服务器上,由认证服务器完成用户身份认证。认证服务器类型包括:RADIUS服务器、HWTACACS服务器、AD服务器和LDAP服务器。
如果该虚拟网关中指定了认证域,则用户信息被发送到指定的认证域进行验证。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定的送往哪个认证域进行认证。用户名中不携带“@”时,默认由default认证域进行认证。
如果身份认证通过,则继续下一步。如果身份认证不通过,则用户会在虚拟网关登录页面看到“认证失败”的提示。
虚拟网关会从角色授权列表中查找该用户所属的角色信息,并将该角色对应的资源链接推送给用户。虚拟网关会在本地查找用户所属的角色信息,因此需要提前将用户信息从认证服务器导入到认证域中。此处用户信息的作用不是认证,而是授权。
证书认证
远程接入用户以数字证书作为登录虚拟网关的身份凭证。虚拟网关针对证书提供了两种认证方式,一种是证书匿名,一种是证书挑战。
证书匿名认证
证书匿名方式下,虚拟网关只是检查用户所持证书的有效性,比如证书的有效期是否逾期,证书是否由合法CA颁发等),不检查用户的登录密码等身份信息。
对于使用证书认证的双方(远程接入用户和防火墙),首先需要FW管理员从CA中心获取所需的证书。管理员需要从CA中心获取CA证书和客户端证书,CA中心审核通过后,会把CA证书和客户端证书发放给管理员,FW管理员将获取到的CA证书导入到FW,该CA证书用来验证移动办公用户客户端证书的有效性。管理员将客户端证书发放给移动办公用户,由移动办公用户将客户端证书导入个人设备,该客户端证书作为移动办公用户的身份凭证。