文章目录SSL VPN技术IPSec缺陷SSL VPN功能技术虚拟网关WEB代理文件共享端口转发网络扩展终端安全主机检查缓存清理完整日志功能认证证书匿名认证证书挑战认证SSL VPN应用场景SSL VPN单臂组网模式应用SSL VPN应用场景分析SSL VPN配置步骤1 .配置接口2 .配置安全策略3 .配置VPNDB4.虚拟网关配置5
SSL VPN技术
SSl协议团队通信双方发送的APP应用程序数据是加密的,而不是加密从一个主机到另一个主机的所有数据。
IPSec的缺陷在于,由于IPSec是基于网络层的协议,很难跨越NAT和防火墙,特别是在访问防护严格的个人网络和公共计算机时,访问往往会受到阻碍移动用户必须安装专用的客户端软件才能使用IPSec VPN,在不断增长的用户组中分发、安装、配置和维护客户端软件对管理员来说是一项巨大的负担。 因此,IPSec VPN不适用于点对点远程移动通信。
SSL VPN功能技术虚拟网关
每个虚拟网关都是独立管理的,并且可以配置各自的资源、用户、身份验证方法、访问控制规则、管理员等。 如果企业有多个部门,则可以通过为每个部门或用户组分配不同的虚拟网关来形成完全分离的访问体系。 网络代理
这能够通过将来自采用https协议的远程浏览器的页面请求转发给web服务器,将来自服务器的响应发送回最终用户,并详细控制权限直到URL,来控制用户对某个特定页面的访问。
web代理安全访问内部网web资源:
Web代理有两种实现方法: Web-Link和Web重写(默认)。
Web-link采用ActiveX控制方式,传输页面; Web改写方式采用脚本改写方式,改写请求的页面上的链接,其他页面的内容不变。 从业务流程可以看出,Web代理功能的基本实现原理是将远程用户访问Web服务器的过程分为两个阶段。 首先,远程用户与NGFW虚拟网关之间建立HTTPS会话,然后NGFW虚拟网关与web服务器建立HTTP会话。 当远程用户访问企业网络中的Web服务器时,虚拟网关负责重写和传输Web请求。
文件共享
文件共享实现过程
客户端向内部网文件服务器提出HTTPS格式的请求,发送到USG防火墙; USG防火墙将HTTPS格式的请求消息转换为SMB格式的消息; USG防火墙将SMB格式的请求消息发送到文件服务器; 文件服务器接收请求消息,将请求结果发送到USG防火墙,使用SMB消息USG防火墙将SMB响应消息转换为HTTPS格式; 将请求结果(HTTPS格式的消息)发送到客户端。 端口转发提供了丰富的内部网TCP APP应用服务。
广泛支援静态连接埠的TCP APP应用程式:
支持单端口单服务器(如Telnet、SSH、MS RDP和VNC )、单端口多服务器(如Lotus Notes )和动态端口(如Outlook )的TCP APP应用。
动态端口(如FTP和Oracle )提供端口级别的访问控制。
端口转发实现原理
端口转发特点
所有数据流(如远程桌面、outlook、Notes和FTP )都经过加密认证,为用户提供统一的授权、验证,从而对TCP APP应用的访问控制是标准浏览器
拆分模式:用户可以访问远程企业内部网(通过虚拟网卡)和本地局域网(LAN ),但不能访问互联网。 全路由模式3360用户只能访问远程企业内部网(通过虚拟网卡),不能访问互联网和本地局域网。 手动模式:用户可以访问远程企业网络的特定网段资源(通过虚拟网卡),而不影响对其他互联网和本地局域网的访问(通过实际网卡) 网段发生冲突时,优先访问远程企业的内部网。 网络扩展实现过程
消息封装过程
可靠的传输模式
高速传输模式
终端安全主机检查终端安全是在请求访问内部网的主机上部署软件,用该软件检查终端主机的安全状况。 主要包括:主机检查、缓存清理。
主机检查:检查用户用于访问内部网资源的主机是否满足安全要求。
主机检查策略包括以下检查项目:
杀毒软件检查防火墙检查注册表检查端口检查过程检查操作系统检查缓存清理USG在用户访问虚拟网关后,通过必要的手段访问终端.上的访问痕迹(例如生成的临时文件
清理范围:
自动保存在internet临时文件浏览器中的密码导出Cookie日志浏览器的访问历史回收站和最近打开的文档列表指定文件或文件夹的完整日志功能日志查询日志虚拟网关管理员日志用户日志系统日志验证权限
证书匿名认证NGFW只需验证用户的客户端证书即可验证用户的身份
1 .当用户在SSLVPN网关登录界面中选择证书时,客户端会将客户端证书发送到网关
。2.网关会将客户端证书以及自己引用的CA证书的名称发送给证书模块。
3.证书模块会根据网关引用的CA证书检查客户端证书是否可信,并将结果返回给网关
如果网关引用的CA证书与客户端证书是同一个CA机构颁发的,且客户端证书在有效期内,则证书模块认为客户端证书可信,用户认证通过,继续执行4。如果证书模块认为客户端证书不可信,用户认证不通过,则执行5。4.网关根据用户过滤字段从客户端证书中提取用户名。
网关会从自己的角色授权列表中查找用户所属角色从而确认此用户的业务权限5.网关将认证结果返回给客户端
认证结果为通过的用户能够登录SSLVPN网关界面,以相应的业务权限来使用SSL VPN业务。
认证结果为不通过的用户会在客户端上看到“您的证书验证非法,请提供合法的证书”。
证书挑战认证证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来。
证书+本地用户名密码
证书+服务器认证
SSL VPN应用场景 SSL VPN单臂组网模式应用场景分析在网络规划时,SVN的接口IP为内网IP地址,此地址需要能与所有被访问需求的服务器路由可达。防火墙上需配置nat server,将SVN的地址映射到防火墙的某一公网IP. 上。也可以只映射部分端口,如443。如果外网用户有管理SVN的需求,还需要映射SSH、Telnet等端口。
SSLVPN双臂组网模式应用场景分析 在此类组网环境中,SVN使用两个不同的网口连接外网与内网,这种组网方式下,具有清晰的内网、外网概念;无需做额外的配置,外网口对应虚拟网关IP,内网口配置内网管理IP。虛拟网关IP不一定需要经过NAT转换,只要外网用户能够访问此虚拟网关IP地址即可。内外网接口没有特定的物理接口,任何一个物理接口都可以作为内网或外网接口。图中路由器和交换机之间处于连接状态。这是因为客户网络中可能有部分应用不需要经过SSL加密,而是直接通过防火墙访问外网。这时就需要在交换机和路由器.上配置策略路由,需要建立SSLVPN的流量就转发到SVN上,而普通的应用就直接通过防火墙访问外网。 SSL VPN配置步骤 1.配置接口 2.配置安全策略 放行Untrust到L ocal安全区域的SSL VPN流量。放行Local到Trust安全区域的业务流量。 3.配置VPNDB 4.虚拟网关配置 5.业务选择ensp将防火墙该功能阉割