SSL VPN

所謂的SSL VPN,指的是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能,用瀏覽器通過SSL VPN網關連接到公司內部SSL VPN服務器,然後透過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據。它採用標準的安全套接層SSL對傳輸中的數據包進行加密,從而在應用層保護了數據的安全性。高質量的SSL VPN解決方案可保證企業進行安全的全局訪問。在客户端和服務器連接的過程中,SSL VPN網關有不可替代的作用。

SSLVPN是解決遠程用户訪問公司敏感數據最簡單最安全的解決技術。與複雜的IPSecVPN相比，SSL通過相對簡易的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內嵌在瀏覽器中，它不需要像傳統IPSecVPN一樣必須為每一台客户機安裝客户端軟件。

SSL協議主要由SSL握手協議和SSL記錄協議組成，它們共同為應用訪問連接提供認證、加密和防篡改功能。

SSL握手協議和IPSEC協議體系中的IKE(互聯網密鑰交換協議)協議類似，主要用於客户和服務器之間的相互認證，MAC(MessageAuthenticationCode-消息認證碼)算法和協商加密算法，主要用於SSL記錄協議中生成並使用的加密和認證密鑰。

SSL記錄協議為各種應用協議提供最基本的安全服務，和IPSEC的傳輸模式有易曲同工之處，應用程序消息參照MTU(最大傳輸單元)被分割成可治理的數據塊(可進行數據壓縮處理)的同時產生MAC信息，然後再加密並插入新的報頭最後在TCP中傳輸;收到的數據在接收端進行解密，做身份驗證(MAC認證)、解壓縮、重組數據報最後提交給應用協議進行處理。

選擇VPN是為了支持遠程訪問內部網絡的應用，這是最先需要考慮的一點，目前，大多數SSLVPN都兼容大部分日常會用的郵件系統、OA系統、CRM/ERP等，但並不是所有，如動態端口的應用就只有部分SSLVPN能夠支持。這一過程中，必須注意傳輸過程的安全其中必須保證用户身份的驗證、客户端設備的安全性、訪問後清除客户端緩存、服務端日誌跟蹤，必須做到以上這幾點才能在保證傳輸過程安全的同時，提高系統安全性，構建系統安全。 ^[2] 

SSLVPN一般的實現方式是在企業的防火牆後面放置一個SSL代理服務器，SSL代理服務器將提供一個遠程用户與各種不同的應用服務器之間的連接，實現起來主要有握手協議、記錄協議、警告協議的通信，SSLVPN的通信過程主要集中在握手協議上，主要有：第1步：SSL客户機連接到SSL服務器，並要求服務器驗證身份；第2步：服務器通過發送它的數字證書證明自身的身份。這個交換包括整個證書鏈，直到某個證書頒發機構（CA），通過檢查有效日期並確認證書包含可信任CA的數字簽名來驗證證書的有效性；第3步：服務器發出一個請求，對客户端的證書進行驗證；第4步：雙方協商用於加密的消息加密算法和用於完整性檢查的HAS日函數，通常由客户端提供它所支持的所有算法列表，然後由服務器選擇其中最強大的加密算法：第5步：客户機和服務器通過下列步驟生成會話密鑰。（1）客户機生成一個隨機數，並使用服務器的公鑰（從服務器證書中獲得）對它加密，再送到服務器，（2）服務器用更加隨機的數據、用客户機的公鑰加密，發送至客户機以表示響應：（3）使用HAS日函數從隨機數據中生成密鑰。 ^[1] 

SSL VPN是一種既簡單又安全的遠程隧道訪問技術，使用非常簡單。SSL VPN採用公匙加密的方式來保障數據在傳輸的過程中的安全性，它採用瀏覽器和服務器直接溝通的方式，既方便了用户的使用，又可以通過SSL協議來保證數據的安全。SSL協議是採用SSL/TLS綜合加密的方式來保障數據安全的。SSL協議從其使用上來説可以分為兩層：第一層是SSL記錄協議，這種協議可以為數據的傳輸提供基本的數據壓縮、加密等功能；第二層是SSL握手協議，主要用於檢測用户的賬號密碼是否正確，進行身份驗證登錄。與IPSec VPN相比，SSL VPN具有架構簡單、運營成本低、處理速度快、安全性能高的特點，所以在企業用户中得到大規模的使用。但是SSL協議是基於WEB開發的，通過瀏覽器來使用，由於近年來電腦病毒的多樣性，要想保障SSL VPN的安全運營，就需要在SSLVPN的安全技術上有所更新。 ^[3] 

系統組織已經採用LDAP進行用户管理。它只需要在SSL VPN設備中根據LDAP中的OU組結構建立用户組結構，併為用户組綁定相應的OU結構，不需要再在設備中建立具體用户。當用户向SSL VPN提交用户名密碼認證身份時，SSL VPN可自動將此認證信息提交給LDAP認證，並根據反饋的信息判斷該用户是否為合法用户。當用户通過了LDAP認證，SSL VPN設備就會通過LDAP返回該用户的OU值，將該用户自動歸於綁定了該OU的用户組。這時，該用户即享用了該用户組所有的認證、策略和授權等屬性。

系統組織中已經採用 Radius實現用户認證管理，在 SSL VPN設備中建立相應的用户組結構，並選用Radius認證並綁定相應的Class屬性值。當用户向SSL VPN提交用户名密碼認證信息時，SSL VPN就會將此信息以標準的Radius協議格式向Radius服務器發出認證請求，之後Radius將返回認證結果。如果Radius認證通過，則將在返回給SSL VPN的數據包中捎帶Class分組屬性，SSL VPN會根據綁定該屬性的用户組賦予該用户相應的認證、策略和授權等屬性。如果Radius認證未通過，SSL VPN則會拒絕該用户登錄。

內置CA的SSL VPN安全網關，可以支持PKI體系的認證。

將CA中心生成的數字證書頒發給USB KEY，併為該USB KEY設置PIN碼。利用“硬件存儲數字證書+PIN碼”的方式為用户提供高安全的認證方式。

僅使用用户名/密碼認證的用户，為了保證用户登錄 SSL VPN限定在某一台或是某幾台客户端上，有效解決用户賬號意外泄露、賬號盜用導致數據泄露的問題，可綁定登錄客户端。通常情況下，客户端綁定都是採用IP/MAC、MAC、IP綁定方式實現的。

動態令牌認證是技術領先的一種雙因素身份認證體系，內嵌特殊運算芯片，與事件同步的技術手段。它是通過符合國際安全認可的OATH動態口令演算標準，使用HMAC-SHA1算法產生6位動態數字進行一次一密的方式認證。

USB KEY、動態令牌等認證方式能非常好地保證認證的安全性，但是，卻需要隨身攜帶USB KEY、動態令牌這些小硬件，對移動辦公人員來説非常不便。

針對上面提到的問題，採用短信認證就能很好地解決這個問題。該認證系統分為手機客户端和短信服務器兩部分，手機往往是隨身攜帶的，相對於USB KEY、動態令牌隨身攜帶的方式更容易讓用户接受。當用户在進行SSL VPN登錄認證時，短信服務器將為該用户自動生成一個6位數字的隨機認證碼，並以短信的方式發送到用户所綁定手機號碼的客户端，之後用户只需在認證界面上輸入6位認證碼認證。

單一的認證方式容易被暴力破解，為了進一步提高身份認證的安全性，可以採用多種認證方式結合的混合認證方式進行多因素的“與”“或”結合認證。這時，只需通過一種認證方式即可接入到SSL VPN中。

對於使用單純的密碼和用户名的SSL VPN用户來説，對其密碼的保護則更為重要。有些SSL VPN提供了強大的安全保障策略，比如圖形校驗碼、最小密碼長度設置和程序軟鍵盤等多重設置密碼安全的保護組策略，以此提高密碼的安全性。

針對C/S應用或B/S資源，用户可在登錄SSL VPN後自行打開瀏覽器輸入資源地址訪問。這時，主從賬號綁定將通過監聽特定的IP、URL並和數據流解析相結合的認證方式，比較用户所輸入的賬號是否與綁定的賬號一致，進而判斷對該數據包是阻止還是放行。

SSL VPN認證方式多種多樣，指定的用户登錄SSL VPN後，通過指定的賬號訪問指定的應用，可以達到增強重要系統認證安全性的目的。 ^[4] 

SSL VPN網關接入網絡有很多不同的類型，從而也導致SSL VPN組網模式有所區別，常見的模式有單臂、雙臂兩種模式。

1）單臂模式。所謂單臂模式是指將SSL VPN網關作為於一台代理服務器使用；當內部服務器與該遠程代理服務器進行通信時，SSL VPN網關不處在網絡通訊的關鍵路徑上。也就是説，單臂模式類似環形網絡拓撲結構，當一邊環路不通時，可以選擇其他的路徑方式實現通信。因此，單臂模式的優點是當該網絡上某點出現故障時，不會影響整個網絡的通信；其不足在於對於網絡信息資源不能夠實現全面的保護。

2）雙臂模式。所謂雙臂模式是指將SSL VPN網關架接在外網與內網之間，即實現了網橋的功能。同時，該網橋也充當必要的防火牆的作用，從而實現對全網絡的保護。這種結構具有很好的安全性，但也有比較明顯的不足，即會降低內外網絡之間數據傳輸的穩定性。 ^[5] 

SSLVPN網關在企業網的邊緣，介於企業服務器與遠程用户之間並對二者的通信加以控制。SSLVPN採用的是標準的安全套接層（SSL）對傳輸中的數據包進行加密，並且在應用層保護數據的安全性。

在不斷擴展的互聯網Web站點之間、無線熱點和客户端間、遠程辦公室、酒店、傳統交易大廳等場所，SSLVPN克服了IPSecVPN的不足，用户可以輕鬆實現安全易用、無需客户端安裝且配置簡單的遠程訪問。

SSLVPN最常見的入口是網絡頁面，其基本運行流程：

1.登錄VPN的網址（通常為HTTPS），該網址在瀏覽器中打開；

2.輸鍵入用户身份信息，身份信息包括用户名、數字證書（如USB-Key）、靜態口令、動態口令的隨意組合，這樣以確保身份的真實性和保密性；

3.選擇服務類型，其中WEB代理使用起來最為簡單，同時WEB代理可以控制粒度最細的SSLVPN應用，可以精確地制導任何一個鏈接；

4.端口映射的精細粒度僅次於WEB代理，它用TCP端口映射的方式（原理上類似於NAT內部服務器應用）為使用者提供TCP遠程接入的服務，但是它需要特定的與服務器相應的SSLVPN客户端程序輔助；

5.IP連接是SSLVPN中粒度精細程度相對較差的，但是它已經被廣泛使用，它實現了和L2TP相似的特性，服務器可以給每一個客户端一個VPN地址從而可以直接訪問內部服務器，但是它也與端口映射一樣需要專門的SSLVPN客户端程序幫忙；

6.SSLVPN由於處在TCP層，所以可以進行豐富的業務控制，如行為審計，可以記錄每名用户的所有操作，為更好地管理VPN提供了有效統計數據；

7.當使用者退出SSLVPN登陸頁面時，所有上述安全會話會統統釋放。 ^[2]