SSL VPN技术概述
SSL协议专门对通信双方传输的应用数据进行加密,而不是对整个网络中从一台主机到另一台主机的所有数据进行加密。这种加密方式确保了数据传输的性和完整性。
IPSec缺陷与SSL VPN的优势
由于IPSec是基于网络层的协议,它很难穿越NAT和防火墙,特别是在一些安全防护措施较为严格的环境中,如个人网络和公共计算机,访问常常因此受阻。移动用户使用IPSec VPN需要安装专用客户端软件,管理和维护负担较重。相比之下,SSL VPN在这些问题上有显著优势。
SSL VPN功能技术详解
虚拟网关
每个虚拟网关都是独立可管理的,可以灵活配置资源、用户、认证方式、访问控制规则以及管理员等。当企业有多个部门时,可以为每个部门或用户分配不同的虚拟网关,形成完全隔离的访问体系。
WEB代理服务
文件共享实现
客户端向内网文件服务器发起HTTPS格式的请求,该请求经过USG防火墙的处理,转换为B格式的报文并发送给文件服务器。文件服务器处理请求后,再将结果发送回USG防火墙,并以B报文格式传输。USG防火墙再将B应答报文转换为HTTPS格式并发送到客户端。这一系列过程实现了丰富的内网TCP应用服务。
TCP应用支持
SSL VPN广泛支持静态端口的TCP应用,同时也支持动态端口的TCP应用,如FTP和Oracle等。所有数据流都经过加密认证,提供端口级的访问控制。
网络扩展功能
SSL VPN提供了多种网络扩展模式,包括分离模式、全路由模式和手动模式等。这些模式允许用户根据需要访问内网、外网或特定网段的资源。
终端安全与主机检查
终端安全是在请求接入内网的主机上部署软件,通过该软件检查终端主机的安全状况。主机检查策略包括杀毒软件、防火墙、注册表、文件、端口、进程以及操作系统等多项检查。
USG还能在用户访问虚拟网关结束时清除终端上的访问痕迹,如临时文件、Cookie等,以防止信息和杜绝安全隐患。
日志功能与认证授权
系统提供完善的日志功能,包括日志查询、导出、虚拟网关管理员日志、用户日志和系统日志等。认证授权方面,支持匿名认证和挑战认证等多种方式,确保只有经过验证的用户才能访问内网资源。
SSL VPN应用场景与配置步骤
单臂组网模式应用场景:在网络规划时需确保SVN的接口IP为内网IP地址,并需在防火墙上配置NAT server将SVN地址映公网IP上。如有外网用户需要管理SVN,还需映射特定端口。
双臂组网模式应用场景:在此类组网环境中,SVN使用两个不同的网口连接内外网,无需做额外配置。虚拟网关IP地址可不经NAT转换,只要外网用户能够访问此IP即可。
配置步骤:首先配置接口,然后设置安全策略和VPNDB,接着进行虚拟网关配置,最后根据业务需求进行选择和应用。