SSL VPN規(guī)劃與實(shí)施指南北京巨龍數(shù)碼科技有限責(zé)任公司1. 引言 . ...............................................................

SSL VPN規(guī)劃與實(shí)施指南

北京巨龍數(shù)碼科技有限責(zé)任公司

1. 引言 . ......................................................................................................................................... 1 2. 網(wǎng)絡(luò)結(jié)構(gòu) .................................................................................................................................. 1 3. 需求 . ......................................................................................................................................... 2 4. 規(guī)劃 . ......................................................................................................................................... 2 5. 初始化 . ..................................................................................................................................... 3 6. 第三方CA ............................................................................................................................... 4 7. 地址變更 .................................................................................................................................. 5 8. 結(jié)束語 . ..................................................................................................................................... 6

1. 引言

SSL VPN是北京巨龍數(shù)碼科技有限責(zé)任公司的SSL VPN產(chǎn)品，為企業(yè)關(guān)鍵應(yīng)用的遠(yuǎn)程接入提供安全保障。本文作為一個(gè)SSL VPN規(guī)劃和實(shí)施的范例，為售前技術(shù)支持、系統(tǒng)實(shí)施人員、企業(yè)CIO 和企業(yè)網(wǎng)絡(luò)管理員提供參考和指南。

2. 網(wǎng)絡(luò)結(jié)構(gòu)

企業(yè)應(yīng)用的典型網(wǎng)絡(luò)結(jié)構(gòu)，一般可以劃分成內(nèi)網(wǎng)和Internet 兩個(gè)部分，其示意圖如圖1所示。我們假設(shè)需要保護(hù)的Web 應(yīng)用服務(wù)服務(wù)器的IP 地址為1.1.1.3，在80端口提供服務(wù)，內(nèi)部用戶IP 地址為1.1.1.5，防火墻內(nèi)部IP 地址為1.1.1.1，防火墻外部IP 地址為172.18.100.89，外部用戶IP 地址為218.62.28.10。并且172.18.100.89對(duì)應(yīng)DNS 為www.raccess.com.cn ，防火墻將Web 應(yīng)用服務(wù)器的80端口映射到172.18.100.89的80端口上。 1.1.1.6 1.1.1.1 172.18.100.89 218.62.28.10

1.1.1.2

1.1.1.5 218.62.28.11

Web 服務(wù)器 1.1.1.3

內(nèi)網(wǎng) Internet

圖1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

原有網(wǎng)絡(luò)結(jié)構(gòu)下，企業(yè)內(nèi)網(wǎng)用戶1.1.1.5訪問Web 服務(wù)器的方式為HTTP://1.1.1.3；Internet 用戶218.62.28.10訪問Web 服務(wù)器的方式為HTTP:// 172.18.100.89或者通過HTTP:// www.raccess.com.cn 訪問。

3. 需求

對(duì)于規(guī)劃和實(shí)施SSL VPN的需求歸結(jié)起來就是，盡量不要有變動(dòng)，或者說盡量將變動(dòng)控制在最小程度。具體需求為：

● 第一，盡量不更改原Web 服務(wù)器配置；

● 第二，盡量不更改內(nèi)網(wǎng)用戶和外網(wǎng)用戶的訪問和使用習(xí)慣；

● 第三，盡量不更改防火墻設(shè)置；

● 第四，盡量不變更網(wǎng)絡(luò)結(jié)構(gòu)。

4. 規(guī)劃

根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)劃需求，設(shè)計(jì)出SSL VPN的規(guī)劃示意圖如圖2所示。其中，變更了Web 服務(wù)器IP 地址。其實(shí)也可以做到不變更Web 服務(wù)器IP 地址，但需要內(nèi)部用戶1.1.1.5改變?cè)L問方式，考慮到內(nèi)部用戶可能比較多，一般選擇變更Web 服務(wù)器IP 地址的方案。 1.1.1.4

WAN:1.1.1.3

LAN:2.1.1.1

1.1.1.5

2.1.1.3

Web 服務(wù)器 1.1.1.1 172.18.100.89 218.62.28.10 218.62.28.11

內(nèi)網(wǎng) Internet

圖2 SSL VPN規(guī)劃示意圖

因?yàn)樵L問將通過HTTPS 進(jìn)行，因此需要防火墻增加一個(gè)端口映射，即將SSL VPN 的

1.1.1.3上的443端口映射到172.18.100.89上，并且允許來Internet 用戶對(duì)1.1.1.3上的443的訪問。

提示：SSL VPN同時(shí)支持口令認(rèn)證和證書認(rèn)證，因此HTTPS 會(huì)有兩個(gè)端口，這兩個(gè)端口的端口號(hào)是可以由SSL VPN管理員調(diào)整的。因此可能需要在防火墻上增加兩個(gè)端口映射和兩個(gè)訪問規(guī)則。另外，如果僅要求SSL VPN使用口令認(rèn)證或證書認(rèn)證當(dāng)中的一種，則只需在防火墻上增加一個(gè)映射和添加一個(gè)規(guī)則。

此時(shí)，內(nèi)網(wǎng)用戶1.1.1.5訪問WEB 服務(wù)器的方式為HTTPS://1.1.1.3，而Internet 用戶

218.62.28.10訪問WEB 服務(wù)器的方式為HTTPS:// 172.18.100.89或者通過HTTPS:// www.raccess.com.cn 訪問。

5. 初始化

SSL VPN網(wǎng)關(guān)配置兩個(gè)網(wǎng)卡，第一個(gè)網(wǎng)卡為WAN ，第二個(gè)網(wǎng)卡為L(zhǎng)AN ，出廠設(shè)置W AN 地址為192.168.100.1，LAN 地址為192.168.101.1。將SSL VPN網(wǎng)關(guān)接入網(wǎng)絡(luò)，配置一臺(tái)內(nèi)部用戶機(jī)器IP 地址為192.168.100.99，然后訪問http://192.168.100.1:6080進(jìn)行初試化工作。其示意圖如圖3所示。

1.1.1.4

WAN:192.168.100.1

LAN:

192.168.101.1 218.62.28.10 1.1.1.1 172.18.100.89

192.168.100.99

1.1.1.3

Web 服務(wù)器 218.62.28.11

內(nèi)網(wǎng) Internet

圖3 初始接入示意圖

圖4 初始化填寫網(wǎng)關(guān)域名或IP 地址

初始化過程中，網(wǎng)關(guān)DNS 或者IP 填寫為“1.1.1.3;172.18.100.89;www.raccess.com.cn ”。其初始化的界面如圖4所示。初始化完成后，SSL VPN管理員需要進(jìn)入系統(tǒng)管理，更改SSL VPN 的W AN 和LAN 地址。其修改界面如圖5所示。

圖5 修改網(wǎng)關(guān)IP 地址

另外，根據(jù)規(guī)劃，需要修改Web 服務(wù)器IP 地址為2.1.1.3。

6. 第三方CA

如果SSL VPN采用第三方CA ，一般需要連接CA 服務(wù)器，獲取證書狀態(tài)信息或者CRL ，其網(wǎng)絡(luò)連接示意圖如圖6所示。

需要為SSL VPN 向CA 申請(qǐng)證書，申請(qǐng)證書時(shí)，注意網(wǎng)關(guān)的一般名字項(xiàng)要填寫為“1.1.1.3;172.18.100.89;www.raccess.com.cn ”。

另外，SSL VPN網(wǎng)關(guān)采用直接證書導(dǎo)入，需要CA 直接生成PKCS#12的服務(wù)器證書及私鑰。然后，將CA 的可信證書鏈和服務(wù)器證書及私鑰分別導(dǎo)入到SSL VPN 網(wǎng)關(guān)當(dāng)中，完

成第三方CA 的設(shè)置。 1.1.1.4

WAN:1.1.1.3

LAN:2.1.1.1 1.1.1.9 CA 服務(wù)器 1.1.1.1 172.18.100.89 218.62.28.10

1.1.1.5

2.1.1.3

Web 服務(wù)器 218.62.28.11

內(nèi)網(wǎng) Internet

圖6 支持CA 服務(wù)器網(wǎng)絡(luò)示意圖

7. 地址變更

如果需要調(diào)整網(wǎng)絡(luò)，可能會(huì)需要變更SSL VPN網(wǎng)關(guān)地址。變更SSL VPN網(wǎng)關(guān)地址涉及到兩個(gè)工作，一是變更SSL VPN網(wǎng)關(guān)的網(wǎng)卡設(shè)置。

另一方面，地址變更可能影響到瀏覽器HTTPS 對(duì)網(wǎng)關(guān)證書的驗(yàn)證。如果網(wǎng)關(guān)證書中的地址和用戶訪問網(wǎng)關(guān)地址不一致，瀏覽器會(huì)彈出安全警告，如示意圖7和圖8所示。圖7為

IE 的警告，圖8為Netscape 的警告。

注意，僅是用戶訪問服務(wù)的地址需要變更時(shí)才需要進(jìn)行調(diào)整。比如LAN 的IP 地址從

2.1.1.1變更為3.1.1.1，則只需變更SSL VPN網(wǎng)卡信息。

圖7 IE安全警告

圖8 Netscape安全警告

因此，需要做一些額外調(diào)整。在SSL VPN網(wǎng)關(guān)使用自己生成證書的情況下，SSL VPN管理員需要進(jìn)入系統(tǒng)管理，進(jìn)行重置網(wǎng)關(guān)域名操作，其示意圖如果9所示。設(shè)置的原則和初始化過程的設(shè)置原則一致。如果使用第三方CA ，則為SSL VPN 網(wǎng)關(guān)需要重新申請(qǐng)服務(wù)器證書，并導(dǎo)入到網(wǎng)關(guān)。

圖9 重置網(wǎng)關(guān)域名示意圖

8. 結(jié)束語

SSL VPN 的規(guī)劃和實(shí)施總體上而言是簡(jiǎn)單快捷的，但仍然需要對(duì)一些具體問題深入分析和研究。通過好的規(guī)劃，SSL VPN 完全可以在半天以內(nèi)完成實(shí)施和部署，并立即讓用戶

訪問應(yīng)用。實(shí)施簡(jiǎn)單而且快捷，可以降低總擁有成本，包括人員成本、調(diào)整網(wǎng)絡(luò)的成本、以及減少服務(wù)中斷帶來的潛在損失。而安全、便捷、低成本，正是SSL VPN所追求的目標(biāo)，也是SSL VPN為用戶作出的承諾。