SSL VPN技術(shù)研究及仿真分析

摘 要： SSL VPN技術(shù)利用SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，為用戶遠(yuǎn)程訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)提供了安全保證?；赟SL VPN系統(tǒng)的基本構(gòu)架，使用GNS3模擬器仿真SSL VPN系統(tǒng)，在遠(yuǎn)程用戶和內(nèi)部網(wǎng)絡(luò)之間構(gòu)建基于SSL的VPN，實(shí)驗(yàn)結(jié)果表明SSL VPN在點(diǎn)對(duì)網(wǎng)互連方面有較好的易用性和安全性。

關(guān)鍵詞： VPN； SSL VPN； 網(wǎng)絡(luò)仿真； GNS3

中圖分類號(hào)： TN915.08?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2013）13?0102?03

Research and simulation analysis on SSL VPN technology

LIU Dong?lin

（Shaanxi Branch， Unicom， Xi’an 710065， China）

Abstract： SSL VPN technology provides security assurance for remote users accessing to the internal network by certificate authentication， data encryption and message integrity verification mechanism. The SSL VPN system is built between remote users and the internal network by use of GNS3 simulator based on the basic framework of the SSL VPN system. The experimental results show that SSL VPN is more usable and safer for the interconnection between points and network.

Keywords： VPN； SSL VPN； network simulation； GNS3

0 引 言

VPN即虛擬專用網(wǎng)，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別[1]。常用的兩種VPN技術(shù)分別是基于傳統(tǒng)網(wǎng)絡(luò)安全協(xié)議（IPSec）的VPN技術(shù)和安全套接字層（SSL）VPN技術(shù)，前者主要作用于網(wǎng)絡(luò)層，而后者主要作用于應(yīng)用層。SSL VPN是以HTTPS為基礎(chǔ)的VPN技術(shù)，它利用SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，為用戶遠(yuǎn)程訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)提供了安全保證[2?3]。

1 SSL VPN系統(tǒng)組成

一個(gè)典型SSL VPN組網(wǎng)架構(gòu)如圖1所示，系統(tǒng)由遠(yuǎn)程主機(jī)、CA、SSL VPN網(wǎng)關(guān)、認(rèn)證服務(wù)器和內(nèi)網(wǎng)服務(wù)器組成[4]。其中，遠(yuǎn)程主機(jī)作為管理員和用戶遠(yuǎn)程接入的終端設(shè)備，可以是個(gè)人電腦、手機(jī)、手持電子終端等。SSL VPN網(wǎng)關(guān)是SSL VPN系統(tǒng)中的重要組成部分。管理員在SSL VPN網(wǎng)關(guān)上維護(hù)用戶和機(jī)構(gòu)網(wǎng)內(nèi)資源的信息，用戶通過(guò)SSL VPN網(wǎng)關(guān)查看可以訪問(wèn)哪些資源。SSL VPN網(wǎng)關(guān)負(fù)責(zé)在遠(yuǎn)程主機(jī)和機(jī)構(gòu)網(wǎng)內(nèi)服務(wù)器之間轉(zhuǎn)發(fā)報(bào)文。SSL VPN網(wǎng)關(guān)與遠(yuǎn)程主機(jī)之間建立SSL連接，以保證數(shù)據(jù)傳輸?shù)陌踩訹5?6]。內(nèi)網(wǎng)的服務(wù)器可以是任意類型的服務(wù)器，如Web服務(wù)器、FTP服務(wù)器，也可以是網(wǎng)內(nèi)需要與遠(yuǎn)程接入用戶通信的主機(jī)。CA為SSL VPN網(wǎng)關(guān)頒發(fā)包含公鑰信息的數(shù)字證書，以便遠(yuǎn)程主機(jī)驗(yàn)證SSL VPN網(wǎng)關(guān)的身份、在遠(yuǎn)程主機(jī)和SSL VPN網(wǎng)關(guān)之間建立SSL連接。認(rèn)證服務(wù)器用于對(duì)用戶進(jìn)行身份認(rèn)證，SSL VPN網(wǎng)關(guān)不僅支持本地認(rèn)證，還支持通過(guò)外部認(rèn)證服務(wù)器對(duì)用戶的身份進(jìn)行遠(yuǎn)程認(rèn)證[7]。

<＼＼192.168.0.25＼$d＼8月＼8-2＼補(bǔ)＼補(bǔ)！現(xiàn)代電子技術(shù)201313＼Image＼18t1.tif>

圖1 SSL VPN系統(tǒng)組成

2 仿真環(huán)境搭建

2.1 實(shí)驗(yàn)環(huán)境簡(jiǎn)介

實(shí)驗(yàn)中使用的仿真軟件包括GNS3 v0.8.2模擬器，虛擬機(jī)軟件VMware Workstation v8.0，終端仿真軟件SecureCRT v6.7，虛擬通道軟件Named Pipe TCP Proxy v1.001，虛擬機(jī)包括Windows XP、Cisco ASA v8.0。GSN3用到的Cisco IOS組件包括unzip?c3640?ik9o3s?mz.124?10.bin和sslclient?win?1.1.3.173.pkg。

2.2 仿真實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)

遠(yuǎn)程客戶機(jī)處于23.23.23.0/24的網(wǎng)絡(luò)中，IP地址為23.23.23.1/24，網(wǎng)關(guān)地址為23.23.23.254/24，該網(wǎng)絡(luò)通過(guò)R1的IP地址為12.12.12.2/24的端口與Internet相連。內(nèi)網(wǎng)服務(wù)器IP地址為192.168.1.1/24，與R2的IP地址為192.168.1.2/24端口相連，通過(guò)R2與ASA即SSL VPN網(wǎng)關(guān)相連，ASA使用公網(wǎng)地址12.12.12.1與Internet相連，網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示[8?9]。

<＼＼192.168.0.25＼$d＼8月＼8-2＼補(bǔ)＼補(bǔ)！現(xiàn)代電子技術(shù)201313＼Image＼18t2.tif>

圖2 SSL VPN仿真實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)

2.3 仿真環(huán)境搭建

（1）使用VMware模擬一臺(tái)Window XP來(lái)作為遠(yuǎn)程接入用戶。在GNS3上使用路由器模擬內(nèi)網(wǎng)的HTTP Server 與外網(wǎng)的Internet。防火墻使用安裝在VMware之中的Cisco ASA。

（2）使用GNS3搭建拓?fù)?，ASA防火墻作為SSL VPN服務(wù)器，分別連接至VMnet1 與VMnet8。虛擬機(jī)XP連接至VMnet2。VMnet為VMware建立的虛擬網(wǎng)絡(luò)適配器，VMnet1和VMnet2網(wǎng)絡(luò)模式為Host?only（僅主機(jī)），VMnet8網(wǎng)絡(luò)模式為NAT（地址轉(zhuǎn)換）[10]。

（3）將Windows XP的網(wǎng)絡(luò)連接模式設(shè)置為VMnet2。將Cisco ASA的虛擬網(wǎng)卡增加到3個(gè)，網(wǎng)絡(luò)模式分別設(shè)置為VMnet1（host?only）、VMnet8（NAT）和Bridge（橋接）。其中網(wǎng)絡(luò)適配器代表ASA 的e0/0，網(wǎng)絡(luò)適配器2代表ASA 的e0/1。

（4）搭建好拓?fù)?，使用SecureCRT連接設(shè)備進(jìn)行配置。由于VMware模擬的ASA 并無(wú)法直接提供一個(gè)可供本機(jī)SecureCRT 連接的端口，因此需要輔助軟件Named Pipe TCP Proxy通過(guò)VMware 提供的管道來(lái)創(chuàng)建一個(gè)端口，之后再使用SecureCRT 進(jìn)行連接[11]。

2.4 主要配置命令

在Cisco ASA上配置SSL VPN，主要配置如下：

（1）組策略配置

group?policy webvpn internal

group?policy webvpn attributes

vpn?tunnel?protocol svc webvpn

split?tunnel?policy tunnelspecified

split?tunnel?network?list value webvpn

address?pools value webvpn

webvpn

svc enable

（2）用戶策略配置

username cisco password cisco

username cisco attributes

vpn?group?policy webvpn

（3）隧道分離ACL

access?list webvpn extended permit ip 192.168.1.0 255.255.255.0 any

access?list webvpn extended permit ip 192.168.2.0 255.255.255.0 any

access?list outside extended deny ip any any

access?list inside extended deny ip any any

（4）路由配置

route outside 0.0.0.0 0.0.0.0 12.12.12.1

route inside 192.168.1.0 255.255.255.0 192.168.2.1

2.5 仿真結(jié)果分析

在ASA配置SSL VPN之前，雖然遠(yuǎn)程計(jì)算機(jī)可以與CISCO ASA防火墻通信，但是無(wú)法與內(nèi)網(wǎng)的HTTP服務(wù)器通信。在CISCO ASA完成SSL VPN配置，客戶端安裝ASA提供的數(shù)字證書后，遠(yuǎn)程SSL VPN客戶端從其所在的23.23.23.0/24 網(wǎng)段使用網(wǎng)頁(yè)瀏覽器就可以訪問(wèn)內(nèi)網(wǎng)192.168.1.0/24 網(wǎng)段內(nèi)的Web 服務(wù)，這說(shuō)明了SSL VPN已經(jīng)建立成功[12]。

在虛擬機(jī)上輸入預(yù)先設(shè)置好的用戶名和密碼后，連接到SSL VPN服務(wù)器，就可以看到獲得的內(nèi)網(wǎng)IP和服務(wù)器IP，以及用戶訪問(wèn)內(nèi)網(wǎng)的路由條目，如圖3所示。建立了安全的通道后，可以進(jìn)一步對(duì)內(nèi)網(wǎng)資源進(jìn)行訪問(wèn)。

<＼＼192.168.0.25＼$d＼8月＼8-2＼補(bǔ)＼補(bǔ)！現(xiàn)代電子技術(shù)201313＼Image＼18t3.tif>

圖3 內(nèi)網(wǎng)IP、服務(wù)器IP和路由條目

3 結(jié) 論

在本次仿真實(shí)驗(yàn)中由CISCO ASA防火墻充當(dāng)SSL VPN服務(wù)器。在CISCO ASA 使用出口PAT，本地內(nèi)網(wǎng)用戶能夠通過(guò)ASA 防火墻實(shí)現(xiàn)與外網(wǎng)通信。在ASA 上配置SSL VPN，為外網(wǎng)遠(yuǎn)程用戶提供VPN 接入，采用本地認(rèn)證，外網(wǎng)遠(yuǎn)程用戶可獲得內(nèi)網(wǎng)IP地址，能夠通過(guò)使用內(nèi)網(wǎng)IP訪問(wèn)內(nèi)網(wǎng)的資源。

傳統(tǒng)的IPSec VPN在部署時(shí)需要在每個(gè)遠(yuǎn)程接入的終端都安裝相應(yīng)的IPSec客戶端并需要作復(fù)雜的配置，若企業(yè)的遠(yuǎn)程接入和移動(dòng)辦公數(shù)增量增多，企業(yè)的維護(hù)成本將會(huì)呈線性增加。而SSL VPN不需要安裝客戶端程序，遠(yuǎn)程用戶可以隨時(shí)隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡(luò)，安全地訪問(wèn)應(yīng)用程序，無(wú)需安裝或設(shè)置客戶端軟件，降低了企業(yè)的維護(hù)成本。因而SSL VPN在點(diǎn)對(duì)網(wǎng)互連方面，有較好的易用性和安全性[13-14]。

參考文獻(xiàn)

[1] 鮑劼，呂向前，朱世平.基于SSL協(xié)議的VPN電子資源遠(yuǎn)程訪問(wèn)方案的研究與實(shí)現(xiàn)[J].煤炭技術(shù)，2012，31（6）：184?186.

[2] 葛蘇慧，王敏.SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用[J].廣西大學(xué)學(xué)報(bào)：自然科學(xué)版，2011，36（1）：155?159.

[3] 李之棠，何桂麗，王美珍.基于虛擬網(wǎng)卡的SSL VPN體系結(jié)構(gòu)的研究[J].計(jì)算機(jī)應(yīng)用研究，2007，24（12）：327?329.

[4] 馬淑文.SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28（21）：5137?5138.

[5] 曾巧紅，徐文賢，林綺屏.基于SSL VPN的圖書館遠(yuǎn)程訪問(wèn)系統(tǒng)的構(gòu)建[J].情報(bào)科學(xué)，2007，25（10）：1520?1524.

[6] 何玲.高校數(shù)字圖書館中SSL VPN系統(tǒng)的安全策略研究[J].天津師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2010，30（1）：27?28.

[7] 應(yīng)國(guó)良，田京波.基于SSL VPN的核心機(jī)房遠(yuǎn)程管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電化教育研究，2007（8）：39?42.

[8] 王婷，汪琴.VPN技術(shù)在電子資源遠(yuǎn)程訪問(wèn)中的應(yīng)用探討[J].現(xiàn)代情報(bào)，2007（4）：141?143.

[9] 秦鴻.利用VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的研究與實(shí)踐[J].圖書情報(bào)工作，2007，51（3）：117?120.

[10] 陳愛(ài)和，徐敬東，劉曉欣，等.支持多路負(fù)載平衡的SSL VPN 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2006，27（21）：3995?3998.

[11] 楊杰，李濤，王姝妲，等.應(yīng)用虛擬設(shè)備驅(qū)動(dòng)的SSL VPN系統(tǒng)改進(jìn)的實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2006，32（16）：148?150.

[12] 張學(xué)杰，李大興.SSL技術(shù)在構(gòu)建VPN中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用，2006，26（8）：1827?1830.

[13] 歐陽(yáng)凱，周敬利，夏濤，等.基于SSL VPN接入機(jī)制的研究[J].計(jì)算機(jī)科學(xué)，2005，32（5）：59?63.

[14] 余勝生，歐陽(yáng)長(zhǎng)春，周敬利，等.訪問(wèn)控制技術(shù)在SSL VPN系統(tǒng)中的應(yīng)用[J].華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2006，34（7）：49?52.