HC110311004-HCNA-Security-CBSN-第十章-SSL-VPN技术V1.0.ppt

Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.第十章 SSL VPN技术Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 2目标l学完本课程后，您将能够:p了解SSL VPN的技术原理p熟悉SVN3000产品的基本功能和特性p掌握SSL VPN配置方法Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 3目录1.SSL VPN概述概述2.SSL VPN技术3.SSL VPN安全策略4.SSL VPN应用场景分析Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 4SSL概述 SSL在TCP/IP协议栈中的位置I PTCPHTTPSSLI PTCPHTTPNot SecureSecureCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 5SSL与IPSec安全防护对比I PTCPAPP+DataIPSecI PTCPHTTPSSLSSL VPNIPSec VPNI PCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 6SSL VPN安全技术SSL协议从以下方面确保了数据通信的安全l身份认证身份认证 在建立SSL连接之前，客户端和服务器之间需要进行身份认证，认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证。l机密性机密性采用加密算法对需要传输的数据进行加密。l完整性完整性采用数据鉴别算法，验证所接收的数据在传输过程中是否被修改。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 7目录1.SSL VPN概述2.SSL VPN技术技术3.SSL VPN安全策略4.SSL VPN应用场景分析Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 8SSL协议结构应用层协议SSL握手协议SSL密码变化协议SSL警告协议SSL记录协议TCPIPCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 9SSL上层协议介绍SSL协议过程通过协议过程通过3个元素来完成个元素来完成l握手协议握手协议l记录协议记录协议l警告协议警告协议SSL协议结构Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 10SSL原理握手协议在用SSL进行通信之前，首先要使用SSL的HandShake协议在通信两端握手，协商数据传输中要用到的相关安全参数（如加密算法、共享密钥、产生密钥所要的材料等），并对对端的身份进行验证。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 11SSL原理会话恢复会话恢复是指只要客户端和服务器已经通信过一次，它们就可以通过会话恢复的方式来跳过整个握手阶段而直接进行数据传输。SSL采用会话恢复的方式来减少SSL握手过程中造成的巨大开销。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 12SSL VPN功能技术介绍SVN3000安全接入网关用户用户安全控制安全控制完善的完善的日志功能日志功能网络网络扩展扩展Web代理代理可靠性可靠性文件文件共享共享可靠性可靠性端口端口代理代理可靠性可靠性领先的领先的虚拟网关虚拟网关Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 13虚拟网关SVN通过虚拟网关提供SSL VPN服务；一台SVN设备最多可配置128个虚拟网关；Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 14Web代理SVN3000SVN3000WEB服务器远程用户实现对内网Web资源的安全访问lWeb代理实现了无客户端的页面访问lWeb代理有两种实现方式：Web-link和Web改写Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 15文件共享提供对内网文件系统的安全访问l采用协议转换技术，无需安装专用客户端，直接通过通用浏览器安全接入内部文件系统；l将客户发起的文件共享请求，转换成相应的协议格式，与服务器进行交互；l支持：pSMB协议（Windows）pNFS协议（LINUX）新新 建建文件夹文件夹浏览文件浏览文件下载文件下载文件改改 名名文件文件(夹夹)删删 除除文件文件(夹夹)上传文件上传文件支持支持Windows(SMB)/UNIX(NFS)文件文件Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 16文件共享实现过程以访问内网Windows文件服务器为例：1.客户端向内网文件服务器发起HTTPS格式的请求，发送到SVN；2.SVN将HTTPS格式的请求报文转换为SMB格式的报文；3.SVN发送SMB格式的请求报文给文件服务器。4.文件服务器接受请求报文，将请求结果发送给SVN，用的是SMB报文；5.SVN将SMB应答报文转换为HTTPS格式；6.将请求结果（HTTPS格式）发送到客户端；文件服务器文件服务器客户端客户端1 16 6SMB/NFSHTTPS4 43 3HTTPSSMB/NFS5 52 2Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 17文件共享应用特点就像操作本机文件系统一样安全便捷！就像操作本机文件系统一样安全便捷！Success factors所有文件接入所有文件接入需要认证需要认证所有文件传输所有文件传输采用采用SSLSSL加密加密文件级的访问文件级的访问权限控制权限控制SVN增加额外的增加额外的访问控制访问控制SVN3000文件共享文件共享当然，Ctrl+C等组合键无法使用。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 18端口转发提供丰富的内网TCP应用服务l广泛支持静态端口的广泛支持静态端口的TCP应用应用p单端口单服务器（如：Telnet，SSH，MS RDP，VNC等）p单端口多服务器（如：Lotus Notes）p多端口多服务器（如：Outlook）l支持动态端口的支持动态端口的TCP应用应用p动态端口（如：FTP，Oracle）l提供端口级的访问控制提供端口级的访问控制Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 19端口转发实现原理应用请求应用请求应用代理应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 20端口转发应用特点Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 21网络扩展实现对内网所有复杂应用的全网访问l通过建立安全SSL隧道，实现对基于IP的内网业务的全面访问l实现方式：pActiveX控件；p专用客户端软件：一次安装，零配置；l访问方式（由管理员根据不同应用场景进行配置）p全通道（Full Tunnel）只允许访问企业内网；p分离通道（Split Tunnel）可同时访问企业内网和本地子网；p手动（Manual Tunnel）可访问内网特定网段的资源，同时对其他正常操作不作影响，可以访问Internet和本地子网；Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 22网络扩展实现过程2.客户端发起基于IP的内网应用，虚拟网关截获报文进行封装加密，发往SVN；3.SVN对报文解密后发往内网服务器；4.内网服务器的响应报文发到SVN，由SVN进行封装加密，发往客户端。1.在客户端下载控件，安装虚拟网卡，虚拟网卡获得一个可被内网识别的IP地址；Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 23Full Tunnel 全通道方式Internet总部内网资源全通道方式,所有流量都流向网关SSL VPN隧道LANCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 24Split Tunnel 分离通道方式Internet总部内网资源LAN分离通道方式：除了可以访问内网，还能够访问客户端所在的本地子网。SSL VPN隧道Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 25Manual Tunnel自定义方式Internet总部内网资源LAN自定义方式：能够访问内网特定网段的资源，同时，客户端访问本地子网和Internet的操作不受影响。SSL VPN隧道Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 26SSL VPN技术优势l无客户端的便捷部署l应用层接入的安全保护l企业延展的效率提升Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 27传统VPN存在的问题MPLS不安全不安全无用户认证无用户认证无应用授权无应用授权无审计无审计无加密无加密无访问控制无访问控制造价高造价高跨运营商互通互联跨运营商互通互联问题问题适用于大型企业内适用于大型企业内网互联网互联不安全不安全拨号上网的额外费用拨号上网的额外费用拨号接入服务器端口拨号接入服务器端口限制限制缺少信息鉴别缺少信息鉴别无基于应用的访问控无基于应用的访问控制策略制策略泄漏内网泄漏内网IP客户端管理费用高客户端管理费用高NAT问题问题安全风险安全风险无基于应用的用户无基于应用的用户认证授权审计认证授权审计L2TP及拨号及拨号IPSecCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 28SSL VPN应用举例普通应用远程维护远程维护合作伙伴合作伙伴客户客户移动办公移动办公分支机构分支机构InternetERPEmailWeb服务器Linux/NFSSMB企业内网企业内网加密的外部连接标准的内部连接Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 29SSL VPN应用举例运营应用企业客户企业客户A企业客户企业客户BInternetSSL VPN图例：图例：IDC企业客户企业客户CIDSFWSSL VPN企业企业A托管托管服务器群服务器群企业企业B托管托管服务器群服务器群企业企业C托管托管服务器群服务器群SW虚拟防火墙虚拟防火墙虚拟虚拟SSL VPN网关网关Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 30目录1.SSL VPN概述2.SSL VPN技术3.SSL VPN安全策略安全策略4.SSL VPN应用场景分析Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 31认证授权Internet远程访问Web服务器OA服务器文件服务器认证服务器认证授权：认证授权：lVPNDB 认证授权lRadius 认证授权lLDAP 认证授权lX.509 数字证书认证lUSB KEY X.509 数字证书认证Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 32终端安全策略终端安全威胁终端安全威胁终端安全威胁终端安全威胁无法有效无法有效无法有效无法有效贯彻执行贯彻执行贯彻执行贯彻执行n n 杀毒软件检查杀毒软件检查n n 进程检查进程检查n n 端口检查端口检查n n 防火墙检查防火墙检查n n 操作系统检查操作系统检查n n文件检查文件检查n n注册表检查注册表检查终端安全策略终端安全策略终端安全策略终端安全策略p终端自身安全终端自身安全p终端对网络资源的非授权终端对网络资源的非授权访问访问p终端对网络资源的滥用终端对网络资源的滥用p 恶意终端的蓄意破坏恶意终端的蓄意破坏Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 33SVN3000功能总结ERPWebE-mail 网络扩展 IPSec VPN文件共享端口转发Web代理Web访问文件访问Notes、Telnet 等TCP应用其他复杂业务SVN3000IPSec VPNSSL VPNCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 34完善的日志功能l系统日志 系统重启记录，网口状态记录，温度告警记录，导入导出记录，系统管理员管理，虚拟网关管理等；l用户日志 用户登录成功、失败记录，登陆后下线记录，用户修改密码，业务日志；l虚拟网关管理员日志 管理员上线、下线记录，管理员登录失败记录，虚拟网关配置保存，用户管理，安全管理等；l日志导出 日志的实时导出，文本格式的日志导出，命令行日志文件导出等；l日志查询 Web页面日志分级查询，命令行日志查询。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 35目录1.SSL VPN概述2.SSL VPN技术3.SSL VPN安全策略4.SSL VPN应用场景分析应用场景分析Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 36SVN3000应用场景典型网络位置SVN3000多部署于企业的网络出入口防火墙之后，应用服务器之前，介于远程用户和服务器之间，控制两者的通信。远程维护远程维护合作伙伴合作伙伴移动办公移动办公分支机构分支机构WEB服务器数据库Email企业总部企业总部加密的内外连接标准的内部连接NFSERP客户客户SVN3000Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 37SSL VPN 单臂组网模式应用场景分析lSVN3000单臂挂接在防火墙、路由器或交换机上，内网和Internet都通过这个网口与SVN3000进行通信，这种模式称为单臂模式。WEB服务器数据库Email公司总部公司总部加密的内外连接标准的内部连接ERPAAA远程维护远程维护合作伙伴合作伙伴移动办公移动办公分支机构分支机构客户客户SVN3000SVN3000Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 38SSL VPN 双臂组网模式应用场景分析lSVN3000双臂挂接在防火墙、路由器或交换机上。内网和Internet都通过不同的网口与SVN3000进行通信，这种模式称为双臂模式。EmailERPAAA公司总部公司总部数据库WEB 服务器合作伙伴合作伙伴移动办公移动办公分支机构分支机构远程维护远程维护客户客户SVN3000SVN3000加密的内外连接标准的内部连接Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 39启用Web网管功能lSSL配置以配置以SVN3000为例。为例。l配置步骤：p配置接口IP地址p绑定Web网管和IP地址，并制定使用的端口。p运行网络浏览器程序，在地址栏键入SVN3000 Web网管的IP地址，格式为“https:/x.x.x.x:port”，回车，进入Web网管登陆页面。p在Web网管登录页面中输入用户名和密码，登录SVN3000。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 40虚拟网关配置及相关参数l登录到SVN3000的Web管理页面后，点击“虚拟网关管理”。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 41Web代理访问实例（一）l在“虚拟网关列表”导航树上单击“Web代理”，进入配置页面。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 42Web代理访问实例（二）l在管理界面上配置Web-Link资源。启用Web-Link功能Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 43Web代理访问实例（三）l点击某一链接，能够看到该链接对应的web页面：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 44Web代理访问实例（四）l再点击上一页面中的子链接，同样能够访问对应页面：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 45文件共享访问实例（一）l在“虚拟网关列表”导航树上单击“文件共享”，进入配置页面。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 46文件共享访问实例（二）l在网管页面配置文件共享资源。启用文件共享功能Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 47文件共享应用实例（三）l在客户端页面上看到的文件共享资源列表：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 48文件共享应用举例（四）l点击文件共享列表中的某一资源，需要输入用户名、密码、域，提交文件服务器进行用户认证：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 49文件共享应用举例（五）l看到该共享文件夹下的资源列表：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 50文件共享应用举例（六）l浏览文件：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 51端口转发l提供丰富的内网TCP应用服务p广泛支持静态端口的TCP应用n单端口单服务器（如：Telnet，SSH，MS RDP，VNC等）n单端口多服务器（如：Lotus Notes）n多端口多服务器（如：Outlook）p支持动态端口的TCP应用n动态端口（如：FTP被动模式，Oracle）p提供端口级的访问控制Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 52端口转发应用举例（一）l在“虚拟网关列表”导航树上单击“端口转发”，进入配置页面。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 53端口转发访问实例（二）l在网管页面配置端口转发资源：使能端口转发功能Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 54端口转发访问实例（三）l点击端口转发“启动”按钮，启用端口转发服务：Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 55端口转发访问实例（四）l可采用端口转发对配置的资源进行访问。举例-telnetCopyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 56网络扩展访问实例（一）l在网管页面上可配置客户端IP分配方式以及客户端路由方式。使能网络扩展功能Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 57网络扩展访问实例（二）l点击网络扩展启动按钮，启动网络扩展功能。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 58网络扩展访问实例（三）l完成Active控件安装后，远程客户端再次登录到SVN3000上，客户终端获得内网虚拟IP地址，犹如内部局域网中的一台设备。注意：在这个操作过程中，不能关闭此窗口，否则网络扩展功能将停止。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 59网络扩展访问实例（四）应用实例 FTP：应用实例登录远程桌面，浏览内网视频文件Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 60网络扩展客户端软件登录页面l网络扩展还提供另一种实现方式，安装专用的客户端软件。l可在客户界面上下载，无需配置，一次安装即可。l通过网络扩展客户端软件直接启动网络扩展任务。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 61VPNDB应用实例（一）l在虚拟网管列表中，点击“VPNDB配置”进入此页面。Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 62VPNDB应用实例（二）l在“用户信息管理”中点击“添加”按钮，进入此页面Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 63总结lSSL VPN的技术原理lSVN3000产品的基本功能和特性lSSL VPN配置方法Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 64思考题lSSL VPN主要应用在哪些场景？lSSL VPN主要可提供哪些安全服务？lSSL VPN中虚拟网关的作用是什么？l独占型、共享型虚拟网关有什么区别？它们之间应用场景各是什么？lWeb代理、文件共享、端口转发和网络扩展的应用场景各是什么？l网络扩展有哪3种访问方式？它们之间的实现机制有什么不同？Thank