SSL VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)协议来实现远程接入的一种轻量级VPN技术,其基于B/S架构,免于安装客户端,相较与IPSEC有更高的灵活度和管理性,当隧道建立之后就能通过SSL VPN隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源。
SSL/TLS通讯原理
听过HTTPS的小伙伴对SSL一定不陌生,其实TLS就是对SSL的改进和延续,两者间本质算法不同,工作原理大差不差
通过握手搭建一个安全的会话,依靠PKI等机制实现,大致步骤如下:
- 商定版本
- 确定双方所要使用的密码组合
- 客户端通过服务器的公钥和数字证书上的数字签名验证服务端的身份
- 生成会话密钥,该密钥将用于握手结束后的对称加密
如图,客户端会先发送一个client hello报文告知服务器,内容包含用户要连接的服务器,TSL版本,密码账户信息等;当服务器收到后发送Server Hello进行回应,其内容包含数字证书和公钥,服务器选择密码账户等信息;客户端收到后对内容进行验证,校验证书真实性,可用性以及对端身份的合法性,之后生成预主密钥并加密告知对方;服务器解密获得密钥生成主密钥,两者开始通过主密钥进行加密通讯
典型组网方式
单臂模式
VPN部署不在网关上,即接入VPN时先将流量从网关转发到此设备上再请求网关去找相关服务器进行搭建,多用于网络已搭建完毕需要修改且对安全性有一定要求的企业
带来影响:搭建时间变长,网络复杂度增高
网关模式
VPN设备就是出口设备,直接搭建即可,直接搭建,流量直接由网关处理,节约其他内网间设备性能,用于未搭建有连接需求对安全性
带来影响:集成于同一台设备,对设备要求较高,在内外网关键路径下,对其稳定性要求高
接入方式
可通过Web,TCP,IP,BYOD(移动终端)接入,并且可实现资源分配,同一台SSL VPN网关上可以创建多个SSL VPN访问实例(SSL VPN context),每个SSL VPN访问实例包含多个资源组
资源组包含一系列规则,这些规则为用户定义了可访问的资源,包含Web接入资源,TCP接入服务资源,IP接入服务资源文件资源等
