SSL VPN規(guī)劃與實施指南北京巨龍數(shù)碼科技有限責任公司1. 引言 . ...............................................................

SSL VPN規(guī)劃與實施指南

北京巨龍數(shù)碼科技有限責任公司

1. 引言 . ......................................................................................................................................... 1 2. 網絡結構 .................................................................................................................................. 1 3. 需求 . ......................................................................................................................................... 2 4. 規(guī)劃 . ......................................................................................................................................... 2 5. 初始化 . ..................................................................................................................................... 3 6. 第三方CA ............................................................................................................................... 4 7. 地址變更 .................................................................................................................................. 5 8. 結束語 . ..................................................................................................................................... 6

1. 引言

SSL VPN是北京巨龍數(shù)碼科技有限責任公司的SSL VPN產品，為企業(yè)關鍵應用的遠程接入提供安全保障。本文作為一個SSL VPN規(guī)劃和實施的范例，為售前技術支持、系統(tǒng)實施人員、企業(yè)CIO 和企業(yè)網絡管理員提供參考和指南。

2. 網絡結構

企業(yè)應用的典型網絡結構，一般可以劃分成內網和Internet 兩個部分，其示意圖如圖1所示。我們假設需要保護的Web 應用服務服務器的IP 地址為1.1.1.3，在80端口提供服務，內部用戶IP 地址為1.1.1.5，防火墻內部IP 地址為1.1.1.1，防火墻外部IP 地址為172.18.100.89，外部用戶IP 地址為218.62.28.10。并且172.18.100.89對應DNS 為www.raccess.com.cn ，防火墻將Web 應用服務器的80端口映射到172.18.100.89的80端口上。 1.1.1.6 1.1.1.1 172.18.100.89 218.62.28.10

1.1.1.2

1.1.1.5 218.62.28.11

Web 服務器 1.1.1.3

內網 Internet

圖1 企業(yè)網絡結構示意圖

原有網絡結構下，企業(yè)內網用戶1.1.1.5訪問Web 服務器的方式為HTTP://1.1.1.3；Internet 用戶218.62.28.10訪問Web 服務器的方式為HTTP:// 172.18.100.89或者通過HTTP:// www.raccess.com.cn 訪問。

3. 需求

對于規(guī)劃和實施SSL VPN的需求歸結起來就是，盡量不要有變動，或者說盡量將變動控制在最小程度。具體需求為：

● 第一，盡量不更改原Web 服務器配置；

● 第二，盡量不更改內網用戶和外網用戶的訪問和使用習慣；

● 第三，盡量不更改防火墻設置；

● 第四，盡量不變更網絡結構。

4. 規(guī)劃

根據(jù)網絡結構和規(guī)劃需求，設計出SSL VPN的規(guī)劃示意圖如圖2所示。其中，變更了Web 服務器IP 地址。其實也可以做到不變更Web 服務器IP 地址，但需要內部用戶1.1.1.5改變訪問方式，考慮到內部用戶可能比較多，一般選擇變更Web 服務器IP 地址的方案。 1.1.1.4

WAN:1.1.1.3

LAN:2.1.1.1

1.1.1.5

2.1.1.3

Web 服務器 1.1.1.1 172.18.100.89 218.62.28.10 218.62.28.11

內網 Internet

圖2 SSL VPN規(guī)劃示意圖

因為訪問將通過HTTPS 進行，因此需要防火墻增加一個端口映射，即將SSL VPN 的

1.1.1.3上的443端口映射到172.18.100.89上，并且允許來Internet 用戶對1.1.1.3上的443的訪問。

提示：SSL VPN同時支持口令認證和證書認證，因此HTTPS 會有兩個端口，這兩個端口的端口號是可以由SSL VPN管理員調整的。因此可能需要在防火墻上增加兩個端口映射和兩個訪問規(guī)則。另外，如果僅要求SSL VPN使用口令認證或證書認證當中的一種，則只需在防火墻上增加一個映射和添加一個規(guī)則。

此時，內網用戶1.1.1.5訪問WEB 服務器的方式為HTTPS://1.1.1.3，而Internet 用戶

218.62.28.10訪問WEB 服務器的方式為HTTPS:// 172.18.100.89或者通過HTTPS:// www.raccess.com.cn 訪問。

5. 初始化

SSL VPN網關配置兩個網卡，第一個網卡為WAN ，第二個網卡為LAN ，出廠設置W AN 地址為192.168.100.1，LAN 地址為192.168.101.1。將SSL VPN網關接入網絡，配置一臺內部用戶機器IP 地址為192.168.100.99，然后訪問http://192.168.100.1:6080進行初試化工作。其示意圖如圖3所示。

1.1.1.4

WAN:192.168.100.1

LAN:

192.168.101.1 218.62.28.10 1.1.1.1 172.18.100.89

192.168.100.99

1.1.1.3

Web 服務器 218.62.28.11

內網 Internet

圖3 初始接入示意圖

圖4 初始化填寫網關域名或IP 地址

初始化過程中，網關DNS 或者IP 填寫為“1.1.1.3;172.18.100.89;www.raccess.com.cn ”。其初始化的界面如圖4所示。初始化完成后，SSL VPN管理員需要進入系統(tǒng)管理，更改SSL VPN 的W AN 和LAN 地址。其修改界面如圖5所示。

圖5 修改網關IP 地址

另外，根據(jù)規(guī)劃，需要修改Web 服務器IP 地址為2.1.1.3。

6. 第三方CA

如果SSL VPN采用第三方CA ，一般需要連接CA 服務器，獲取證書狀態(tài)信息或者CRL ，其網絡連接示意圖如圖6所示。

需要為SSL VPN 向CA 申請證書，申請證書時，注意網關的一般名字項要填寫為“1.1.1.3;172.18.100.89;www.raccess.com.cn ”。

另外，SSL VPN網關采用直接證書導入，需要CA 直接生成PKCS#12的服務器證書及私鑰。然后，將CA 的可信證書鏈和服務器證書及私鑰分別導入到SSL VPN 網關當中，完

成第三方CA 的設置。 1.1.1.4

WAN:1.1.1.3

LAN:2.1.1.1 1.1.1.9 CA 服務器 1.1.1.1 172.18.100.89 218.62.28.10

1.1.1.5

2.1.1.3

Web 服務器 218.62.28.11

內網 Internet

圖6 支持CA 服務器網絡示意圖

7. 地址變更

如果需要調整網絡，可能會需要變更SSL VPN網關地址。變更SSL VPN網關地址涉及到兩個工作，一是變更SSL VPN網關的網卡設置。

另一方面，地址變更可能影響到瀏覽器HTTPS 對網關證書的驗證。如果網關證書中的地址和用戶訪問網關地址不一致，瀏覽器會彈出安全警告，如示意圖7和圖8所示。圖7為

IE 的警告，圖8為Netscape 的警告。

注意，僅是用戶訪問服務的地址需要變更時才需要進行調整。比如LAN 的IP 地址從

2.1.1.1變更為3.1.1.1，則只需變更SSL VPN網卡信息。

圖7 IE安全警告

圖8 Netscape安全警告

因此，需要做一些額外調整。在SSL VPN網關使用自己生成證書的情況下，SSL VPN管理員需要進入系統(tǒng)管理，進行重置網關域名操作，其示意圖如果9所示。設置的原則和初始化過程的設置原則一致。如果使用第三方CA ，則為SSL VPN 網關需要重新申請服務器證書，并導入到網關。

圖9 重置網關域名示意圖

8. 結束語

SSL VPN 的規(guī)劃和實施總體上而言是簡單快捷的，但仍然需要對一些具體問題深入分析和研究。通過好的規(guī)劃，SSL VPN 完全可以在半天以內完成實施和部署，并立即讓用戶

訪問應用。實施簡單而且快捷，可以降低總擁有成本，包括人員成本、調整網絡的成本、以及減少服務中斷帶來的潛在損失。而安全、便捷、低成本，正是SSL VPN所追求的目標，也是SSL VPN為用戶作出的承諾。