SSL VPN

在没有能够支持VPN功能路由器的家庭网络,以及出差在外的没有使用路由器就接入Internet的办公人员,如果在这种情况下还需要与公司总部建立VPN以保证数据加密传输,使用传统的VPN技术将难以实现,我们可以采用前面介绍的Easy VPN来实现,Easy VPN管理简单,维护方便,但是我们还需要注意的是,在使用Easy VPN之前,必须在PC上安装Client软件,在一台没有安装Client软件的PC上是不能建立Easy VPN连接的,因为Easy VPN是C/S架构的。

虽然在使用Easy VPN之前在PC上装个Client软件并不是什么难事,但是如果不巧的是,你没有带电脑,或者在客户的公司,你不能使用自己的电脑接入Internet,在这种需要使用和借用别人的电脑来使用VPN的时候,这很明显就有些小麻烦,因为你借别人的电脑用一下,但需要在别人的电脑上安装软件,并不是任何时候别人都会同意你这么做,所以如果能够让我们不用安装软件就能使用VPN连接,那将是非常期待的。

基于上述种种原因,SSL VPN(WebVPN)出现了,SSL VPN的实现就可以不需要借助软件来完成,在一台没有安装任何软件的PC上同样可以建立SSL VPN连接,这就是它的优点,想必这个优点也被许多人看中。SSL VPN的建立只要在PC上使用支持HTTPS (HTTP over SSL)的网页浏览器就可以完成,摆脱了安装软件的困扰,这就使得SSL VPN在任何环境的PC上都能够建立,因为现在几乎没有任何一台PC上是没有网页浏览器的。

下图是支持HTTPS网页浏览器的PC与公司总部建立的SSL VPN连接:

只要是支持HTTPS网页浏览器的PC,无论在哪里,只要能够连接Internet,就能与公司总部建立的SSL VPN连接。

SSL VPN是在Application Layer(应用层)上建立SSL 隧道来实现的,虽然说SSL VPN不需要借助任何Client软件,只需要靠网页浏览器就能完成,其实SSL VPN有时也是需要借助Client软件才能完成,但这并不是需要手工安装的软件,因为是通过浏览器自动检测并安装的插件,是Java applet或ActiveX的形式,就像平时上视频网站看Flash时安装flashplayer一样,是以网页插件的形式安装的。
SSL VPN共分为三种模式:
Clientless

Thin-Client

Full-Tunnel Client

正因为分了这么多模式,所以将SSL VPN更加复杂化了,这并不是件好事,我们需要的是简单易用的,所以我们肯定会挑选其中最适合大众使用的模式,这三种模式的工作情况如下:

Clientless模式只提供访问WEB资源,在PC建立SSL VPN连接之后,只能以WEB,即网页访问的形式去访问对端的资源,在用户建立SSL VPN连接之后,将在登录界面提供URL信息或web server的链接,通过这些链接来访问资源;如果这时你并不是需要访问对端的WEB信息,比如你是要使用FTP,这是不行的,所以Clientless模式太局限了,一般不推荐使用。

Thin-Client模式是在Clientless模式的基础上扩展了一些功能,它扩展到可以使用TCP连接,如POP3,SMTP,SSH等等,Thin-Client是需要安装Java applet插件的,虽然Thin-Client模式已经扩展到了可以使用TCP连接,但这还是远远不够的,所以Thin-Client模式也不推荐。

Full-Tunnel Client模式和常规的VPN具有完全相同的功能,和EzVPN具有完全相同的访问能力,是在隧道两端提供一个通道,在此通道上可以传递任何流量,没有任何访问限制,所以我们通常配置Full-Tunnel Client模式;Full-Tunnel Client模式需要安装ActiveX插件。

因为Thin-Client模式和Full-Tunnel Client模式都需要在本地安装插件,所以在这两个模式下建立SSL VPN,需要用户具有管理员权限,要进行Full-Tunnel Client模式的SSL VPN建立,配置的设备上是需要加载SSL VPN Client模块的,通常是.pkg格式的,这称为SVC。

在用户向Server请求建立SSL VPN连接之后,是需要认证的,这些认证都是通过WEB浏览器进行的,认证的方式多种多样,如用户名加密码,电子证书,或通过AAA定义,或者相结合,默认使用的是Server本地全局认证,即使用本地用户数据库做认证。

SSL VPN除了操作方式和加密方法与Easy VPN不一样,其它东西可以认为是完全一样,SSL VPN也有和Easy VPN一样的隧道分离(Split Tunneling)的功能,除此之外,也有Reverse route injection (RRI)功能,并且Server也需要为连接上来的Client自动分配一个地址,所以在SSL VPN Server上需要配置供自动分配给Client的地址段,但SSL VPN的这个地址段和Easy VPN有细微的区别,当SSL VPN Server是配置在路由器上时,这个地址段需要和该路由器上的一个直连接口地址在同网段,如果地址段是在路由器上不存在的,那么必须创建一个同网段的Loopback接口。

注:

SSL VPN默认使用的是Server本地全局认证,即使用本地用户数据库做认证。

当SSL VPN Server是配置在路由器上时,这个地址段需要和该路由器上的一个直连接口地址在同网段,如果地址段是在路由器上不存在的,那么必须创建一个同网段的Loopback接口。

Thin-Client模式和Full-Tunnel Client模式都需要在本地安装插件,所以在这两个模式下建立SSL VPN,需要用户具有管理员权限

Cisco的SSL VPN只支持路由器和ASA防火墙,但不支持PIX防火墙,虽然在模拟环境下可以破解PIX防火墙来支持SSL VPN,但本文不作演示,因为几乎所有的VPN配置,PIX和ASA是相同的,能够在ASA上配置SSL VPN,就能够在支持SSL VPN的PIX上配置SSL VPN,所以本文只介绍在路由器和ASA防火墙上配置SSL VPN。

金超超(Word2013)

金超超(Word2013)

Hello, my name is Kim, from Shuren University. I can speak English, Chinese of course, and Japanese. 私は 超超 と申します、26歳の会社員 です。よろしくお願いします。

您可能还喜欢...

发表评论

电子邮件地址不会被公开。