7.天融信sslvpn文档

SSLVPN培训客户服务部March3,2020目录：•VPN概述•什么是SSLVPN•天融信SSLVPN功能运用及原理•SSLVPN部署案例•SSLVPN配置实例•SSLVPN常见故障排错•总结原理篇VPN概述VPN功能VPN原理SSL原理SSLVPN应用SSLVPN工作原理目录：应用篇天融信VONE典型应用天融信VONE解决方案天融信VONE产品线天融信VONE特点天融信VONE功能原理篇VPN概述与原理SSL原理SSLVPN应用SSLVPN工作原理目录：应用篇天融信VONE典型应用天融信VONE解决方案天融信VONE产品线天融信VONE特点天融信VONE功能IETF定义了许多VPN协议，如下所示：点对点隧道协议PPTP，Ponit-to-PointTunnelingProtocol第2层转发L2F，Layer2Forwarding第2层隧道协议L2TP，Layer2TunnelingProtocol通用路由选择封装GRE，GenericRoutingEncapsulation多协议标记交换MPLS，MultiprotocolLabelSwitchingVPNInternet协议安全IPSec，InternetProtocolSecurity安全套接字层VPN（SSLVPN）远程访问VPN技术VPN协议可以明确的分为以下两组：•站点到站点协议•远程访问协议IPSec、GRE和MPLSVPN都是常用的站点到站点VPN协议。常用的远程访问VPN协议有SSLVPN、IPSec、L2TP、基于IPSec的L2TP和PPTP。IPSec既可作为站点到站点的访问协议又可作为远程访问协议。VPN协议基于应用的分类IPSec介绍•IPSec能够在ip层提供保护，可以部署IPSec来保护两个网关间、两个主机间、甚至网关和主机间的通信。•IPSec提供数据完整性，以确保分组在传输的过程中不会被更改，分组验证过程能够确保分组来自有效的源地址，而数据加密过程能够确保内容的机密性。IPSec两个阶段的作用（ISAKMP）•第一阶段，ISAKMP在两个对等实体间建立一个安全且可信的通信信道。通过使用这个双向的信道，这两个VPN对等实体能够相互发送保护消息，从而对如何处理下一步的协商达成一致；•第二阶段，通过协商再建立两个单向信道，用于保护和验证实际分组。L2TP介绍•第2层隧道协议，它结合了来自第2层转发、Cisco系统和PPTP以及Microsoft的特性。•此协议在点对点协议下打包分组，并使用已注册的用户数据报协议UDP端口1701来实现隧道协商和数据封装。注意：L2TP使用UDP端口1701同时进行隧道协商和数据封装。基于IPSec的L2TP组织机构更愿意使用基于Windows的、能够使用L2TP操作系统中的内置远程访问客户端。然而，L2TP却不能提供很强的数据机密性。因此，在大多数L2TP执行中使用IPSec来提供数据安全性。这种方法通常被称为基于IPSec的L2TP。基于IPSec的L2TP协商过程1.用户与服务提供商访问路由器建立一个PPP会话，并获得一个动态的公共ip地址。如果工作站已有一个ip地址并能够向Internet发送流量，那么这一步是可选的。2.用户发起一个配置为使用IPSec来保护数据安全的L2TP客户端。3.客户端工作站发起一个会话并协商一条安全信道用于交换密钥（IKE第1阶段协商）。4.在第一阶段成功建立后，客户端再建立两条安全信道用于数据加密和验证（IKE第2阶段协商）。此数据信道用于加密去往UDP1701端口的L2TP流量。5.当IPSec建立后，客户端在IPSec内发起一个L2TP会话。6.指定用户的验证证书，用于验证L2TP会话。任何PPP或L2TP的属性均在成功验证用户后进行协商。7.当L2TP会话建立后，用户工作站发送封装在L2TP中的数据流量。这些L2TP分组由IPSec加密并通过Internet被发送到隧道的另一端。基于IPSec的L2TP协商过程注意：如果在基于IPSec的L2TP客户端和网关之间存在一道防火墙，那么用户应允许IP协议50和UDP端口500能够通过。L2TP分组（UDP1701端口）被封装在ESP中。一些基于IPSec的L2TP提供商将流量封装进UDP4500端口以实现NAT透明度（NAT-T，NATtransparency）PPTP介绍•点对点隧道协议（PPTP，Point-to-PointTunnelingProtocol）是一个客户—服务器网络协议，它允许远程用户通过Internet访问网络资源。•PPTP在点对点协议（PPP，Point-to-PointProtocol）下打包数据，并将数据封进IP分组。PPTP将通用路由选择封装（GRE，GenericRoutingEncapsulation）协议的扩展版本作为封装机制，以使得IP分组可路由。•有了PPTP，客户端可以使用TCP端口1723来发起一个与PPTP网关的连接。PPTP连接协商过程•GRE是Internet协议47。如果在客户端与服务器之间存在防火墙，用户应确定允许TCP1723和GRE协议能够通过此防火墙。•与L2TP类似，使用Microsoft点对点加密（MPPE，MicrosoftPoint-to-PointEncryption）提供40~128bit的加密，以实现数据机密性。PPTP连接协商说明远程VPN技术总结功能PPTPIPSecL2TP基于IPSec的L2TPSSLVPNVPN客户端内置在多数WindowsOS中需要一个第三方客户端内置在较新的WindowsOS中内置在较新的WindowsOS中有无VPN客户端是可选的加密MPPEDES、3DES、AESMPPEDES、3DES、AESDES、3DES、RC4-128、RC4-40、AES部署很少用广泛地使用很少用有限地使用使用范围正稳步增长VPN历史•第一代专网在两个点之间通过ISP租用物理链路。•第二代IPSECVPN通过互联网逻辑的在两个点之间建立链路。•第三代SSLVPN通过网页访问的方式连接。组网方式•基于专网的组网方式租用ISP物理链路，并封装广域网的二层协议DDN、FR、X.25、PSTN等•基于互联网的组网方式Ipsec、ssl、pptp、l2tp等Internet专线中心站点分支机构Internet专线中心站点分支机构专线方式VPN方式费用高灵活性差复杂的拓扑结构费用低灵活性好简单的网络管理组网方式的对比VPN概述VPN是企业网在因特网等公共网络上的延伸VPN通过一个私有的通道来创建一个安全的私有连接为企业提供简便的低成本的网络扩展的解决方案远程访问Internet内部网合作伙伴分支机构虚拟私有网VPN是企业网在因特网上的延伸VPN的典型应用远程访问Internet内部网分支机构安全网关安全网关ISP接入设备端到端数据通路的典型构成拨入段外部段（公共因特网）内部段公司的内部网络VPN的安全性VPN的安全性拨入段数据泄漏风险因特网上数据泄漏的风险安全网关中数据泄漏的风险内部网中数据泄漏的风险数据在拨入段泄漏风险远程访问ISP接入设备拨入段Internet拨入段用户数据以明文方式直接传递到ISP：1.攻击者可以很容易的在拨入链路上实施监听2.ISP很容易检查用户的数据3.可以通过链路加密来防止被动的监听，但无法防范恶意窃取数据的ISP。PSTN搭线监听攻击者ISPISP窃听到了ISP处已解密成明文明文传输Internet内部网恶意修改通道终点到：假冒网关外部段（公共因特网）ISP接入设备原始终点为：安全网关1.数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改2.监听者可以在其中任一段链路上监听数据3.逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送4.恶意的ISP可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISPISP窃听正确通道数据在互联网段泄漏风险Internet远程访问内部网安全网关ISP接入设备内部段公司的内部网络1.内部网中可能存在不信任的主机、路由器等2.内部员工可以监听、篡改、重定向企业内部网的数据报文3.来自企业网内部员工的其他攻击方式数据在内部泄漏风险1.Host对Host2.Host对VPN网关3.VPN对VPN网关远程接入需要VPN技术随着信息时代的发展，越来越多的企业加大了对自身信息网络系统的建设，同时企业出差员工、分支机构员工、合作伙伴与公司总部业务系统的联系也日益紧密。企业发展带来的问题企业的需求•他们需要让出差的员工在出差的同时也可以访问企业内部资源。•他们需要让分支机构的业务系统与总部联系。•他们需要让合作伙伴也能够知道公司的动态。VPN接入方式点对点接入(Site-to-Site)：性能高、运行简单可靠、适于大型局域网的远程互联。远程接入(Remote-Access)：接入灵活，使用方便，成本低，适于远程主机直接接入系统网络。远程接入点对点接入远程接入的需求安全性•传输加密•用户认证•权限管理易于接入•任何地点•任何时间•任何设备客户端易于使用•免安装•免维护易于集成•认证集成•应用集成两种常见的远程接入方式SSLVPNIPSECVPNVS两种方式的对比项目SSLVPNIpsecvpn工作的网络层TCP与应用层之间IP层是否需要客户端B/S不需要C/S需要，但是不用做配置在LANTOLAN模式中不需要终端接入需要安装，并且需要配置客户端程序对用户的认证必须要认证LANTOLAN不需要终端接入需要认证应用支持所有基于IP的应用所有基于IP的应用资源授权采用基于用户/组/角色的认证机制，做到细致的对资源访问控制。LANTOLAN需要借助防火墙，使用client时可以控制安全及认证可使用U-KEY、证书认证支持各种主流加密方式可使用U-KEY、证书认证支持各种主流加密方式管理集中管理，并且只需要配置网关lantolan是需要对各端点管理及配置。切配置复杂NAT穿越的支持不需要特殊的设置需要特殊设置才能支持NAT维护成本易于安装、易于管理用户或分支越多维护成本越高SSLVPN与IPsecVPN比SSLVPN1、用户可以从任何地点发起连接，请求接入。2、可以对客户端的安全状态进行评估：当发现客户端不安全时，就拒绝接入。3、可以支持多种浏览器(IE、Firefox)，多种终端(个人电脑、手机，PDA)4、对用户访问权限进行有效地管理和控制：远程接入的用户可能是公司的高级主管，也可能是普通员工，还有可能是合作伙伴，对不同身份的人应该授予不同的访问权限，对越权的访问请求应该拒绝。5、高细粒度的权限控制:URL、文件目录、IP、TCP/UDP端口号，可以细致地限制用户所访问的网络资源。IPSECVPN(1)在用户主机上部署IPsecVPN时，需要预先安装客户端软件。维护IPsecVPN的客户端对企业网管或运营商都是一件麻烦的事情。(2)无法支持不同平台如liunx、手机、PDA等。(3)转换受限。IPsec报文不能透明地穿越NAT和防火墙，在组网时需要进行特殊的配置。(6)IPsecVPN比较适合连接固定的网络。对比结论•SSLVPN最适合于“远程接入”的场合，如移动办公和出差人员远程接入，因为使用者对网络技术了解程度不同，SSLVPN不需要任何配置。•IPsecVPN比较适合“点对点接入”的场合，如总部和分支机构的点对点接入。•在实际运用中可以根据情况将两种VPN接入方式有机结合起来。SSL和TLS的历史•安全套接字层（SSL，SecureSocketLayer）最初是由Netscape通信公司在1990年提出的，它使得通信在万维网（，WorldWideWeb）的环境下能够安全进行。•此协议的设计目标是提供机密性、消息完整性、身份认证（服务器验证和可选的客户端验证）和应用透明性（使得SSL能够用于保护其他通信协议。）•1996年，Internet工程任务组（IETF，InternetEngi