SSL规划与实施指南

SSL VPN规划与实施指南北京巨龙数码科技有限责任公司1. 引言 . ...............................................................

SSL VPN规划与实施指南

北京巨龙数码科技有限责任公司

1. 引言 . ......................................................................................................................................... 1 2. 网络结构 .................................................................................................................................. 1 3. 需求 . ......................................................................................................................................... 2 4. 规划 . ......................................................................................................................................... 2 5. 初始化 . ..................................................................................................................................... 3 6. 第三方CA ............................................................................................................................... 4 7. 地址变更 .................................................................................................................................. 5 8. 结束语 . ..................................................................................................................................... 6

1. 引言

SSL VPN是北京巨龙数码科技有限责任公司的SSL VPN产品，为企业关键应用的远程接入提供安全保障。本文作为一个SSL VPN规划和实施的范例，为售前技术支持、系统实施人员、企业CIO 和企业网络管理员提供参考和指南。

2. 网络结构

企业应用的典型网络结构，一般可以划分成内网和Internet 两个部分，其示意图如图1所示。我们假设需要保护的Web 应用服务服务器的IP 地址为1.1.1.3，在80端口提供服务，内部用户IP 地址为1.1.1.5，防火墙内部IP 地址为1.1.1.1，防火墙外部IP 地址为172.18.100.89，外部用户IP 地址为218.62.28.10。并且172.18.100.89对应DNS 为www.raccess.com.cn ，防火墙将Web 应用服务器的80端口映射到172.18.100.89的80端口上。 1.1.1.6 1.1.1.1 172.18.100.89 218.62.28.10

1.1.1.2

1.1.1.5 218.62.28.11

Web 服务器 1.1.1.3

内网 Internet

图1 企业网络结构示意图

原有网络结构下，企业内网用户1.1.1.5访问Web 服务器的方式为HTTP://1.1.1.3；Internet 用户218.62.28.10访问Web 服务器的方式为HTTP:// 172.18.100.89或者通过HTTP:// www.raccess.com.cn 访问。

3. 需求

对于规划和实施SSL VPN的需求归结起来就是，尽量不要有变动，或者说尽量将变动控制在最小程度。具体需求为：

● 第一，尽量不更改原Web 服务器配置；

● 第二，尽量不更改内网用户和外网用户的访问和使用习惯；

● 第三，尽量不更改防火墙设置；

● 第四，尽量不变更网络结构。

4. 规划

根据网络结构和规划需求，设计出SSL VPN的规划示意图如图2所示。其中，变更了Web 服务器IP 地址。其实也可以做到不变更Web 服务器IP 地址，但需要内部用户1.1.1.5改变访问方式，考虑到内部用户可能比较多，一般选择变更Web 服务器IP 地址的方案。 1.1.1.4

WAN:1.1.1.3

LAN:2.1.1.1

1.1.1.5

2.1.1.3

Web 服务器 1.1.1.1 172.18.100.89 218.62.28.10 218.62.28.11

内网 Internet

图2 SSL VPN规划示意图

因为访问将通过HTTPS 进行，因此需要防火墙增加一个端口映射，即将SSL VPN 的

1.1.1.3上的443端口映射到172.18.100.89上，并且允许来Internet 用户对1.1.1.3上的443的访问。

提示：SSL VPN同时支持口令认证和证书认证，因此HTTPS 会有两个端口，这两个端口的端口号是可以由SSL VPN管理员调整的。因此可能需要在防火墙上增加两个端口映射和两个访问规则。另外，如果仅要求SSL VPN使用口令认证或证书认证当中的一种，则只需在防火墙上增加一个映射和添加一个规则。

此时，内网用户1.1.1.5访问WEB 服务器的方式为HTTPS://1.1.1.3，而Internet 用户

218.62.28.10访问WEB 服务器的方式为HTTPS:// 172.18.100.89或者通过HTTPS:// www.raccess.com.cn 访问。

5. 初始化

SSL VPN网关配置两个网卡，第一个网卡为WAN ，第二个网卡为LAN ，出厂设置W AN 地址为192.168.100.1，LAN 地址为192.168.101.1。将SSL VPN网关接入网络，配置一台内部用户机器IP 地址为192.168.100.99，然后访问http://192.168.100.1:6080进行初试化工作。其示意图如图3所示。

1.1.1.4

WAN:192.168.100.1

LAN:

192.168.101.1 218.62.28.10 1.1.1.1 172.18.100.89

192.168.100.99

1.1.1.3

Web 服务器 218.62.28.11

内网 Internet

图3 初始接入示意图

图4 初始化填写网关域名或IP 地址

初始化过程中，网关DNS 或者IP 填写为“1.1.1.3;172.18.100.89;www.raccess.com.cn ”。其初始化的界面如图4所示。初始化完成后，SSL VPN管理员需要进入系统管理，更改SSL VPN 的W AN 和LAN 地址。其修改界面如图5所示。

图5 修改网关IP 地址

另外，根据规划，需要修改Web 服务器IP 地址为2.1.1.3。

6. 第三方CA

如果SSL VPN采用第三方CA ，一般需要连接CA 服务器，获取证书状态信息或者CRL ，其网络连接示意图如图6所示。

需要为SSL VPN 向CA 申请证书，申请证书时，注意网关的一般名字项要填写为“1.1.1.3;172.18.100.89;www.raccess.com.cn ”。

另外，SSL VPN网关采用直接证书导入，需要CA 直接生成PKCS#12的服务器证书及私钥。然后，将CA 的可信证书链和服务器证书及私钥分别导入到SSL VPN 网关当中，完

成第三方CA 的设置。 1.1.1.4

WAN:1.1.1.3

LAN:2.1.1.1 1.1.1.9 CA 服务器 1.1.1.1 172.18.100.89 218.62.28.10

1.1.1.5

2.1.1.3

Web 服务器 218.62.28.11

内网 Internet

图6 支持CA 服务器网络示意图

7. 地址变更

如果需要调整网络，可能会需要变更SSL VPN网关地址。变更SSL VPN网关地址涉及到两个工作，一是变更SSL VPN网关的网卡设置。

另一方面，地址变更可能影响到浏览器HTTPS 对网关证书的验证。如果网关证书中的地址和用户访问网关地址不一致，浏览器会弹出安全警告，如示意图7和图8所示。图7为

IE 的警告，图8为Netscape 的警告。

注意，仅是用户访问服务的地址需要变更时才需要进行调整。比如LAN 的IP 地址从

2.1.1.1变更为3.1.1.1，则只需变更SSL VPN网卡信息。

图7 IE安全警告

图8 Netscape安全警告

因此，需要做一些额外调整。在SSL VPN网关使用自己生成证书的情况下，SSL VPN管理员需要进入系统管理，进行重置网关域名操作，其示意图如果9所示。设置的原则和初始化过程的设置原则一致。如果使用第三方CA ，则为SSL VPN 网关需要重新申请服务器证书，并导入到网关。

图9 重置网关域名示意图

8. 结束语

SSL VPN 的规划和实施总体上而言是简单快捷的，但仍然需要对一些具体问题深入分析和研究。通过好的规划，SSL VPN 完全可以在半天以内完成实施和部署，并立即让用户

访问应用。实施简单而且快捷，可以降低总拥有成本，包括人员成本、调整网络的成本、以及减少服务中断带来的潜在损失。而安全、便捷、低成本，正是SSL VPN所追求的目标，也是SSL VPN为用户作出的承诺。