网络开放安全策略之 - SSL VPN

墨言 03-10 948阅读 0评论

防火墙支持IPSec VPN、L2TP VPN、GRE、SSL VPN等多种VPN业务,下面分别介绍典型VPN场景的安全策略的配置方法。如果VPN业务使用服务器认证,还需要开放防火墙与服务器之间的安全策略。

本文主要介绍如何为SSL VPN开放安全策略

SSL VPN支持的典型业务包括Web代理、端口转发、文件共享和网络扩展。
 

 

1、Web代理、端口转发、文件共享

1、Web代理、端口转发、文件共享三种业务的交互流程类似。移动办公用户首先通过HTTPS登录防火墙上的虚拟网关,然后浏览并访问业务资源。防火墙作为业务代理,通过HTTP、TCP、SMB/NFS协议跟服务器交互。


图 ·1  Web代理、端口转发、文件共享业务交互流程


因此,首先要允许移动办公用户通过HTTPS从公网访问虚拟网关,然后开放防火墙到内网业务资源之间的业务访问。

表 1  安全策略示例-Web代理、端口转发、文件共享


2、网络扩展

移动办公用户首先需要通过HTTPS登录虚拟网关,并启用网络扩展功能。启动网络扩展功能以后,移动办公设备与虚拟网关之间会建立一条SSL VPN隧道,移动办公设备从虚拟网关地址池中获得一个私网IP地址,用于访问内网资源。移动办公用户的访问请求被封装在SSL中,发送到虚拟网关。

虚拟网关解封装以后,再查找路由和安全策略,发送给服务器端。根据客户端的配置,SSL VPN隧道有两种:

  • 可靠传输模式:使用TCP作为传输协议,SSL作为封装协议,即TCP 443端口。

  • 快速传输模式:使用UDP作为传输协议,SSL作为封装协议,即UDP 443端口。

 

图 2 以可靠传输模式为例,简单示意了网络扩展业务的报文处理过程,其中报文结构为发送方向。

图 2 网络扩展业务交互流程



因此,首先要允许移动办公用户通过HTTPS登录虚拟网关,建立SSL隧道。根据客户端配置,SSL隧道可能使用TCP 443端口或者UDP 443端口。然后,允许解封装之后的报文访问服务器

表 2  安全策略示例-网络扩展


需要特别注意的是,在不同产品中,网络扩展业务内层报文的源安全区域有不同的判断原则。


文章版权声明:除非注明,否则均为莫不过一饮溪云原创文章,转载或复制请以超链接形式并注明出处。

发表评论

快捷回复: 表情:
评论列表 (暂无评论,948人围观)

还没有评论,来说两句吧...

目录[+]

取消
微信二维码
微信二维码
支付宝二维码