開放安全策略之 - SSL VPN
| SSL VPN支持的典型業務包括Web代理、端口轉發、文件共享和網絡擴展。 1、Web代理、端口轉發、文件共享 Web代理、端口轉發、文件共享三種業務的交互流程類似。移動辦公用戶首先通過HTTPS登錄防火牆上的虛擬網關,然後瀏覽並訪問業務資源。防火牆作為業務代理,通過HTTP、TCP、SMB/NFS協議跟服務器交互。 |
 |
| 圖 ·1 Web代理、端口轉發、文件共享業務交互流程 因此,首先要允許移動辦公用戶通過HTTPS從公網訪問虛擬網關,然後開放防火牆到內網業務資源之間的業務訪問。 |
 |
| 表 1 安全策略示例-Web代理、端口轉發、文件共享 |
| 2、網絡擴展 移動辦公用戶首先需要通過HTTPS登錄虛擬網關,並啟用網絡擴展功能。啟動網絡擴展功能以後,移動辦公設備與虛擬網關之間會建立一條SSL VPN隧道,移動辦公設備從虛擬網關地址池中獲得一個私網IP地址,用於訪問內網資源。移動辦公用戶的訪問請求被封裝在SSL中,發送到虛擬網關。 虛擬網關解封裝以後,再查找路由和安全策略,發送給服務器端。根據客戶端的配置,SSL VPN隧道有兩種: 可靠傳輸模式:使用TCP作為傳輸協議,SSL作為封裝協議,即TCP 443端口。 快速傳輸模式:使用UDP作為傳輸協議,SSL作為封裝協議,即UDP 443端口。 圖 2 以可靠傳輸模式為例,簡單示意了網絡擴展業務的報文處理過程,其中報文結構為發送方向。 |
 |
| 圖 2 網絡擴展業務交互流程 因此,首先要允許移動辦公用戶通過HTTPS登錄虛擬網關,建立SSL隧道。根據客戶端配置,SSL隧道可能使用TCP 443端口或者UDP 443端口。然後,允許解封裝之後的報文訪問服務器。 |
 |