基于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的SSLVPN平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

徐 巍， 張 莉

（中海信息系統(tǒng)有限公司，上海200120）

0 引 言

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，企業(yè)聯(lián)網(wǎng)已從一個(gè)本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)、跨城市甚是跨國(guó)的網(wǎng)絡(luò)。其中各種網(wǎng)絡(luò)的應(yīng)用，在給企業(yè)帶來(lái)便捷高效的收益的同時(shí)，也帶來(lái)了安全管理和安全通訊的問(wèn)題。為解決網(wǎng)絡(luò)安全應(yīng)用問(wèn)題，安全套接層（Secure Sockets Layer，SSL）虛擬專(zhuān)用網(wǎng)（Virt ual Private Net wor k，VPN）技術(shù)應(yīng)運(yùn)而生，其是遠(yuǎn)程用戶(hù)訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單、最安全的解決技術(shù)。與復(fù)雜的網(wǎng)際協(xié)議安全（Inter net Pr otocol Security，IPSec）VPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，無(wú)需像傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶(hù)機(jī)安裝客戶(hù)端軟件。這一點(diǎn)對(duì)于擁有大量機(jī)器（包括家用機(jī)，工作機(jī)和客戶(hù)機(jī)等）需要與公司機(jī)密信息相連接的用戶(hù)而言至關(guān)重要。

然而，用戶(hù)計(jì)算設(shè)備很容易在外部感染病毒或蠕蟲(chóng)，當(dāng)其重新接入企業(yè)網(wǎng)絡(luò)的時(shí)候，會(huì)將病毒等惡意代碼在不經(jīng)意間帶入企業(yè)環(huán)境。通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，能夠在用戶(hù)訪問(wèn)網(wǎng)絡(luò)之前確保其身份是信任關(guān)系，允許其進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步對(duì)用戶(hù)終端電腦的運(yùn)行環(huán)境進(jìn)行基于相關(guān)策略的安全檢查。

1 需求分析

SSL VPN解決方案包含了可靠的終端安全方法，以便在SSL VPN用戶(hù)進(jìn)程結(jié)束之后徹底刪除歷史文件、臨時(shí)文件、高速緩存、cookie、電子郵件附件、自動(dòng)填寫(xiě)的密碼及其他下載數(shù)據(jù)。開(kāi)放與保護(hù)只有達(dá)到平衡，才能既發(fā)揮SSL VPN的靈活性，又不會(huì)降低公司資源的保密性。利用SSL VPN，各公司可以安全地將企業(yè)網(wǎng)擴(kuò)展到任何授權(quán)用戶(hù)，因此用戶(hù)可以利用標(biāo)準(zhǔn)Web瀏覽器從提供互聯(lián)網(wǎng)連接的任何地方建立與公司資源的遠(yuǎn)程訪問(wèn)連接。利用Web瀏覽器及其本地的SSL加密，用戶(hù)可以從非公司擁有的機(jī)器（如家用pc、互聯(lián)網(wǎng)信息亭或無(wú)線熱點(diǎn)）接入企業(yè)網(wǎng)，通常IT部門(mén)不能在這些地點(diǎn)方便地為ISPec VPN連接部署與管理VPN客戶(hù)端軟件。在應(yīng)用訪問(wèn)要求受限的地方，SSL VPN不需要使用預(yù)裝VPN客戶(hù)端軟件，管理員可以對(duì)Web站點(diǎn)與公司應(yīng)用提供定制的用戶(hù)門(mén)戶(hù)與精確的訪問(wèn)控制。

通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制（Net wor k Access Control，NAC）系統(tǒng)對(duì)個(gè)人終端設(shè)備進(jìn)行“狀態(tài)”檢查。終端NAC代理（CTA）可以從多個(gè)安全軟件客戶(hù)端（如防病毒客戶(hù)端）搜集安全狀態(tài)信息，并將這些信息發(fā)送到相連的、制定訪問(wèn)控制決策的企業(yè)網(wǎng)絡(luò)。應(yīng)用和操作系統(tǒng)的狀態(tài)（如防病毒和操作系統(tǒng)補(bǔ)丁等級(jí)或身份證明）可以用于制定相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入決策。

1.控制范圍大。其能夠檢測(cè)主機(jī)用于與網(wǎng)絡(luò)連接的所有接入方法，包括園區(qū)網(wǎng)交換、無(wú)線接入、路由器WAN鏈路、SSL遠(yuǎn)程接入。

2.利用網(wǎng)絡(luò)和防病毒投資。NAC將網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的現(xiàn)有投資與防病毒技術(shù)結(jié)合在一起，對(duì)終端準(zhǔn)入進(jìn)行主機(jī)健康檢查。

3.控制力度強(qiáng)。通常采用網(wǎng)絡(luò)層面上的隔離、修復(fù)區(qū)方法，在終端接入網(wǎng)絡(luò)訪問(wèn)業(yè)務(wù)數(shù)據(jù)之前就可以進(jìn)行相應(yīng)的控制。

2 SSL VPN平臺(tái)結(jié)構(gòu)設(shè)計(jì)

結(jié)合網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)SSL VPN用戶(hù)通過(guò)VPN撥入后，所有流量均先導(dǎo)入安全準(zhǔn)入服務(wù)器（Clean Access Ser ver，CAS）的Untr ust端口（eth1），經(jīng)CAS認(rèn)證后，從Tr usted端口（et h0）接回內(nèi)網(wǎng)。所有對(duì)用戶(hù)流量的控制和管理在CAS上實(shí)現(xiàn)。安全準(zhǔn)入控制器（Clean Access Manager，CAM）為CAS的管理設(shè)備。

NAC系統(tǒng)采用Layer 3 In－Band的部署方式。在核心交換機(jī)上設(shè)置靜態(tài)路由，將所有至內(nèi)網(wǎng)的路由指向CAS eth1端口。在核心交換機(jī)上設(shè)置靜態(tài)路由，將所有至VPN接入用戶(hù)網(wǎng)段的路由指向CAS eth0端口。規(guī)劃用戶(hù)權(quán)限級(jí)別。用戶(hù)登錄時(shí)，認(rèn)證信息統(tǒng)一發(fā)至后臺(tái)RADIUS服務(wù)器，根據(jù)認(rèn)證成功后的返回值，形成用戶(hù)名與用戶(hù)權(quán)限級(jí)別的對(duì)應(yīng)關(guān)系，實(shí)現(xiàn)對(duì)用戶(hù)流量的控制。

采用NAC方案后，將實(shí)現(xiàn)以下功能：

1.用戶(hù)認(rèn)證統(tǒng)一采用RADIUS服務(wù)器認(rèn)證的方式。

2.設(shè)定訪問(wèn)級(jí)別，根據(jù)用戶(hù)名分配不同權(quán)限給VPN接入用戶(hù)，使之只能訪問(wèn)特定的內(nèi)網(wǎng)資源。

3.對(duì)VPN用戶(hù)的接入信息進(jìn)行記錄，方便管理查詢(xún)。

3 基于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的SSL VPN平臺(tái)搭建

3.1 SSL VPN系統(tǒng)實(shí)施

在ASA防火墻上，實(shí)施SSL VPN服務(wù)端配置，允許用戶(hù)遠(yuǎn)程接入SSL VPN系統(tǒng)，訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。

3.2 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)實(shí)施

在互聯(lián)網(wǎng)的出口處部署兩臺(tái)500多節(jié)點(diǎn)的CAS，這兩臺(tái)CAS做Failover，通過(guò)邏輯的In－Band方式接入，CAS的Untr usted接口接入到三層交換機(jī)上，Tr usted接口接入到Cisco Catalyst 6509上，In－Band采用Real－IP Gateway 方式實(shí)現(xiàn)。

圖1 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)架構(gòu)圖

步驟一：?jiǎn)?dòng)IE，輸入CA M 的Eth0地址（https：／／10.18.250.121／ad min），輸入CA M 的訪問(wèn)用戶(hù)名和密碼。Ad min User Na me：ad min；Pass wor d：cisco123＞Login

步驟二：將CAS加入到CA M中進(jìn)行管理。VPN接入采用Real－IP Gateway（In－band模式）

步驟三：VPN方式要求啟用Enable L3 Support特性。

步驟四：添加靜態(tài)路由。

步驟五：添加一個(gè)“VPN”User Roles角色。

User Management＞User Roles＞New Role

步驟六：為“VPN”角色分配權(quán)限。

［User Management］＞ ［ User Roles］＞ ［ Add Policy］＞在categor y中選擇TCP

步驟七：設(shè)置CAA代理登錄的要求。

3 結(jié) 語(yǔ)

SSL VPN平臺(tái)為用戶(hù)提供了靈活、高效、安全的遠(yuǎn)程接入手段，并通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)對(duì)用戶(hù)個(gè)人終端設(shè)備進(jìn)行了“狀態(tài)”檢查，制定訪問(wèn)控制決策接入企業(yè)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)準(zhǔn)入控制在技術(shù)上發(fā)展不斷成熟，越來(lái)越多新技術(shù)的將與應(yīng)用相結(jié)合，給個(gè)人及企業(yè)用戶(hù)帶來(lái)商業(yè)、生活上的便利，配合不斷普及的無(wú)線技術(shù)，真正做到隨時(shí)隨地安全訪問(wèn)網(wǎng)絡(luò)。

［1］ 尋大勇.SSL VPN網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究［J］.通信技術(shù)，2009（1）：248－249.

［2］ 王厚濤.SSL VPN安全技術(shù)研究及改進(jìn)［D］.北京：北京郵電大學(xué)，2011.

［3］ 郭鈴，李偉生.SSL VPN的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2007（8）：148－150.

［4］ 歐陽(yáng)長(zhǎng)春.身份認(rèn)證與訪問(wèn)控制技術(shù)在SSL VPN的應(yīng)用研究［D］.武漢：華中科技大學(xué)，2006.