0 什么是VPN?
虚拟专用网络(Virtual Private Network,VPN,也称虚拟私人网路),其通过像互联网这样的公共网络扩展单个专用网络,将用户看作专用网络链路,将专用网络延伸到公共网络上,使用户能够在共享或公共网络上发送和接收数据,就像他们的计算设备直接连接到专用网络上一样
其最关键的地方是在公网上建立虚信道,由隧道技术完成,隧道的建立可以在链路层和网络层完成
1 VPN,SSL和IPSec
1.1 什么是IPSec
提到VPN,不得不说到IPSec
互联网安全协议(Internet Protocol Security, IPSec)是一个协议包,通过对IP协议的分组进行加密和认证,保护IP协议的网络传输协议族
1.2 IPSec的组成
其主要由以下协议组成:
- 认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护
- 封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流机密性
- 因特网密钥交换(Internet Key Exchange,IKE或IKEv2),为AH、ESP操作所需的安全关联(SA)提供算法、数据包和密钥参数
1.3 IPSec的缺陷
首先,IPsec协议工作在OSI模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片
由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用
1.4 SSL和IPSec的安全防护对比
SSL协议只对通信双方传输的应用数据进行加密,而不是对从一个主机到另一个主机的所有数据进行加密
2 VPN的分类
VPN大致可分为远程访问网络、站点-站点网络、基于外联网的站点-站点网络
2.1 远程访问网络
主机到网络的配置类似于将一台计算机连接到一个局域网。此类型提供对企业网络(例如 Intranet)的访问。这可用于需要访问私人资源的远程办公人员,或移动工作者能够访问重要的工具而不暴露在公共互联网上
2.2 站点-站点网络
站点对站点的配置连接两个网络。这种配置将一个网络扩展到地理位置上不同的办公室,或将一组办公室扩展到一个数据中心。互连链路可能运行在不同的中间网络上,例如通过 IPv4 网络连接的两个 IPv6 网络
2.3 基于外联网的站点-站点网络
首先需要介绍两个术语:intranet和extranet,这两种站点被用来描述两种不同的使用情况
- intranet:由VPN连接的站点属于同一个组织
- extranet:VPN连接了属于多个组织的站点
2.4 其他分类
VPN系统还可以根据以下方式继续细分:
- 用于传输流量的隧道协议
- 隧道的终止点位置,例如在客户边缘或网络供应商边缘
- 连接的拓扑结构类型,如站点到站点或网络到网络 提供的安全级别
- 它们呈现给连接网络的OSI层,如第2层电路或第3层网络连接
- 同时连接的数量
3 Web代理
3.1 实现过程
VPN将远端浏览器的页面请求(采用https协议)转发给web服务器,然后将服务器的响应回传给终端用户,提供细致到URL的权限控制,即可控制到用户对某一张具体页面的访问
3.2 Web代理的实现方式
Web代理有两种实现方式:Web-link和Web改写,后者为默认采取方式
- Web-link采取ActiveX控件方式对页面进行转发
- Web改写方式采用脚本改写方式,将请求所的页面上的链接进行改写,其他网页内容不做修改
3.3 基本原理
Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段:
- 远程用户与NGFW虛拟网关之间建立HTTPS会话
- NGFW虚拟网关再与Web Server建立HTTP会话。虚拟网关在远程用户访问企业内网Web Server中起到了改写、转发Web请求的作用
4 终端安全
终端安全是在请求接入内网的主机上部署一个软件,通过该软件检查终端主机的安全状况,其主要包括:主机检查、缓存清理
4.1 主机检查
主机检查是检查用户用来访问内网资源的主机是否符合安全要求
其主要包括以下检查项:
- 杀毒软件检查
- 防火墙检查
- 注册表检查
- 文件检查
- 端口检查
- 进程检查
- 操作系统检查
4.2 缓存清理
USG可以在用户访问虚拟网关结束时,采用必要的手段清除终端.上的访问痕迹(例如生成的临时文件、Cookie等),以防止泄密,杜绝安全隐患
其清理范围为:
-
Internet临时文件
-
浏览器自动保存的密码
-
Cookie记录
-
浏览器的访问历史记录
-
回收站和最近打开的文档列表
-
指定文件或文件夹
5 VPN的作用
VPN的作用是帮助公司的远程用户(出差,在家)、公司的分支机构、商业合作伙伴及供应商等公司和自己的公司内部网络之间建立可信的安全连接或者是局域网连接,确保数据的加密安全传输和业务访问
