SSL移动接入方案和移动资源发布
一、SSL VPN概述
SSL VPN是一种基于SSL/TLS协议的远程安全接入技术,因其广泛兼容Web浏览器,支持“无客户端”部署,具备易于使用和维护的特点。它通过插件系统支持非Web类TCP/UDP应用,并且支持对用户的访问可以做出限制,比IPSec VPN更贴合实际应用安全需求,已成为主流的远程接入解决方案。
SSL协议包含三个子协议:
SSL握手协议:负责身份认证、密钥协商;
SSL修改密文协议:定期更新加密规范;
SSL报警协议:传递安全警告信息。
SSL通信过程中通过数字证书保证公钥真实性,并通过会话密钥提升加密效率,结合对称与非对称加密机制,既保障安全又提升性能。
SSL协议结构
二、SSL VPN技术优势
身份安全:支持多种认证方式及其组合;
终端安全:防中间人攻击、客户端安全检查、零痕迹访问;
传输安全:标准加密算法保障数据保密性;
应用权限安全:基于角色的URL级授权、主从账号绑定、服务器地址伪装与应用隐藏;
审计安全:独立日志中心与分级管理权限。
三、SSL VPN基础配置
配置流程主要包括:
创建用户:选择认证方式(可多因素组合);
发布资源:支持WEB、TCP、L3VPN、远程应用四种类型;
创建角色:将用户与资源关联,实现精细化访问控制。
四、SSL VPN组网模式
1. 网关模式
将SSL VPN设备作为网络出口,同时提供内网上网与外网安全接入功能;
需配置NAT与回包路由,适用于多网段环境。
2. 单臂模式
在不改变现有网络结构的前提下部署SSL VPN;将VPN设备旁挂在核心设备旁边
需在前置网关映射TCP 443/80端口(若使用IPSec需映射4009端口)。
五、移动资源发布技术
资源分为四类:
1. WEB应用
将内网服务转为HTTPS,免客户端安装,适用于手机等无控件环境;
不支持新窗口地址栏直接访问,需通过资源链接访问。
2. TCP应用
通过安装Proxy控件实现对TCP应用的代理与封装;
比如用户在外电脑办公,需要通过电脑远程登录总部的web服务器进行资源更新。
支持所有TCP应用,为首选推荐类型。
3. L3VPN
安装虚拟网卡,支持TCP/UDP/ICMP全部协议;
比如用户在外电脑办公,需要通过电脑访问总部的SNMP服务器进行管理。
适用于UDP应用或需服务器主动访问客户端的场景。
4. 远程应用
应用程序集中安装在服务器端,用户通过客户端(如EasyConnect)远程操作;
适用于移动终端无法安装本地应用的场景(如IE插件不兼容、C/S系统移动化)。
六、用户、角色、资源与策略组
用户:接入主体,支持多种认证方式;
角色:关联用户与资源,实现权限细分;
资源:被访问的内网服务,分四类发布;
策略组:定义用户接入策略,包括客户端选项、账号控制、审计日志等,提升安全性与管理效率。