浅谈SSL VPN在党校内部资源安全访问中的应用

来源:信息处   作者:吴宇舟 孙建军 董静儿 鲁纯


    随着党校信息化建设的深入,校园网络服务体系不断完善,校园信息资源更加丰富。为了提高校园网的安全性,校园网的大部分资源往往只对校园内部用户开放。采用私有I P地址的服务器和党校图书馆所购买的电子资源绝大多数都有IP地址范围限制,即超出学校IP范围的访问将被拒绝。校外的师生和出差在外的教职工需要访问图书馆的资源、内部OA、数据库查询等应用系统将被认为是非授权用户,拒绝访问;这在很大程度上制约了工作效率的提高,降低了资源利用率。
    要解决这个问题,需要一套可以将合法用户的非授权校外地址转为已授权的校内地址的远程访问的安全解决方案。现在通过建设SSL VPN接入平台,就可以使具有远程办公需求的教职工能够摆脱局域网络的覆盖范围限制,通过公共互联网络随时随地接入内部局域网络访问相关应用系统资源,从而极大的提高工作效率,实现信息资源利用与网络安全管理之间的双赢。

    一、SSL VPN简述
    SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议,它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作,SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分;握手协议负责确定用于客户机和服务器之间的会话加密参数,记录协议用于交换应用数据,警告协议用于在发生错误时终止两个主机之间的会话。
    将SSL与VPN有机结合产生了SSL VPN应用,SSL VPN指的是使用者利用浏览器内建的SSL封包处理功能,用浏览器连接内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取内部服务器数据。它采用标准的安全套接层对传输中的数据包进行加密,从而在应用层保护了数据的安全性。
    SSL VPN建立的是一条会话层的通道,是基于应用的。通过SSL VPN,用户的远程资源访问被严格的控制。对所有的用户,不论他们在什么地方上网,都提供了细粒化的访问权限控制。借助于SSL VPN技术,对应用程序和网络的访问控制可以根据需要由一般到特殊进行设置。
     SSL VPN有以下优点:
    (1)零客户端。有Web浏览器的地方就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端。只要有Web浏览器,党校教职工就可以在任何时间任何地点对应用资源进行访问,这样无论是从成本上,还是从维护、管理成本上都可以节省大笔资金。
    (2)安全性。在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由SSLVPN网关转发,而不能直接访问应用服务器,从而使服务器不易受到病毒、黑客等攻击,而且还可以提供细粒度的强访问控制和日志审计。采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易探测出应用系统内部的网络机制,所受到的威胁也仅是所联机的应用系统,攻击机会相对减少许多。
    (3)访问控制。SSL VPN可以根据用户的不同身份,给予不同的访问权限。通过配合一定的身份认证,不仅可以控制访问人员的权限,还可以对访问人员的每个访问的关键信息进行数字签名,以保证每次访问的不可抵赖性,为事后追踪提供了依据。
    (4)经济性。使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入。具有一定IT知识的普通工作人员就可以完成日常的管理工作。

    二、应用方案
    (1)SSL VPN的架设
由于客户端Web浏览器都内置了SSL协议,只要在SSL VPN服务器上集中配置安全策略即可,在客户端无需做任何配置,使用十分方便。SSL VPN服务器扮演的角色相当于一个数据中转服务器, 而现在越来越多的SSL VPN以模块形式集成在防火墙中,这种方式的SSL VPN以软件的形式代替SSL VPN服务器集成在防火墙上面。防火墙只开放自身外部接口的443端口(HTTPS)服务,客户端直接和防火墙进行SSL握手,内网服务器直接和防火墙通讯,由于没有增加任何设备,网络的设计和管理相对简单。如下图所示。
 

    (2)SSL VPN的连接
第一步:党校教职工登陆后会分配一个虚拟的网卡,此网卡地址为SSL VPN服务器分配的,其地址体系是校内的统一地址体系。这些IP地址是允许访问校内各种数字资源的IP地址。这样通过SSL LVPN隧道从公网就能够顺利访问校内数字资源,突破对校外IP地址的限制。
    第二步:首次使用SSL VPN服务时,只要WEB浏览器中输入要访问的数字资源的URL地址,连接就将被SSL VPN设备取得,并验证该用户的身份;在完成安全身份认证后,浏览器会自动从VPN服务器下载专用的Active X控件并在本地客户机安装。安装和配置的过程无需用户手工干预,安装成功后,客户端与服务器之间即建立了数据传输的虚拟隧道;对于已经安装过Active X的客户端,再次登录使用SSLVPN服务时,无需再进行安装;用户只要同意建立SSL链接,即可享受远程访问服务。如下图所示。
 

    三、总结
    随着整个社会的信息化程度不断提高,信息安全访问在党校的教学、科研中变得越来越重要。SSL VPN的部署,能够为党校教职工提供校外安全访问校内资源的平台;浙江省委党校已经通过SSL VPN技术使专网内绝大多数的数字资源能让外网的认证用户进行访问。随着远程接入需求的增长,SSL VPN由于其自身的技术优势,必将成为解决远程访问的首选。