SSL VPN技術研究及仿真分析

摘 要： SSL VPN技術利用SSL協議提供的基于證書的身份認證、數據加密和消息完整性驗證機制，為用戶遠程訪問公司內部網絡提供了安全保證。基于SSL VPN系統的基本構架，使用GNS3模擬器仿真SSL VPN系統，在遠程用戶和內部網絡之間構建基于SSL的VPN，實驗結果表明SSL VPN在點對網互連方面有較好的易用性和安全性。

關鍵詞： VPN； SSL VPN； 網絡仿真； GNS3

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2013）13?0102?03

Research and simulation analysis on SSL VPN technology

LIU Dong?lin

（Shaanxi Branch， Unicom， Xi’an 710065， China）

Abstract： SSL VPN technology provides security assurance for remote users accessing to the internal network by certificate authentication， data encryption and message integrity verification mechanism. The SSL VPN system is built between remote users and the internal network by use of GNS3 simulator based on the basic framework of the SSL VPN system. The experimental results show that SSL VPN is more usable and safer for the interconnection between points and network.

Keywords： VPN； SSL VPN； network simulation； GNS3

0 引 言

VPN即虛擬專用網，是一條穿過公用網絡的安全、穩定的隧道。通過對網絡數據的封包和加密傳輸，在一個公用網絡建立一個臨時的、安全的連接，從而實現在公網上傳輸私有數據、達到私有網絡的安全級別[1]。常用的兩種VPN技術分別是基于傳統網絡安全協議（IPSec）的VPN技術和安全套接字層（SSL）VPN技術，前者主要作用于網絡層，而后者主要作用于應用層。SSL VPN是以HTTPS為基礎的VPN技術，它利用SSL協議提供的基于證書的身份認證、數據加密和消息完整性驗證機制，為用戶遠程訪問公司內部網絡提供了安全保證[2?3]。

1 SSL VPN系統組成

一個典型SSL VPN組網架構如圖1所示，系統由遠程主機、CA、SSL VPN網關、認證服務器和內網服務器組成[4]。其中，遠程主機作為管理員和用戶遠程接入的終端設備，可以是個人電腦、手機、手持電子終端等。SSL VPN網關是SSL VPN系統中的重要組成部分。管理員在SSL VPN網關上維護用戶和機構網內資源的信息，用戶通過SSL VPN網關查看可以訪問哪些資源。SSL VPN網關負責在遠程主機和機構網內服務器之間轉發報文。SSL VPN網關與遠程主機之間建立SSL連接，以保證數據傳輸的安全性[5?6]。內網的服務器可以是任意類型的服務器，如Web服務器、FTP服務器，也可以是網內需要與遠程接入用戶通信的主機。CA為SSL VPN網關頒發包含公鑰信息的數字證書，以便遠程主機驗證SSL VPN網關的身份、在遠程主機和SSL VPN網關之間建立SSL連接。認證服務器用于對用戶進行身份認證，SSL VPN網關不僅支持本地認證，還支持通過外部認證服務器對用戶的身份進行遠程認證[7]。

<＼＼192.168.0.25＼$d＼8月＼8-2＼補＼補！現代電子技術201313＼Image＼18t1.tif>

圖1 SSL VPN系統組成

2 仿真環境搭建

2.1 實驗環境簡介

實驗中使用的仿真軟件包括GNS3 v0.8.2模擬器，虛擬機軟件VMware Workstation v8.0，終端仿真軟件SecureCRT v6.7，虛擬通道軟件Named Pipe TCP Proxy v1.001，虛擬機包括Windows XP、Cisco ASA v8.0。GSN3用到的Cisco IOS組件包括unzip?c3640?ik9o3s?mz.124?10.bin和sslclient?win?1.1.3.173.pkg。

2.2 仿真實驗拓撲結構

遠程客戶機處于23.23.23.0/24的網絡中，IP地址為23.23.23.1/24，網關地址為23.23.23.254/24，該網絡通過R1的IP地址為12.12.12.2/24的端口與Internet相連。內網服務器IP地址為192.168.1.1/24，與R2的IP地址為192.168.1.2/24端口相連，通過R2與ASA即SSL VPN網關相連，ASA使用公網地址12.12.12.1與Internet相連，網絡結構如圖2所示[8?9]。

<＼＼192.168.0.25＼$d＼8月＼8-2＼補＼補！現代電子技術201313＼Image＼18t2.tif>

圖2 SSL VPN仿真實驗拓撲結構

2.3 仿真環境搭建

（1）使用VMware模擬一臺Window XP來作為遠程接入用戶。在GNS3上使用路由器模擬內網的HTTP Server 與外網的Internet。防火墻使用安裝在VMware之中的Cisco ASA。

（2）使用GNS3搭建拓撲，ASA防火墻作為SSL VPN服務器，分別連接至VMnet1 與VMnet8。虛擬機XP連接至VMnet2。VMnet為VMware建立的虛擬網絡適配器，VMnet1和VMnet2網絡模式為Host?only（僅主機），VMnet8網絡模式為NAT（地址轉換）[10]。

（3）將Windows XP的網絡連接模式設置為VMnet2。將Cisco ASA的虛擬網卡增加到3個，網絡模式分別設置為VMnet1（host?only）、VMnet8（NAT）和Bridge（橋接）。其中網絡適配器代表ASA 的e0/0，網絡適配器2代表ASA 的e0/1。

（4）搭建好拓撲，使用SecureCRT連接設備進行配置。由于VMware模擬的ASA 并無法直接提供一個可供本機SecureCRT 連接的端口，因此需要輔助軟件Named Pipe TCP Proxy通過VMware 提供的管道來創建一個端口，之后再使用SecureCRT 進行連接[11]。

2.4 主要配置命令

在Cisco ASA上配置SSL VPN，主要配置如下：

（1）組策略配置

group?policy webvpn internal

group?policy webvpn attributes

vpn?tunnel?protocol svc webvpn

split?tunnel?policy tunnelspecified

split?tunnel?network?list value webvpn

address?pools value webvpn

webvpn

svc enable

（2）用戶策略配置

username cisco password cisco

username cisco attributes

vpn?group?policy webvpn

（3）隧道分離ACL

access?list webvpn extended permit ip 192.168.1.0 255.255.255.0 any

access?list webvpn extended permit ip 192.168.2.0 255.255.255.0 any

access?list outside extended deny ip any any

access?list inside extended deny ip any any

（4）路由配置

route outside 0.0.0.0 0.0.0.0 12.12.12.1

route inside 192.168.1.0 255.255.255.0 192.168.2.1

2.5 仿真結果分析

在ASA配置SSL VPN之前，雖然遠程計算機可以與CISCO ASA防火墻通信，但是無法與內網的HTTP服務器通信。在CISCO ASA完成SSL VPN配置，客戶端安裝ASA提供的數字證書后，遠程SSL VPN客戶端從其所在的23.23.23.0/24 網段使用網頁瀏覽器就可以訪問內網192.168.1.0/24 網段內的Web 服務，這說明了SSL VPN已經建立成功[12]。

在虛擬機上輸入預先設置好的用戶名和密碼后，連接到SSL VPN服務器，就可以看到獲得的內網IP和服務器IP，以及用戶訪問內網的路由條目，如圖3所示。建立了安全的通道后，可以進一步對內網資源進行訪問。

<＼＼192.168.0.25＼$d＼8月＼8-2＼補＼補！現代電子技術201313＼Image＼18t3.tif>

圖3 內網IP、服務器IP和路由條目

3 結 論

在本次仿真實驗中由CISCO ASA防火墻充當SSL VPN服務器。在CISCO ASA 使用出口PAT，本地內網用戶能夠通過ASA 防火墻實現與外網通信。在ASA 上配置SSL VPN，為外網遠程用戶提供VPN 接入，采用本地認證，外網遠程用戶可獲得內網IP地址，能夠通過使用內網IP訪問內網的資源。

傳統的IPSec VPN在部署時需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置，若企業的遠程接入和移動辦公數增量增多，企業的維護成本將會呈線性增加。而SSL VPN不需要安裝客戶端程序，遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡，安全地訪問應用程序，無需安裝或設置客戶端軟件，降低了企業的維護成本。因而SSL VPN在點對網互連方面，有較好的易用性和安全性[13-14]。

參考文獻

[1] 鮑劼，呂向前，朱世平.基于SSL協議的VPN電子資源遠程訪問方案的研究與實現[J].煤炭技術，2012，31（6）：184?186.

[2] 葛蘇慧，王敏.SSL VPN技術在校園網中的應用[J].廣西大學學報：自然科學版，2011，36（1）：155?159.

[3] 李之棠，何桂麗，王美珍.基于虛擬網卡的SSL VPN體系結構的研究[J].計算機應用研究，2007，24（12）：327?329.

[4] 馬淑文.SSL VPN技術在校園網中的應用與研究[J].計算機工程與設計，2007，28（21）：5137?5138.

[5] 曾巧紅，徐文賢，林綺屏.基于SSL VPN的圖書館遠程訪問系統的構建[J].情報科學，2007，25（10）：1520?1524.

[6] 何玲.高校數字圖書館中SSL VPN系統的安全策略研究[J].天津師范大學學報：自然科學版，2010，30（1）：27?28.

[7] 應國良，田京波.基于SSL VPN的核心機房遠程管理系統的設計與實現[J].電化教育研究，2007（8）：39?42.

[8] 王婷，汪琴.VPN技術在電子資源遠程訪問中的應用探討[J].現代情報，2007（4）：141?143.

[9] 秦鴻.利用VPN技術實現遠程訪問的研究與實踐[J].圖書情報工作，2007，51（3）：117?120.

[10] 陳愛和，徐敬東，劉曉欣，等.支持多路負載平衡的SSL VPN 系統的設計與實現[J].計算機工程與設計，2006，27（21）：3995?3998.

[11] 楊杰，李濤，王姝妲，等.應用虛擬設備驅動的SSL VPN系統改進的實現[J].計算機工程，2006，32（16）：148?150.

[12] 張學杰，李大興.SSL技術在構建VPN中的應用[J].計算機應用，2006，26（8）：1827?1830.

[13] 歐陽凱，周敬利，夏濤，等.基于SSL VPN接入機制的研究[J].計算機科學，2005，32（5）：59?63.

[14] 余勝生，歐陽長春，周敬利，等.訪問控制技術在SSL VPN系統中的應用[J].華中科技大學學報：自然科學版，2006，34（7）：49?52.