安全綜述系列之：國產 SSL VPN產品技術

【賽迪網-IT技術報道】隨著信息安全從單純關注網絡安全轉變為重點關注以業務為核心的應用安全，遠程安全接入的重要性日益明顯，SSL VPN以無需客戶端軟體、保護具體應用、細粒度的訪問控制、詳細的審計等特性，在易用性、安全性和管理性方面更勝一籌。因此，近幾年來SSL VPN的應用範圍正在迅速擴大。

SSL協議集成了非對稱加密、對稱加密、數字簽名以及信息校驗等多項技術，能出色地完成防冒充、防破解和防篡改三個保障信息安全的基本任務。SSL協議的通訊過程主要分為四個階段，原理大致如下：

第一階段，客戶端向伺服器發出SSL連接請求，並附上一段隨機產生的信息，伺服器端在通訊之前會向證書頒發組織申請並獲得自己的公鑰、私鑰以及證書。

第二階段，伺服器收到客戶端的連接請求後，把收到的隨機信息用私鑰加密，然後連同公鑰和身份信息發回給客戶端。

第三階段，客戶端收到伺服器端的回應後，將先用從伺服器端發來的公鑰解密信息，還原後與自己之前產生的隨機信息比較異同，從而驗證伺服器端的身份。在伺服器端身份得到驗證後，客戶端將產生一個對稱密鑰，用於加密真正的傳輸信息，並將該對稱密鑰用公鑰加密後發給伺服器端。

第四階段，伺服器端得到信息後，用自己私鑰解密並獲得該對稱密鑰，之後客戶端和伺服器之間就可以用這個對稱密鑰進行加密通訊了。

在整個通訊過程中，伺服器端只要保護好私鑰不被洩漏就可以保證自己的身份不會被冒充，對稱密鑰也不會被破解，從而保證了加密信息不會被破解，再加上校驗信息也採用公鑰和私鑰加密機制，因此信息篡改也不可能發生，保證了傳輸的安全性。（驗證過程如圖所示）

近年來，隨著國內信息化建設的深入，網銀系統、企業移動辦公、電子政務、數字圖書館等的大規模建設，國內用戶對SSL VPN的需求不斷增加，豐富的需求催生了國產品牌SSL VPN產品的迅速崛起，那麼，SSL VPN都有哪些關鍵技術呢？

Web代理

該技術的實現原理是：客戶端通過瀏覽器向SSL VPN網關發送頁面訪問請求，由SSL VPN網關代為向Web伺服器發送請求，然後將Web伺服器回應的HTTP頁面經過複雜的處理和轉換後封裝成HTTPS頁面轉發給客戶端的瀏覽器。由於目前大部分瀏覽器已經集成了SSL（HTTPS）協議處理功能，因此客戶端在通過SSL VPN訪問Web應用時，直接用瀏覽器加解密信息即可，無需額外的客戶端程序和控件，做到了真正100％零客戶端。

端口轉發

該技術主要用於實現客戶端對C/S架構應用的訪問。由於Outlook、FTP等各種C/S應用的客戶端軟體並不具備SSL協議處理功能，因此需要借助控件程序來完成不同應用端口服務的轉發功能。客戶端在建立SSL VPN隧道後，會下載並運行一個控件程序，該程序將Outlook等應用軟體發出的相應端口資料包截獲，加密封裝成SSL協議端口資料包發給SSL VPN網關，網關經過解密、還原相應的應用端口後再代替客戶端與內部伺服器進行通訊。

應用轉換

利用該技術，客戶端通過SSL VPN訪問內部的FTP、文件共享、郵件、SSH、Telnet、RDP等服務時都可以Web的形式進行。而SSL VPN產品則需要將這些應用的操作界面和各種功能基於Web形式重新實現。

網絡連接

網絡連接即通常所說的NC（Network Connection）功能，該技術可以讓客戶端通過SSL VPN擁有對內部整個子網的訪問權限，也是目前應用比較廣泛的一項技術。在SSL VPN產品上集成該技術後，即有IPsec VPN與應用無關的優勢，又保持了SSL VPN的高安全性。客戶端通過NC連接SSL VPN時，會獲得一個虛擬IP地址，然後通過這個虛擬IP地址與內網通訊。

以上便是實現SSL VPN的幾項核心技術，目前大部分的SSL VPN產品，都是以這幾項技術的一項或幾項為基礎研發實現的。那麼，對國產SSL VPN產品而言，哪些技術尤其重要呢？

首先是Web代理技術。由於用戶需要訪問內網的Web應用，而且希望訪問方式盡量簡便，而只有具備Web代理技術，SSL VPN產品才能做到100％零客戶端，才能為用戶提供最簡便的接入方式，因此， Web代理技術對國產SSL VPN產品而言是一項必需技術，也是SSL VPN產品是否專業的重要標準之一。

除了Web代理技術，端口轉發技術的重要性也不容小覷。除了要訪問除Web應用外，用戶還需要經常訪問組織內部的C/S架構應用，例如郵件、FTP、文件共享、資料庫、ERP等，這時，SSL VPN產品採用端口轉發技術實現對C/S應用的處理，是再合適不過的了。

至於應用轉換技術，目前國內用戶需求並不迫切。由於SSL VPN產品需要把FTP、Email，SSH等應用以Web的形式重新實現，實現起來比較複雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶的操作習慣以及控件引用是不合法等一系列問題。從另一個角度來看，用戶在沒有使用SSL VPN之前，都已經習慣通過相應的客戶端軟體對C/S應用進行訪問，在使用SSL VPN後，仍然希望通過使用原來的客戶端軟體訪問內部的各種C/S應用。由此看來，應用轉換技術並不十分適應於國內的用戶，也並非是國產SSL VPN產品的必須功能。

最後再看NC技術，由於NC技術可以實現SSL VPN與應用無關的特性，因此客戶端通過SSL VPN訪問內部整個子網的需求仍然存在。然而，在使用該功能時，需要給客戶端配置虛擬IP地址，這樣一來，就會遇到地址規劃上的一些問題，在配置和使用上也比較複雜。目前，國內已經有SSL VPN廠商注意到這個問題，為了更好地滿足用戶對易用性的要求，採用了一種「網絡層代理」技術，客戶端通過SSL VPN產品訪問內部整個子網時，不需要借助虛擬IP地址，也不需要改變內網伺服器網關指向，有效地解決了NC功能配置和使用複雜的難題。但目前，「網絡層代理」技術還存在一個問題，即無法處理TCP連接由內向外發起的應用，無法做到「與應用無關」。如果有SSL VPN產品能夠同時具備NC和網絡代理功能，將會受到更多國內用戶的青睞。

當然，以上列舉的只是SSL VPN產品的幾項主要技術，為了更好地滿足國內用戶的需求，SSL VPN產品還必須在功能上進一步貼近需求，不斷豐富。那麼，國產SSL VPN產品在功能上應該如何「修煉內功」呢？

豐富的認證方式

國內用戶類型眾多，對認證方式和安全性要求也不盡相同。除了基本的本地口令外，動態口令、短信口令、口令＋動態附加密、證書＋USBKEY、口令＋證書＋USBKEY等多因素認證方式也越來越常見，成為對SSL VPN產品的基本要求。此外，隨著CA體繫在中國不斷健全，越來越多的用戶從專業的CA企業購買服務，因此國產SSL VPN產品能否很好地與標準第三方CA系統兼容，能否提供標準OSCP、CRL等證書校驗接口，在一定程度上決定了該產品能否應用到用戶現有環境中。

線路優化

中國向來有北網通、南電信的說法，不同ISP下的主機彼此訪問時延遲非常大。國內用戶考慮到這個因素，常常向不同的ISP申請了多個公網IP提供服務。如果SSL VPN產品能夠利用多個網口通過多個公網IP對外提供接入訪問，並可以根據接入客戶端的ISP來源選擇最佳路徑，那麼將可以大大提高訪問效率，更好地適應國內的網絡環境。

單點登錄

在用戶的內網中，OA系統通常都帶認證功能，使用者需要提交用戶名及口令才可登錄。加上SSL VPN後，用戶就首先要登錄SSL VPN，然後再次提交認證信息登錄OA，導致重複認證過程。為了簡化登陸程序，SSL VPN產品應該能記錄用戶登錄SSL VPN時的認證信息，在用戶訪問OA時，代替用戶提交認證，用戶不需要再次輸入用戶名和口令就可打開登錄成功後的頁面。

端點安全

安裝SSL VPN產品後，端點的安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道後是否允許訪問互聯網，在SSL VPN客戶端註銷後，訪問痕跡是否應該清理，都是SSL VPN需要重點考慮的幾個安全問題。目前，國內很多SSL VPN產品也都有應對措施。在客戶端主機接入之前，先檢測終端主機上是否具備管理員要求的某些特徵，如操作系統版本、IE瀏覽器版本、是否運行了殺毒軟體等等，如果不滿足安全策略，則拒絕連接。在建立隧道後，SSL VPN產品還可以禁止客戶端主機訪問隧道以外的網絡以確保隧道安全；在終端用戶註銷後，還會自動清除此次的訪問痕跡，確保信息不被洩漏。此外，如果產品能實現帳號和客戶端主機特徵綁定以及防偽造功能等，將可以進一步提高客戶端的端點安全性。

應用層防禦

SSL VPN產品是以應用為核心的安全接入產品，因此應用層的安全防禦必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問等功能已經出現在一些國內品牌SSL VPN產品上。甚至有廠商還提供了基於帳號的最大並發上限控制功能，有效防止了一個帳號惡意產生大量連接的DOS攻擊行為，有效保障了應用服務系統。

安全審計

SSL VPN產品相對傳統VPN的優勢之一就是審計更加詳細。相比而言，SSL VPN產品更關注帳號而不僅僅只是IP地址。在日誌中應該可以記錄哪個用戶、在什麼時間，在什麼地理位置通過哪個ISP登錄了SSL VPN，訪問了什麼服務，訪問了哪些Web頁面等等。另外，SSL VPN產品還應該提供基於各種條件（如時間範圍、關鍵字等）的查詢功能，甚至可以根據時間範圍生成報表提供瀏覽和下載。

綜合以上所有因素來看，SSL VPN產品與其說是一項技術，不如視之為服務。誰的SSL VPN產品能在上面所述各項技術和功能中做得更精細，更人性化，更貼近用戶需要，誰的產品就會在激烈的市場競爭中取得勝利。

(相關資料來源：聯想網御科技有限公司)

(