SSL虚拟专用网的设计与实现

摘要

虚拟专用网络（VPN）能够在不安全的网络上为单独实体建立安全的专用信道。但是传统VPN具有费用高、安装配置复杂、可扩展性差等缺点，而SSLVPN可以弥补这些缺点，提供更为完善的远程访问服务。SSLVPN正是由于无需客户端且易于配置，这两年在远程接入VPN市场上占据了重大的份额。本文首先介绍了VPN技术和SSL协议，并介绍了提高SSL性能的方法，比较了SSLVPN与传统VPN的技术特点。在此基础上，提出了SSLVPN的体系架构，安全套接层协议（SSL）是一种在两个实体之间通过服务器认证、数据加密、消息完整性验证等步骤建立安全通道的协议。SSLVPN使用SSL和代理技术向远程终端用户提供对企业内部网络资源的授权安全访问。与传统远程接入VPN实现方法不同之处在于，SSLVPN使用浏览器/服务器（B/S）模式。随后分析了SSLVPN的关键技术，即代理和转发技术，访问控制，身份验证及审计日志。其中代理转发技术是SSLVPN的重点，是实现无客户端的基础，代理转发技术可以分为应用层代理，端口转发代理，网络层扩展代理，它们的工作层面不同，分别支持不同的应用。广泛使用的是应用层代理和端口转发代理。在讨论SSLVPN系统结构的基础上，本文针对两种典型的网络应用给出了解决方案。然后详细讨论了利用SSL协议设计构建虚拟专用网的方法。从功能和安全两个方面对SSLVPN系统做了总体设计，主要包括身份验证模块，访问策略模块，资源访问模块和用户配置模块。并具体完成了各模块的实现。身份验证模块实现了本地验证，Radius验证，LDAP验证及Windows域验证。访问策略模块定义了不同用户的资源访问权限，资源访问模块提供对FTP/SMB文件访问，Web访问，Windows远程终端和通用TCP/IP程序的支持。用户配置模块为管理员配置系统提供了接口。最后并对系统的性能和安全性进行了分析。系统投入实际运行后，根据用户反馈和系统日志分析，系统运行稳定，达到了设计要求。