SSL VPN 安全防御机制与内部攻击流量防范

四、SSL VPN 的实现方式有哪些？

1. 虚拟网关

SSL VPN 每个虚拟网关可以独立管理，可以配置各自的资源、用户、认证方式、访问控制以及管理员，并且相互隔离。这种方式适合多租户环境。

2. Web 代理

使用 Web 代理，用户只需标准的浏览器，终端不需安装任何客户端软件，就能够实现 Web 资源的安全访问，比如：内网网页浏览、Outlook Web Access 和 iNotes 访问。

• 实现过程：用户请求经过 SSL VPN 网关转发至内网 Web 服务器。
• 实现方式：
  • Web-link：使用 ActiveX 控件方式，对页面进行请求（注：现代浏览器已逐渐淘汰 ActiveX，建议采用 HTML5 方案）。
  • Web 改写：将所请求页面上链接进行改写，其他内容不变。
• 实现结果：实现对内网 Web 资源的安全访问。内网 Web 资源只有私网地址，在不做 NAT 的情况下，可以通过 SSL VPN 实现对其的代理安全访问；在做 NAT 的情况下，公网用户可以实现对其访问，但是 Web 资源没有使用安全传输协议，SSL VPN 可以实现对其 HTTPS 安全访问。

3. 文件共享

文件共享主要是通过协议转换技术，将网络文件系统 NFS（Network File System）转换成 HTTPS（Hypertext Transfer Protocol Secure）协议，用户直接通过浏览器就能够创建和浏览目录，进行新建、下载、上传、修改、删除文件操作。

• 实现原理：协议转换，无需客户端，直接通过浏览器访问转为内网文件共享的相应协议格式。
• 支持协议：SMB (Windows)、NFS (Linux)。

4. 端口转发

SSL 协议只应用于浏览器，端口转发是 SSL 协议的应用扩展。端口转发在应用层控制用户可以访问的应用服务（比如 Telnet、远程桌面、FTP 和 Email）。

• 提供内网 TCP 资源的访问，C/S 资源：
  • 提供丰富的静态端口的 TCP 应用：单端口单服务（telnet、SSH、MS、RDP、VNC）、单端口多服务（notes）、多端口多服务（outlook）。
  • 动态端口 TCP 应用。
  • 提供端口的访问控制。
• 实现原理：自动安装运行一个 ActiveX 控件（或现代替代插件），获取到管理端配置的端口转发资源列表（目的服务器 IP、端口）。控件将客户端发起的 TCP 报文与资源列表进行比对，当发现报文的目的 IP/Port 与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出），并将目的地址改写为回环地址，转发到侦听端口。对该报文加密封装，添加私有报文头，将目的地址设为防火墙设备的 IP 地址，经由侦听端口发往防火墙。防火墙收到报文进行解密，发往真实的目的服务器端口。防火墙收到服务器的响应后，再加密封装回传给用户终端的侦听端口。

5. 网络扩展

网络扩展功能是基于 SSL 协议进行的功能扩展，实现了对所有 IP 应用的支持，用户远程访问内网资源就像访问局域网一样方便。

在用户端安装网络扩展客户端后，客户端生成的虚拟网卡将截获的原始 IP 报文经过 SSL 协议封装后转发至虚拟网关，从而使用户的机器如同工作在企业内网一样，用户能够快速、安全地访问企业内网的所有资源（在没有进行 ACL 访问控制限制的情况下）。

• 访问模式：
  • 全路由模式：三种流量（去对方内网、去互联网、去本地局域网）都走隧道，代表本地不能访问互联网，也可通过隧道访问，也可访问本地局域网。
  • 分离模式：对方内网流量走隧道，本地局域网流量走物理网卡，互联网流量不能走。意味着能访问对方内网，能访问本地局域网，不能访问互联网。
  • 手动模式：对方内网流量走隧道，本地局域网流量和互联网流量走物理网卡。意味着都能访问，互联网走本地。

五、SSL VPN 客户端安全要求有哪些？

终端安全是在请求内网主机上部署一个软件，通过该软件检查终端的安全性包括：主机检查、缓存清除、认证授权。

1. 主机检查

• 杀毒软件检查：确保终端安装了有效的防病毒软件且病毒库为最新。
• 防火墙设置检查：确认终端防火墙处于开启状态。
• 注册表检查：检查关键系统注册表项是否被篡改。
• 端口检查：扫描并检查是否存在高危开放端口。
• 进程检查：检测是否有恶意进程运行。
• 操作系统检查：验证操作系统版本及补丁情况。

2. 缓存清除

• Internet 临时文件
• 浏览器自动保存密码
• Cookie 记录
• 浏览器访问历史记录
• 回收站和最近打开的文件
• 指定文件或文件夹

3. 认证授权

• VPNDb 的认证授权
• 第三方服务认证授权
• 数字证书的认证
• 短信辅助认证

六、SSL VPN 的实现，防火墙需要放行哪些流量？

1. SSL/TLS 协议流量：SSL VPN 使用 SSL/TLS 协议来进行加密通信，因此防火墙需要允许相关的 SSL/TLS 流量通过。通常情况下，这些流量使用 TCP 端口号 443，可以通过防火墙的规则配置进行放行。
2. VPN 控制流量：SSL VPN 需要使用一组专门的协议和端口来进行 VPN 连接的建立、终止和维护，如 HTTPS、UDP 等。具体取决于所采用的 SSL VPN 解决方案和配置方式，防火墙需要放行相关的控制流量，以便客户端可以与服务器端正确地进行握手和身份验证。
3. VPN 数据流量：一旦 SSL VPN 连接建立成功，数据流量将通过 SSL/TLS 隧道进行传输。防火墙需要放行与 VPN 数据流量相关的端口和协议，以确保数据的正常传输。这些端口和协议也视具体的 SSL VPN 实现而有所不同，可以是 TCP、UDP 或其他协议。
4. 认证和授权服务流量：在一些实现中，SSL VPN 可能需要与认证服务器、授权服务器或其他基础设施进行交互，例如 LDAP、RADIUS 等。防火墙需要放行与此相关的流量，以确保用户的身份验证和授权过程的正常进行。
5. 可选的应用程序特定流量：某些 SSL VPN 实现可以支持特定的应用程序代理，允许用户在 VPN 连接上访问特定的应用程序或服务。如果你使用了这样的应用程序代理功能，防火墙可能需要放行该应用程序所使用的额外端口和协议。

需要注意的是，以上流量需根据具体的 SSL VPN 解决方案和部署配置来确定，可能会有差异。建议参考所使用的 SSL VPN 产品的文档或联系供应商以获取准确的配置要求。此外，为了确保安全性，仅放行必要的流量，并遵循最佳安全实践，如限制访问权限、强化身份验证等。

七、SSL VPN 功能总结

SSL VPN 提供了灵活、安全的远程访问解决方案，通过多种实现方式满足不同业务需求。从虚拟网关的隔离管理到网络扩展的全网接入，再到端口转发的应用级控制，SSL VPN 有效解决了传统 VPN 部署复杂、兼容性差的问题。同时，配合严格的客户端安全检查策略，能够有效防范终端安全风险，保障内网资源不被非法访问。在配置防火墙规则时，应严格遵循最小权限原则，仅开放必要端口，并结合日志审计，及时发现潜在的攻击流量。