开放安全策略之 - SSL VPN
时间:2022-05-19
前言
防火墙支持IPSec VPN、L2TP VPN、GRE、SSL VPN等多种VPN业务,下面分别介绍典型VPN场景的安全策略的配置方法。如果VPN业务使用服务器认证,还需要开放防火墙与服务器之间的安全策略。
本文主要介绍如何为SSL VPN开放安全策略
SSL VPN支持的典型业务包括Web代理、端口转发、文件共享和网络扩展。
1、Web代理、端口转发、文件共享
Web代理、端口转发、文件共享三种业务的交互流程类似。移动办公用户首先通过HTTPS登录防火墙上的虚拟网关,然后浏览并访问业务资源。防火墙作为业务代理,通过HTTP、TCP、SMB/NFS协议跟服务器交互。
图 ·1 Web代理、端口转发、文件共享业务交互流程
因此,首先要允许移动办公用户通过HTTPS从公网访问虚拟网关,然后开放防火墙到内网业务资源之间的业务访问。
表 1 安全策略示例-Web代理、端口转发、文件共享
2、网络扩展
移动办公用户首先需要通过HTTPS登录虚拟网关,并启用网络扩展功能。启动网络扩展功能以后,移动办公设备与虚拟网关之间会建立一条SSL VPN隧道,移动办公设备从虚拟网关地址池中获得一个私网IP地址,用于访问内网资源。移动办公用户的访问请求被封装在SSL中,发送到虚拟网关。
虚拟网关解封装以后,再查找路由和安全策略,发送给服务器端。根据客户端的配置,SSL VPN隧道有两种:
- 可靠传输模式:使用TCP作为传输协议,SSL作为封装协议,即TCP 443端口。
- 快速传输模式:使用UDP作为传输协议,SSL作为封装协议,即UDP 443端口。
图 2 以可靠传输模式为例,简单示意了网络扩展业务的报文处理过程,其中报文结构为发送方向。
图 2 网络扩展业务交互流程
因此,首先要允许移动办公用户通过HTTPS登录虚拟网关,建立SSL隧道。根据客户端配置,SSL隧道可能使用TCP 443端口或者UDP 443端口。然后,允许解封装之后的报文访问服务器。
表 2 安全策略示例-网络扩展
需要特别注意的是,在不同产品中,网络扩展业务内层报文的源安全区域有不同的判断原则。