开放安全策略之 - SSL VPN

时间:2022-05-19

前言

防火墙支持IPSec VPN、L2TP VPN、GRE、SSL VPN等多种VPN业务,下面分别介绍典型VPN场景的安全策略的配置方法。如果VPN业务使用服务器认证,还需要开放防火墙与服务器之间的安全策略。

本文主要介绍如何为SSL VPN开放安全策略

SSL VPN支持的典型业务包括Web代理、端口转发、文件共享和网络扩展。

1、Web代理、端口转发、文件共享

Web代理、端口转发、文件共享三种业务的交互流程类似。移动办公用户首先通过HTTPS登录防火墙上的虚拟网关,然后浏览并访问业务资源。防火墙作为业务代理,通过HTTP、TCP、SMB/NFS协议跟服务器交互。

图 ·1 Web代理、端口转发、文件共享业务交互流程

因此,首先要允许移动办公用户通过HTTPS从公网访问虚拟网关,然后开放防火墙到内网业务资源之间的业务访问。

表 1 安全策略示例-Web代理、端口转发、文件共享

2、网络扩展

移动办公用户首先需要通过HTTPS登录虚拟网关,并启用网络扩展功能。启动网络扩展功能以后,移动办公设备与虚拟网关之间会建立一条SSL VPN隧道,移动办公设备从虚拟网关地址池中获得一个私网IP地址,用于访问内网资源。移动办公用户的访问请求被封装在SSL中,发送到虚拟网关。

虚拟网关解封装以后,再查找路由和安全策略,发送给服务器端。根据客户端的配置,SSL VPN隧道有两种:

  • 可靠传输模式:使用TCP作为传输协议,SSL作为封装协议,即TCP 443端口。
  • 快速传输模式:使用UDP作为传输协议,SSL作为封装协议,即UDP 443端口。


图 2 以可靠传输模式为例,简单示意了网络扩展业务的报文处理过程,其中报文结构为发送方向。

图 2 网络扩展业务交互流程

因此,首先要允许移动办公用户通过HTTPS登录虚拟网关,建立SSL隧道。根据客户端配置,SSL隧道可能使用TCP 443端口或者UDP 443端口。然后,允许解封装之后的报文访问服务器。

表 2 安全策略示例-网络扩展

需要特别注意的是,在不同产品中,网络扩展业务内层报文的源安全区域有不同的判断原则。


联系老师 微信扫一扫关注我们 15527777548/18696195380 在线咨询
关闭