SSL VPN技术研究及仿真分析

摘 要： SSL VPN技术利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保证。基于SSL VPN系统的基本构架，使用GNS3模拟器仿真SSL VPN系统，在远程用户和内部网络之间构建基于SSL的VPN，实验结果表明SSL VPN在点对网互连方面有较好的易用性和安全性。

关键词： VPN； SSL VPN； 网络仿真； GNS3

中图分类号： TN915.08?34 文献标识码： A 文章编号： 1004?373X（2013）13?0102?03

Research and simulation analysis on SSL VPN technology

LIU Dong?lin

（Shaanxi Branch， Unicom， Xi’an 710065， China）

Abstract： SSL VPN technology provides security assurance for remote users accessing to the internal network by certificate authentication， data encryption and message integrity verification mechanism. The SSL VPN system is built between remote users and the internal network by use of GNS3 simulator based on the basic framework of the SSL VPN system. The experimental results show that SSL VPN is more usable and safer for the interconnection between points and network.

Keywords： VPN； SSL VPN； network simulation； GNS3

0 引 言

VPN即虚拟专用网，是一条穿过公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别[1]。常用的两种VPN技术分别是基于传统网络安全协议（IPSec）的VPN技术和安全套接字层（SSL）VPN技术，前者主要作用于网络层，而后者主要作用于应用层。SSL VPN是以HTTPS为基础的VPN技术，它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保证[2?3]。

1 SSL VPN系统组成

一个典型SSL VPN组网架构如图1所示，系统由远程主机、CA、SSL VPN网关、认证服务器和内网服务器组成[4]。其中，远程主机作为管理员和用户远程接入的终端设备，可以是个人电脑、手机、手持电子终端等。SSL VPN网关是SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和机构网内资源的信息，用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和机构网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接，以保证数据传输的安全性[5?6]。内网的服务器可以是任意类型的服务器，如Web服务器、FTP服务器，也可以是网内需要与远程接入用户通信的主机。CA为SSL VPN网关颁发包含公钥信息的数字证书，以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接。认证服务器用于对用户进行身份认证，SSL VPN网关不仅支持本地认证，还支持通过外部认证服务器对用户的身份进行远程认证[7]。

图1 SSL VPN系统组成

2 仿真环境搭建

2.1 实验环境简介

实验中使用的仿真软件包括GNS3 v0.8.2模拟器，虚拟机软件VMware Workstation v8.0，终端仿真软件SecureCRT v6.7，虚拟通道软件Named Pipe TCP Proxy v1.001，虚拟机包括Windows XP、Cisco ASA v8.0。GSN3用到的Cisco IOS组件包括unzip?c3640?ik9o3s?mz.124?10.bin和sslclient?win?1.1.3.173.pkg。

2.2 仿真实验拓扑结构

远程客户机处于23.23.23.0/24的网络中，IP地址为23.23.23.1/24，网关地址为23.23.23.254/24，该网络通过R1的IP地址为12.12.12.2/24的端口与Internet相连。内网服务器IP地址为192.168.1.1/24，与R2的IP地址为192.168.1.2/24端口相连，通过R2与ASA即SSL VPN网关相连，ASA使用公网地址12.12.12.1与Internet相连，网络结构如图2所示[8?9]。

图2 SSL VPN仿真实验拓扑结构

2.3 仿真环境搭建

（1）使用VMware模拟一台Window XP来作为远程接入用户。在GNS3上使用路由器模拟内网的HTTP Server 与外网的Internet。防火墙使用安装在VMware之中的Cisco ASA。

（2）使用GNS3搭建拓扑，ASA防火墙作为SSL VPN服务器，分别连接至VMnet1 与VMnet8。虚拟机XP连接至VMnet2。VMnet为VMware建立的虚拟网络适配器，VMnet1和VMnet2网络模式为Host?only（仅主机），VMnet8网络模式为NAT（地址转换）[10]。

（3）将Windows XP的网络连接模式设置为VMnet2。将Cisco ASA的虚拟网卡增加到3个，网络模式分别设置为VMnet1（host?only）、VMnet8（NAT）和Bridge（桥接）。其中网络适配器代表ASA 的e0/0，网络适配器2代表ASA 的e0/1。

（4）搭建好拓扑，使用SecureCRT连接设备进行配置。由于VMware模拟的ASA 并无法直接提供一个可供本机SecureCRT 连接的端口，因此需要辅助软件Named Pipe TCP Proxy通过VMware 提供的管道来创建一个端口，之后再使用SecureCRT 进行连接[11]。

2.4 主要配置命令

在Cisco ASA上配置SSL VPN，主要配置如下：

（1）组策略配置

group?policy webvpn internal

group?policy webvpn attributes

vpn?tunnel?protocol svc webvpn

split?tunnel?policy tunnelspecified

split?tunnel?network?list value webvpn

address?pools value webvpn

webvpn

svc enable

（2）用户策略配置

username cisco password cisco

username cisco attributes

vpn?group?policy webvpn

（3）隧道分离ACL

access?list webvpn extended permit ip 192.168.1.0 255.255.255.0 any

access?list webvpn extended permit ip 192.168.2.0 255.255.255.0 any

access?list outside extended deny ip any any

access?list inside extended deny ip any any

（4）路由配置

route outside 0.0.0.0 0.0.0.0 12.12.12.1

route inside 192.168.1.0 255.255.255.0 192.168.2.1

2.5 仿真结果分析

在ASA配置SSL VPN之前，虽然远程计算机可以与CISCO ASA防火墙通信，但是无法与内网的HTTP服务器通信。在CISCO ASA完成SSL VPN配置，客户端安装ASA提供的数字证书后，远程SSL VPN客户端从其所在的23.23.23.0/24 网段使用网页浏览器就可以访问内网192.168.1.0/24 网段内的Web 服务，这说明了SSL VPN已经建立成功[12]。

在虚拟机上输入预先设置好的用户名和密码后，连接到SSL VPN服务器，就可以看到获得的内网IP和服务器IP，以及用户访问内网的路由条目，如图3所示。建立了安全的通道后，可以进一步对内网资源进行访问。

图3 内网IP、服务器IP和路由条目

3 结 论

在本次仿真实验中由CISCO ASA防火墙充当SSL VPN服务器。在CISCO ASA 使用出口PAT，本地内网用户能够通过ASA 防火墙实现与外网通信。在ASA 上配置SSL VPN，为外网远程用户提供VPN 接入，采用本地认证，外网远程用户可获得内网IP地址，能够通过使用内网IP访问内网的资源。

传统的IPSec VPN在部署时需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置，若企业的远程接入和移动办公数增量增多，企业的维护成本将会呈线性增加。而SSL VPN不需要安装客户端程序，远程用户可以随时随地从任何浏览器上安全接入到内部网络，安全地访问应用程序，无需安装或设置客户端软件，降低了企业的维护成本。因而SSL VPN在点对网互连方面，有较好的易用性和安全性[13-14]。

参考文献

[1] 鲍劼，吕向前，朱世平.基于SSL协议的VPN电子资源远程访问方案的研究与实现[J].煤炭技术，2012，31（6）：184?186.

[2] 葛苏慧，王敏.SSL VPN技术在校园网中的应用[J].广西大学学报：自然科学版，2011，36（1）：155?159.

[3] 李之棠，何桂丽，王美珍.基于虚拟网卡的SSL VPN体系结构的研究[J].计算机应用研究，2007，24（12）：327?329.

[4] 马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计，2007，28（21）：5137?5138.

[5] 曾巧红，徐文贤，林绮屏.基于SSL VPN的图书馆远程访问系统的构建[J].情报科学，2007，25（10）：1520?1524.

[6] 何玲.高校数字图书馆中SSL VPN系统的安全策略研究[J].天津师范大学学报：自然科学版，2010，30（1）：27?28.

[7] 应国良，田京波.基于SSL VPN的核心机房远程管理系统的设计与实现[J].电化教育研究，2007（8）：39?42.

[8] 王婷，汪琴.VPN技术在电子资源远程访问中的应用探讨[J].现代情报，2007（4）：141?143.

[9] 秦鸿.利用VPN技术实现远程访问的研究与实践[J].图书情报工作，2007，51（3）：117?120.

[10] 陈爱和，徐敬东，刘晓欣，等.支持多路负载平衡的SSL VPN 系统的设计与实现[J].计算机工程与设计，2006，27（21）：3995?3998.

[11] 杨杰，李涛，王姝妲，等.应用虚拟设备驱动的SSL VPN系统改进的实现[J].计算机工程，2006，32（16）：148?150.

[12] 张学杰，李大兴.SSL技术在构建VPN中的应用[J].计算机应用，2006，26（8）：1827?1830.

[13] 欧阳凯，周敬利，夏涛，等.基于SSL VPN接入机制的研究[J].计算机科学，2005，32（5）：59?63.

[14] 余胜生，欧阳长春，周敬利，等.访问控制技术在SSL VPN系统中的应用[J].华中科技大学学报：自然科学版，2006，34（7）：49?52.