VPN 的技术原理是什么？

SSL VPN技术

SSl协议支队通信双方传输的应用数据进行加密，而不是对从一个主机到另一个主机的所有数据进行加密。

IPSec缺陷

由于IPSec是基于 络层的协议，很难穿越NAT和防火墙，特别是在接入一些防护措施较为严格的个人 络和公共计算机时，往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件，为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此，IPSec VPN在Point- to-Site远程移动通信方面并不适用。

SSL VPN功能技术

虚拟 关

每个虚拟 关都是独立可管理的，可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等。

当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟 关，从而形成完全隔离的访问体系。

WEB代理

它将远端浏览器的页面请求(采用https协议)转发给web服务器，然后将服务器的响应回传给终端用户，提供细致到URL的权限控制，即可控制到用户对某一张具体页面的访问。

web代理实现对内 Web资源的安全访问：

Web代理有两种实现方式：

Web-Link和Web改写（默认）。

Web-link采用ActiveX控件方式，对页面进行转发。

Web改写方式采用脚本改写方式，将请求所得页面上的链接进行改写，其他 页内容不作修改。

从业务交互流程可以看出，Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段。首先是远程用户与NGFW虛拟 关之间建立HTTPS会话，然后NGFW虚拟 关再与Web Server建立HTTP会话。虚拟 关在远程用户访问企业内 Web Server中起到了改写、转发Web请求的作用。

文件共享

文件共享实现过程

客户端向内 文件服务器发起HTTPS格式的请求，发送到USG防火墙。

USG防火墙将HTTPS格式的请求 文转换为SMB格式的 文。

USG防火墙发送SMB格式的请求 文给文件服务器。

文件服务器接受请求 文，将请求结果发送给USG防火墙，用的是SMB 文。

USG防火墙将SMB应答 文转换为HTTPS格式。

将请求结果(HTTPS格式的 文)发送到客户端。

端口转发

提供丰富的内 TCP应用服务。

广泛支持静态端口的TCP应用：

单端口单服务器（如：Telnet，SSH，MS RDP， VNC等）。

单端口多服务器（如：Lotus Notes）。

多端口多服务器（如：Outlook）。

支持动态端口的TCP应用：

动态端口（如：FTP，Oracle）。

提供端口级的访问控制。

端口转发实现原理

端口转发特点

实现对内 TCP应用的广泛支持。

远程桌面、outlook、Notes、FTP等。

所有数据流都经过加密认证。

对用户进行统一的授权、认证。

提供对TCP应用的访问控制。

只需标准浏览器，不用安装客户端。

络扩展

分离模式：用户可以访问远端企业内 (通过虚拟 卡)和本地局域 (通过实际 卡)，不能访问Internet。

全路由模式：用户只允许访问远端企业内 (通过虚拟 卡)，不能访问Internet和本地局域 。

手动模式：用户可以访问远端企业内 特定 段的资源(通过虚拟 卡)，对其它Internet和本地局域 的访问不受影响(通过实际 卡)。 段冲突时优先访问远端企业内 。

络扩展实现过程

文封装过程

可靠传输模式

快速传输模式

终端安全

主机检查

终端安全是在请求接入内 的主机上部署一个软件，通过该软件检查终端主机的安全状况。主要包括:主机检查、缓存清理。

主机检查：检查用户用来访问内 资源的主机是否符合安全要求。

主机检查策略包括如下检查项：

杀毒软件检查

防火墙检查

注册表检查

文件检查

端口检查

进程检查

操作系统检查

缓存清理

USG可以在用户访问虚拟 关结束时，采用必要的手段清除终端.上的访问痕迹(例如生成的临时文件、Cookie等)，以防止泄密，杜绝安全隐患。

清理范围：

Internet临时文件

浏览器自动保存的密码

Cookie记录

浏览器的访问历史记录

回收站和最近打开的文档列表

指定文件或文件夹

完善的日志功能

日志查询

日志导出

虚拟 关管理员日志

用户日志

系统日志

认证授权

证书匿名认证

NGFW只通过验证用户的客户端证书来验证用户的身份。

1.用户在SSLVPN 关登录界面选择证书后，客户端会将客户端证书发送给 关。

2. 关会将客户端证书以及自己引用的CA证书的名称发送给证书模块。

3.证书模块会根据 关引用的CA证书检查客户端证书是否可信，并将结果返回给 关：

如果 关引用的CA证书与客户端证书是同一个CA机构颁发的，且客户端证书在有效期内，则证书模块认为客户端证书可信，用户认证通过，继续执行4。

如果证书模块认为客户端证书不可信，用户认证不通过，则执行5。

4. 关根据用户过滤字段从客户端证书中提取用户名。

关会从自己的角色授权列表中查找用户所属角色从而确认此用户的业务权限。

5. 关将认证结果返回给客户端。

认证结果为通过的用户能够登录SSLVPN 关界面，以相应的业务权限来使用SSL VPN业务。

认证结果为不通过的用户会在客户端上看到“您的证书验证非法，请提供合法的证书”。

证书挑战认证

证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来。

证书+本地用户名密码证书+服务器认证

SSL VPN应用场景

SSL VPN单臂组 模式应用场景分析

在 络规划时，SVN的接口IP为内 IP地址，此地址需要能与所有被访问需求的服务器路由可达。

防火墙上需配置nat server,将SVN的地址映射到防火墙的某一公 IP. 上。也可以只映射部分端口，如443。如果外 用户有管理SVN的需求，还需要映射SSH、Telnet等端口。

SSLVPN双臂组 模式应用场景分析

在此类组 环境中，SVN使用两个不同的 口连接外 与内 ，这种组 方式下，具有清晰的内 、外 概念;无需做额外的配置，外 口对应虚拟 关IP，内 口配置内 管理IP。

虛拟 关IP不一定需要经过NAT转换，只要外 用户能够访问此虚拟 关IP地址即可。内外 接口没有特定的物理接口，任何一个物理接口都可以作为内 或外 接口。

图中路由器和交换机之间处于连接状态。这是因为客户 络中可能有部分应用不需要经过SSL加密，而是直接通过防火墙访问外 。这时就需要在交换机和路由器.上配置策略路由，需要建立SSLVPN的流量就转发到SVN上，而普通的应用就直接通过防火墙访问外 。

SSL VPN配置步骤