信息安全产品配置与应用（基于华为防火墙）课件 10-SSL VPN技术

模块10SSLVPN技术

企业员工在出差时希望能利用Internet实现随时随地远程访问企业内部资源，以便进行高效移动办公。与此同时，企业出于对内网资源安全的严格考量，期望对出差员工实施多样化的身份认证机制，并对其访问内网资源的权限进行详尽且灵活的精细化控制。

尽管IPSec、L2TP等传统VPN技术在一定程度上满足了远程接入的需求，但它们存在若干局限性。一方面，这些技术往往需要移动办公终端预先安装指定的客户端软件，这无疑增加了网络部署的烦琐程度和后期维护的复杂性；另一方面，这些传统VPN技术在组网灵活性上的不足，使得企业难以实现对出差员工访问权限的动态、精细化管理，难以适应现代企业对信息安全与高效管理的双重需求。

相比之下，SSLVPN作为一种新型的轻量级远程接入解决方案，以其独特的优势高效地解决了传统VPN技术所面临的难题。

本章将深入探讨SSLVPN的定义和优势、工作原理、业务流程，以为企业提供一个既安全又便捷的远程移动办公解决方案。引入【知识目标】

了解SSLVPN的定义及优势。

理解SSLVPN的工作原理。

理解SSLVPN的业务流程。【技能目标】

掌握SSLVPN的Web代理业务的配置方法。

掌握SSLVPN的文件共享业务的配置方法。【素养目标】

培养专注专业、勇于优化的职业素养。

培养科学严谨、求真求实的学习态度。目标content目

录01SSLVPN概述02SSLVPN的工作原理03SSLVPN的业务流程01SSLVPN概述1.SSLVPN的定义

SSLVPN是采用SSL/TLS协议来实现远程接入的一种轻量级VPN技术，保证了出差员工能够在企业外部通过加密通道安全、高效地访问企业内网资源。SSLVPN概述012.SSLVPN的优势

对比传统的VPN技术，SSLVPN作为新型的轻量级远程接入方案，具有多方面的显著优势。

SSLVPN工作在传输层和应用层之间，无须改变IP报头和TCP报头，这意味着其不会对原有的网络拓扑结构造成任何影响。这一特性使得SSLVPN在部署时更为简便，无须对网络进行大规模的调整。SSLVPN基于B/S架构，用户无须安装额外的客户端软件，只需使用普通的浏览器即可进行访问。这不仅降低了用户的操作难度，还提高了系统的兼容性和易用性。SSLVPN在访问控制方面表现出色，其基于应用层进行访问控制，细分程度可以达到URL或文件级别。这种精细化的控制策略可以大大提高企业远程接入的安全级别，有效防止未经授权的访问和数据泄露。SSLVPN概述0102SSLVPN的工作原理1.虚拟网关

防火墙通过虚拟网关向移动办公用户提供SSLVPN接入服务，虚拟网关是移动办公用户访问企业内网资源的统一入口。

一台防火墙设备可以创建多个虚拟网关，虚拟网关之间相互独立，互不影响。SSLVPN的工作原理022.身份认证

防火墙针对出差员工提供了本地认证、服务器认证和证书认证3种身份认证方式。

本地认证：最直接的方式，用户的用户名、密码等身份信息直接保存在防火墙上，由防火墙自身完成用户的身份校验。这种方式配置简单，适用于小型企业或组织。

服务器认证：更为灵活和安全，用户的身份信息被保存在认证服务器上，如RADIUS服务器、HWTACACS服务器等。这些服务器能够集中管理用户信息，并支持更复杂的认证策略，适用于中大型企业或需要高度安全性的场景。

证书认证：指用户以数字证书作为登录虚拟网关的身份凭证。虚拟网关针对证书提供了两种认证方式：证书匿名认证和证书挑战认证。SSLVPN的工作原理023.角色授权

防火墙通过角色机制实施访问授权与接入控制，确保同一角色下的用户共享相同的权限集。角色在此机制中相当于“桥梁”，其连接着用户与各类权限控制项，包括但不限于业务资源访问、主机安全检查策略及登录时间规定等。

具体而言，具有相同权限需求的用户可以被归入同一角色，随后在该角色下关联相应的业务资源、主机检查策略等，实现权限的集中管理和高效分配。SSLVPN的工作原理023.角色授权

授权流程的核心在于虚拟网关对用户所属角色的精准识别。当用户尝试通过虚拟网关接入内网资源时，系统会先验证用户的身份，随后查找并确定其所属的角色。基于该角色所关联的权限集，虚拟网关将动态地授予用户相应的资源访问权限，同时确保用户行为符合既定的主机安全检查策略和登录时间规定。

这一角色授权机制不仅简化了权限管理的复杂性，还提高了安全控制的灵活性和效率，为企业内网资源的安全访问提供了有力保障。SSLVPN的工作原理0203SSLVPN的业务流程

如表所示，为了更精细地控制出差员工的资源访问权限，SSLVPN将内网资源划分为Web资源、文件资源、端口资源和IP资源4种类型，每一种资源都有与之对应的访问方式。SSLVPN的业务流程03业务名称说明Web代理出差员工访问内网Web资源时使用Web代理业务文件共享出差员工访问内网文件服务器（如支持SMB协议的Windows操作系统、支持NFS协议的Linux操作系统）时使用文件共享业务。出差员工直接通过浏览器即可在内网文件系统上创建和浏览目录，进行下载、上传、重命名、删除等文件操作，就像对本机文件系统进行操作一样方便端口转发出差员工访问内网端口资源时使用端口转发业务。适用于TCP的应用服务包括Telnet、远程桌面、FTP、E-mail等。端口转发业务提供了一种端口级的安全访问内网资源的方式网络扩展出差员工访问内网IP资源时使用网络扩展业务。Web资源、文件资源及端口资源都属于IP资源，通常在不区分用户访问的资源类型时为对应用户开通此业务1.Web代理

Web代理是指使用防火墙作为代理访问内网的Web服务器资源（URL资源）。在整个流程中，防火墙不仅充当了用户与内网Web服务器之间的通信代理，还对真实的内网URL进行了改写处理。SSLVPN的业务流程031.Web代理

Web代理按照实现方式的不同分为了Web改写和Weblink两种。SSLVPN的业务流程032.文件共享

文件共享业务通过将文件共享协议（SMB、NFS）转换成基于SSL的超文本传输协议，实现对内网文件服务器的Web访问。简单地说，文件共享业务就是使远程用户能够直接通过浏览器安全地访问企业内网文件服务器，且支持上传、下载、删除、新建、修改等常见的文件操作。SSLVPN的业务流程033.端口转发

端口转发就是使用专门的端口转发客户端程序（ActiveX控件），在出差员工侧获取用户的请求，再通过虚拟网关转发到内网相应的服务器。SSLVPN的业务流程034.网络扩展

Web代理仅支持基于HTTP的应用，文件共享仅支持SMB、NFS协议的应用，端口转发覆盖了所有基于TCP的应用。然而，对于基于UDP，如SIP的应用，SSLVPN的上述三大业务功能均无法提供支持。因此，SSLVPN需要提供更底层的协议支持，而网络扩展正是为了满足这一需求而设计的业务功能。SSLVPN的业务流程034.网络扩展

下图所示为网络扩展交互流程，出差员工使用网络扩展功能访问企业内网资源时，其内部交互过程如图所示。SSLVPN的业务流程03

本章主要从SSLVP