SSL ××× 是以 SSL ( Secure Sockets Layer,安全套接字层)为基础的 ××× ( Virtual Private Network,虚拟专用网络)技术,工作在传输层和应用层之间。 SSL ××× 充分利用了 SSL 协议提供的基于证
书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL ××× 广泛应用于基于 Web 的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL ××× 的典型组网架构如下图所示。
管理员在 SSL ××× 网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与 SSL ××× 网关建立 HTTPS( Hypertext TransferProtocol Secure,超文本传输协议的安全版本)连接,选择需要访问的资源,由 SSL ××× 网关将资源访问请求转发给企业网内的服务器。 SSL ××× 通过在远程接入用户和 SSL ××× 网关之间建立SSL 连接、 SSL ××× 网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。
SSL ×××的工作机制
SSL ××× 的工作机制为:
(1) 管理员登录 SSL ××× 网关的 Web 界面,在 SSL ××× 网关上创建与服务器对应的资源。
(2) 远程接入用户与 SSL ××× 网关建立 HTTPS 连接,通过 SSL 提供的基于证书的身份验证功能,SSL ××× 网关和远程接入用户可以验证彼此的身份。
(3) HTTPS 连接建立成功后,用户登录到 SSL ××× 网关的 Web 页面,输入用户名、密码和认证方式, SSL ××× 网关验证用户的信息是否正确。
(4) 用户成功登录后,在 Web 界面上找到其可以访问的资源,通过 SSL 连接将访问请求发送给SSL ××× 网关。
(5) SSL ××× 网关解析请求,与服务器交互后将应答发送给用户。
SSL ×××的优点
SSL ××× 利用 SSL 协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。 SSL ××× 具有如下优点:
(1) 支持各种应用协议
任何一个应用程序都可以直接享受 SSL ××× 提供的安全性而不必理会具体细节。 SSL ××× 将应用协议提供的服务资源划分为三类:
Web 接入方式下的访问资源:是指用户使用浏览器以 HTTPS 方式通过 SSL ××× 网关对服务器提供的 Web 代理服务器资源进行访问。
TCP 接入方式下的访问资源:用于实现用户应用程序对服务器开放端口的安全访问,包括远程访问服务、桌面共享服务、电子邮件服务、 Notes 服务和通用 TCP 服务资源。
IP 接入方式下的访问资源:用于实现用户终端与服务器网络层之间的安全通信,进而实现所有基于 IP 的应用与服务器的互通。
(2) 部署简单
目前 SSL 协议已被集成到大部分的浏览器(如 Internet Explorer 浏览器)中,这就意味着几乎任意
一台装有浏览器的计算机都支持 SSL 连接。通过这些浏览器访问 Web 接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问 TCP 接入方式下和 IP 接入方式下的资源,则在用户登录SSL ××× 时,会自动运行 SSL ××× 客户端专用软件,也不需要用户进行额外的操作。
(3) 支持多种用户认证方式
除了可以利用 SSL 协议本身提供的证书认证机制,对 SSL 客户端进行身份确认外, SSL ××× 还支持以下四种认证方式,以及基于这些认证方式的组合认证:
本地认证
RADIUS 认证
LDAP 认证
AD 认证
(4) 实现了对网络资源的细粒度的控制访问
管理员可以配置多个资源和用户,将资源加入到不同的资源组中,将用户加入到不同的用户组,然后为每个用户组指定可以访问的资源组。用户登录后, SSL ××× 网关根据用户所在的用户组找到其可以访问的资源组,进而找到可以访问的资源列表,从而实现对资源访问权限的细粒度的控制。
