開放安全策略之 - SSL VPN

前言

防火墻支持IPSec VPN、L2TP VPN、GRE、SSL VPN等多種VPN業務，下面分別介紹典型VPN場景的安全策略的配置方法。如果VPN業務使用服務器認證，還需要開放防火墻與服務器之間的安全策略。

本文主要介紹如何為SSL VPN開放安全策略

SSL VPN支持的典型業務包括Web代理、端口轉發、文件共享和網絡擴展。

1、Web代理、端口轉發、文件共享

Web代理、端口轉發、文件共享三種業務的交互流程類似。移動辦公用戶首先通過HTTPS登錄防火墻上的虛擬網關，然后瀏覽并訪問業務資源。防火墻作為業務代理，通過HTTP、TCP、SMB/NFS協議跟服務器交互。

圖 ·1 Web代理、端口轉發、文件共享業務交互流程

因此，首先要允許移動辦公用戶通過HTTPS從公網訪問虛擬網關，然后開放防火墻到內網業務資源之間的業務訪問。

表 1 安全策略示例-Web代理、端口轉發、文件共享

2、網絡擴展

移動辦公用戶首先需要通過HTTPS登錄虛擬網關，并啟用網絡擴展功能。啟動網絡擴展功能以后，移動辦公設備與虛擬網關之間會建立一條SSL VPN隧道，移動辦公設備從虛擬網關地址池中獲得一個私網IP地址，用于訪問內網資源。移動辦公用戶的訪問請求被封裝在SSL中，發送到虛擬網關。

虛擬網關解封裝以后，再查找路由和安全策略，發送給服務器端。根據客戶端的配置，SSL VPN隧道有兩種：

• 可靠傳輸模式：使用TCP作為傳輸協議，SSL作為封裝協議，即TCP 443端口。
• 快速傳輸模式：使用UDP作為傳輸協議，SSL作為封裝協議，即UDP 443端口。

圖 2 以可靠傳輸模式為例，簡單示意了網絡擴展業務的報文處理過程，其中報文結構為發送方向。

圖 2 網絡擴展業務交互流程

因此，首先要允許移動辦公用戶通過HTTPS登錄虛擬網關，建立SSL隧道。根據客戶端配置，SSL隧道可能使用TCP 443端口或者UDP 443端口。然后，允許解封裝之后的報文訪問服務器。

表 2 安全策略示例-網絡擴展

需要特別注意的是，在不同產品中，網絡擴展業務內層報文的源安全區域有不同的判斷原則。