Hillstone SSL ××× 解决方案
1 背景介绍
Internet 的发展改变了许多公司的内部网络结构。传统上租用专线来建立分支机构互联的企业开始需要访问互联网,另一方面,使用互联网进行互联也可以节省许多费用。××× 技术的出现可以让许多远程办公室和移动用户安全地接入企业的内部网络。
基于IPSec 的××× 技术一度是唯一的选择。IPSec 建立在国际标准之上,可以保证不同厂商之间的产品互联互通。但是IPSec 也有它的弱项,就是远程客户需要预先安装客户端软件,且客户端的配置、使用和维护极为复杂。
随着互联网的发展和网页浏览器(例如微软的Internet Explorer) 的大量预装使用,一个新型的基于SSL 的××× 技术出现了,为远程安全访问提供了另一种选择。
Hillstone 的××× 解决方案可以支持IPSec 和SSL 两种方式。Hillstone 的××× 技术结合了两者的优点,在通过IP 层面的连接充分保障应用兼容的同时,也提供了细粒度的访问控制。
1 背景介绍
Internet 的发展改变了许多公司的内部网络结构。传统上租用专线来建立分支机构互联的企业开始需要访问互联网,另一方面,使用互联网进行互联也可以节省许多费用。××× 技术的出现可以让许多远程办公室和移动用户安全地接入企业的内部网络。
基于IPSec 的××× 技术一度是唯一的选择。IPSec 建立在国际标准之上,可以保证不同厂商之间的产品互联互通。但是IPSec 也有它的弱项,就是远程客户需要预先安装客户端软件,且客户端的配置、使用和维护极为复杂。
随着互联网的发展和网页浏览器(例如微软的Internet Explorer) 的大量预装使用,一个新型的基于SSL 的××× 技术出现了,为远程安全访问提供了另一种选择。
Hillstone 的××× 解决方案可以支持IPSec 和SSL 两种方式。Hillstone 的××× 技术结合了两者的优点,在通过IP 层面的连接充分保障应用兼容的同时,也提供了细粒度的访问控制。
图1: Hillstone IPSec/SSL ××× 整体解决方案
Hillstone 的IPSec ××× 支持点对点和星型连接拓扑,可以使用基于策略或者路由的方式来实现远程办公室之间的互联。移动用户可以通过Hillstone 的SSL ××× 接入分支机构或者总部的内网。
Hillstone 的SSL ××× 基于SSL 的用户认证机制,无需预先安装和配置客户端,所有的安装和升级都可以在远程接入时自动完成,把IT 部门的负担减少到最低。Hillstone 的SSL ××× 和IPSec ××× 都可以是基于路由的,这样可以保证用户的全网访问;同时,通过配置Hillstone 的××× 接入网关,可以对用户接入和内网访问实现细粒度的访问控制,保障某些特定的网络资源只能被授权的用户访问。
Hillstone SSL ××× 支持:
基于IP 层面的接入,兼容所有基于IP 的应用
私有IP 地址分配
内网的DNS 和WINS 服务器,提供内部域名解析
多种加密算法
自动配置路由
多个用户域,每个域可以使用自己的认证服务器
通过本地用户数据库、微软的Active Directory 、LDAP 、RADIUS,或通过USB 证书,或两者的组合实现身份认证
基于用户身份的访问控制可以提供细粒度的访问控制。这种用户身份可以是用户名、部门的组合
多SSL ××× 接入通道提供更高的安全性
在客户端和接入网关处的多重访问记录
用户管理
2 IPSec ××× vs. SSL ×××
IETF 为IPSec ××× 及其相应的密钥交换协议制定了一系列标准。这种基于标准的技术保障了来自不同厂家的产品的互联互通。依照标准制定的加密算法和通讯协议,都经过了严密的审查,其安全性也得到了保证。
IPSec ××× 是一项成熟的技术,目前有许多基于硬件的解决方案来保障它的高性能,是远程办公室点对点互联的优选方案。
但是,IPSec ××× 存在先天的易用性问题。实施IPSec 方案不仅需要人工发放认证的材料,如用户名和密码等;用户还需要知道所使用的加密和认证算法,内网路由配置等诸多繁琐事宜,当然还需要预装客户端软件等。这些服务对于访问尤其是个问题,在大规模实施过程中给用户带来了难以负担的工作量和费用。
进一步分析移动用户远程访问的情况,IPSec ××× 缺乏自然的用户认证方式。除了使用证书来认证用户以外,许多厂商还使用XAUTH 或L2TP-over-IPSec 等复杂的接入方式来认证用户身份。这为××× 的配置增加了许多复杂度,降低了效率,而且非常不易于用户理解。
第一代的SSL ××× 技术在2000 年发展出来之后被立即应用于移动远程接入,其基于浏览器的接入方式使远程访问更易于实施。同时通过使用HTTPS 协议,可以轻易地实施双向认证:客户端可以通过验证HTTPS 服务器证书的方式确认服务器的身份;然后服务器可以通过验证客户端的用户名和密码,或者进一步加入硬件证书、密钥等多种方式确认客户身份。
但是SSL ××× 并不适用于站点对站点的远程连接,因为接入时它需要用户认证,而且只能从客户端到服务器单向启动连接。而IPSec ××× 可以从任何一方启动连接,并且借助IPSec 非常成熟的硬件加速技术,其连接性能远高于SSL ××× 。
同时,由于SSL ××× 没有标准化,所以不同厂家的产品无法实现互联。
从以上的分析来看,SSL ××× 和基于IPSec 的××× 技术是非常互补的。SSL ××× 非常适用于移动用户远程接入的情形,而IPSec ××× 在站点对站点的互联时更为适合。Hillstone 的产品已经集成了这两种××× 方式,为用户提供了更完善的××× 解决方案。
3 SSL ××× 的发展
3.1 HTTP 和应用的匿名代理
第一代的SSL ××× 只是一个HTTPS 的匿名代理服务器。其核心技术就是改写URL 链接。除了匿名代理最初的HTTPS 请求,SSL ××× 网关会把内网的相应HTTP URL 的内容从HTTPS 的URL 中提炼出来。然而,URL 改写技术很难完善。这是由于不断有新的网页描述语言,如Javascript 、Java Applet 、Flash 等,都有内嵌的URL 或可以产生其他URL 的描述语言脚本。同时各个厂商对这些语言脚本的翻译支持程度也不尽相同。
图2: HTTP 到HTTPS 代理
SSL ××× 厂商也在逐步加入对各种应用的支持。应用匿名代理是把不同的应用转为HTTPS 访问的技术。不同的厂家可能会支持不同的应用。最常见的应用包括FTP,微软邮件系统Exchange,Windows 文件访问。有些厂家则会支持数据库应用。大多数情况下,用户需下载ActiveX 或Java Applets 所组成的脚本程序。
图3: 应用代理
3.2 IP 隧道
很快SSL ××× 厂家就发现通过增加代理来支持各种类型的应用不具备可持续发展性。第二代的SSL ××× 增加了对IP 协议的支持。这个技术就叫做IP 隧道。IP 隧道对各种IP 应用提供了良好的支持,而不需要为各种新应用去开发新的代理软件。
图4: IP 隧道
但是这种方式有一个大问题。把TCP 应用包在SSL 隧道里传输会带来一系列严重的TCP over TCP 的问题。在广域网的连接上,如果有数据包丢失(这在广域网很常见),即使很少,那么SSL 隧道的TCP 和应用的TCP 协议栈都会通
过重发去恢复那个丢失的数据包,这样会带来严重的性能下降。即使没有这个问题,SSL 的加密性能也会大大低于IPSec 在类似硬件平台上的性能。
4 Hillstone SecureConnect ×××
4.1 SSL 实施
Hillstone SecureConnect ××× 是Hillstone 结合传统SSL ××× 和IPSec ××× 的优越性,而开发的新一代SSL ××× 解决方案。
和传统SSL ××× 一样,客户在第一次通过浏览器登录系统时,××× 服务器会通过脚本来自动下载并安装ActiveX 客户端。这个客户端无需配置,而且可以自动升级。
其次,用户第二次登录时除了可以通过网页登录以外,也可以通过××× 客户端直接登录。××× 客户端会自动保存上次登录的服务器信息,包括域名(或IP 地址),端口及用户名。
客户端的设置是在SecureConnect 服务器中心配置的。每个用户在登录后都会被分配一个私网IP 地址,同时,内部的DNS 和WINS 设定也会下发到客户端,这样用户访问的内部域名也可以被正确解析。
同样,路由设置也是在SecureConnect 服务器中心配置并自动下发的。这样客户可以选择只有某些流量通过××× 隧道传送。该路由配置可以十分灵活,例如只有去内网服务器的流量才上××× 隧道,而普通的公网网页浏览仍然走正常通路上网。
加密和认证算法也是在SecureConnect 服务器中心配置并自动下发到客户端的。加密的密钥等信息是在SSL 认证登录的阶段自动协商完成。
4.2 IPSec 数据通道
Hillstone SecureConnect ××× 利用IPSec 的数据通道来传输用户数据。IPSec 无TCP 连接的特性避免了传统在SSL 上建立IP 隧道而引发的TCP-over-TCP 的问题,在高延迟,易丢失的广域网应用时对性能提升大有助益。
IPSec 是建立在IP 隧道的基础上,所以自身对所有IP 应用的兼容性非常好。Hillstone 的所有产品都内建IPSec 硬件加速,相较其他厂家基于软件的SSL 加密方式性能提高1到2个数量级。Hillstone 的硬件加密加速支持所有国际通用的加密认证算法,包括DES 、3DES 、AES 128/192/256 位、MD-5 、SHA-1 等,以及中国国密算法SCB-2。
4.3 基于角色的访问控制
Hillstone 率先引入基于角色的访问控制,可以为用户提供细粒度的访问控制。用户登录后,用户的角色由用户名或其所属的用户组决定。一个用户在不同的情形下可以有不同的用户角色。
根据用户角色,管理员可以通过配置访问策略的方式实现用户对资源的访问控制。访问策略可以是基于用户或用户组的,甚至是基于用户在特定情况下的特
定角色,例如同一用户从公网登录访问时的访问权限会比从内部登录时的权限有较大的限制。
Hillstone 基于角色的访问策略可以支持一系列应用控制
QoS 配置可以支持如下特性
针对IP 的QoS
针对服务的QoS
流量×××及流量控制
保证最小带宽
优先级
标记(与主流厂商兼容)
低延迟
P2P/IM 控制
内容过滤
时间表:允许根据时间表打开或关闭策略
应用安全
4.4 SecureConnect ××× 功能
Hillstone SecureConnect ××× 支持多个用户域。每个用户域可以有自己的认证服务器组。这样不同的用户组可以通过同一个××× 域服务器登录,给××× 接入管理带来了极大的方便。然后服务器根据用户的角色来分配访问权限。
SecureConnect ××× 可以通过微软的Active Directory 、LDAP 、Radius 、本地用户数据库,或通过USB 证书,或二者的组合来认证客户。
Hillstone 的××× 网关同时支持多个SSL ××× 接入,可以为用户提供最大的安全性和通用性。例如,使用同一个××× 网关可以配置一个外部SSL ××× 接入主页来提供远程接入,同时也可以再配置一个内部的接入主页让访客或无线局域网用户接入。
常见的应用之一:远程接入
但是这种方式有一个大问题。把TCP 应用包在SSL 隧道里传输会带来一系列严重的TCP over TCP 的问题。在广域网的连接上,如果有数据包丢失(这在广域网很常见),即使很少,那么SSL 隧道的TCP 和应用的TCP 协议栈都会通
过重发去恢复那个丢失的数据包,这样会带来严重的性能下降。即使没有这个问题,SSL 的加密性能也会大大低于IPSec 在类似硬件平台上的性能。
4 Hillstone SecureConnect ×××
4.1 SSL 实施
Hillstone SecureConnect ××× 是Hillstone 结合传统SSL ××× 和IPSec ××× 的优越性,而开发的新一代SSL ××× 解决方案。
和传统SSL ××× 一样,客户在第一次通过浏览器登录系统时,××× 服务器会通过脚本来自动下载并安装ActiveX 客户端。这个客户端无需配置,而且可以自动升级。
其次,用户第二次登录时除了可以通过网页登录以外,也可以通过××× 客户端直接登录。××× 客户端会自动保存上次登录的服务器信息,包括域名(或IP 地址),端口及用户名。
客户端的设置是在SecureConnect 服务器中心配置的。每个用户在登录后都会被分配一个私网IP 地址,同时,内部的DNS 和WINS 设定也会下发到客户端,这样用户访问的内部域名也可以被正确解析。
同样,路由设置也是在SecureConnect 服务器中心配置并自动下发的。这样客户可以选择只有某些流量通过××× 隧道传送。该路由配置可以十分灵活,例如只有去内网服务器的流量才上××× 隧道,而普通的公网网页浏览仍然走正常通路上网。
加密和认证算法也是在SecureConnect 服务器中心配置并自动下发到客户端的。加密的密钥等信息是在SSL 认证登录的阶段自动协商完成。
4.2 IPSec 数据通道
Hillstone SecureConnect ××× 利用IPSec 的数据通道来传输用户数据。IPSec 无TCP 连接的特性避免了传统在SSL 上建立IP 隧道而引发的TCP-over-TCP 的问题,在高延迟,易丢失的广域网应用时对性能提升大有助益。
IPSec 是建立在IP 隧道的基础上,所以自身对所有IP 应用的兼容性非常好。Hillstone 的所有产品都内建IPSec 硬件加速,相较其他厂家基于软件的SSL 加密方式性能提高1到2个数量级。Hillstone 的硬件加密加速支持所有国际通用的加密认证算法,包括DES 、3DES 、AES 128/192/256 位、MD-5 、SHA-1 等,以及中国国密算法SCB-2。
4.3 基于角色的访问控制
Hillstone 率先引入基于角色的访问控制,可以为用户提供细粒度的访问控制。用户登录后,用户的角色由用户名或其所属的用户组决定。一个用户在不同的情形下可以有不同的用户角色。
根据用户角色,管理员可以通过配置访问策略的方式实现用户对资源的访问控制。访问策略可以是基于用户或用户组的,甚至是基于用户在特定情况下的特
定角色,例如同一用户从公网登录访问时的访问权限会比从内部登录时的权限有较大的限制。
Hillstone 基于角色的访问策略可以支持一系列应用控制
QoS 配置可以支持如下特性
针对IP 的QoS
针对服务的QoS
流量×××及流量控制
保证最小带宽
优先级
标记(与主流厂商兼容)
低延迟
P2P/IM 控制
内容过滤
时间表:允许根据时间表打开或关闭策略
应用安全
4.4 SecureConnect ××× 功能
Hillstone SecureConnect ××× 支持多个用户域。每个用户域可以有自己的认证服务器组。这样不同的用户组可以通过同一个××× 域服务器登录,给××× 接入管理带来了极大的方便。然后服务器根据用户的角色来分配访问权限。
SecureConnect ××× 可以通过微软的Active Directory 、LDAP 、Radius 、本地用户数据库,或通过USB 证书,或二者的组合来认证客户。
Hillstone 的××× 网关同时支持多个SSL ××× 接入,可以为用户提供最大的安全性和通用性。例如,使用同一个××× 网关可以配置一个外部SSL ××× 接入主页来提供远程接入,同时也可以再配置一个内部的接入主页让访客或无线局域网用户接入。
常见的应用之一:远程接入
图5: 远程访问解决方案
Hillstone SecureConnect 是第三代的SSL ××× 解决方案,最适宜远程接入。这个应用案例适用于出差员工接入内网工作。SecureConnect 可以让出差员工接入内网,而且在管理员允许的情况下,访问内网的资源,如同员工在办公室工作一样。企业可以使用已有的Active Directory 或Radius 服务器。
进一步,这种连接可以是双向的,在配置允许的情况下,出差员工的资源(如电脑上的文件等)也可以被内网访问。
常见的应用之二:内网控制
Hillstone SecureConnect 是第三代的SSL ××× 解决方案,最适宜远程接入。这个应用案例适用于出差员工接入内网工作。SecureConnect 可以让出差员工接入内网,而且在管理员允许的情况下,访问内网的资源,如同员工在办公室工作一样。企业可以使用已有的Active Directory 或Radius 服务器。
进一步,这种连接可以是双向的,在配置允许的情况下,出差员工的资源(如电脑上的文件等)也可以被内网访问。
常见的应用之二:内网控制
图6: 内网间控制
有些公司会为访客提供上网接入,但是又不希望开放内网给访客。同时在某些情况下员工又需要通过同一网络接入内网。典型的例子是在会议室内,在Hillstone ××× 网关控制下,客人可以连到Internet,同时内部员工可以通过SecureConnect 接入内网。这种方式也可以应用于无线局域网的例子,为无线网络的应用提供最大的安全性和便利性。
5 结论
Hillstone SecureConnect 是新一代的SSL ××× 解决方案。它使用SSL 启动××× 连接,同时利用IPSec 做数据隧道从而避免了SSL ××× 的性能和兼容性的瓶颈。通过Hillstone 专有的基于角色的访问控制可以实现细粒度的内网访问控制。
Hillstone 的××× 网关结合最新的多核处理器技术,××× 硬件加速,高性能的交换芯片,可以为客户提供高性能、并极具可扩展性的SSL ××× 解决方案。
有些公司会为访客提供上网接入,但是又不希望开放内网给访客。同时在某些情况下员工又需要通过同一网络接入内网。典型的例子是在会议室内,在Hillstone ××× 网关控制下,客人可以连到Internet,同时内部员工可以通过SecureConnect 接入内网。这种方式也可以应用于无线局域网的例子,为无线网络的应用提供最大的安全性和便利性。
5 结论
Hillstone SecureConnect 是新一代的SSL ××× 解决方案。它使用SSL 启动××× 连接,同时利用IPSec 做数据隧道从而避免了SSL ××× 的性能和兼容性的瓶颈。通过Hillstone 专有的基于角色的访问控制可以实现细粒度的内网访问控制。
Hillstone 的××× 网关结合最新的多核处理器技术,××× 硬件加速,高性能的交换芯片,可以为客户提供高性能、并极具可扩展性的SSL ××× 解决方案。
