基于网络准入控制系统的SSLVPN平台设计与实现

徐 巍， 张 莉

（中海信息系统有限公司，上海200120）

0 引 言

随着网络技术不断发展，企业联网已从一个本地网络发展到跨地区、跨城市甚是跨国的网络。其中各种网络的应用，在给企业带来便捷高效的收益的同时，也带来了安全管理和安全通讯的问题。为解决网络安全应用问题，安全套接层（Secure Sockets Layer，SSL）虚拟专用网（Virt ual Private Net wor k，VPN）技术应运而生，其是远程用户访问敏感公司数据最简单、最安全的解决技术。与复杂的网际协议安全（Inter net Pr otocol Security，IPSec）VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，无需像传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等）需要与公司机密信息相连接的用户而言至关重要。

然而，用户计算设备很容易在外部感染病毒或蠕虫，当其重新接入企业网络的时候，会将病毒等恶意代码在不经意间带入企业环境。通过网络准入控制技术，能够在用户访问网络之前确保其身份是信任关系，允许其进入网络，并进一步对用户终端电脑的运行环境进行基于相关策略的安全检查。

1 需求分析

SSL VPN解决方案包含了可靠的终端安全方法，以便在SSL VPN用户进程结束之后彻底删除历史文件、临时文件、高速缓存、cookie、电子邮件附件、自动填写的密码及其他下载数据。开放与保护只有达到平衡，才能既发挥SSL VPN的灵活性，又不会降低公司资源的保密性。利用SSL VPN，各公司可以安全地将企业网扩展到任何授权用户，因此用户可以利用标准Web浏览器从提供互联网连接的任何地方建立与公司资源的远程访问连接。利用Web浏览器及其本地的SSL加密，用户可以从非公司拥有的机器（如家用pc、互联网信息亭或无线热点）接入企业网，通常IT部门不能在这些地点方便地为ISPec VPN连接部署与管理VPN客户端软件。在应用访问要求受限的地方，SSL VPN不需要使用预装VPN客户端软件，管理员可以对Web站点与公司应用提供定制的用户门户与精确的访问控制。

通过网络准入控制（Net wor k Access Control，NAC）系统对个人终端设备进行“状态”检查。终端NAC代理（CTA）可以从多个安全软件客户端（如防病毒客户端）搜集安全状态信息，并将这些信息发送到相连的、制定访问控制决策的企业网络。应用和操作系统的状态（如防病毒和操作系统补丁等级或身份证明）可以用于制定相应的网络准入决策。

1.控制范围大。其能够检测主机用于与网络连接的所有接入方法，包括园区网交换、无线接入、路由器WAN链路、SSL远程接入。

2.利用网络和防病毒投资。NAC将网络基础设施中的现有投资与防病毒技术结合在一起，对终端准入进行主机健康检查。

3.控制力度强。通常采用网络层面上的隔离、修复区方法，在终端接入网络访问业务数据之前就可以进行相应的控制。

2 SSL VPN平台结构设计

结合网络准入控制系统SSL VPN用户通过VPN拨入后，所有流量均先导入安全准入服务器（Clean Access Ser ver，CAS）的Untr ust端口（eth1），经CAS认证后，从Tr usted端口（et h0）接回内网。所有对用户流量的控制和管理在CAS上实现。安全准入控制器（Clean Access Manager，CAM）为CAS的管理设备。

NAC系统采用Layer 3 In－Band的部署方式。在核心交换机上设置静态路由，将所有至内网的路由指向CAS eth1端口。在核心交换机上设置静态路由，将所有至VPN接入用户网段的路由指向CAS eth0端口。规划用户权限级别。用户登录时，认证信息统一发至后台RADIUS服务器，根据认证成功后的返回值，形成用户名与用户权限级别的对应关系，实现对用户流量的控制。

采用NAC方案后，将实现以下功能：

1.用户认证统一采用RADIUS服务器认证的方式。

2.设定访问级别，根据用户名分配不同权限给VPN接入用户，使之只能访问特定的内网资源。

3.对VPN用户的接入信息进行记录，方便管理查询。

3 基于网络准入控制系统的SSL VPN平台搭建

3.1 SSL VPN系统实施

在ASA防火墙上，实施SSL VPN服务端配置，允许用户远程接入SSL VPN系统，访问企业内部网络。

3.2 网络准入控制系统实施

在互联网的出口处部署两台500多节点的CAS，这两台CAS做Failover，通过逻辑的In－Band方式接入，CAS的Untr usted接口接入到三层交换机上，Tr usted接口接入到Cisco Catalyst 6509上，In－Band采用Real－IP Gateway 方式实现。

图1 网络准入控制系统架构图

步骤一：启动IE，输入CA M 的Eth0地址（https：／／10.18.250.121／ad min），输入CA M 的访问用户名和密码。Ad min User Na me：ad min；Pass wor d：cisco123＞Login

步骤二：将CAS加入到CA M中进行管理。VPN接入采用Real－IP Gateway（In－band模式）

步骤三：VPN方式要求启用Enable L3 Support特性。

步骤四：添加静态路由。

步骤五：添加一个“VPN”User Roles角色。

User Management＞User Roles＞New Role

步骤六：为“VPN”角色分配权限。

［User Management］＞ ［ User Roles］＞ ［ Add Policy］＞在categor y中选择TCP

步骤七：设置CAA代理登录的要求。

3 结 语

SSL VPN平台为用户提供了灵活、高效、安全的远程接入手段，并通过网络准入控制系统对用户个人终端设备进行了“状态”检查，制定访问控制决策接入企业网络。随着网络准入控制在技术上发展不断成熟，越来越多新技术的将与应用相结合，给个人及企业用户带来商业、生活上的便利，配合不断普及的无线技术，真正做到随时随地安全访问网络。

［1］ 寻大勇.SSL VPN网络安全技术的应用研究［J］.通信技术，2009（1）：248－249.

［2］ 王厚涛.SSL VPN安全技术研究及改进［D］.北京：北京邮电大学，2011.

［3］ 郭铃，李伟生.SSL VPN的设计与实现［J］.计算机技术与发展，2007（8）：148－150.

［4］ 欧阳长春.身份认证与访问控制技术在SSL VPN的应用研究［D］.武汉：华中科技大学，2006.