开放安全策略之 - SSL VPN

前言

防火墙支持IPSec VPN、L2TP VPN、GRE、SSL VPN等多种VPN业务，下面分别介绍典型VPN场景的安全策略的配置方法。如果VPN业务使用服务器认证，还需要开放防火墙与服务器之间的安全策略。

本文主要介绍如何为SSL VPN开放安全策略

SSL VPN支持的典型业务包括Web代理、端口转发、文件共享和网络扩展。

1、Web代理、端口转发、文件共享

Web代理、端口转发、文件共享三种业务的交互流程类似。移动办公用户首先通过HTTPS登录防火墙上的虚拟网关，然后浏览并访问业务资源。防火墙作为业务代理，通过HTTP、TCP、SMB/NFS协议跟服务器交互。

图 ·1 Web代理、端口转发、文件共享业务交互流程

因此，首先要允许移动办公用户通过HTTPS从公网访问虚拟网关，然后开放防火墙到内网业务资源之间的业务访问。

表 1 安全策略示例-Web代理、端口转发、文件共享

2、网络扩展

移动办公用户首先需要通过HTTPS登录虚拟网关，并启用网络扩展功能。启动网络扩展功能以后，移动办公设备与虚拟网关之间会建立一条SSL VPN隧道，移动办公设备从虚拟网关地址池中获得一个私网IP地址，用于访问内网资源。移动办公用户的访问请求被封装在SSL中，发送到虚拟网关。

虚拟网关解封装以后，再查找路由和安全策略，发送给服务器端。根据客户端的配置，SSL VPN隧道有两种：

• 可靠传输模式：使用TCP作为传输协议，SSL作为封装协议，即TCP 443端口。
• 快速传输模式：使用UDP作为传输协议，SSL作为封装协议，即UDP 443端口。

图 2 以可靠传输模式为例，简单示意了网络扩展业务的报文处理过程，其中报文结构为发送方向。

图 2 网络扩展业务交互流程

因此，首先要允许移动办公用户通过HTTPS登录虚拟网关，建立SSL隧道。根据客户端配置，SSL隧道可能使用TCP 443端口或者UDP 443端口。然后，允许解封装之后的报文访问服务器。

表 2 安全策略示例-网络扩展

需要特别注意的是，在不同产品中，网络扩展业务内层报文的源安全区域有不同的判断原则。