安徽医学高等专科学校SSL VPN部署纪要

概述

在这个快节奏的时代中，随着工作强度的增加以及社会信息化的发展，使得移动办公、SOHO办公越来越多的成为日常工作的一种重要方式而逐渐为人们所接受。安徽医学高等专科学校（以下简称“安徽医专”）多年来信息化建设快速发展，使现如今的教学和办公方式达到了很高的信息化水平，并且也积淀了丰富的信息化资源。而当前繁重的教学任务让广大师生已不仅仅满足于在校时的工作学习时间，他们希望在不能身处校园的情况下也能够让校园网中的资源得到有效利用，尤其是对于学校的教职员工及领导来说，他们希望在下班后或日常出差的情况下也能得到像在校园网中一样的办公便利。学校正是在这样的时代背景下，提出了远程接入办公的需求。

需求

学校在针对远程接入办公需求具体分析和细化以后，可归纳为一下几点：

• 1. 远程接入的用户在广义上可分为两部分，一部分是接入进来访问学校内部的资源。另一部分接入后再通过校园网出口访问互联网上的资源（这部分需求下面详述）。
• 2. 对于远程接入后访问校园网内部资源的用户，还要细化为具有不同资源访问权限的用户组。具体如下：
  • 用户组A仅能访问校园网中的办公自动化系统；
  • 用户组B仅能访问校园网中FTP服务器；
  • 用户组C仅能访问校园网中的电子图书馆系统；
  • 用户组D对于以上三种资源均可访问；
• 3. 对于远程接入后再通过校园网出口访问互联网资源的用户，学校的解释是这样的：学校师生在日常教学及学术研究中会经常到互联网上的一个站点---“万方数据资源系统”中去查阅相关学术资料。一般来讲互联网上的普通用户在使用该系统之前是需要付费的，然后通过付费后获得的用户名密码登陆使用该系统。而安徽医专作为“万方”的VIP用户，“万方”使用特殊的方式授权其访问：对于源IP地址来自安徽医专的访问数据，“万方”将不做任何限制直接允许其访问。

基于以上因素，安徽医专的师生如果在校园网以外的地方是无法通过互联网直接访问“万方”的资源的。所以学校希望远程用户能首先通过Internet接入校园网，然后再通过校园网出口设备做NAT将数据包重新封装然后转往互联网，这样就能够把远程用户的数据包源地址转换为安徽医专的合法IP，从而到达访问“万方”资源的目的。

实现

实现方式

安徽医专在经过一系列的筛选比较后，最终选择了神州数码网络公司的终结者防火墙DCFW-1800E-2G来实现以上需求。对于学校的远程用户接入需求将使用DCFW-1800E-2G上的SSL VPN功能来实现。

为解决远程用户安全访问私网数据的问题，神州数码终结者系列防火墙提供了基于SSL 的远程登录解决方案。SSL VPN 功能可以通过简单易用的方法实现信息的远程连通。神州数码终结者系列防火墙的SSL VPN 功能包含设备端和客户端两部分。

配置了SSL VPN 功能的防火墙作为设备端，具有以下功能：

• 接受客户端连接；
• 为客户端分配IP 地址、DNS 服务器地址和WINS 服务器地址；
• 进行客户端用户的认证与授权；
• 对数据进行IPSec加密与转发。

用户可以通过浏览器下载终结者系列防火墙SSL VPN 的客户端工具，然后将其安装到PC，连接设备端成功后，用户就可以通过SSL VPN 功能安全的传输数据信息。

实现手段

首先这里要说一下SSL VPN的工作方式，终结者防火墙具备的SSL VPN功能有别与传统的SSL VPN，SSL VPN在VPN链接建立初期的用户身份验证阶段通过SSL来实现，后期的数据传输则采用IPSec加密的方式，所以SSL VPN较传统的SSL VPN具有更高的安全性。下图为安徽医专SSL VPN实现拓扑图：

首先，由于终结者防火墙卓越的性能，安徽医专直接使用DCFW-1800E-2G防火墙代替了原来校园网出口的接入设备，在提升了数据转发能力的同时也让校园网多了一层安全屏障，同时也满足了接入远程用户的需求。

其次来说明一下终结者防火墙使用SSL VPN实现远程用户接入，并对不同权限用户组分而治之的过程。按照安徽医专的需求，远程拨入的SSL VPN用户应当具有5种不同的资源访问权限，我们在防火墙上将创建5个SSL VPN隧道与之对应，每条隧道根据对资源的访问要求不同而分别配置不同的属性。下面以访问内网FTP Server的SSL VPN实现过程为例来说明其实现机制。

• 1. 在SSL VPN客户端与防火墙认证通过时，防火墙从创建好的SSL VPN 地址池中为客户端分配一个IP地址、网关、DNS及WINS等，同时还为客户端下发一条隧道路由，这条隧道路由的目的网段仅包括FTP Server的主机地址。它在SSL VPN客户端上起到的作用就是：仅当客户端访问的目的IP为 校园网FTP Server的IP地址时，才将数据包通过SSL VPN隧道转发往防火墙，除此以外的其他数据包还将通过客户端上的缺省网关正常转发。也就是说SSL VPN客户端可以做到访问校园网FTP Server和上互联网两不耽误。
• 2. 防火墙上还将通过添加安全策略来保证SSL VPN客户端拨入后仅且只能访问内网的FTP Server，虽然理论上来说SSL VPN客户端已不具备到校园网内其他网络的路由，从而已经可以从路由上来断绝其到校园网其他网络的可达性，但有了安全策略的管制无疑进一步增加了对SSL VPN客户端的可控性。

其他几个访问校园网不同资源的SSL VPN实现过程也与以上两点相同，不同的就是对客户端下发的路由及针对不同用户组创建的安全策略上将有所调整。

最后分解一下SSL VPN客户端拨入防火墙后，再通过防火墙做地址转换重新封装然后访问“万方数据资源系统”的过程。

• 1. 在为SSL VPN客户端下发隧道路由时，目的网段采用的是万方资源服务器所使用的合法IP网段，这样客户端在访问“万方数据资源系统”时首先将把数据包通过SSL VPN隧道转发往防火墙。
• 2. 防火墙在对SSL VPN数据包解密后将根据数据包的目的IP择路转发，通过查找路由表，这部分数据将从防火墙外网接口转发往互联网。
• 3. 为SSL VPN客户端地址池所在网段访问Internet创建源NAT策略。上一步在将数据包转发出外网口之前，防火墙要检查是否有与之匹配的源NAT策略，发现匹配的源NAT策略后防火墙将依据源NAT策略对数据包重新封装，于是数据包的源地址就变为防火墙外网口的合法IP，接下来SSL VPN客户端就可以不受限制的访问“万方数据资源系统”。

后记

神州数码DCFW-1800E-2G防火墙是一款高性能、高性价比的多核防火墙，其最大并发连接数可以达到200万，网络吞吐量可以达到2Gbps，这也是安徽医专敢于放心的用它作为校园网接入设备的原因之一。而该项目中终结者防火墙的突出优势在于：凭借其先进的多核处理架构和64位安全操作系统，使得该防火墙对于IPSec VPN的吞出量也能够达到惊人的2Gbps，且对于SSL VPN的接入数量最高可达到1000个。

神州数码的终结者防火墙正是以其强劲的性能、性价比优势以及优秀的解决方案，赢得我校教职工的高度好评，同时也将安徽医专的信息化水平推上了新的高度。