基于ASA防火墙实现的SSL-VPN实验仿真

黄 辉, 张纯容

(1. 温州大学, 浙江 温州 325035; 2. 成都航空职业技术学院, 四川 成都 610100)



基于ASA防火墙实现的SSL-VPN实验仿真

黄 辉1, 张纯容2

(1. 温州大学, 浙江 温州 325035; 2. 成都航空职业技术学院, 四川 成都 610100)

SSL-VPN是当前使用非常广泛的VPN技术，也是应用型网络工程人才必须掌握的技术。SSL-VPN通常基于防火墙实现。然而许多高校由于受到没有硬件防火墙等条件限制，不能开设该实验内容。本文根据工程中SSL-VPN的典型应用设计了SSL-VPN实验方案，并基于GNS3与VMware版ASA模拟器实现了无客户端SSL-VPN实验仿真，可以有效的培养学生SSL-VPN部署实施专业技能。

SSL-VPN； 无客户端SSL-VPN； VMware版ASA模拟器

0 引 言

SSL虚拟专用网(Security Socket Layer Virtual Private Network，SSL-VPN)是一种用户通过WEB浏览器或专用客户端实现安全访问企业内部资源的远程访问技术[1]。SSL协议是位于TCP之上的协议，具有数字证书身份验证，数据加密等安全手段[2-3]。相对于其它VPN技术而言，SSL-VPN由于以下特点更适合于远程移动用户安全连接到企业内网中：

(1) 用户使用简单。SSL-VPN支持无客户端方式，用户不需要专用的客户端软件，只需要通过浏览器就可以访问内网资源；

(2) 提供更细的访问控制。用户可以同时接入Internet和访问内网资源，并且可以根据用户的不同身份授予不同的权限，用户只能访问授权的内部资源；

(3) SSL协议建于传输层协议TCP之上可以穿越NAT和防火墙设备[4]。

本文结合工程中SSL-VPN的典型应用方案设计了远程移动用户使用SSL-VPN访问企业内网资源的实验方案，并基于GNS3与VMware版ASA模拟器实现无客户端SSL-VPN实验仿真，验证了方案的可行性。

1 SSL-VPN典型部署方案

路由器、防火墙平台都可以支持SSL-VPN，但通常采用防火墙做SSL-VPN网关，其部署部署实施方案主要有以下几种。

1.1 SSL-VPN部署在网络出口防火墙

当前绝大部分防火墙都集成有SSL-VPN功能，因此可以把SSL-VPN直接部署在网络出口防火墙上[5]，防火墙只需要开放外网到防火墙外网口的HTTPS服务端口(即443口)。其网络拓扑如图1所示。

该部署方案不需要网络增加额外的VPN设备，网络管理简单，是目前使用非常广泛 的一种方案。然而由于防火墙自身的HTTPS服务端口直接被外网主机访问，因此增大了防火墙被攻击的概率。

图1 SSL-VPN部署在网络出口防火墙

1.2 SSL-VPN部署在内部网络中

该部署方案需要在内部网络中增加一台SSL-VPN设备，SSL-VPN设备位于网络出口防火墙之后。其网络拓扑如图2所示。

该方案在实施时需要在网络出口防火墙上需要开放HTTPS服务端口。由于出口防火墙不能识别SSL-VPN安全隧道里的加密数据流是否是恶意流量，为了保证安全，SSL-VPN设备通常还需承担一部分防火墙的功能。该方案最大的缺点是如果SSL VPN网关被攻破后，内网用户将受到极大的安全威胁。

图2 SSL-VPN部署在内部网络中

1.3 SSL-VPN部署在DMZ区域中

该部署方案需要在非军事化区域(Demilitarized Zone,DMZ)中增加一台SSL-VPN设备[6]。其网络拓扑如图3所示。

该方案在实施时也需要在网络出口防火墙上开放HTTPS服务端口。由于SSL-VPN网关放置在DMZ区域，因此即使SSL-VPN网关被攻破，也可以避免整个内部网络瘫痪[7]。

图3 SSL-VPN部署在DMZ区域中

2 SSL-VPN实验设计

为了模拟实际工程SSL-VPN的部署，本文设计了如图4所示的实验环境。网络部署要求为：

(1) 企业网络只申请到一个公有地址，该地址分配给防火墙的外网口，内网所有主机使用私有地址，并采用PAT实现内部网络与Internet之间的访问。

(2) 内网可以访问Internet与DMZ区域服务，企业外网访问DMZ区域公共服务器提供的相应服务，其余的访问流量均不允许。

(3) 在防火墙“ASA”上部署SSL-VPN，使得企业移动用户可以通过Internet访问内部服务器。使用SSL-VPN，用户“user01”可以访问内部网站“Web1”，用户“admin01”可以访问内部网站 “Web1”、“Web2”以及FTP站点“FTP”。

图4 SSL-VPN实验拓扑

3 实验仿真环境搭建

基于GNS3与VMware版ASA模拟器构建的SSL-VPN实验拓扑如图5所示。为构建该环境 ，需要使用仿真软件 “VMware workstation”[8]、“GNS3”[9]、“VMware版ASA模拟器”、“虚拟通道软件(Named Pipe TCP Proxy,NPTP)”、内部测试服务器的操作系统镜像文件、测试主机的操作系统镜像文件以及GNS3中路由器所需IOS文件[10]。本文使用的VMware版ASA模拟器的操作系统为8.4(2)。

仿真实验环境中各连接端口及其参数规划如表1所示。

图5 GNS3中模拟实验环境

3.1 VMware Workstation的配置

根据表1的规划， 首先在VMware中添加5张虚拟网卡，并分别命名为“VMnet1”、“VMnet2”、 “VMnet3”、“VMnet4”与“VMnet5”，每张虚拟网卡类型均为“仅主机模式”。

然后，在VMware中建立3台虚拟机：一台是ASA模拟器，并为ASA防火墙虚拟机定义三个网络适配器，网络适配器1定义到虚拟网卡“VMnet1”上，网络适配器2定义到虚拟网卡“VMnet2上”，网络适配器3定义到虚拟网卡“VMnet3”上；一台用来模拟主机“HOSTA”， 网络适配器定义到虚拟网卡“VMnet5”；一台模拟内部三个服务器，网络适配器定义到虚拟网卡“VMnet4”上，其操作系统平台为Windows server或linux等网络操作系统，并在该虚拟机上采用基于IP地址的虚拟主机方式构建出两个WEB站点与一个FTP站点。

3.2 GNS3中模拟环境的搭建

首先，在GNS3中拖入如图5所示拓扑所需的设备图标。为图中的云设备(充当ASA)顺序添加虚拟网卡“VMnet1” “VMnet2”与“VMnet3”；为主机“WEB1/WEB2/FTP”添加虚拟网卡“VMnet4”；为主机“HOSTA” 添加虚拟网卡“VMnet5”。

然后，选择合适的线缆根据图5所示的连接端口将设备连接起来。在连接防火墙“ASA1”时，防火墙“ASA1”的第1张虚拟网卡对应G0端口，第2张虚拟网卡对应G1端口，第3张虚拟网卡对应G3端口。

4 无客户端SSL-VPN的配置

首先，根据实验部署要求完成路由器“ISP”接口、防火墙接口、防火墙默认路由、防火墙规则以及NAT的配置。

接着，在防火墙上完成无客户端SSL-VPN的配置，其关键步骤包括：① 放行外网到防火墙外网口的HTTPS服务流量；② 在防火墙外网口上启用SSL-VPN；③ 配置书签(bookmark)，创建用于 WebVPN 访问的服务器或URL 的列表；④ 配置组策略；⑤ 创建SSL-VPN用户；⑥ 定义隧道组。

上述配置步骤中书签的配置只支持在图形界面ASDM(Cisco Adaptive Security Device Manager)中配置，不支持命令行配置，而其它配置步骤既可以使用ASDM也可以使用命令行完成。

(1) 放行到ASA1外网口的HTTPS流量。

ASA1(config)#access-list sslvpn extended permit tcp any host 202.33.4.2 eq 443

ASA1(config)#access-group sslvpn in interface outside

(2) 在ASA1外网口上启用。

SSL-VPN

ASA1(config)#webvpn

ASA1(config)#enable outside

(3) 配置组策略。

ASA1(config)#group-policy clientless-vpn-admin internal

ASA1(config)#group-policy clientless-vpn-admin attributes

ASA1(config-group-policy)#vpn-tunnel-protocol ssl-clientless

ASA1(config-group-policy)#webvpn

ASA1(config-group-webvpn)#url-list value admin-inside-server

ASA1(config)#group-policy clientless-vpn-user internal

ASA1(config)#group-policy clientless-vpn-user attributes

ASA1(config-group-policy)#vpn-tunnel-protocol ssl-clientless

ASA1(config-group-policy)#webvpn

ASA1(config-group-webvpn)#url-list value user-inside-server

(4) 创建SSL-VPN用户。

ASA1(config-if)#username admin01 password Chengdu

ASA1(config-if)#username admin01 atrributes

ASA1(config-username)#vpn-group-policy clientless-vpn-admin

ASA1(config)#username user01 password chengdu

ASA1(config-if)#username user01 atrributes

ASA1(config-username)#vpn-group-policy clientless-vpn-user

(5) 定义隧道组。

ASA1(config)#tunnel-group ssl-vpn-admin type remote-access

ASA1(config)# tunnel-group ssl-vpn-admin general-attributes

ASA1(config-tunnel-general)#default-group-policy clientless-vpn-admin

ASA1(config)#tunnel-group ssl-vpn-user type remote-access

ASA1(config)#tunnel-group ssl-vpn-user general-attributes

ASA1(config-tunnel-general)#default-group-policy clientless-vpn-user

5 实验测试

完成了无客户端SSL-VPN的配置后，在主机HOSTA的浏览器中输入“https:// 202.33.4.2”，显示登录界面。

分别使用用户 “user01”与“admin01”进行登录测试，由于对两个用户指定了不同的安全策略，用户登录后可访问的内部资源也就不同。用户“user01”登录后可访问的内部资源列表用户“admin01”登录后可访问的内部资源列表。

6 结 语

SSL-VPN是当前主流的VPN技术之一，部署SSL-VPN是应用型网络人才必备技能。学生的SSL-VPN的部署实施能力必须通过相应实验来培养，但该实验环境需要的设备多，需要路由器、防火墙、交换机以及多台主机，并且网络设备价格昂贵、操作系统版本更新快，因此许多高校并没有足够的真实设备来搭建该实验环境。

随着仿真技术的不断发展，虚拟出来的设备已基本能实现真实设备功能，本文使用仿真软件GNS3与VMware版ASA模拟器等构建网络环境可以有效完成SSL-VPN仿真实验及测试，为教学提供了极大的方便[11-15]。

[1] Jazib Frahim,Qiang Huang. SSL与远程接入VPN[M]. 王 喆、罗进文、白 帆,译.北京：人民邮件出版社，2009:7.

[2] 葛苏慧，王 敏.SSL VPN技术在校园网中的应用[J].广西大学学报(自然科学版)，2011，36(1)：155-159.

[3] 周敬和，曾海鹏. SSL VPN服务器关键技术研究[J]. 计算机工程与科学，2005，27(6): 7.

[4] 何亚辉. 基于SSL协议的VPN技术研究及在校园网中的应用[J]. 重庆理工大学学报，2011，25(2):88-89.

[5] 马淑文.SSL VPN技术在校园网中的应用与研究 [J] . 计算机工程与设计，2007，28(21):5137.

[6] 别 牧，赵 毅，袁 柱. SSL VPN及其基于校园网络的应用[J].重庆工学院，2006 (20):112.

[7] 罗 俊.SSL VPN的几种典型部署场景分析[J].信息安全与通信保密，2008(10):33-34.

[8] 陈建锐,何增颖.基于虚拟机的VPN实验环境构建[J].实验室研究与探索，2010，29(1) : 59.

[9] 顾春峰，李伟斌，兰秀风. 基于VMware、GNS3实现虚拟网络实验室[J] .实验室研究与探索，2012，31(1): 73.

[10] 刘东霖. SSL VPN技术研究及仿真分析[J] .现代电子技术，2013，36(13): p103.

[11] 舒云星，郑卫东．基于Vmware的虚拟计算机实验系统[J]．实验室研究与探索,2006，25(9) : 1086-1088．.

[12] 王丽娜，刘 炎，何 军.基于IPSec和GRE的VPN实验仿真[J] ．实验室研究与探索,2013，32(9): 70.

[13] 吴志周，储 浩，严作人.基于VPN的网上仿真实验平台的研究与实践[J] ．实验室研究与探索,2007，26(1): 62-64.

[14] 庄小妹.VPN实验教学的设计与实现[J] ．安徽电子信息职业技术学院学报,2014，13(6):22-23.

[15] 王丽娜，刘 炎.BGP/MPLS VPN中CE接入Internet仿真[J] ．实验室研究与探索,2014，33(3): 78.

Simulation of the SSL-VPN Experiment Based on ASA Firewall

HUANGHui1,ZHANGChun-rong2

(1. Wenzhou University, Wenzhou 325035, China; 2. Chengdu Aeronautic Polytechnic， Chengdu 610100, China)

SSL-VPN is a widely used VPN technology，it is also the technology that professional expertise of network engineers must master. SSL-VPN is usually based on firewall. However, many colleges and universities can’t complete the experiment content due to restriction that there is no hardware firewall. The authors designed SSL-VPN experiment scheme according to the typical application in the project of SSL-VPN, and based on the GNS3 and ASA simulator we realized non client SSL-VPN simulation. The scheme was effectively implemented in training the students' skills of SSL-VPN deployment.

SSL-VPN; clientless SSL-VPN; ASA simulator

2015-07-13

浙江省2013年高等教育教学改革项目(jg2013156)和成都航空职业技术学院教育教学科研项目(061458J)

黄 辉(1982-),男，浙江衢县人，硕士，实验师，研究方向为计算机网络。Tel.：15858701750; E-mail:89988485@qq.com

张纯容(1973-)，女，四川巴中人，硕士，副教授，研究方向为计算机网络。

Tel.：18190897887; E-mail：289302109@qq.com。

TP 393.08; G 642.0

A

1006-7167(2015)11-0111-03