本应用解决方案使用了航天江南SJJ1968-G SSL VPN安全网关,能够提供应用层、网络层和链路层三种工作模式下的安全防护。
在应用层模式下,本方案使用国密SSL协议,对用户数据的完整性和私密性进行保护,对于B/S应用,即移动用户接入并访问B/S结构的应用系统,由于国密浏览器已经支持了完整的国密SSL协议,用户无需安装客户端软件,部署使用简单、高效。对于C/S应用,只需要安装客户端插件或者在应用中集成SDK接口,就能实现国密安全性保护。
在网络层模式下,本方案部署后,SSL VPN安全网关从虚拟网卡上收到的是不含物理帧头IP数据包,SSL处理模块对IP包进行国密SSL封装,实现用户数据的完整性和私密性。
在链路层模式下,本方案部署后,SSL VPN安全网关从虚拟网卡上收到的是包含物理帧头的数据包,SSL处理模块对整个物理帧进行国密SSL封装,链路层模式称为网桥模式,整个虚拟的网络就像网桥方式连接的物理网络,这种模式可以传输以太网帧、IPX、NETBIOS等数据包,应用范围更广。
一、实施背景
随着党政机关业务范围、企业组织规模的扩大,面向各种业务的应用系统不断增多,外部访问者也越来越多,需要直接将内部应用系统的服务映射到公网,供外部人员访问,在此过程中,如果在客户端到服务端之间传输报文为非国密加密或明文,容易被截获破解,造成信息泄露的风险,因此需要一个简单、经济、高效、可靠的方案来解决上述问题。
二、实施目标
基于SJJ1968-G SSL VPN安全网关构建“航天江南安全网关移动办公应用解决方案”,利用国密SSL协议和安全隧道技术,通过Internet等公共互联网的基础设施为用户提供与专用网络一样的安全和功能保障,建立一种安全可靠的远程接入访问机制,防止内部核心应用系统的数据泄密,保护组织信息安全。为远程访问应用系统提供高效的数据加密机制、丰富多样的身份认证手段、全面的接入安全检查、完整的日志审计。
三、建设内容
本案例支持以下三种场景
(1)Web应用远程访问控制
因为SSL本来就是B/S结构的,它主要就是针对Web安全应用而开发的。所以Web应用远程访问控制是SSL VPN的主要功能。在Web应用方面,除了常见的Web服务器访问外,还可以进行像Web方式的电子邮件访问和基于FTTP协议的FTP服务器访问等。对于党政办公和企业来说,电子邮件通信是一个很基本的功能。本应用解决方案提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSL VPN建立的国密安全通道来收发邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。
(2)内部网络访问
即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。本方案可以让企业员工在任何地方,只需要能接入Internet公网,就能实现对内部特定资源的访问。
(3)网络资源访问保护
为了提高工作效率和加强合作,党政办公或企业通常会对特定用户或特定人员开放内部站点和网络资源。考虑到党政信息系统和企业信息的保密性,如何能保证只有指定用户才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成了必须解决的问题。本解决方案使用SJJ1968-G SSL VPN安全网关能够对最终用户进行访问限制,即只允许特定用户或特定人员访问内部网络中的制定资源,通过配置,甚至可以限制某一个用户或人员只能访问站点中的某些页面和文件夹,并且不需要使用者修改使用者防火墙的安全策略,只要用户或人员能够访问Internet即可。
针对应用层、网络层和链路层三种工作模式的具体说明如下:
(1)应用层方案
采用SSL协议和国密算法,通过端口代理的方法(根据应用协议的类型(如http,telnet等)做相应的端口代理),客户端与代理服务器之间建立SSL安全连接,客户端与应用服务器之间的所有数据传输通过代理服务器转发。在应用中SSL VPN将应用服务器隔离在一个独立的网段,应用客户端不与SSL VPN建立安全链接,就无法访问应用系统。为了建立安全链接,应用客户端用户一般只要安装国密浏览器即可通过SSL VPN建立加密安全链接,实现客户端和服务器之间数据传输安全和用户身份的有效认证。常应用于B/S的网络架构,实现浏览器与WEB服务器之间的安全传输和身份认证。
(2)链路和网络层方案
应用层SSL实现方式应用范围相对较窄,仅适用于用TCP固定端口进行通信的应用系统,链路/网络层方案扩展了应用领域,并且防火墙上只需开放TCP或UDP协议的一个端口。
发送数据流程:应用层的外出数据,经过系统调用接口传入核心TCP/IP层做处理,在TCP/IP经过路由到虚拟网卡,虚拟网卡的网卡驱动发送处理程序将数据包加入表并完成数据包从核心区到用户区的复制,SSL VPN调用虚拟网卡的字符处理程序,读取到设备上的数据包,对读取的数据包使用SSL协议做封装处理后,通过socket系统调用发送出去。
接收数据流程:物理网卡接收数据包,经过核心TCP/IP上传到SSL VPN,SSL VPN通过socket读取函数接收数据包,使用SSL协议进行解包处理,经过处理的数据包SSL VPN调用虚拟网卡的字符处理程序写入虚拟网卡的字符设备,设备驱动程序完成数据从用户区到核心区的复制,并将数据写链表,然后调用网卡接收程序,数据包再次进入系统TCP/IP协议栈,传到上层应用程序。
四、实施效果
应用本解决方案后,用户能够安全、方便的远程访问内网中特定的资源。
(1)用户在B/S架构下,希望安全地连接到公司网络时,在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提过一个远程用户域各种不同的应用服务器之间连接。SSL VPN网关的作用就是代理Web页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
(2)对于TCP应用的实现是通过在客户端安装控件或者在终端系统上运行一个非常小的插件程序作为端口转发器,由控件或者端口转发器抓取访问服务器的数据并对数据进行封装,将普通的TCP连接转换成国密SSL协议数据。当数据包进入这个端口时,它们通过国密SSL连接中的隧道,被送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。
(3)如果用户要任意访问一个内部服务器的任意协议、端口,通过本解决方案。只需要在终端上安装一个SSL客户端工具,移动端用户安装相应的客户端APP,用户运行SSL VPN客户端工具后,在终端和SSL VPN之间形成一个虚拟局域网,SSL服务器收到客户端的连接请求后,使用国密SM2算法验证用户身份,确认当前是合法用户,完成建立HTTPS会话。后续将客户端发出的IP包封装至新的SSL会话中,通过互联网传送到服务器,SSL服务器收到数据后,使用国密SM4算法进行解密后,根据目的IP转发到相应的地址。
本方案中用到了信创SSL VPN安全网关,采用了国密算法,其中PC用户端需要用到国密浏览器与安全网关进行通信,SSL VPN安全网关与龙芯、奇安信等主流国密浏览器进行了适配。同时具有安装部署简单、真正端到端安全、良好的扩展性、访问控制的多样性、可靠的安全设计、兼容性好等特点,已在扬州市委、珠海市政数局等单位得到了成功应用。
与本案例相关的知识产权情况如下:
1)发明专利,一种基于PCIe104接口的密码卡(实质审查中)(申请号:201810811934.1)
2)实用新型,一种基于PCIe104接口的密码卡(专利号:ZL 2018 21172165.7)
3)软著,IPSec VPN安全网关嵌入式软件(登记号:2020SR1240384)
4)软著,SSL VPN安全网关嵌入式软件(登记号:2020SR1239983)