第1章 WebVPN 概述

在IOS12.4(14)T 中,思科加入了SSL VPN. 在路由器上运行SSL VPN 叫做WEB VPN. 归根结底,思科把VPN3000 集线器的WEBVPN 技术拿到了路由器上来.并且倒入了思科的IOS.

1.1 WEB VPN 对于用户终端的需求:

1.支持SSL 的浏览器(IE,Netscape,Mozilla 或者FireFox)

2.Sum Microsystem Java Runtime( 端口的转发,thin client 特性)

3.可选的E-Mail 客户端:微软的Outlook,Netscape Mail 或者Eudora

1.2 WEB VPN 的限制:

1.支持支SSL v3, 不支持TLS

2.不支持Cisco 安全桌面和CiscoSSL VPN 客户端,所以Router 只能够支持无客户和瘦客户的连接

3.被Macromedia Flash 所调用的URL 不支持安全的检索

1.3 WEB VPN 的优点

当访问WEB VPN 的时候,VPN3000,ASA 和路由器所看到的界面是一样的,所以对于客户来说是不需要额外的技

第2章 WebVPN 的实施

建立WebVPN 的配置不是很复杂,本人通过Cisco2691 的模拟器进行配置实验.

1. 配置AAA,DNS 和证书(必须)

2. 配置WebVPN( 必须)

3. 建立URL 和端口转发题目(可选)

4. 维护,监控WebVPN( 可选)

2.1 必须的配置方法

1. 配置AAA 提供验证客户信息

2. 建立DNS 来解析URL 的名字信息

3. 为路由器获取SSL 证书

2.1.1 AAA 配置

进行SSL VPN 验证的用户信息可以保存在路由器本地(LOCAL), 或者TACACS+和RADIUS 的服务器上.

R1(config)#aaa new-model 开启AAA 功能

R1(config)#aaa authentication login webvpn local 认证采用本地数据库,认证的列表名字为webvpn

R1(config)#username test password test 建立一个本地账户为:test

如果需要保存到认证服务器,需要如下配置:

R1(config)#aaa new-model 开启AAA 功能

R1(config)#aaa authentication login webvpn group radius 认证信息保存到RADIUS 服务器上,认证的列表名字为webvpn

R1(config)#radius-server host 192.168.1.1 key cisco 配置认证服务器

R1(config)#username test password test 建立一个本地账户为:test

2.1.2 DNS 的配置

DNS 的作用:

1.保护SSL 的连接,建立RSA 密钥对(需要一个公钥,才能用派生算法产生一个私钥)

2.解析URL 的名字

配置:

R1(config)#hostname R1 必须

R1(config)#ip domain-name cisco.com 必须

R1(config)#ip name-server 192.168.1.1 让192.168.1.1 解析FQDN

2.1.3 SSL 证书的配置

使用SSL, 启动了WebVPN 的路由器需要一个证书:证书的密钥用于保护用户的桌面和路由器之间的数据. 获得证书的方法:

1. 通过一个CA( 证书颁发机构)获取

2. 自行建立自签发证书

3. 通过CA 获取坛子里面的兄弟已经介绍过了.所以,我着重说明自签发证书

R1(config)#crypto pki trustpoint SSLVPN 指定信任点名字为SSLVPN

R1(ca-trustpoint)#enrollment selfsigned 指定要自签发证书

R1(ca-trustpoint)#subject-name CN=SSLVPN OU=Cisco O=Cisco 配置证书的组件:CN,OU,O

R1(ca-trustpoint)#rsakeypair SSLVPN 1024 指定RSA密钥的标签和建立的签名,以及密钥的模数(SSLVPN 为签名)

R1(config)#crypto pki enroll SSLVPN 生成证书

%Includetherouterserialnumberinthesubjectname?[yes/no]:

*Mar 1 00:14:51.519: %SSH-5-ENABLED: SSH 1.99 has been enabled

*Mar 1 00:14:51.539: %CRYPTO-6-AUTOGEN: Generated new 1024 bit key pair % Please answer 'yes' or 'no'.

%Include the router serial number in the subject name?[yes/no]:

no % Include an IP address in the subject name? [no]: no

Generate Self Signed Router Certificate? [yes/no]: y

Router Self Signed Certificate successfully created

2.1.4 WebVPN 的配置

现在可以建立WEBVPN:

R1(config)#webvpn enable gateway-addr 192.168.1.2 指定192.168.1.2 这个接口接收WEBVPN 的连接,如果路由器开启了HTTPS 的功能,那么必须指定gateway-addr( 其中192.168.1.2 为外网接口IP 地址)

R1(config)#webvpn R1(config-webvpn)#ssl trustpoint SSLVPN 加载一个证书信任点,就是刚才建立的自信任证书

R1(config-webvpn)#ssl encryption 3des-sha1 选择SSL 隧道加密的方式

R1(config-webvpn)#title “Welcome To SSLVPN” 通过认证后的主页标题

R1(config-webvpn)#title-color 标题用的颜色,默认是紫色

R1(config-webvpn)#text-color 标题栏中文本的颜色

R1(config-webvpn)#secondary-color 辅助标题栏的颜色

R1(config-webvpn)#secondary-text-color black 辅助标题文本的颜色

R1(config-webvpn)#login-message “Please enter Name and Password” 用户执行验证的提示语

R1(config-webvpn)#logo file flash:test.gif 显示登陆和主页上的标识图片

R1(config-webvpn)#idle-timeout 1800 SSLVPN 空闲超时时间,默认是1800s

2.1.5 建立URL 和端口转发条目

当用户成功验证后,会进入WebVpn 的主页(叫做入口页面).可以列出用户能够访问的URL 和端口转发的应用程序.默认为空.

2.1.5.1 入口页面URL

R1(config)#webvpn

R1(config-webvpn)#url-list SSLVPN 定义一个URL 列表为SSLVPN

R1(config-webvpn-url)#heading “Access URLs” 出现在主页上URL 的标题

R1(config-webvpn-url)#url-text test url-value 超级连接的文本名字为:test, 真正的连接为:

R1(config-webvpn-url)#exit

2.1.5.2 入口页面端口转发

实际是有点端口重定向的意思,当在客户端的CMD 下输入telnet 127.0.0.1 60002,将会远程登陆到192.168.1.3 上.建议本地的local-port 使用客户端没有采用的端口号. 一般大于60000 就可以了!

R1(config)#webvpn

R1(config-webvpn)#port-forward list ssh local-port 60001 remote-server

192.168.1.3 remote-port 22

R1(config-webvpn)#port-forward list telnet local-port 60002 remote-server

192.168.1.3 remote-port 23

注:WEBVPN 的基本配置就这些,不需要安全桌面.所以,配置起来还是比较方便的果远端客户端太多的话,不要用自发证书.因为会消耗路由器的资源.

2.1.6 维护WEB VPN

查看WebVPN 的会话: Show webvpn session

查看WebVPN 的统计信息: Show webvpn statistics

如

第二篇：ssl-vpn开题报告

华东交通大学理工学院

本科生毕业设计（论文）

开题报告

题 目： SSL-VPN技术

分 院： 电信分院

专 业： 信息与计算科学 班 级： 学 号： 20080210430117 姓 名： 指导教师： 填表日期：月

一。 选题的依据及意义：

目前很多单位和公司都面临诸如此类的挑战，在分公司，客户，公司工作人员之间要求能随时查看使用公司内部的资源，众多企业通过互联网开始办公，这大大强化了企业的效益增长，然后也对企业网的建设提供了更高的要求。SSL-VPN就是解决用户访问敏感公司数据的最简单的安全解决技术。它既能实现企业内部人员对企业资源的访问，而又不会像其他安全技术一样带来过高的成本。在这种背景下，VPN技术越来越受到企业的青睐。近年来，随着internet网络规模的不断扩大和IP技术的迅猛发展，SSL-VPN技术因其简单便捷的特点（无需安装客户端软件，SSL内嵌在浏览器中）。而得到了长足的发展，也深得企业的喜爱。SSL-VPN技术因为其产品价格的低廉，安装程度的简单和加密严格的优点，从产品出生，很快的占据了VPN的市场。成为主流的VPN解决方案。当今的企业所采用的主流VPN解决方案大概有IPSEC,MPLS,SSL等，然而这些技术都有各自的优缺点。 但是实际上，目前企业用的最多的依然是IPSEC-VPN，相比SSL-VPN，它的缺点有些多。 比如解决方案的成本高，比如结构太复杂。需要大量大评价，培训，升级，部署等等。对于企业用户来说，这也是一个不小的负担。大量的企业都认为，IPSEC-VPN的复杂度高，成本高，实施难度巨大。但是为了保持企业的竞争力，消除企业内部的信息孤岛。在企业内部间达到及时又安全的信息传递，因此很多公司都在寻找一种不需改变现有的网络结构，运营成本更低的解决方案。SSL-VPN就满足企业的这种需求。首先，SSL-VPN相比IPSEC-VPN具备更高级别的安全性，这完全符合企业对信息安全的需求。其次SSL-VPN在任何内嵌SSL协议的机器上都能使用，而且无需安装客户端。这大大增强了其便携性。另外相比IPSEC-VPN，SSL-VPN的成本要低得多。这又是其经济性。 伴随这SSL-VPN的逐渐升温，越来越多的企业将会采用这种架构来实现企业内部的信息传递和交流。本文也将对SSL-VPN技术进行深入的研究和剖析，找出其优缺点进行分析。在掌握这些知识的同时也对SSL-VPN有一个更加全面的认识。

二．国内外研究现状及发展趋势（含文献综述）：

SSL VPN技术无论在国内和国外，都属于比较新的技术。由于SSL协议是内嵌在浏览器当中的，应用相当广泛，早就了SSL VPN技术较低的门槛。各个企业都非常看好它的市场前景。

有学者曾针对SSL-VPN的便携性作出了研究，在曾经的一份报告中，他们指出，到20xx年，四分之三的用户将会选择VPN来远程办公，其实新增的绝大多数都会是SSL-VPN。因为它无需安装客户端。同时该公司估计基于SSL-VPN的远程访问规模到06年将超过6亿美元。

伴随着SSL-VPN越来越受到企业的重视，更多的企业都已经采取SSL-VPN的构造来应对企业的远程访问需求。许多国际的厂商都对此进行了投资，如CISCO，NOKIA等国际上的大厂商。这些产品都在基于成熟。

由于中国的地理条件，以及网络的迅速发展中国企业对SSL-VPN的需求也在稳步上升。另外伴随着中国企业在高科技领域的崛起，SSL-VPN在中国的市场高达数以百万计。整个互联网行业对SSL-VPN的需求都十分强烈，金融机构，政府，和教育机构大多部署了SSL-VPN应用。但是从国内的情况来看，国内提供的SSL-VPN产品的厂商还比较少，在企业中还不具备垄断的地位，因此，对于国内的厂商而言，现在切入SSL VPN的市场刚刚好。以免切入太晚，市场已被瓜分，推广难度进一步增大。

综上所述，伴随着web的应用越来越多，以及远程接入的需求越来越大，SSL-VPN的市场也必然将越来越热。但是SSL-VPN也有自身的缺点，在未来的发展道路上，如果避开或者将这些缺点转换成优点则是SSL-VPN能否彻底占据VPN市场成为领头羊的

重要关键所在。

三。本课题研究内容

（一）.VPN的相关介绍。

1.VPN是指虚拟专有网（Virtual Private Network ），是在公用的网络资源上建立的私有网络技术。

2.VPN是远程访问技术，他为异地企业的信息查询提供支持。但是他使用的是公共的网络资源，所以有互联网的地方，就能使用VPN，这是VPN的便携性。

3.VPN相比传统的私有网，可以节省大量的建设费用，因为不比投入大量的人力物力去安装维护这些设备。这是VPN的经济性。

4.VPN依据密码学的原理，采用了加密和身份验证的安全技术，保证了连接用户的可靠性和数据传输的安全性。这是VPN的安全性。

（二）.SSL-VPN的相关特点。

1.由于系统浏览器都内嵌了SSL协议，所以SSL_VPN无需安装客户端，有web浏览器即可使用，这是他的简单性。无需配置，即时安装，即时生效。

2.与传统的VPN技术相比（IPSEC-VPN），SSL-VPN对操作系统版本的要求更低，兼容性更好。

3. 与IPSEC-VPN相比，若是，采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器攻击机会相对就减少。有的厂商如F5公司的产品，可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查，如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等，不符合条件的客户端可以不允许其登录，这样就大大增加了整个系统的安全性。 因此SSL VPN的安全性也更高。

（三）．SSL-VPN涉及的技术背景，综合介绍了SSL协议和各种VPN技术。

（四）．对SSL VPN的安全性进行分析并加以比较，认为SSL-VPN在安全性方面较之其他的VPN技术更胜一筹。

（五）．介绍SSL-VPN的指标测试过程，并且给出测试的结果。

（六）.对全文的总结和SSL-VPN技术的综合论述。

四，本课题研究方案

1、针对现在流行的VPN技术查找相关资料和典型案例；

2、从原理、实现和应用等层次方面分析SSL VPN技术；

3、最好能提出安全解决方案来全面论述SSL VPN技术的应用

4、网络的安全问题是一个动态的问题，对于网络安全具体防范和实施方案也不可能有一个万全之策，要用动态的观点来处理网络的安全问题

五，研究目标、主要特色及工作进度

1、学习掌握SSL-VPN的基本概念和知识，了解SSL-VPN及其架构，明白其工作原理。

2、研究基于SSL协议的VPN的实现原理和关键技术。

3、分析SSL-VPN技术在企业中的具体应用。

4、对SSL-VPN系统的框架结构和模块功能进行设计。有具体的SSL-VPN在内网和子网

的构建方案。

六、参考文献：

1、石炎生等 《计算机网络工程实用教程》第2版电子工业出版社2011

2. CNNIC 中国互联网络发展状况统计报告

3.杨波 《现代密码学》 清华大学出版社2007

4. 谢希仁 《计算机网络》第五版 电子工业出版社2007

5. 胡建伟《网络安全与保密》 西安电子科技大学出版社 2006

6．肖盛文 《计算机网络实用教程》北京邮电大学出版社2010

7. 杨义先 《信息安全新技术》北京邮电大学出版社2002

8．Larry loeb 《安全电子交易》 人民邮电出版社 2001

9. 卿斯汉 《网络安全检测的理论和实践》计算机系统应用2001

10. 冯登国 《信息安全核心理论与实践》国防工业出版社 2000

11.肖遥 《大中型网络入侵要案直击与防御》电子工业出版社 2010

12.（美）海吉 《网络安全技术与解决方案》人民邮电出版社 2010

13.王景新 《网络安全评估》第二版 中国电力出版社 2010

七、指导老师意见：