网络设备硬核技术内幕 防火墙与安全网关篇 (十一) 零接触办公的奥秘 上

2022-07-27 21:30:49 浏览数 (3)

一切都要从那只万恶的蝙蝠/穿山甲/果子狸说起……

车轱辘话,划掉。

早在十几年前,远程办公的概念就已经兴起,而直到最近,席卷半个地球的公共卫生危机才让远程办公真正火了一把。

华山派期望内部弟子们在家修行时也可以连接到内部网络,但内部网络和弟子们家中网络之间隔着互联网,实现远程办公需要解决两个问题:

  1. 用户如何用公司内网地址,跨越互联网和公司网络互通?
  2. 怎么样保证中间的流量是安全的,不被监听?

当岳不群向令狐冲提出这两个问题的时候,一边的林平之立即插嘴:“师傅,我来解决!”

岳不群本来不信任林平之,但林平之平时经常歌颂师娘的优美感,师娘发话了:“这一次,就让小林子试试看吧!”

林平之得到信任,开始动手指定方案——

由于华山派在全球各地开设了多个分舵,华山派总舵出口防火墙早就具备了IPSec功能,通过加密隧道与分舵互通。

林平之想,我们把每个弟子家都当做一个分舵,通过IPSec的方式和总部连接,不就行了吗?

与林平之交好的劳德诺第一个跳出来嘲笑林平之了:

“你要知道,弟子家中的路由器一般都是TP-Link的百元机,如何做到支持IPSec?”

林平之翻了翻白眼,道:

“我华山派可以将支持IPSec的设备借给弟子远程使用……”

劳德诺不再插话,等着看林平之笑话。

果然,林平之的方案在部分弟子家里可以正常工作,但另外一些弟子则完全无法建立IPSec连接……

这是因为,运营商为企业用户提供的是有效的全球单播IP地址 (Global Unicast Address),但对于家庭宽带用户,并没有义务提供全球单播地址。在实践中,运营商会通过CGN (Carriger Grade NAT)的方式,为用户提供100.64.0.0-100.127.255.255的网段,经过NAT转换后进入公网。

好,到这里,我们知道原因了——

IPSec既不是基于UDP的,也不是基于TCP的,它需要IP端到端的连通性,任何NAT的存在,都有可能导致IPSec不可用,或需要在NAT设备上进行非常特殊的配置。显然,CGN设备不可能支持IPSec穿越——因此,IPSec方案对于远程办公是不可行的。

让我们梳理一遍以上的逻辑,我们会发现,IPSec无法用于远程办公的本质原因是,个人用户无法保证拥有公网的全球单播IP地址。那么,什么样的通信方式可以满足以下的需求:

  1. 一端无需拥有全球单播IP地址;
  2. 通信是安全的,有认证/鉴权/加密功能;

答案就呼之欲出了——使用SSL/HTTPS。

这就是SSL VPN。

前面,我们已经提到了,LB设备具备SSL连接终结能力,也就是说,它可以实现SSL/HTTPS的加解密/认证/鉴权,那么,只需要对LB设备做一些修改,就能造出支持SSL/HTTPS的VPN设备!

说时迟,那时快,令狐冲已经拿着改造好的SSL VPN设备进行测试了,测试组网如下:

如图,数据中心服务器的地址是10.100.100.10,SSL VPN用户接入公司网络后,分配到的地址是10.100.200.100。

用户访问内网VM的流:10.100.200.100:31233->10.100.100.10:443

被封装在从用户到VPN网关的VPN隧道中穿越Internet。

由于从用户到VPN网关隧道之间经过了2次NAT,隧道的源IP和源端口做了两次转换(192.168.1.101:13763转换为100.64.123.213:12580; 100.64.123.213:12580转换为123.118.108.217:51167),但由于NAT的机制保证了基于HTTPS的隧道能够正常工作。

这样,无论用户从何处接入,SSL VPN都可以保证远程的安全访问啦!

但,令狐冲没有想到,更多的挑战还在后面……

1 人点赞