浅谈基于OpenVPN的企业远程安全访问方案设计
[摘 要] BYOD应用已深入我们的工作和生活,企业基于网络的数字化应用也越来越多,降低成本,用开源软件安全便捷地解决用户接入难题是本文主要讨论的问题。
[关键词] OpenVPN;PFSENSE;开源;企业
[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2014)11- 0056- 01
1 概 述
网络无处不在,企业员工迫切需要在任何时间任何地点获取企业内部信息资源,如何从不同系统的个人终端,(Windows、Android、OSX/IOS、Linux)利用现有网络,安全便捷接入公司内网,这是本文要解决的问题。
虚拟专用网络(Virtual Private Network,VPN)指的是在公用网络上建立专用网络的技术。VPN能够让外地员工在当地连上互联网后,通过互联网连接企业VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
2 OpenVPN简介
OpenVPN是在Linux下的开源VPN,为用户提供了易用、高性能的客户端软件。OpenVPN允许参与建立VPN的单点使用预设的私钥、第三方证书或者用户名/密码来进行身份验证。有自定义的OpenSSL加密库,支持SSLv3/TLSv1协议,支持128位加密。
同时,由于OpenVPN的易用性较差,国外团队基于m0n0wall开发了名为PFSENSE的开源防火墙和路由平台。该平台已在很多公司、大学和其他组织应用。PFSENSE允许用户在图形界面下配置OpenVPN功能,极大地方便了VPN系统的安装。这里我们为了简化安装,以PFSENSE中OpenVPN应用为核心进行介绍。
3 RADIUS、LDAP支持
目前统一认证已经成为共识,RADIUS和LDAP是目前应用最广泛的认证授权协议,VPN实施前首先考虑能否方便地将现有认证集成到VPN平台中。PFSENSE在提供OPENVPN服务的同时可以支持RADIUS、LDAP扩展,使系统管理员能方便地将PFSENSE接入企业现有的统一认证平台。
4 建设方案
4.1 明确用户规模
硬件平台的选择由用户规模决定,特别是一些销售、服务类公司,大量员工不是在企业办公室内工作,而是需要深入到客户群中,而且这部分员工对信息资源的需求更大,需要随时随地访问ERP等各类企业内部系统和资源,一套方便易用安全的VPN系统必不可少。
4.2 选择合适版本和配套客户端软件
PFSENSE已发布了最新2.1版本,该版本无论是系统还是各配套软件,运行的稳定性都非常好,而且整套系统都是开源且免费的,非常适合投资有限的企业使用,其最大用户负载仅由系统所安装的硬件所决定。
根据不同的客户端类型,Android平台可以选择OpenVPN Connect,IOS及Windows平台都有官方客户端可以使用。
4.3 安装
(1)下载最新PFSENSE镜像文件,该镜像文件已集成操作系统,所以我们只需将其刻录成CD安装光盘即可。
(2)准备一台服务器甚至可以用旧的台式机,安装到虚拟机中也没有问题。只需将安装光盘内的系统,按提示安装到相应物理或虚拟服务器中。
(3)登录网页版的管理页面,配置OpenVPN服务,建议初次设置的用户使用“Wizards”模式进入“OpenVPN Remote Access Server Setup Wizard”配置,可以减少很多配置过程中出错的可能。根据需要配置认证方式,可以选择本地用户账号、RADIUS账号、LDAP账号。
(4)根据提示配置完成后,如果上一步选择的本地用户账号,则在“System: User Manager”里面添加用户信息即可。
(5)为OpenVPN服务器映射服务端口,在公司出口的防火墙上针对OpenVPN的服务端口做一个相应的端口映射,所有用户通过客户端访问防火墙该端口即可。
4.4 测试
分别在不同终端安装客户端软件,并将配置VPN服务时PFSENSE系统提供的CA等必需的证书文件复制到客户端相应位置,即可连接VPN服务器。目前正在使用的实例,经过2年多运行,,服务非常稳定,用户反映也很好。
4.5 培训
VPN技术对初次使用的用户来说还是稍微复杂的,特别是客户端软件安装和配置的过程,建议系统管理员制作不同平台的安装使用说明文件供用户参考。
本文编号:13783
本文链接:https://www.wllwen.com/kejilunwen/cailiaohuaxuelunwen/13783.html