SSL VPN系統(tǒng)的可視化管理與性能測試研究.pdf

1、SSLVPN是一種重要的安全VPN。和IPSecVPN相比，它具有組網(wǎng)靈活、管理維護(hù)成本低、用戶操作簡便等優(yōu)勢，有很強(qiáng)的市場競爭力。 OpenVPN是一種典型的基于隧道技術(shù)的SSLVPN，采用SSL/TLS協(xié)議協(xié)商隧道加密密鑰，借鑒ESP協(xié)議封裝隧道數(shù)據(jù)，運用OpenSSL加密庫加密隧道數(shù)據(jù)，使用虛擬網(wǎng)卡TUN/TAP驅(qū)動來擴(kuò)展網(wǎng)絡(luò)。OpenVPN支持IPv4/v6、NetwareIPX、Appletalk等多種網(wǎng)絡(luò)協(xié)議，可部署

2、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)、遠(yuǎn)程訪問等多種VPN系統(tǒng)，是一種“全功能”的VPN軟件。 OpenVPN是一款免費的開源軟件，尚無可視化管理界面，缺乏權(quán)威性的測評報告，致使其推廣應(yīng)用不夠廣泛。針對OpenVPN的缺陷和不足，作者在OpenVPN可視化管理、軟件測評等方面進(jìn)行了試驗性研究。 本文在研究SSL/TLS協(xié)議、ESP協(xié)議、虛擬網(wǎng)卡TUN/TAP驅(qū)動原理的基礎(chǔ)上，從密鑰協(xié)商、數(shù)據(jù)封裝、數(shù)據(jù)處理流程等方面闡明了OpenVPN的工作原

3、理，指出了OpenVPN、IPSecVPN、SSLVPN網(wǎng)關(guān)產(chǎn)品之間的主要差異。 為了提高OpenVPN的可用性，作者設(shè)計了基于Web的OpenVPN可視化管理系統(tǒng)。該系統(tǒng)包括證書管理、訪問控制、運行狀態(tài)監(jiān)控、服務(wù)器管理、系統(tǒng)流量統(tǒng)計與分析五個功能模塊。該系統(tǒng)能幫助管理員高效、安全、直觀地管理VPN系統(tǒng)。 為了消除人們對開源軟件的顧慮和疑問，作者全面、科學(xué)地測試分析了OpenVPN的性能、功能及抗攻擊能力。性能方面主要測

4、試了用戶登陸時間、加密吞吐量、并發(fā)用戶數(shù)等指標(biāo)。在和FreeS/Wan(IPSecVPN)及SSL-Explorer(SSLVPN網(wǎng)關(guān))對比測試的基礎(chǔ)上，對OpenVPN的性能作出了定位和評價。作者在實驗室部署了站到站、遠(yuǎn)程訪問等多種VPN系統(tǒng)，并在VPN系統(tǒng)中逐一測試了Web、FTP、Email、Telnet、網(wǎng)上鄰居、遠(yuǎn)程終端等常用的網(wǎng)絡(luò)服務(wù)。此外，還對VPN系統(tǒng)的抗攻擊能力進(jìn)行了測試。 本文對OpenVPN的安全性進(jìn)行了全

5、面的分析，并指出了通信雙方以明文形式交換證書的缺陷。針對該缺陷，作者提出了理論上可行的改進(jìn)措施，并通過修改OpenSSL源碼來具體實現(xiàn)。 作者在開發(fā)訪問控制模塊時，制定了分部門、分級別的訪問控制策略，提高了OpenVPN網(wǎng)關(guān)對內(nèi)網(wǎng)安全的保護(hù)能力。在解決負(fù)載平衡問題時，引入了分級加密機(jī)制。該機(jī)制允許VPN用戶自主選擇隧道加密強(qiáng)度，從而使OpenVPN服務(wù)器的CPU資源得以合理使用。 本研究對提高OpenVPN的可用性、安全