附：無線項(xiàng)目介紹

SSL VPN

有瀏覽器的設(shè)備就可以使用SSL，進(jìn)而使用SSL VPN。無需擔(dān)心客戶端問題，所以SSL VPN也稱為無客戶端VPN。SSL VPN在client to lan場景下特別有優(yōu)勢。

實(shí)際實(shí)現(xiàn)過程（基于TCP實(shí)現(xiàn)）

（1）SSL協(xié)議握手實(shí)現(xiàn)

握手階段

SSL協(xié)議握手第一階段

客戶端首先發(fā)送client hello消息到服務(wù)端，服務(wù)端收到client hello消息后，再發(fā)送server hello消息到客戶端

• 隨機(jī)數(shù)：32位時(shí)間戳 + 28字節(jié)隨機(jī)序列，用于計(jì)算摘要信息和預(yù)主密鑰或主密鑰的參數(shù)
• 會(huì)話ID：一次性會(huì)話ID，防止重放攻擊

SSL協(xié)議握手第二階段

• 服務(wù)器的證書：包含服務(wù)端公鑰的證書，用于客戶端給服務(wù)端發(fā)送信息時(shí)加密
• server key exchange 服務(wù)端密鑰交換：決定密鑰的交換形式，比如DH、RSA，包含密鑰交換所需的一系列參數(shù)

SSL協(xié)議握手第三階段

client key exchange 客戶端密鑰交換：根據(jù)服務(wù)端隨機(jī)數(shù)算出一個(gè)pre-master，發(fā)給服務(wù)器，服務(wù)器收到后根據(jù)pre-master密鑰生成一個(gè)main-master

附：預(yù)主密鑰和主密鑰的關(guān)系

初始化向量用途

SSL協(xié)議握手第四階段

會(huì)話恢復(fù)階段

（2）SSL記錄協(xié)議

記錄協(xié)議主要實(shí)現(xiàn)對數(shù)據(jù)的分塊、加密解密、壓縮解壓縮、完整性校驗(yàn)、封裝

SSL記錄協(xié)議包含信息：

• 內(nèi)容類型
• 協(xié)議版本號(hào)
• 數(shù)據(jù)長度
• 數(shù)據(jù)的有效載荷
• 散列算法的認(rèn)證代碼

（3）SSL與IPSEC的對比

區(qū)別：

• IPSec是網(wǎng)絡(luò)層保證IP通訊而提供的協(xié)議族，以網(wǎng)絡(luò)層為中心
• SSL是套接字層保護(hù)HTTP通訊的協(xié)議，以應(yīng)用層為中心

SSL VPN的優(yōu)勢

（4）SSL VPN實(shí)現(xiàn)

[1] 虛擬網(wǎng)關(guān)

SSL VPN每個(gè)虛擬網(wǎng)關(guān)可以獨(dú)立管理，可以配置各自的資源，用戶、認(rèn)證方式，訪問控制及管理員，并且相互隔離。

[2] web代理

實(shí)現(xiàn)過程

實(shí)現(xiàn)方式

• web-link：使用activeX控件方式，對頁面進(jìn)行請求
• web列表：將所請求頁面上的鏈接進(jìn)行改寫，其他內(nèi)容不變

ActiveX是Microsoft對于一系列策略性面向?qū)ο蟪绦蚣夹g(shù)和工具的稱呼，其中主要的技術(shù)是組件對象模型（COM）。在有目錄和其它支持的網(wǎng)絡(luò)中，COM變成了分布式COM（DCOM）

實(shí)現(xiàn)結(jié)果（實(shí)現(xiàn)對內(nèi)網(wǎng)web資源的訪問）

• 內(nèi)網(wǎng)web資源只有私網(wǎng)地址，不做NAT的情況下，可通過SSL VPN實(shí)現(xiàn)對其代理的安全訪問
• 內(nèi)網(wǎng)web資源只有私網(wǎng)地址，做NAT情況下，公網(wǎng)用戶可實(shí)現(xiàn)安全訪問，但是web資源未使用安全傳輸協(xié)議，SSL VPN可實(shí)現(xiàn)對https的安全訪問

[3] 文件共享

實(shí)現(xiàn)過程

實(shí)現(xiàn)原理

• 協(xié)議轉(zhuǎn)換：無需客戶端，直接通過瀏覽器訪問轉(zhuǎn)為內(nèi)網(wǎng)文件共享的相應(yīng)協(xié)議格式，使用activeX控件。

支持協(xié)議

• SMB? windows
• NFS? linux

[4] 端口轉(zhuǎn)發(fā)

實(shí)現(xiàn)過程

實(shí)現(xiàn)原理：安裝activeX控件，本質(zhì)是NAT過程

提供內(nèi)網(wǎng)TCP資源的訪問，C/S資源

• 提供豐富的靜態(tài)端口的TCP應(yīng)用

單端口單服務(wù)：telnet、SSH、MS、RDP、VNC
單端口多服務(wù)：notes
多端口多服務(wù)：outlook

• 動(dòng)態(tài)端口TCP應(yīng)用
• 提供端口的訪問控制

自動(dòng)安裝運(yùn)行一個(gè) ActiveX控件，獲取到管理端配置的端口轉(zhuǎn)發(fā)資源列表（目的服務(wù)器IP、端口）?？丶⒖蛻舳税l(fā)起的TCP報(bào)文與資源列表進(jìn)行比對，當(dāng)發(fā)現(xiàn)報(bào)文的目的IP/Port與資源列表中的表項(xiàng)匹配，則截獲報(bào)文，開啟偵聽端口（目的端口經(jīng)過特定算法得出），并將目的地址改寫為回環(huán)地址，轉(zhuǎn)發(fā)到偵聽端口。對該報(bào)文加密封裝，添加私有報(bào)文頭，將目的地址設(shè)為USG的IP地址，經(jīng)由偵聽端口發(fā)往USG。USG收到報(bào)文進(jìn)行解密，發(fā)往真實(shí)的目的服務(wù)器端口。USG收到服務(wù)器的響應(yīng)后，再加密封裝回傳給用戶終端的偵聽端口。

特點(diǎn)

[5] 網(wǎng)絡(luò)擴(kuò)展

實(shí)現(xiàn)過程

訪問模式

三種流量：去對方內(nèi)網(wǎng)；去互聯(lián)網(wǎng)；去本地局域網(wǎng)

• 全路由模式：三種流量都走隧道，代表本地不能訪問互聯(lián)網(wǎng)，也可通過隧道訪問，也可訪問本地局域網(wǎng)
• 分離模式：對方內(nèi)網(wǎng)流量走隧道，本地局域網(wǎng)流量走物理網(wǎng)卡，互聯(lián)網(wǎng)流量不能走。意味著能訪問對方內(nèi)網(wǎng)，能訪問本地局域網(wǎng)，不能訪問互聯(lián)網(wǎng)。
• 手動(dòng)模式：對方內(nèi)網(wǎng)流量走隧道，本地局域網(wǎng)流量和互聯(lián)網(wǎng)流量走物理網(wǎng)卡。意味著都能訪問，互聯(lián)網(wǎng)走本地

（5）SSL VPN要求的終端安全

終端安全是在請求內(nèi)網(wǎng)主機(jī)上部署一個(gè)軟件，通過該軟件檢查終端的安全性包括：主機(jī)檢查、緩存清除、認(rèn)證授權(quán)。

[1] 主機(jī)檢查

• 殺毒軟件檢查
• 防火墻設(shè)置檢查
• 注冊表檢查
• 端口檢查
• 進(jìn)程檢查
• 操作系統(tǒng)檢查

[2] 緩存清除

• internet臨時(shí)文件
• 瀏覽器自動(dòng)保存密碼
• cookie記錄
• 瀏覽器訪問歷史記錄
• 回收站和最近打開的文件
• 指定文件或文件夾

[3] 認(rèn)證授權(quán)

• vpndb的認(rèn)證授權(quán)
• 第三方服務(wù)認(rèn)證授權(quán)
• 數(shù)字證書的認(rèn)證
• 短信輔助認(rèn)證

SSL VPN功能總結(jié)

文章來源地址http://www.zghlxwxcb.cn/news/detail-522007.html

到了這里，關(guān)于安全防御 --- SSL VPN的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！