目錄

一、SSL工作過(guò)程

1.SSL握手協(xié)議的第一階段

2.SSL握手協(xié)議的第二階段

3.SSL握手協(xié)議的第三階段?編輯

4.SSL握手協(xié)議的第四階段?編輯

二、SSL預(yù)主密鑰有什么作用？

三、SSL VPN主要用于那些場(chǎng)景？

四、SSL VPN的實(shí)現(xiàn)方式有哪些？

1.虛擬網(wǎng)關(guān)

2.WEB代理

3.文件共享

4.端口轉(zhuǎn)發(fā)

5.網(wǎng)絡(luò)擴(kuò)展

五、SSL VPN客戶端安全要求有哪些？

1.主機(jī)檢查

2.緩存清除

3. 認(rèn)證授權(quán)

六、SSL VPN的實(shí)現(xiàn)，防火墻需要放行哪些流量？

七、SSL VPN 功能總結(jié)?

一、SSL工作過(guò)程

SSL（Secure Sockets Layer）是一種用于保護(hù)網(wǎng)絡(luò)通信安全的協(xié)議。SSL的工作過(guò)程如下：

客戶端發(fā)起連接請(qǐng)求：客戶端向服務(wù)器發(fā)送連接請(qǐng)求，請(qǐng)求建立一個(gè)安全的SSL連接。

服務(wù)器響應(yīng)：服務(wù)器接收到客戶端的連接請(qǐng)求后，如果支持SSL協(xié)議，就會(huì)返回一個(gè)數(shù)字證書(shū)。數(shù)字證書(shū)包含了服務(wù)器的公鑰以及其他相關(guān)信息，用于證明服務(wù)器的身份。

客戶端驗(yàn)證服務(wù)器的證書(shū)：客戶端會(huì)驗(yàn)證服務(wù)器返回的證書(shū)的有效性和合法性。驗(yàn)證過(guò)程包括檢查證書(shū)的簽名是否可信、證書(shū)是否過(guò)期、域名是否匹配等。如果驗(yàn)證失敗，客戶端會(huì)中止連接，或者提示用戶關(guān)于證書(shū)不受信任的信息。

客戶端生成隨機(jī)數(shù)和密鑰：客戶端會(huì)生成一個(gè)隨機(jī)數(shù)作為對(duì)稱加密算法的密鑰，并使用服務(wù)器的公鑰對(duì)該密鑰進(jìn)行加密。

服務(wù)器解密密鑰：服務(wù)器使用自己的私鑰來(lái)解密客戶端發(fā)來(lái)的密鑰。

確立加密算法和參數(shù)：客戶端和服務(wù)器根據(jù)各自支持的加密算法列表，選擇一個(gè)適用的對(duì)稱加密算法和參數(shù)，用于之后的數(shù)據(jù)加密。之后，客戶端和服務(wù)器都知道使用同一個(gè)對(duì)稱密鑰進(jìn)行通信。

建立SSL連接：客戶端通過(guò)對(duì)稱密鑰加密算法加密一條消息，并發(fā)送給服務(wù)器。服務(wù)器收到消息后，使用對(duì)稱密鑰解密，確認(rèn)連接建立成功。此后，客戶端和服務(wù)器之間的通信將使用對(duì)稱密鑰進(jìn)行加密和解密。

安全通信：客戶端和服務(wù)器使用對(duì)稱密鑰進(jìn)行加密和解密，保證通信的機(jī)密性和完整性。加密數(shù)據(jù)在傳輸過(guò)程中，即使被截獲，也無(wú)法理解其中的內(nèi)容。

1.SSL握手協(xié)議的第一階段

客戶端首先發(fā)送 client hello 消息到服務(wù)端，服務(wù)端收到 client hello 信息后，再發(fā)送server hello消息到客戶端。

2.SSL握手協(xié)議的第二階段

3.SSL握手協(xié)議的第三階段

?client key exchange客戶端密鑰交換：根據(jù)服務(wù)端隨機(jī)數(shù)算出一個(gè)pre-master，發(fā)給服務(wù)器，服務(wù)器收到后根據(jù)pre-master密鑰生成一個(gè)main-matser。

4.SSL握手協(xié)議的第四階段

二、SSL預(yù)主密鑰有什么作用？

預(yù)主密鑰結(jié)合前面發(fā)的客戶端隨機(jī)數(shù)和服務(wù)器端隨機(jī)數(shù)衍生出一個(gè)主密鑰。然后主密鑰會(huì)衍生出三個(gè)東西：共享密鑰（對(duì)稱加密的密鑰）；完整性的密鑰（認(rèn)證密鑰）；初始化向量。

SSL預(yù)主密鑰（Pre-Master Secret）是在SSL/TLS握手過(guò)程中由客戶端生成的一個(gè)隨機(jī)數(shù)，用于協(xié)商會(huì)話密鑰。它的作用有以下幾個(gè)方面：

1.安全性：SSL預(yù)主密鑰的生成是在客戶端和服務(wù)器之間進(jìn)行的，而不是通過(guò)網(wǎng)絡(luò)傳輸。這樣可以確保預(yù)主密鑰在傳輸過(guò)程中不被竊聽(tīng)或篡改，提高了通信的安全性。
2.密鑰協(xié)商：SSL握手過(guò)程中，客戶端和服務(wù)器使用預(yù)主密鑰來(lái)生成會(huì)話密鑰（Session Key）。會(huì)話密鑰是用于加密和解密數(shù)據(jù)的對(duì)稱密鑰。通過(guò)使用預(yù)主密鑰，客戶端和服務(wù)器可以協(xié)商出相同的會(huì)話密鑰，從而實(shí)現(xiàn)安全的通信。
3.前向保密：預(yù)主密鑰的生成過(guò)程中使用了隨機(jī)數(shù)和其他密鑰材料，這使得預(yù)主密鑰具有前向保密性質(zhì)。前向保密意味著即使在將來(lái)主密鑰被泄漏，之前的會(huì)話仍然是安全的，因?yàn)闀?huì)話密鑰的生成是基于預(yù)主密鑰，預(yù)主密鑰不會(huì)被存儲(chǔ)或傳輸，只在握手時(shí)生成。

附：預(yù)主密鑰和主密鑰的關(guān)系

三、SSL VPN主要用于那些場(chǎng)景？

SSL VPN是以SSL（Secure Sockets Layer）/TLS（Transport Layer Security）協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢(shì)，對(duì)其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。

SSL VPN和IPsec VPN區(qū)別：

• IPSec是網(wǎng)絡(luò)層保證IP通訊而提供的協(xié)議族，以網(wǎng)絡(luò)層為中心
• SSL是套接字層保護(hù)HTTP通訊的協(xié)議，以應(yīng)用層為中心

優(yōu)勢(shì)：

四、SSL VPN的實(shí)現(xiàn)方式有哪些？

1.虛擬網(wǎng)關(guān)

SSL VPN每個(gè)虛擬網(wǎng)關(guān)可以獨(dú)立管理，可以配置各自的資源，用戶、認(rèn)證方式，訪問(wèn)控制以及管理員。 并且相互隔離。

2.WEB代理

使用Web代理，用戶只需標(biāo)準(zhǔn)的瀏覽器，終端不需安裝任何客戶端軟件，就能夠?qū)崿F(xiàn)Web資源的安全訪問(wèn)，比如：內(nèi)網(wǎng)網(wǎng)頁(yè)瀏覽、Outlook Web Access和iNotes訪問(wèn)。

實(shí)現(xiàn)過(guò)程：?

web-link ：使用 activeX 控件方式，對(duì)頁(yè)面進(jìn)行請(qǐng)求

web 改寫(xiě)：將所請(qǐng)求頁(yè)面上鏈接進(jìn)行改寫(xiě)，其他內(nèi)容不變。

3.文件共享

文件共享主要是通過(guò)協(xié)議轉(zhuǎn)換技術(shù)，將網(wǎng)絡(luò)文件系統(tǒng)NFS（Network File System）轉(zhuǎn)換成HTTPS（Hypertext Transfer Protocol Secure）協(xié)議，用戶直接通過(guò)瀏覽器就能夠創(chuàng)建和瀏覽目錄，進(jìn)行新建、下載、上傳、修改、刪除文件操作。

實(shí)現(xiàn)過(guò)程：?

4.端口轉(zhuǎn)發(fā)

網(wǎng)絡(luò)擴(kuò)展功能是基于SSL協(xié)議進(jìn)行的功能擴(kuò)展，實(shí)現(xiàn)了對(duì)所有IP應(yīng)用的支持，用戶遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)資源就像訪問(wèn)局域網(wǎng)一樣方便。

在用戶端安裝網(wǎng)絡(luò)擴(kuò)展客戶端后，客戶端生成的虛擬網(wǎng)卡將截獲的原始IP報(bào)文經(jīng)過(guò)SSL協(xié)議封裝后轉(zhuǎn)發(fā)至虛擬網(wǎng)關(guān)，從而使用戶的機(jī)器如同工作在企業(yè)內(nèi)網(wǎng)一樣，用戶能夠快速、安全地訪問(wèn)企業(yè)內(nèi)網(wǎng)的所有資源（在沒(méi)有進(jìn)行ACL（Access Control List）訪問(wèn)控制限制的情況下）。

訪問(wèn)模式：
三種流量：去對(duì)方內(nèi)網(wǎng)；去互聯(lián)網(wǎng)；去本地局域網(wǎng)

全路由模式：三種流量都走隧道，代表本地不能訪問(wèn)互聯(lián)網(wǎng)，也可通過(guò)隧道訪問(wèn)，也可訪問(wèn)本地局域網(wǎng)。
分離模式：對(duì)方內(nèi)網(wǎng)流量走隧道，本地局域網(wǎng)流量走物理網(wǎng)卡，互聯(lián)網(wǎng)流量不能走。意味著能訪問(wèn)對(duì)方內(nèi)網(wǎng)，能訪問(wèn)本地局域網(wǎng)，不能訪問(wèn)互聯(lián)網(wǎng)。
手動(dòng)模式：對(duì)方內(nèi)網(wǎng)流量走隧道，本地局域網(wǎng)流量和互聯(lián)網(wǎng)流量走物理網(wǎng)卡。意味著都能訪問(wèn)，互聯(lián)網(wǎng)走本地。

五、SSL VPN客戶端安全要求有哪些？

終端安全是在請(qǐng)求內(nèi)網(wǎng)主機(jī)上部署一個(gè)軟件，通過(guò)該軟件檢查終端的安全性包括：主機(jī)檢查、緩存清除、認(rèn)證授權(quán)。

1.主機(jī)檢查

• 殺毒軟件檢查
• 防火墻設(shè)置檢查
• 注冊(cè)表檢查
• 端口檢查
• 進(jìn)程檢查
• 操作系統(tǒng)檢查

2.緩存清除

• internet臨時(shí)文件
• 瀏覽器自動(dòng)保存密碼
• cookie記錄
• 瀏覽器訪問(wèn)歷史記錄
• 回收站和最近打開(kāi)的文件
• 指定文件或文件夾

3. 認(rèn)證授權(quán)

• vpndb的認(rèn)證授權(quán)
• 第三方服務(wù)認(rèn)證授權(quán)
• 數(shù)字證書(shū)的認(rèn)證
• 短信輔助認(rèn)證

六、SSL VPN的實(shí)現(xiàn)，防火墻需要放行哪些流量？

1.SSL/TLS協(xié)議流量：SSL VPN 使用 SSL/TLS 協(xié)議來(lái)進(jìn)行加密通信，因此防火墻需要允許相關(guān)的 SSL/TLS 流量通過(guò)。通常情況下，這些流量使用 TCP 端口號(hào) 443，可以通過(guò)防火墻的規(guī)則配置進(jìn)行放行。
2.VPN控制流量：SSL VPN 需要使用一組專門(mén)的協(xié)議和端口來(lái)進(jìn)行 VPN 連接的建立、終止和維護(hù)，如HTTPS、UDP等。具體取決于所采用的 SSL VPN 解決方案和配置方式，防火墻需要放行相關(guān)的控制流量，以便客戶端可以與服務(wù)器端正確地進(jìn)行握手和身份驗(yàn)證。
3.VPN數(shù)據(jù)流量：一旦 SSL VPN 連接建立成功，數(shù)據(jù)流量將通過(guò) SSL/TLS 隧道進(jìn)行傳輸。防火墻需要放行與 VPN 數(shù)據(jù)流量相關(guān)的端口和協(xié)議，以確保數(shù)據(jù)的正常傳輸。這些端口和協(xié)議也視具體的 SSL VPN 實(shí)現(xiàn)而有所不同，可以是TCP、UDP或其他協(xié)議。
4.認(rèn)證和授權(quán)服務(wù)流量：在一些實(shí)現(xiàn)中，SSL VPN 可能需要與認(rèn)證服務(wù)器、授權(quán)服務(wù)器或其他基礎(chǔ)設(shè)施進(jìn)行交互，例如LDAP、RADIUS等。防火墻需要放行與此相關(guān)的流量，以確保用戶的身份驗(yàn)證和授權(quán)過(guò)程的正常進(jìn)行。
5.可選的應(yīng)用程序特定流量：某些 SSL VPN 實(shí)現(xiàn)可以支持特定的應(yīng)用程序代理，允許用戶在 VPN 連接上訪問(wèn)特定的應(yīng)用程序或服務(wù)。如果你使用了這樣的應(yīng)用程序代理功能，防火墻可能需要放行該應(yīng)用程序所使用的額外端口和協(xié)議。

需要注意的是，以上流量需根據(jù)具體的 SSL VPN 解決方案和部署配置來(lái)確定，可能會(huì)有差異。建議參考所使用的 SSL VPN 產(chǎn)品的文檔或聯(lián)系供應(yīng)商以獲取準(zhǔn)確的配置要求。此外，為了確保安全性，僅放行必要的流量，并遵循最佳安全實(shí)踐，如限制訪問(wèn)權(quán)限、強(qiáng)化身份驗(yàn)證等。

七、SSL VPN 功能總結(jié)

配置：文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-736428.html

到了這里，關(guān)于安全防御------SSL VPN篇的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！