目錄

一、SSL工作過(guò)程

1.SSL握手協(xié)議的第一階段

2.SSL握手協(xié)議的第二階段

3.SSL握手協(xié)議的第三階段?編輯

4.SSL握手協(xié)議的第四階段?編輯

二、SSL預(yù)主密鑰有什么作用？

三、SSL VPN主要用于那些場(chǎng)景？

四、SSL VPN的實(shí)現(xiàn)方式有哪些？

1.虛擬網(wǎng)關(guān)

2.WEB代理

3.文件共享

4.端口轉(zhuǎn)發(fā)

5.網(wǎng)絡(luò)擴(kuò)展

五、SSL VPN客戶端安全要求有哪些？

1.主機(jī)檢查

2.緩存清除

3. 認(rèn)證授權(quán)

六、SSL VPN的實(shí)現(xiàn)，防火墻需要放行哪些流量？

七、SSL VPN 功能總結(jié)?

一、SSL工作過(guò)程

SSL（Secure Sockets Layer）是一種用于保護(hù)網(wǎng)絡(luò)通信安全的協(xié)議。SSL的工作過(guò)程如下：

客戶端發(fā)起連接請(qǐng)求：客戶端向服務(wù)器發(fā)送連接請(qǐng)求，請(qǐng)求建立一個(gè)安全的SSL連接。

服務(wù)器響應(yīng)：服務(wù)器接收到客戶端的連接請(qǐng)求后，如果支持SSL協(xié)議，就會(huì)返回一個(gè)數(shù)字證書。數(shù)字證書包含了服務(wù)器的公鑰以及其他相關(guān)信息，用于證明服務(wù)器的身份。

客戶端驗(yàn)證服務(wù)器的證書：客戶端會(huì)驗(yàn)證服務(wù)器返回的證書的有效性和合法性。驗(yàn)證過(guò)程包括檢查證書的簽名是否可信、證書是否過(guò)期、域名是否匹配等。如果驗(yàn)證失敗，客戶端會(huì)中止連接，或者提示用戶關(guān)于證書不受信任的信息。

客戶端生成隨機(jī)數(shù)和密鑰：客戶端會(huì)生成一個(gè)隨機(jī)數(shù)作為對(duì)稱加密算法的密鑰，并使用服務(wù)器的公鑰對(duì)該密鑰進(jìn)行加密。

服務(wù)器解密密鑰：服務(wù)器使用自己的私鑰來(lái)解密客戶端發(fā)來(lái)的密鑰。

確立加密算法和參數(shù)：客戶端和服務(wù)器根據(jù)各自支持的加密算法列表，選擇一個(gè)適用的對(duì)稱加密算法和參數(shù)，用于之后的數(shù)據(jù)加密。之后，客戶端和服務(wù)器都知道使用同一個(gè)對(duì)稱密鑰進(jìn)行通信。

建立SSL連接：客戶端通過(guò)對(duì)稱密鑰加密算法加密一條消息，并發(fā)送給服務(wù)器。服務(wù)器收到消息后，使用對(duì)稱密鑰解密，確認(rèn)連接建立成功。此后，客戶端和服務(wù)器之間的通信將使用對(duì)稱密鑰進(jìn)行加密和解密。

安全通信：客戶端和服務(wù)器使用對(duì)稱密鑰進(jìn)行加密和解密，保證通信的機(jī)密性和完整性。加密數(shù)據(jù)在傳輸過(guò)程中，即使被截獲，也無(wú)法理解其中的內(nèi)容。

1.SSL****握手協(xié)議的第一階段

客戶端首先發(fā)送 client hello 消息到服務(wù)端，服務(wù)端收到 client hello 信息后，再發(fā)送server hello消息到客戶端。

隨機(jī)數(shù)： 32 位時(shí)間戳 +28 字節(jié)隨機(jī)序列，用于計(jì)算摘要信息和預(yù)主密鑰或主密鑰的參數(shù)。

會(huì)話 ID ：一次性會(huì)話 ID ，防止重放攻擊。

2.SSL****握手協(xié)議的第二階段

服務(wù)器的證書：包含服務(wù)端公鑰的證書，用于客戶端給服務(wù)端發(fā)送信息時(shí)加密。

server key exchange 服務(wù)端密鑰交換：決定密鑰交換的方式，比如 DH,RSA ，會(huì)包含密鑰交換所需的一系列參數(shù)。

3.SSL握手協(xié)議的第三階段

client key exchange客戶端密鑰交換：根據(jù)服務(wù)端隨機(jī)數(shù)算出一個(gè)pre-master，發(fā)給服務(wù)器，服務(wù)器收到后根據(jù)pre-master密鑰生成一個(gè)main-matser。

4.SSL握手協(xié)議的第四階段

二、SSL預(yù)主密鑰有什么作用？

預(yù)主密鑰結(jié)合前面發(fā)的客戶端隨機(jī)數(shù)和服務(wù)器端隨機(jī)數(shù)衍生出一個(gè)主密鑰。然后主密鑰會(huì)衍生出三個(gè)東西：共享密鑰（對(duì)稱加密的密鑰）；完整性的密鑰（認(rèn)證密鑰）；初始化向量。

SSL預(yù)主密鑰（Pre-Master Secret）是在SSL/TLS握手過(guò)程中由客戶端生成的一個(gè)隨機(jī)數(shù)，用于協(xié)商會(huì)話密鑰。它的作用有以下幾個(gè)方面：

1.安全性：SSL預(yù)主密鑰的生成是在客戶端和服務(wù)器之間進(jìn)行的，而不是通過(guò)網(wǎng)絡(luò)傳輸。這樣可以確保預(yù)主密鑰在傳輸過(guò)程中不被竊聽或篡改，提高了通信的安全性。
2.密鑰協(xié)商：SSL握手過(guò)程中，客戶端和服務(wù)器使用預(yù)主密鑰來(lái)生成會(huì)話密鑰（Session Key）。會(huì)話密鑰是用于加密和解密數(shù)據(jù)的對(duì)稱密鑰。通過(guò)使用預(yù)主密鑰，客戶端和服務(wù)器可以協(xié)商出相同的會(huì)話密鑰，從而實(shí)現(xiàn)安全的通信。
3.前向保密：預(yù)主密鑰的生成過(guò)程中使用了隨機(jī)數(shù)和其他密鑰材料，這使得預(yù)主密鑰具有前向保密性質(zhì)。前向保密意味著即使在將來(lái)主密鑰被泄漏，之前的會(huì)話仍然是安全的，因?yàn)闀?huì)話密鑰的生成是基于預(yù)主密鑰，預(yù)主密鑰不會(huì)被存儲(chǔ)或傳輸，只在握手時(shí)生成。

附：預(yù)主密鑰和主密鑰的關(guān)系

三、SSL VPN主要用于那些場(chǎng)景？

SSL VPN是以SSL（Secure Sockets Layer）/TLS（Transport Layer Security）協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢(shì)，對(duì)其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。

有瀏覽器的設(shè)備就可以使用 SSL ，進(jìn)而使用 SSL VPN ，不需要擔(dān)心客戶端問(wèn)題，所以 SSL VPN 也能稱之為無(wú)客戶端VPN 。 SSL VPN 在 client to Lan場(chǎng)景下 特別有優(yōu)勢(shì)。

SSL VPN和IPsec VPN區(qū)別：

• IPSec是網(wǎng)絡(luò)層保證IP通訊而提供的協(xié)議族，以網(wǎng)絡(luò)層為中心
• SSL是套接字層保護(hù)HTTP通訊的協(xié)議，以應(yīng)用層為中心

優(yōu)勢(shì)：

四、SSL VPN的實(shí)現(xiàn)方式有哪些？

1.虛擬網(wǎng)關(guān)

SSL VPN每個(gè)虛擬網(wǎng)關(guān)可以獨(dú)立管理，可以配置各自的資源，用戶、認(rèn)證方式，訪問(wèn)控制以及管理員。 并且相互隔離。

2.WEB****代理

使用Web代理，用戶只需標(biāo)準(zhǔn)的瀏覽器，終端不需安裝任何客戶端軟件，就能夠?qū)崿F(xiàn)Web資源的安全訪問(wèn)，比如：內(nèi)網(wǎng)網(wǎng)頁(yè)瀏覽、Outlook Web Access和iNotes訪問(wèn)。

實(shí)現(xiàn)過(guò)程：

實(shí)現(xiàn)方式：

web-link ：使用 activeX 控件方式，對(duì)頁(yè)面進(jìn)行請(qǐng)求

web 改寫：將所請(qǐng)求頁(yè)面上鏈接進(jìn)行改寫，其他內(nèi)容不變。

實(shí)現(xiàn)結(jié)果：

實(shí)現(xiàn)對(duì)內(nèi)網(wǎng) web 資源的安全訪問(wèn)。

內(nèi)網(wǎng) web 資源只有私網(wǎng)地址，在不做 NAT 的情況下，可以通過(guò) SSL VPN 實(shí)現(xiàn)對(duì)其的代理安全訪問(wèn)。

內(nèi)網(wǎng) web 資源只有私網(wǎng)地址，在做 NAT 的情況下，公網(wǎng)用戶可以實(shí)現(xiàn)對(duì)其訪問(wèn)，但是 web 資源沒有

使用安全傳輸協(xié)議， SSL VPN 可以實(shí)現(xiàn)對(duì)其 https 安全訪問(wèn)。

3.文件共享

文件共享主要是通過(guò)協(xié)議轉(zhuǎn)換技術(shù)，將網(wǎng)絡(luò)文件系統(tǒng)NFS（Network File System）轉(zhuǎn)換成HTTPS（Hypertext Transfer Protocol Secure）協(xié)議，用戶直接通過(guò)瀏覽器就能夠創(chuàng)建和瀏覽目錄，進(jìn)行新建、下載、上傳、修改、刪除文件操作。

實(shí)現(xiàn)過(guò)程：

實(shí)現(xiàn)原理

• 協(xié)議轉(zhuǎn)換：無(wú)需客戶端，直接通過(guò)瀏覽器訪問(wèn)轉(zhuǎn)為內(nèi)網(wǎng)文件共享的相應(yīng)協(xié)議格式，使用activeX控件。

支持協(xié)議

• SMB windows
• NFS linux

4.端口轉(zhuǎn)發(fā)

SSL協(xié)議只應(yīng)用于瀏覽器，端口轉(zhuǎn)發(fā)是SSL協(xié)議的應(yīng)用擴(kuò)展。端口轉(zhuǎn)發(fā)在應(yīng)用層控制用戶可以訪問(wèn)的應(yīng)用服務(wù)（比如Telnet、遠(yuǎn)程桌面、FTP（File Transfer Protocol）和Email）。

實(shí)現(xiàn)過(guò)程:

實(shí)現(xiàn)原理：安裝activeX控件，本質(zhì)是NAT過(guò)程。

提供內(nèi)網(wǎng)TCP資源的訪問(wèn)，C/S資源

• 提供豐富的靜態(tài)端口的TCP應(yīng)用

單端口單服務(wù)：telnet、SSH、MS、RDP、VNC
單端口多服務(wù)：notes
多端口多服務(wù)：outlook

• 動(dòng)態(tài)端口TCP應(yīng)用
• 提供端口的訪問(wèn)控制

自動(dòng)安裝運(yùn)行一個(gè) ActiveX控件，獲取到管理端配置的端口轉(zhuǎn)發(fā)資源列表（目的服務(wù)器IP、端口）。控件將客戶端發(fā)起的TCP報(bào)文與資源列表進(jìn)行比對(duì)，當(dāng)發(fā)現(xiàn)報(bào)文的目的IP/Port與資源列表中的表項(xiàng)匹配，則截獲報(bào)文，開啟偵聽端口（目的端口經(jīng)過(guò)特定算法得出），并將目的地址改寫為回環(huán)地址，轉(zhuǎn)發(fā)到偵聽端口。對(duì)該報(bào)文加密封裝，添加私有報(bào)文頭，將目的地址設(shè)為USG的IP地址，經(jīng)由偵聽端口發(fā)往USG。USG收到報(bào)文進(jìn)行解密，發(fā)往真實(shí)的目的服務(wù)器端口。USG收到服務(wù)器的響應(yīng)后，再加密封裝回傳給用戶終端的偵聽端口。

5.網(wǎng)絡(luò)擴(kuò)展

網(wǎng)絡(luò)擴(kuò)展功能是基于SSL協(xié)議進(jìn)行的功能擴(kuò)展，實(shí)現(xiàn)了對(duì)所有IP應(yīng)用的支持，用戶遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)資源就像訪問(wèn)局域網(wǎng)一樣方便。

在用戶端安裝網(wǎng)絡(luò)擴(kuò)展客戶端后，客戶端生成的虛擬網(wǎng)卡將截獲的原始IP報(bào)文經(jīng)過(guò)SSL協(xié)議封裝后轉(zhuǎn)發(fā)至虛擬網(wǎng)關(guān)，從而使用戶的機(jī)器如同工作在企業(yè)內(nèi)網(wǎng)一樣，用戶能夠快速、安全地訪問(wèn)企業(yè)內(nèi)網(wǎng)的所有資源（在沒有進(jìn)行ACL（Access Control List）訪問(wèn)控制限制的情況下）。

訪問(wèn)模式：
三種流量：去對(duì)方內(nèi)網(wǎng)；去互聯(lián)網(wǎng)；去本地局域網(wǎng)

全路由模式：三種流量都走隧道，代表本地不能訪問(wèn)互聯(lián)網(wǎng)，也可通過(guò)隧道訪問(wèn)，也可訪問(wèn)本地局域網(wǎng)。
分離模式：對(duì)方內(nèi)網(wǎng)流量走隧道，本地局域網(wǎng)流量走物理網(wǎng)卡，互聯(lián)網(wǎng)流量不能走。意味著能訪問(wèn)對(duì)方內(nèi)網(wǎng)，能訪問(wèn)本地局域網(wǎng)，不能訪問(wèn)互聯(lián)網(wǎng)。
手動(dòng)模式：對(duì)方內(nèi)網(wǎng)流量走隧道，本地局域網(wǎng)流量和互聯(lián)網(wǎng)流量走物理網(wǎng)卡。意味著都能訪問(wèn)，互聯(lián)網(wǎng)走本地。

五、SSL VPN客戶端安全要求有哪些？

終端安全是在請(qǐng)求內(nèi)網(wǎng)主機(jī)上部署一個(gè)軟件，通過(guò)該軟件檢查終端的安全性包括：主機(jī)檢查、緩存清除、認(rèn)證授權(quán)。

1.主機(jī)檢查

• 殺毒軟件檢查
• 防火墻設(shè)置檢查
• 注冊(cè)表檢查
• 端口檢查
• 進(jìn)程檢查
• 操作系統(tǒng)檢查

2.緩存清除

• internet臨時(shí)文件
• 瀏覽器自動(dòng)保存密碼
• cookie記錄
• 瀏覽器訪問(wèn)歷史記錄
• 回收站和最近打開的文件
• 指定文件或文件夾

3. 認(rèn)證授權(quán)

• vpndb的認(rèn)證授權(quán)
• 第三方服務(wù)認(rèn)證授權(quán)
• 數(shù)字證書的認(rèn)證
• 短信輔助認(rèn)證

六、SSL VPN的實(shí)現(xiàn)，防火墻需要放行哪些流量？

1.SSL/TLS協(xié)議流量：SSL VPN 使用 SSL/TLS 協(xié)議來(lái)進(jìn)行加密通信，因此防火墻需要允許相關(guān)的 SSL/TLS 流量通過(guò)。通常情況下，這些流量使用 TCP 端口號(hào) 443，可以通過(guò)防火墻的規(guī)則配置進(jìn)行放行。
2.VPN控制流量：SSL VPN 需要使用一組專門的協(xié)議和端口來(lái)進(jìn)行 VPN 連接的建立、終止和維護(hù)，如HTTPS、UDP等。具體取決于所采用的 SSL VPN 解決方案和配置方式，防火墻需要放行相關(guān)的控制流量，以便客戶端可以與服務(wù)器端正確地進(jìn)行握手和身份驗(yàn)證。
3.VPN數(shù)據(jù)流量：一旦 SSL VPN 連接建立成功，數(shù)據(jù)流量將通過(guò) SSL/TLS 隧道進(jìn)行傳輸。防火墻需要放行與 VPN 數(shù)據(jù)流量相關(guān)的端口和協(xié)議，以確保數(shù)據(jù)的正常傳輸。這些端口和協(xié)議也視具體的 SSL VPN 實(shí)現(xiàn)而有所不同，可以是TCP、UDP或其他協(xié)議。
4.認(rèn)證和授權(quán)服務(wù)流量：在一些實(shí)現(xiàn)中，SSL VPN 可能需要與認(rèn)證服務(wù)器、授權(quán)服務(wù)器或其他基礎(chǔ)設(shè)施進(jìn)行交互，例如LDAP、RADIUS等。防火墻需要放行與此相關(guān)的流量，以確保用戶的身份驗(yàn)證和授權(quán)過(guò)程的正常進(jìn)行。
5.可選的應(yīng)用程序特定流量：某些 SSL VPN 實(shí)現(xiàn)可以支持特定的應(yīng)用程序代理，允許用戶在 VPN 連接上訪問(wèn)特定的應(yīng)用程序或服務(wù)。如果你使用了這樣的應(yīng)用程序代理功能，防火墻可能需要放行該應(yīng)用程序所使用的額外端口和協(xié)議。

需要注意的是，以上流量需根據(jù)具體的 SSL VPN 解決方案和部署配置來(lái)確定，可能會(huì)有差異。建議參考所使用的 SSL VPN 產(chǎn)品的文檔或聯(lián)系供應(yīng)商以獲取準(zhǔn)確的配置要求。此外，為了確保安全性，僅放行必要的流量，并遵循最佳安全實(shí)踐，如限制訪問(wèn)權(quán)限、強(qiáng)化身份驗(yàn)證等。

七、SSL VPN 功能總結(jié)

配置：

黑客學(xué)習(xí)資源推薦

最后給大家分享一份全套的網(wǎng)絡(luò)安全學(xué)習(xí)資料，給那些想學(xué)習(xí) 網(wǎng)絡(luò)安全的小伙伴們一點(diǎn)幫助！

對(duì)于從來(lái)沒有接觸過(guò)網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長(zhǎng)路線圖?？梢哉f(shuō)是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個(gè)大的方向?qū)W習(xí)準(zhǔn)沒問(wèn)題。

??朋友們?nèi)绻行枰脑?，可?mark>V掃描下方二維碼聯(lián)系領(lǐng)取~

1??零基礎(chǔ)入門

① 學(xué)習(xí)路線

對(duì)于從來(lái)沒有接觸過(guò)網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長(zhǎng)路線圖?？梢哉f(shuō)是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個(gè)大的方向?qū)W習(xí)準(zhǔn)沒問(wèn)題。

② 路線對(duì)應(yīng)學(xué)習(xí)視頻

同時(shí)每個(gè)成長(zhǎng)路線對(duì)應(yīng)的板塊都有配套的視頻提供：

2??視頻配套工具&國(guó)內(nèi)外網(wǎng)安書籍、文檔

① 工具

② 視頻

③ 書籍

① 面試資料

② 簡(jiǎn)歷模板

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-823950.html

到了這里，關(guān)于安全防御------SSL VPN篇_防范 ssl 隧道內(nèi)部的攻擊流量的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！